يوجد جزئين لأي سياسة أمنية. الأولى تهتم بمنع التهدديات الخارجية لضمان سلامة الشبكة. والثانية تتعامل على تقليل المخاطر بتعريف او تحديد الإستخدام السليم لموارد الشبكة.

يوجد العديد من التقنيات المتاحة للتخفيف من المخاطر الخارجيه لشبكة مثل جدران الحماية وبرامج مكافحة الفيروسات وأنظمة كشف التسلل وفلاتر الإيميل و الخ.. هذه الموارد يتم تنصيبها وتثبيتها بإستخدام موظفي IT وقد لا يشعر بوجودها المستخدم في الشبكه .

على الرغم من ذلك, الإستخدام السليم للشبكة داخل الشركة يعتبر مسألة إدارية

إنشاء وتنفيذ سياسة إستخدام مقبولة او مايعرف ب (AUP), والتي ستقوم بتنظيم سلوك الموظف, تتطلب براعة ودبلوماسية.

في النهاية, إمتلاك مثل هذه السياسة سيحميك وشركتك من المسؤولية اذا إستطعت اثبات بأن بعض النشاطات الغير لائقة إنتهكت تلك السياسة. على الأرجح بأن السياسة المعرفة جيدا سوف تقلل من جهد التعامل مع هذه النشاطات ,ومن جانب اخر يمكن ان تقوم بزياده إنتاجية الموظفين وتقليل إحتمال اي حالات غير قانونية في المستقبل.

هذه العشر نقاط, يمكن ان تكون غير شاملة لصغائر الامور ولكن ستقدم منهج فكري سليم لتطوير وتنفيذ AUP لتكون عادلة وواجبة النفاذ.

1.تحديد مخاطرك


ماهي مخاطرك من الإستخدام الغير سليم؟

هل تملك معلومات يجب ان تبقى سرية ومقيدة؟

هل ترسل او تستقبل عدد كبير من المرفقات والملفات؟

 يمكن ان يكون الامر ليس ذات اهمية. او يمكن ان يكلفك الاف الدورلارات شهريا بسبب نقص إنتاجية الموظف او تعطل الكومبيوتر.

طريقة جيدة لتحديد مخاطرك بإستخدام أدوات المراقبة الموجوده في الشبكه . كثير من منتجي الفايرول ومنتجات الانترنت الأمنية تسمح بفترات التقييم لمنتجاتهم. اذا كانت هذه المنتجات تقدم إبلاغ عن معلومات, يمكن ان يكون الامر مفيدة بإستخدام فترات التقييم هذه لتقدير مخاطرك. على الرغم من ذلك, من الأهمية بضمان ان موظفينك منتبهين بأنك سوف تقوم بتسجيل نشاطاتهم لغرض تقييم المخاطر, اذا كنت مخطط لإستخدام هذا الشئ. الكثير من الموظفين يعتبرون هذا الشئ كإنتهاك لخصوصياتهم اذا تم القيام به من دون علمهم بالأمر.

2.تعلم من الأخرين


يوجد العديد من أنواع السياسات الأمنية, لذا من الأهمية رؤية ماتفعله الشركات الأخرى. تستطيع قضاء بعض الساعات بالتصفح على الأنترنت, او يمكنك قراءة كتاب مثل information security policies made easy  ل charles cresson wood والذي يضم اكثر 1200 سياسة جاهزة للتخصيص. أيضا, ممثلي المبيعات من مختلف موزعي البرامج الأمنية. ستجدهم سعداء دائما بتقديم المعلومات.

3. تأكد من ان السياسة تتفق مع المتطلبات القانونية


إعتمادا على البيانات , يمكن ان تحتاج لتأكيد لحد الأدنى من بعض المعايير لضمان الخصوصية وسلامة بياناتك, خصوصا اذا كانت شركتك تملك معلومات شخصية. إن إمتلاك سياسة امنية قابلة للتطبيق موثقة وهو احد السبل للتخفيف من اي التزامات قد تتكبدها في حالة خرق امني.

4. مستوى الأمان = مستوى الخطر


لاتفرط!! الكثير من الحماية يمكن ان يكون بمستوى القليل من الحماية. بعيدا عن ابقاء الأشخاص السئيين بعيدا, انت لن تواجه اي مشاكل بالإستخدام السليم لانك تملك موظفين ناضجين ومتفانين.في هذه الحالة ,قوانين مكتوبة لقواعد السلوك تعتبر اهم شئ. الامان المفرط يعتبر عائق للعمل بسلاسة, لذا تأكد من عدم المبالغة بحماية نفسك.

5. قم بشمل الموظفين في تطوير السياسة


لا احد يريد سياسة تملئ عليه من هم فوقه. قم بشمل الموظفين بعملية تعريف الإستخدام السليم. ابقي الموظفين على علم بتطور بعض القوانين وتنفيذ بعض الأدوات. اذا قام الناس بفهم الحاجة الى سياسة امنية مسؤولة, سوف يكونو اكثر ميلا للإلتزام.

6. درب موظفينك


جزئية تدريب الموظفين متغاضٍٍ عنها او لاتعطى التقدير الكاف كجزء من عملية تنفيذ AUP. لكن عملياً تعتبر واحدة من اهم المراحل المفيدة. هي لاتقوم بمساعدتك لإعلام موظفينك ومساعدتهم بفهم السياسات فقط و ولكن ايضا تسمح لك بمناقشة الأثار في العالم الحقيقي والعملي للسياسة. المستخدمون سوف يسألو غالبا اسئلة او تقديم امثلة في المنتدى التعليمي, وهذا يعتبر مكافئة. هذه الاسئلة سوف تساعدك بتعريف السياسة بشكل اكثر تفصيلا وضبطها لتصبح اكثر فائدة.

7.قم بكتابتها


تأكد من أن كل فرد من الموظفين قد قرأ ووقع وفهم السياسة. كل الموظفين الجدد يجب ان يوقعو على السياسة عندما يتم جلبهم ويجب ان يقوموا بقرائتها مجددا وتاكيد فهمهم للسياسة على الأقل سنويا. وبالنسبة للشركات الكبرى, استخدم أدوات ألية للمساعدة بالتوصيل الإلكتروني وتتبع تواقيع المستندات. أيضا بعض الأدوات تقوم بتزويد ألية إستجواب لإختبار معرفة المستخدم للسياسة.

8. ضع عقوبات واضحة وطبقها


أمن المعلومات ليس بمزحة. السياسة الأمنية لديك ليست مجموعة من المبادئ التوجيهية , بل حالة عمل. امتلاك مجموعة واضحة من الإجرائات التي توضح العقوبات في حالة إنتهاك السياسة الأمنية, ثم تطبيقها.

السياسة الامنية مع الإمتثال العشوائي سيئة بنفس سؤء عدم وجود سياسة ابدا.

9. قم بإعلام موظفينك بكل جديد


السياسة الأمنية مستند ديناميكي لأن الشبكة نفسها دائمة التطور. الناس يأتو ويذهبوا. تنشأ قواعد البيانات وتدمر. تهديدات أمنية جديدة تظهر بشكل مستمر . إبقاء تحديث السياسة الأمنية صعب جدا, لكن إباقء الموظفين مدركين لأي تغير يمكن ان يوثر على العمليات اليومية أصعب. التواصل المفتوح هو المفتاح للنجاح.

 

10. نصب الأدوات التي تحتاجها


إمتلاك سياسة هو شئ واحد, لكن تطبيقها هو شئ أخر. الأنترنت والمنتجات الأمنية لمحتوى البريد الألكتروني مع مجموعة قوانين معدلة تستطيع ضمان بأن سياستك وبغض النظر اذا كانت معقدة تضمن إلتزامها. الإستثمار في الأدوات لتطبيق سياستك الأمنية من اكثر المشتريات الفعالة من حيث التكلفة التي سوف تقوم بتنفيذها.

ترجمة لمقال:    Ten steps to successful security policy   لصاحبها Adrian Duigan.