حقيقة فكرت كثيراً قبل كتابة هذه التغريدة ، وفضلت ان تكون عبارة عن سلسلة من التغريدات تحت عنوان " بناء مركز العمليات السيبرانية تحديات وفرص" فإذا كنت تعمل او تدير مركز عمليات سيبراني اليك بعض النصائح:
#الامن_السيبراني
أعذروني على الإطالة ♥️
#الامن_السيبراني
أعذروني على الإطالة ♥️
-ركز قبل شراء أي نظام مراقبة عمليات سيبرانية SIEM من تخطيطك الجيد للبنية التحتية بحيث تصبح جاهزة وقابلة لتغير والاضافة " مرنه" اعني (comprehensive architecture)، وتسمح لك بحفظ البيانات او سجلات الاحداث أطول فترة ممكنة او الالتزام بسياسة ECCن،
وكذلك تكون جاهزة للربط مع أي نظام مستقبلي، ووضع بالحسبان ان قاعدة البيانات المستخدمة في حفظ البيانات تكون قابلة لعمليات الاستعلام وسريعة التنفيذ.
-بناء استراتيجية لمركز العمليات وماهي الأساسيات والسياسات والقوانين فيه، وكيف سيكون،
-بناء استراتيجية لمركز العمليات وماهي الأساسيات والسياسات والقوانين فيه، وكيف سيكون،
وماهي الأهداف التي يركز عليها، وكيف سيكون الية عمله، هل سيقوم بتغطية ٢٤/٧ ام سيكون بشكل(hybrid) بحيث يقوم الفريق بتغطية الفترة الصباحية وتوكيل طرف ثالث بتغطية باقي اليوم، لذلك رسمك لها من البداية يريحك من عناء التفكير والبحث وكذلك يوفر عليك التكاليف العالية،
وفي المجمل أرى ان في حال عدم وجود شرطين لا أفضل وجود مركز عمليات مستقل داخلي لدى الجهة:
- ان تكون الجهة ذات طابع حساس او بيانات حساسة
- ان تكون لدى الجهة أكثر من ١٠ الف موظف او نظام او خادم
- ان تكون الجهة ذات طابع حساس او بيانات حساسة
- ان تكون لدى الجهة أكثر من ١٠ الف موظف او نظام او خادم
-إيجاد خطة واضحة لتعامل مع "الحوادث السيبرانية"، ويفضل ان تكون مكتوبة وتحتوي على افضل الممارسات العالمية في الخطوات من " المسؤوليات، الصلاحيات ،وسيلة الاتصال، التعامل...الخ". و ان يتم تطبيقها بشكل سنوي لاختبارها وتعديلها، فأي خطة لا يتم اختبارها هي عبارة عن حبر على ورق
-بناء علاقة جيدة مع الجانب الأخرى من الفريق، واعني فريق تقنية المعلومات الفريق التنفيذي لأكثر التعليمات الصادرة من فريقك، والتركيز على الاجتماعات الدورية معهم،
وإيجاد سياسة تلزم كل الفريقين بالإفصاح عن أي خدمة او مشروع يتم تنفيذه وذلك لتفادي تضارب المصالح، واخيراً إيجاد سياسة واضحة لتصعيد ان لزم الامر.
-قياس مستوى نضج فريقك والاليات الموضوعة لهم، الكثير يفهم ان وضع KPI على الفريق يعني " اغلق جميع التنبيهات الصادرة من نظام المراقبة"، وهذا غير صحيح بشكل عام، بل يجب الفهم ان التنبيهات الصادرة يجب مراجعتها بشكل دوري، وتحسينها واتمتة التعامل معها،
فكثرة الأرقام الموضوع في KPI لا تعني ان مستوى النضج لديك عالي، بل تعني ان تحقيق الأرقام اهم من حماية المنظمة، وأقول لكم ان الموظفين اذكياء جداً فهم يستطيعون تحقيق KPI الموضوع على شكل ارقام في وقت قياسي، لذلك العبرة في الجودة وليس في الأرقام.
-المعلومات الاستباقية، وهي تحدي كبير لدى اكثر الجهات، فالبعض يقوم بأخذ اشتراكات من جميع شركات الامن السيبراني بدون المراعات كيف سيقوم بالاستفادة منها، ووضع محلل امن سيبراني استباقي وهدفه هو جمع المعلومات فقط "من غير التحليل" وتغذية أنظمة المراقبة بها، وهذا تصرف غير صحيح،
ويسبب تسرب عالي في الموظفين، لذلك يجب عليك معرفة ماهي الاشتراكات التي ستفيدك وكيف ستقوم بتوظيفها بشكل لا يسبب لك عبء إضافي.
-وضع خطة تطويرية للأنظمة والموظفين ويتم مراجعتها و تحسينها بشكل سنوي، ويتم قياسها كذلك من خلال تغذية الراجعة، وأقول لكم ان اكثر أسباب تسرب موظفين مراكز العمليات بجانب ضغط العمل
وكذلك العمل بنظام الورديات "الشفتات" هو عدم الاهتمام بمتطلباتهم التي من شانها تخفيف الضغط عليهم، اما من خلال:
- تدريب
- احضار مستشارين في نظام محدد
-اتمتة الاعمال
- التصعيد
- المرونة في آلية العمل.
- تدريب
- احضار مستشارين في نظام محدد
-اتمتة الاعمال
- التصعيد
- المرونة في آلية العمل.
في النهاية مراكز العمليات السيبرانية تعتبر كأنها ثكنة سيبرانية على حدودك تحمي منظمتك في هذا الفضاء السيبراني.
#انتهى ♥️
#انتهى ♥️
Loading suggestions...