الممارسات السيبرانية الآمنة للموظفين في بيئة العمل

The latest #cybersecurity statistics indicate that approximately 50% of

#Breaches that the world is witnessing are caused by human errors, i.e. employees, whether they are employees in specific tasks, administrators, or executive managers.

The most prominent causes of cyber threats and breaches in the work environment related to the human element are :

• Lack of cybersecurity awareness among employees

• Employee neglect of cyber security procedures

• Not realizing the importance of the information they are dealing with and their responsibility to preserve it.

• Errors occur while handling data, which may lead to its unintended leakage.

• Abuse of powers

• عدم تطبيق أفضل ممارسات #الأمن_السيبراني

• التعرض لهجمات #الهندسه_الإجتماعيه والتصيد الالكتروني

ولاتباع أفضل ممارسات #الأمن_السيبراني، يجب على الموظف

1. اتباع الإجراءات الأمنيه السيبرانية وتنفيذها بدقة ووعي

عند وجود قيود للدخول إلى بعض المرافق، قد يشعر الموظف بالحرج مع ضيوفه أو مراجعيه في حال طلبهم منه أن يفتح الباب لهم عبراستخدام #البطاقات_الذكية أو البصامات وغيرها. ولا بد من تجنب الموظف الاستجابة لمثل هذه الطلبات وألا يكون سببًا في تخطي الاجراءات. وفي حال وجود حرج بسبب النظام الامني فيمكن للموظف طلب إجراء بديل من الادارات المسؤوله.

2. الإلتزام بالسياسات والضوابط الأمنيه

وضعت السياسات والضوابط الأمنيه لتفادي #المخاطر_السيبرانية. ومن المهم تقيّد وإلتزام الموظف بتلك الضوابط وعدم محاولة تجاوزها لتفادي التسبب بثغرات أمنية، مثلا الا يحاول الموظف ربط أجهزته الخاصة بالعمل بشبكات خارجية، خاصة أن هذه الممارسات قد تكون سببًا في فتح ثغرات في غاية الخطورة للمخترقين حيث تسمح بتخطي معظم الأنظمه الأمنيه المعده لحامية الشبكة الداخلية

3. حماية بيانات حساب #المستخدم وكلمات المرور

لا بد من أن يحرص الموظف على استخدام كلمات مرور قوية للأجهزة والحسابات البريديه وحسابات أنظمة العمل وعدم مشاركتها مع الآخرين، كما يمكن تخزينها في تطبيقات مشفرة للعودة إليها لاحقا وإدارتها في حال كان ذلك مناسباً لسياسات الجهه. وينصح باستخدام خاصية التحقق الثنائي من خلال تفعيل رسائل التحقق على البريد الإلكتروني أو رقم الهاتف، لضمان المحافظه على #سرية_البيانات الشخصية وبيانات الجهة.

4. الاستخدام الآمن للانترنت و وسائل التواصل الإجتماعي:

يجب أن يتجنب الموظف استخدام #وسائل_التواصل_الاجتماعي عند تبادل البيانات أو الملفات الخاصة بالعمل مهما كانت درجة أهميتها. وأن يحرص على عدم نشر المعلومات الحساسة أو الشخصية أو الوظيفية، عبر #الانترنت أو على #مواقع_التواصل_الاجتماعي،

مثل رقم السجل المدني أو صورة الهوية الوطنية أو الرقم الوظيفي أو تاريخ الميلاد أو صور للمستندات الرسمية مثل بطاقة العمل أو رخصة القيادة أو البيانات الطبية، حيث تعتبر تلك المعلومات بمثابة كنز في أيدي المتصيدين حيث يقومون بجمعها ثم استغلالها للتواصل واقناع الضحيه بأنهم جهه رسميه.

5.   الحذر من حمالات #التصيد_الإلكتروني والهندسة الإجتماعية

يجب على الموظف أن يكون واعياً حول البريد التصيدي والروابط المشبوهة. والا يثق بكل رسالة تصله، حيث أن عمليات #الاختراق متعددة الخطوات قد تبدأ باختراق أجهزة زملاء العمل أو حسابات #التواصل_الاجتماعي الخاصة بهم أو حساباتهم البريديه ومن ثم تراسل جميع معارفهم و محاولة اختراق أجهزتهم. وفي حال تلقى الموظف رسالة مريبة من أحد معارفه أو زملائه من خلال أي منصة تواصل اجتماعي  فمن الضروري أن يتأكد منها عن طريق التواصل المباشر مع المرسل.

6. حماية البريد الإلكتروني

 يجب تجنب استخدام بريد العمل لأغراض شخصية، كما والتأكد من حمايته بتفعيل خاصية التحقق الثنائي. و عدم كتابة بريد العمل في نماذج التسجيل الالكترونيه لتفادي تسريبه واستغلاله في التخطيط للاختراق

7. تحميل البرامج والادوات الاصليه وتحديث الأنظمة:

على الموظف تجنب تثبيت البرامج المقرصنه او الكراكد أو المجانية المشبوهة على جهاز العمل أو الأجهزة الشخصية الموصوله بالشبكه،

فقد تحوي بداخلها برمجيات تجسسية قد تكون وسيلة لاختراق جهاز الموظف وشبكة الجهة الذي يعمل بها.  و من الضروري أن يتأكد الموظف من وجود برنامج حمايه علي جهازه وأن يتم تحديثه بشكل دوري و التأكد من أن نظام التشغيل محدث بآخر نسخة.

8. تصنيف ومشاركة الملفات:

لحماية الملفات ووثائق الجهة ورسائل البريد الإلكتروني ومشاركتها بشكل سليم لا بد  من وضع تصنيف واضح لها، كما يجب اتّباع البروتوكولات قبل مشاركة الملفات مثل بروتوكول TLP

9. النسخ الاحتياطي للبيانات والاحتفاظ بالنسخه في مكان آخر

للمحافظة على المعلومات لا بد من  نسخها احتياطيا بشكل دوري

وفي حال استخدام أجهزة التخزين الخارجية لحفظ النسخ، فمن المهم تشفيرالبيانات على تلك الأجهزه لمنع الوصول إليها من قبل أشخاص غير مصرح لهم وخصوصا عند فقدانها أو تعرضها للسرقة.

كما أنه من المهم الحذر من توصيل  أي أجهزة تخزين غير آمنة بالجهاز لنقل الملفات إليها، مثل أجهزة ذاكرة البيانات

 (Drives Flash)،

10. استخدام الخدمات السحابية:

على الموظف تجنب وضع الملفات المهمه في  مواقع التخزين السحابية غير المعتمده من قبل الجهة. وأن يستخدم الخدمات الموثوقه من قبلها وفي حال عدم توفرها لابد من استخدام مزودي خدمة تنطبق عليه المواصفات الامنيه اللازمة.

11.   برامج الإجتماعات والعمل عن بعد:

التأكد من مراجعة الخلفية الظاهرة عند تشغيل الكاميرا حتى لا تكشف اسرارالجهة دون علم الموظفين

التأكد من استخدام كلمة مرور قوية وتفعيل خاصية التحقق الثنائي لضبط الإعدادات على منصات الاجتماعات

• التواصل مع الادارات المعنيه تتيح الوصول عن بعد والتعامل مع الملفات للتأكد من وجود أنظمة وتطبيقات معتمدة مثل VPN

12. أجهزة العمل أثناء التنقل والسفر:

يجب التأكد من عدم الاتصال بالانترنت من خلال شبكات مجانية سواء في الاماكن العامه او المطارات او الفنادق او الكافيهات (Fi-Wi )أو شبكات الإتصالات واذا اضطررت لاستخدامها يجب تفعيل ال (VPN) قبل نقل أي بيانات أو البدء في العمل. وعدم شحن #الأجهزة­_الذكية من محطات شحن عامة مجانية من خلال (USB)

وعندالضروره يجب استخدام USB للشحن فقط وليس لنقل البيانات

13. الاستخدام الآمن للطابعات اللاسلكية وأجهزة إنترنت الأشياء IOT

إطفاء خاصية الطباعة عبر الشبكة اللاسلكية WIFI أو بلوتوث في حال عدم حاجتها، فقد تُستغل من قبل #المخترقين، أما بالنسبه ل IOT، فهناك موجه من #الاختراقات المستهدفة لهذه الاجهزه مثل الساعات الذكية والكاميرات الشبكية والطابعات وأجهزة العرض الشبكية (Projector )والاجهزه الطبية الشبكية وكذلك أجهزة التلفاز الذكية، لذا لا بد من الحرص على تغيير الإعدادات الافتراضيه لتلك الاجهزه فور اقتنائها وضبط كلمة مرور جديدة لها مع الالتزام باإلارشادات وبالنصائح السيبرانيه

14. مغادرة المكتب:

Do not place electronic devices or accounts of any kind in a way that allows others to access them, and activate the screen saver when you are away from it, and set it to work automatically after a minute in the event of non-use. And follow the policy of a #clean_office that does not contain any information related to the work or the office owner, such as passwords or any official documents.

15. Monitoring signs of #cyber_risk :

There are suspicious signs that may mean your device has been hacked. The most prominent of these are:

• The device is unusually hot.

• The battery drains quickly in mobile devices, and is unusual.

• Strange, unfamiliar and sudden messages appearing asking for a suspicious update.

• Changes in programs or settings without employee intervention.

• New tools appear in the Internet browser toolbar.

• Redirecting Internet searches to other sites not chosen by the employee.

• An employee’s acquaintance received a message from him that he did not send himself.

• Password invalid

• Sudden failure of the device's protection programs

• Automatic device restart without employee intervention

• Automatic activation of device accessories such as the camera or mouse without employee intervention

16. Reporting breaches and suspicious events :

A quick response must be taken in the event of a security breach, to limit the effects and consequences of the breach such as??

• System failure or decline in performance

• Receiving suspicious questions, messages or calls

• The presence of an unauthorized person to enter or visit or who does not abide by the controls on his presence in the place.

• Unfamiliar devices connected to the network or left in private places.