ما المقصود بالضوابط الأمنية؟

ما المقصود بالضوابط الأمنية؟

الضوابط الأمنية هي معايير يتم تطبيقها لحماية أشكال مختلفة من البيانات والبنية التحتية المهمة للمؤسسة. تُشير الضوابط الأمنية إلى أيّ نوع من الضمانات أو التدابير الوقائية المستخدمة لتجنُّب المخاطر الأمنية أو اكتشافها أو مواجهتها أو الحد من تأثيرها في الممتلكات المادية والمعلومات وأنظمة الكمبيوتر وغيرها من الأصول.

نظرًا لتزايد معدل الهجمات الإلكترونية، أصبحت الضوابط الأمنية للبيانات أكثر أهمية اليوم من أي وقت مضى. وفقًا لدراسة أجرتها Clark School بجامعة ميريلاند، تحدث الهجمات الإلكترونية في الولايات المتحدة الآن بمعدل كل 39 ثانية تقريبًا، ما يؤثِّر في شخص من بين كل ثلاثة أمريكيين سنويًا. علاوةً على ذلك، فإن 43% من هذه الهجمات تستهدف الشركات الصغيرة. وفقًا لتقرير تكلفة خرق البيانات لعام 2025، بلغ متوسط تكلفة خرق البيانات في الولايات المتحدة بين مارس 2024 وفبراير 2025 نحو 10.22 ملايين دولار أمريكي، وهو أعلى مستوى قياسي لأي منطقة خلال العشرين عامًا التي تم فيها نشر هذا التقرير.

في الوقت نفسه، تتزايد لوائح خصوصية البيانات، ما يجعل من الضروري للشركات تعزيز سياسات حماية البيانات لديها أو مواجهة الغرامات المحتملة. نفَّذ الاتحاد الأوروبي قواعده الصارمة الخاصة باللائحة العامة لحماية البيانات (GDPR) في عام 2018. في الولايات المتحدة، دخل قانون خصوصية المستهلك في كاليفورنيا حيّز التنفيذ في 1 يناير 2020، بينما تدرس عدة ولايات أخرى حاليًا تبنّي تدابير مشابهة. تتضمن هذه اللّوائح عادةً عقوبات صارمة للشركات التي لا تفي بالمتطلبات. 

رسائل Think الإخبارية

هل سيستطيع فريقك اكتشاف الثغرة الأمنية الفورية القادمة في الوقت المناسب؟

انضم إلى قادة الأمن الإلكتروني الذين يعتمدون على الرسالة الإخبارية Think للحصول على أخبار مُنتقاة عن الذكاء الاصطناعي والأمن السيبراني والبيانات والأتمتة. تعلم بسرعة من برامج تعليمية وشروحات يقدّمها خبراء - تُرسَل مباشرة إلى بريدك الإلكتروني. راجع بيان الخصوصية لشركة IBM.

سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجِع بيان الخصوصية لشركة IBM للمزيد من المعلومات.

https://www.ibm.com/qa-ar/privacy

أنواع الضوابط الأمنية

يمكن للعديد من أنواع الضوابط الأمنية حماية الأجهزة والبرامج والشبكات والبيانات من الإجراءات والأحداث التي قد تتسبب في الخسارة أو الضرر. على سبيل المثال:

  • تشمل الضوابط الأمنية المادية عناصر مثل سياج محيط مراكز البيانات والأقفال والحراس وبطاقات التحكم في الوصول وأنظمة التحكم البيومترية وكاميرات المراقبة وأجهزة استشعار كشف التسلل.

  • تشمل الضوابط الأمنية الرقمية عناصر مثل أسماء المستخدمين وكلمات المرور والمصادقة متعددة العوامل وبرامج مكافحة الفيروسات وجدران الحماية.

  • تشمل الضوابط الأمنية الإلكترونية أي وسائل مصممة خصيصًا لمنع الهجمات على البيانات، بما في ذلك أنظمة التخفيف من الهجمات الموزعة لحجب الخدمة (DDoS) وأنظمة منع التسلل.

  • تشمل الضوابط الأمنية السحابية التدابير التي تتخذها بالتعاون مع مزوِّد الخدمات السحابية لتوفير الحماية اللازمة للبيانات وأعباء العمل. إذا كانت مؤسستك تشغِّل أعباء العمل على السحابة، يجب الالتزام بالمتطلبات الأمنية الخاصة بسياسات الشركة أو الأعمال وكذلك اللّوائح التنظيمية للصناعة.
Mixture of Experts | 28 أغسطس، الحلقة 70

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضمّ إلى نخبة من المهندسين والباحثين وقادة المنتجات وغيرهم من الخبراء وهم يقدّمون أحدث الأخبار والرؤى حول الذكاء الاصطناعي، بعيدًا عن الضجيج الإعلامي.
شاهد أحدث حلقات البودكاست

إطارات عمل الضوابط الأمنية وأفضل الممارسات

تُعرف أنظمة الضوابط الأمنية، بما في ذلك العمليات والوثائق التي تحدِّد كيفية تنفيذ هذه الضوابط وإدارتها المستمرة، باسم أطر العمل أو المعايير.

تمكِّن أطر العمل المؤسسة من إدارة الضوابط الأمنية بشكل متسق عبر أنواع مختلفة من الأصول وفق منهجية مقبولة ومختبَرة عمومًا. تتضمن بعض أطر العمل والمعايير الأكثر شهرةً ما يلي:

إطار عمل الأمن الإلكتروني للمعهد الوطني الأمريكي للمعايير والتقنية (NIST)

أنشأ المعهد الوطني الأمريكي للمعايير والتقنية (NIST) إطار عمل تطوعيًا في عام 2014 لتزويد المؤسسات بإرشادات حول كيفية منع الهجمات الإلكترونية واكتشافها والاستجابة لها. تحدِّد طرق وإجراءات التقييم إذا ما كانت الضوابط الأمنية في المؤسسة مطبَّقة بشكل صحيح وتعمل على النحو المنشود. فهي تضمن أن تحقِّق هذه الضوابط النتيجة المرجوّة، بما يتوافق مع المتطلبات الأمنية الخاصة بالمؤسسة. يتم تحديث إطار عمل NIST باستمرار لمواكبة تطورات الأمن الإلكتروني.

ضوابط مركز أمن الإنترنت (CIS)

وضع مركز أمن الإنترنت (CIS) قائمة بالإجراءات الدفاعية ذات الأولوية القصوى التي توفِّر نقطة انطلاق "يجب تنفيذها أولًا" لكل مؤسسة تتطلع إلى منع الهجمات الإلكترونية. وفقًا لمعهد SANS Institute، الذي وضع ضوابط CIS: "تُعَد ضوابط CIS فعَّالة؛ لأنها مستمدة من أكثر أنماط الهجوم شيوعًا الموضحة في أبرز تقارير التهديدات، وتم التحقق منها عبر مجتمع واسع من الممارسين في القطاع الحكومي والصناعات".

يمكن للمؤسسات الرجوع إلى أطر العمل هذه وغيرها لتطوير إطار عمل أمني خاص بها وسياسات أمن تكنولوجيا المعلومات. يساعد إطار العمل الأمني المتقن على ضمان قيام المؤسسة بما يلي:

  • تنفيذ سياسات أمن تكنولوجيا المعلومات من خلال الضوابط الأمنية.
  • تثقيف الموظفين والمستخدمين بشأن الإرشادات الأمنية.
  • تلبية المعايير الصناعية ومتطلبات الامتثال.
  • تحقيق الكفاءة التشغيلية عبر الضوابط الأمنية.
  • تقييم المخاطر بشكل مستمر ومعالجتها من خلال الضوابط الأمنية.

تعتمد قوة أي حل أمني على أضعف نقطة فيه. لذلك، يجب النظر في استخدام عدة طبقات من الضوابط الأمنية، والمعروفة أيضًا باسم استراتيجية الدفاع العميق، لتطبيق ضوابط الأمان على إدارة الهوية والوصول والبيانات والتطبيقات والبنية التحتية للشبكة أو الخوادم والأمن المادي والاستعلامات الأمنية.

تقييمات الضوابط الأمنية

يُعَد تقييم الضوابط الأمنية خطوة أولى ممتازة لتحديد أماكن وجود أي ثغرات أمنية. يُتيح لك تقييم الضوابط الأمنية تقييم الضوابط الحالية للتأكد من تنفيذها بشكل صحيح، وفاعليتها، وامتثالها للمتطلبات الأمنية الخاصة بك.

يُعَد المنشور الخاص NIST 800-53 الصادر عن NIST معيارًا مرجعيًا لتقييمات الضوابط الأمنية الناجحة. تعمل إرشادات NIST كنهج لأفضل الممارسات، وعند تطبيقها يمكن أن تساعد على التخفيف من مخاطر تعرّض مؤسستك للاختراق الأمني. بدلًا من ذلك، يمكن لمؤسستك إنشاء التقييم الأمني الخاص بها.

تتضمن بعض الخطوات الرئيسية لإنشاء تقييم أمني ما يلي:

  • تحديد الأنظمة المستهدفة: إنشاء قائمة بعناوين IP التي تحتاج إلى فحصها في الشبكة. يجب أن تحتوي القائمة على عناوين IP لجميع الأنظمة والأجهزة المتصلة في شبكة مؤسستك.

  • تحديد التطبيقات المستهدفة: وضع قائمة بتطبيقات الويب والخدمات التي تحتاج إلى فحصها. تحديد نوع خادم تطبيق الويب وخادم الويب وقاعدة البيانات وعناصر الطرف الثالث والتقنيات المستخدمة لبناء التطبيقات الحالية.

  • إجراء فحص الثغرات الأمنية وإعداد التقارير بشأنها: إبقاء فرق الشبكة وفرق تكنولوجيا المعلومات على علم بجميع أنشطة التقييم؛ لأن تقييم الثغرات الأمنية يمكن أن يؤدي أحيانًا إلى زيادة مفاجئة في حركة الشبكة عند تحميل الخوادم المستهدفة بالطلبات. الحصول أيضًا على السماح بالمرور دون مصادقة لعناوين IP الخاصة بأدوات الفحص عبر شبكة المؤسسة والتأكد من إدراج هذه العناوين في قوائم السماح لأنظمة كشف/منع التسلل (IDS/IPS). بخلاف ذلك، قد تتسبب أداة الفحص في إطلاق تنبيه بشأن حركة مرور ضارة، ما يؤدي إلى حظر عنوان IP الخاص به.

اقرأ المزيد حول كيفية تقييم الثغرات الأمنية في تطبيقات وشبكات مؤسستك من خلال إنشاء تقييم أمني خاص بك.
حلول ذات صلة
خدمات إدارة التهديدات

التنبؤ بالتهديدات الحديثة ومنعها والاستجابة لها، ما يزيد من مرونة الأعمال.

 

 استكشف خدمات إدارة التهديدات
حلول الكشف عن التهديدات والاستجابة لها

استخدم الكشف عن التهديدات والاستجابة لها من IBM لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.

 استكشاف حلول الكشف عن التهديدات
حلول الدفاع ضد التهديدات على الأجهزة المحمولة (MTD)

احمِ بيئة الأجهزة المحمولة لديك مع حلول الدفاع الشاملة ضد التهديدات من IBM MaaS360.

 استكشف حلول الدفاع ضد التهديدات على الأجهزة المحمولة
اتخِذ الخطوة التالية

احصل على حلول شاملة لإدارة التهديدات من أجل حماية عملك من الهجمات الإلكترونية بشكل احترافي.

 استكشف خدمات إدارة التهديدات حجز موجز يركز على التهديدات