أصدرت الهيئة الوطنية للأمن السيبراني ضوابط تنظيمية جديدة تلزم مؤسسات القطاع الخاص في السعودية بإنشاء وحدة إدارية متخصصة في الأمن السيبراني تكون مرتبطة مباشرة برئيس الجهة أو من ينوب عنه، على أن تعمل بشكل مستقل عن إدارة تقنية المعلومات.
ويهدف هذا القرار إلى تعزيز مستوى الحماية الرقمية داخل الشركات والمؤسسات الخاصة، والحد من المخاطر والتهديدات السيبرانية التي قد تستهدف الأنظمة والبيانات الحساسة.
تصنيف الشركات وفق عدد الموظفين
قسمت الهيئة مؤسسات القطاع الخاص إلى فئتين رئيسيتين وفقًا لعدد الموظفين بدوام كامل:
-
الشركات الكبيرة: التي تضم أكثر من 250 موظفًا، ويُطلب منها الالتزام بتطبيق 3 مكونات أساسية و22 مكونًا فرعيًا و65 ضابطًا للأمن السيبراني.
-
الشركات المتوسطة والصغيرة: التي يتراوح عدد موظفيها بين 6 و249 موظفًا، ويُطلب منها تطبيق مكون أساسي واحد و13 مكونًا فرعيًا و26 ضابطًا أساسيًا.
كما شددت الهيئة على ضرورة أن يتولى إدارة الأمن السيبراني والوظائف الإشرافية المرتبطة بها كوادر متخصصة تمتلك الخبرة والكفاءة في مجال الأمن السيبراني.
أهداف إنشاء وحدة الأمن السيبراني
تهدف وحدة الأمن السيبراني في الشركات إلى حماية الأنظمة الرقمية من التهديدات المختلفة، إضافة إلى رفع مستوى الوعي الأمني لدى الموظفين حول المخاطر الإلكترونية.
وتشمل البرامج التوعوية التثقيف حول مخاطر مثل:
-
هجمات التصيد الإلكتروني.
-
أهمية استخدام كلمات مرور قوية.
-
أفضل الممارسات عند استخدام وسائل التواصل الاجتماعي.
-
كيفية الإبلاغ عن الحوادث الأمنية أو الأنشطة المشبوهة.
كما يجب أن تكون برامج التوعية مصممة بما يتناسب مع طبيعة مهام الموظفين ومسؤولياتهم الوظيفية.
متطلبات إدارة الوصول والصلاحيات
تضمنت الضوابط الجديدة مجموعة من الإجراءات الخاصة بإدارة هويات المستخدمين والصلاحيات داخل الأنظمة، ومن أبرزها:
-
استخدام آليات مصادقة آمنة تعتمد على اسم المستخدم وكلمة المرور.
-
تطبيق المصادقة متعددة العوامل (MFA) لجميع عمليات تسجيل الدخول.
-
تنظيم الصلاحيات وفق مبدأ الحد الأدنى من الامتيازات ومبدأ الحاجة إلى المعرفة.
كما شددت الهيئة على ضرورة تعزيز حماية البريد الإلكتروني من خلال تحليل الرسائل وتصفيتها للكشف عن رسائل التصيد الإلكتروني والرسائل الاحتيالية والبريد العشوائي باستخدام أحدث تقنيات الحماية.
تعزيز حماية الشبكات والأنظمة
تضمنت الضوابط أيضًا إجراءات لتعزيز أمن الشبكات داخل المؤسسات، ومنها:
-
تقييد الوصول إلى المواقع المشبوهة ومواقع مشاركة الملفات غير الآمنة.
-
إدارة منافذ وبروتوكولات الشبكة بطريقة آمنة.
-
استخدام أنظمة كشف ومنع الاختراقات المتقدمة.
-
توفير الحماية من هجمات حجب الخدمة الموزعة (DDoS).
كما شددت الضوابط على ضرورة توفير حلول متقدمة للحماية من البرمجيات الخبيثة والهجمات السيبرانية المتطورة مثل هجمات يوم الصفر.
خطوة لتعزيز الأمن الرقمي في القطاع الخاص
تأتي هذه الإجراءات ضمن جهود الهيئة الوطنية للأمن السيبراني لتعزيز مستوى الأمن السيبراني في مؤسسات القطاع الخاص، ورفع جاهزية الشركات لمواجهة التهديدات الرقمية المتزايدة، بما يسهم في حماية البيانات والبنية التحتية الرقمية داخل المملكة.
