أهمية أمن الحوسبة السحابية في السعودية في تعزيز الأمن السيبراني

يشهد الاعتماد على الخدمات السحابية تحولًا كبيرًا في طريقة عمل المؤسسات السعودية، حيث تستخدم الشركات والجهات الحكومية أحدث المنصات السحابية لاستضافة التطبيقات، وتخزين المعلومات، ودعم العمل عن بُعد، وتعزيز التعاون، وإطلاق الخدمات الرقمية بسرعة أكبر.

توفر الحوسبة السحابية المرونة، وقابلية التوسع، والكفاءة التشغيلية، لكنها تغيّر أيضًا طريقة توزيع المسؤوليات الأمنية. فقد تؤدي أخطاء الإعداد، أو اختراق الحسابات، أو ضعف واجهات التطبيقات، أو نقص المراقبة، أو نقل البيانات دون ضوابط كافية إلى تعريض المؤسسة لمخاطر كبيرة.

يساعد أمن الحوسبة السحابية المؤسسات على حماية بيئاتها السحابية والاستفادة من التحول الرقمي بثقة أكبر، من خلال الجمع بين:

  • الحوكمة.
  • حماية الهوية.
  • الإعداد الآمن.
  • حماية البيانات.
  • المراقبة المستمرة.
  • الاستجابة للحوادث.
  • الامتثال التنظيمي.

ما المقصود بحماية البيئات السحابية؟

تشمل حماية البيئة السحابية السياسات والإجراءات والتقنيات والمسؤوليات المستخدمة لحماية المعلومات والتطبيقات والبنية التحتية والخدمات المستضافة سحابيًا.

وتنطبق هذه الحماية على نماذج الخدمات الرئيسية التالية:

البنية التحتية كخدمة (Infrastructure as a Service – IaaS)

تشمل:

  • الخوادم الافتراضية.
  • الشبكات.
  • مساحات التخزين.

المنصة كخدمة (Platform as a Service – PaaS)

تشمل:

  • منصات التطوير.
  • قواعد البيانات.
  • بيئات استضافة التطبيقات.

البرمجيات كخدمة (Software as a Service – SaaS)

تشمل التطبيقات التي يتم توفيرها والوصول إليها عبر الإنترنت.

كما تنطبق الحماية على:

  • السحابة العامة.
  • السحابة الخاصة.
  • السحابة الهجينة.
  • البيئات متعددة السحب.

ما الذي يجب أن يحميه برنامج أمن الحوسبة السحابية؟

ينبغي أن يحمي برنامج الحماية الفعّال جميع مكونات البيئة السحابية، بما في ذلك:

  • هويات المستخدمين والحسابات ذات الصلاحيات المرتفعة.
  • تطبيقات الأعمال.
  • المعلومات الشخصية والسرية.
  • مساحات التخزين السحابية.
  • الخوادم والأحمال التشغيلية الافتراضية.
  • قواعد البيانات.
  • واجهات الربط البرمجية (APIs).
  • مفاتيح التشفير وبيانات الدخول.
  • النسخ الاحتياطية.
  • الواجهات الإدارية.
  • الاتصالات بين البيئة السحابية والأنظمة الداخلية.

ويتمثل الهدف الأساسي في حماية سرية المعلومات وسلامتها وتوافرها، دون التأثير على المرونة التي تجعل الخدمات السحابية خيارًا مثاليًا للمؤسسات.

لماذا يُعد أمن الحوسبة السحابية مهمًا في السعودية؟

يشجع التحول الرقمي في المملكة العربية السعودية المؤسسات على تحديث بنيتها التقنية وتوسيع استخدامها للخدمات السحابية، لما توفره من مزايا مثل:

  • تسريع الابتكار.
  • تحسين قابلية التوسع.
  • تقليل الوقت اللازم لإطلاق الخدمات الجديدة.
  • رفع الكفاءة التشغيلية.

لكن نقل الأنظمة إلى البيئة السحابية لا يجعلها آمنة تلقائيًا.

فعلى الرغم من أن مزود الخدمة يكون مسؤولًا عن حماية البنية التحتية الأساسية، تبقى المؤسسة مسؤولة عن العديد من الجوانب الأمنية المهمة، ومنها:

  • إدارة صلاحيات المستخدمين.
  • تصنيف البيانات.
  • أمن التطبيقات.
  • إعدادات الخدمات.
  • مراقبة الأنشطة.
  • حماية الحسابات.
  • الامتثال للمتطلبات التنظيمية.

وقد يؤدي خطأ واحد فقط إلى كشف:

  • بيانات العملاء.
  • بيانات الموظفين.
  • السجلات التجارية.
  • المعلومات المالية.
  • بيانات الجهات الحكومية.
  • الملكية الفكرية.
  • بيانات تسجيل الدخول.

لذلك، يجب دمج ضوابط الأمن السيبراني منذ مرحلة التخطيط وحتى التشغيل والمراقبة وإنهاء الخدمة.

فهم نموذج المسؤولية المشتركة

يُعد نموذج المسؤولية المشتركة (Shared Responsibility Model) من أهم مفاهيم أمن الحوسبة السحابية.

ويعتمد هذا النموذج على توزيع المسؤوليات الأمنية بين مزود الخدمة والعميل، مع اختلاف هذا التوزيع بحسب نوع الخدمة السحابية المستخدمة.

مسؤوليات مزود الخدمة

غالبًا ما يكون مزود الخدمة مسؤولًا عن حماية:

  • مراكز البيانات الفعلية.
  • الأجهزة.
  • الشبكات الأساسية.
  • منصات المحاكاة الافتراضية.
  • البنية التحتية السحابية.
  • توافر الخدمات الأساسية.

مسؤوليات المؤسسة العميلة

بينما تتحمل المؤسسة مسؤولية حماية:

  • حسابات المستخدمين والصلاحيات.
  • تصنيف المعلومات.
  • أمن التطبيقات.
  • إعداد أنظمة التشغيل.
  • إعدادات التشفير.
  • صلاحيات التخزين.
  • التسجيل والمراقبة.
  • عمليات التكامل مع الأطراف الخارجية.
  • الامتثال للمتطلبات التنظيمية.

مهم: لا ينبغي للمؤسسة افتراض أن مزود الخدمة مسؤول عن جميع جوانب الأمن. بل يجب تحديد المسؤوليات بوضوح وتوثيقها قبل اعتماد أي خدمة سحابية.

أبرز مخاطر الخدمات السحابية

1. أخطاء الإعداد (Misconfiguration)

تُعد أخطاء الإعداد من أكثر المخاطر شيوعًا في البيئات السحابية، وتشمل:

  • مساحات تخزين متاحة للجمهور.
  • قواعد بيانات غير مقيدة.
  • منافذ إدارية مفتوحة.
  • صلاحيات مفرطة.
  • تعطيل تسجيل الأحداث الأمنية.
  • معلومات غير مشفرة.
  • إعدادات افتراضية غير آمنة.
  • واجهات برمجية مكشوفة.
  • ضعف قيود الشبكة.

وتتغير البيئات السحابية باستمرار، لذلك قد تصبح خدمة كانت آمنة عند إنشائها معرضة للخطر بعد إجراء تعديل بسيط.

ولهذا السبب يجب:

  • استخدام معايير إعداد معتمدة.
  • مراقبة البيئة باستمرار.
  • اكتشاف أي انحرافات عن الإعدادات الآمنة ومعالجتها فورًا.

2. اختراق حسابات المستخدمين

نظرًا لأن المنصات السحابية متاحة عبر الإنترنت، فإن حسابات المستخدمين تمثل هدفًا رئيسيًا للمهاجمين.

وقد تسمح كلمة مرور مسروقة للمهاجم بما يلي:

  • الوصول إلى التطبيقات.
  • تحميل البيانات.
  • تعديل الإعدادات.
  • إنشاء حسابات جديدة.
  • تعطيل أدوات الحماية.

أفضل الممارسات لحماية الحسابات

  • تفعيل المصادقة متعددة العوامل (MFA).
  • استخدام وسائل تحقق قوية من الهوية.
  • تطبيق الوصول المشروط.
  • الاعتماد على الصلاحيات القائمة على الأدوار (RBAC).
  • تطبيق مبدأ الحد الأدنى من الصلاحيات.
  • إدارة الحسابات ذات الصلاحيات المرتفعة.
  • مراجعة الصلاحيات بشكل دوري.
  • مراقبة محاولات تسجيل الدخول غير المعتادة.
  • إلغاء الحسابات غير المستخدمة فورًا.

يجب توفير أعلى مستويات الحماية للحسابات الإدارية، لأنها تمثل أكثر الحسابات حساسية داخل البيئة السحابية.

3. الصلاحيات المفرطة (Excessive Privileges)

قد يحصل المستخدمون، أو التطبيقات، أو حسابات الخدمات على صلاحيات أكبر مما يحتاجون إليه لأداء مهامهم.

وغالبًا ما تتراكم هذه الصلاحيات مع مرور الوقت نتيجة:

  • انتقال الموظفين بين الوظائف.
  • إضافة أنظمة جديدة.
  • منح صلاحيات مؤقتة وعدم إلغائها.
  • ضعف مراجعة صلاحيات الوصول.

مخاطر الصلاحيات المفرطة

تزيد الصلاحيات غير الضرورية من تأثير:

  • اختراق الحسابات.
  • التهديدات الداخلية.
  • أخطاء الموظفين.
  • التطبيقات غير الآمنة.
  • تسرب بيانات تسجيل الدخول.

لذلك، يجب منح الصلاحيات بناءً على حاجة عمل موثقة، مع مراجعتها بصورة دورية وإزالة أي صلاحيات لم تعد ضرورية.

4. تسرب البيانات

قد تخزن المنصات السحابية كميات كبيرة من المعلومات الحساسة. وإذا تعرضت البيئة السحابية للاختراق، فقد يتمكن المهاجم من الوصول إلى هذه البيانات أو استخراجها على نطاق واسع.

يجب أن تشمل حماية البيانات

  • اكتشاف المعلومات وتصنيفها.
  • تشفير البيانات.
  • تقييد الوصول.
  • منع تسرب البيانات (DLP).
  • المشاركة الآمنة للمعلومات.
  • مراقبة الأنشطة.
  • سياسات الاحتفاظ بالبيانات.
  • الحذف الآمن.
  • حماية النسخ الاحتياطية.

كما ينبغي أن تعرف المؤسسة:

  • ما نوع البيانات التي تخزنها.
  • أين توجد هذه البيانات.
  • من يمكنه الوصول إليها.
  • وما إذا كان يُسمح بنقلها إلى مواقع أخرى.

5. التطبيقات وواجهات الربط غير الآمنة

تعتمد الخدمات السحابية بشكل كبير على واجهات الربط البرمجية (APIs) لتبادل المعلومات وتنفيذ العمليات الآلية.

وقد يؤدي ضعف الحماية في هذه الواجهات إلى تمكين المهاجمين من الوصول إلى البيانات أو التلاعب بالخدمات.

تشمل أبرز أسباب المخاطر

  • ضعف المصادقة.
  • البرمجة غير الآمنة.
  • كشف بيانات تسجيل الدخول.
  • ضعف التحقق من الصلاحيات.

يجب أن يشمل التطوير الآمن

  • نمذجة التهديدات.
  • تطبيق معايير البرمجة الآمنة.
  • تحليل الشيفرة البرمجية.
  • اختبار أمن التطبيقات.
  • اختبار واجهات الربط البرمجية.
  • الإدارة الآمنة للأسرار الرقمية.
  • مراقبة المكونات البرمجية.
  • التحقق من الصلاحيات.
  • مراجعة التطبيق قبل الإطلاق.
  • إجراء اختبارات مستمرة للثغرات.

يجب دمج متطلبات الأمن السيبراني أثناء تطوير التطبيق، وليس بعد تشغيله فقط.

6. محدودية الرؤية الأمنية

قد تستخدم المؤسسة عدة حسابات سحابية، وتطبيقات، ومزودي خدمات، وبيئات تطوير مختلفة، مما يجعل اكتشاف الأنشطة المشبوهة أكثر صعوبة إذا لم تتوفر رؤية أمنية مركزية.

ينبغي أن تتضمن السجلات الأمنية معلومات حول

  • محاولات تسجيل الدخول.
  • العمليات الإدارية.
  • تغييرات الصلاحيات.
  • الوصول إلى البيانات.
  • إعدادات الأنظمة.
  • أنشطة التطبيقات.
  • التنبيهات الأمنية.
  • اتصالات الشبكة.
  • إنشاء الخدمات أو حذفها.

ويجب جمع هذه السجلات وحمايتها والاحتفاظ بها وتحليلها بشكل مستمر بواسطة فرق أمنية مؤهلة.

7. برامج الفدية (Ransomware)

ليست البيئات السحابية بمنأى عن هجمات برامج الفدية.

فقد يتمكن المهاجمون من:

  • اختراق الحسابات السحابية.
  • تشفير الملفات المتزامنة.
  • حذف النسخ الاحتياطية.
  • سرقة البيانات.
  • تعطيل التطبيقات المستضافة.

تشمل وسائل الحماية الأساسية

  • المصادقة متعددة العوامل (MFA).
  • حماية الأجهزة الطرفية.
  • تقسيم الشبكات.
  • تقييد الصلاحيات الإدارية.
  • استخدام نسخ احتياطية محمية وغير قابلة للتعديل.
  • تفعيل التحكم في إصدارات الملفات.
  • مراقبة التغييرات الجماعية.
  • إعداد خطط الاستجابة للحوادث.
  • إجراء تمارين الاستعادة بصورة دورية.

يجب حماية النسخ الاحتياطية باستخدام حسابات مستقلة عن حسابات إدارة بيئة الإنتاج.

8. مخاطر الأطراف الخارجية وسلسلة الإمداد

تتكامل البيئات السحابية مع العديد من الجهات الخارجية، مثل:

  • مزودي البرمجيات.
  • المستشارين.
  • مقدمي الخدمات المدارة.
  • المطورين.
  • شركاء الأعمال.

وقد يؤدي اختراق أحد الموردين إلى الوصول غير المصرح به إلى الأنظمة أو البيانات السحابية.

ينبغي تقييم

  • الأنظمة التي يستطيع المورد الوصول إليها.
  • البيانات التي يعالجها.
  • آليات التحقق من الهوية.
  • المقاولين الفرعيين.
  • إجراءات الإبلاغ عن الحوادث.
  • أماكن تخزين البيانات.
  • آلية إنهاء الصلاحيات.
  • طريقة إعادة البيانات أو حذفها.

كما ينبغي إعادة تقييم الموردين ذوي المخاطر المرتفعة بشكل دوري طوال مدة العلاقة.

9. الخدمات السحابية غير المعتمدة (Shadow IT)

قد يستخدم الموظفون خدمات تخزين، أو أدوات تعاون، أو تطبيقات ذكاء اصطناعي، أو منصات مشاركة ملفات غير معتمدة لإنجاز أعمالهم.

وقد يؤدي ذلك إلى:

  • نقل البيانات الحساسة خارج البيئة المعتمدة.
  • تجاوز ضوابط الأمن السيبراني.
  • فقدان الرؤية على البيانات.
  • زيادة احتمالية تسرب المعلومات.

لذلك ينبغي:

  • توفير أدوات معتمدة تلبي احتياجات الموظفين.
  • وضع سياسات استخدام واضحة.
  • مراقبة الخدمات غير المصرح بها.

10. توقف الخدمات

قد تتوقف الخدمات السحابية نتيجة:

  • الهجمات الإلكترونية.
  • أعطال مزود الخدمة.
  • أخطاء الإعداد.
  • مشكلات الاتصال.
  • فقدان الوصول إلى الحسابات.

ينبغي للمؤسسة تحديد

  • الخدمات الحيوية للأعمال.
  • مدة التوقف المقبولة لكل خدمة.
  • الأنظمة التي تعتمد عليها.
  • البدائل المتاحة.
  • آلية استعادة المعلومات.
  • كيفية استمرار الموظفين في العمل أثناء التعطل.

ويجب أن تراعي خطط استمرارية الأعمال التعافي التقني، إضافة إلى الاعتماد على مزود الخدمة.

ضوابط أساسية لحماية الخدمات السحابية

إنشاء حوكمة واضحة

تُعد الحوكمة أساس نجاح أي برنامج لأمن الحوسبة السحابية، إذ تحدد كيفية:

  • اختيار الخدمات.
  • اعتمادها.
  • إعدادها.
  • مراقبتها.
  • إنهائها.

ينبغي أن تغطي الحوكمة

  • الملكية والمساءلة.
  • الخدمات المعتمدة.
  • البنية الأمنية.
  • تقييم المخاطر.
  • تصنيف البيانات.
  • المتطلبات التنظيمية.
  • تقييم مزودي الخدمات.
  • معايير الإعداد.
  • الإبلاغ عن الحوادث.
  • إنهاء الخدمات.

ويجب تعيين مالك تقني ومالك تجاري لكل بيئة سحابية.

تعزيز إدارة الهوية والوصول

تُعد الهوية أحد أهم الحدود الأمنية في البيئة السحابية.

ينبغي تطبيق

  • المصادقة متعددة العوامل.
  • تسجيل الدخول الموحد (SSO) عند الحاجة.
  • مبدأ الحد الأدنى من الصلاحيات.
  • التحكم في الوصول القائم على الأدوار (RBAC).
  • إدارة الحسابات ذات الصلاحيات المرتفعة.
  • منح الوصول الإداري المؤقت.
  • فصل المهام.
  • مراجعة الصلاحيات بصورة دورية.
  • مراقبة الأنشطة الإدارية.

ويجب تقليل الصلاحيات الإدارية الدائمة إلى الحد الأدنى.

تطبيق معايير إعداد آمنة

ينبغي وضع معايير إعداد معتمدة تشمل:

  • الحسابات.
  • الشبكات.
  • الخوادم.
  • مساحات التخزين.
  • قواعد البيانات.
  • التطبيقات.

يمكن للأدوات الآلية اكتشاف

  • الأصول المتاحة للجمهور.
  • المنافذ غير الآمنة.
  • غياب التشفير.
  • تعطيل التسجيل.
  • الصلاحيات المفرطة.
  • الخدمات غير المعتمدة.
  • التغييرات غير المصرح بها.

وينبغي أن تؤدي المخاطر الحرجة إلى إصدار تنبيه ومعالجتها بشكل فوري.

حماية المعلومات بالتشفير

يُعد التشفير من أهم وسائل حماية البيانات في البيئات السحابية، ويجب تطبيقه على المعلومات الحساسة أثناء التخزين والنقل وفقًا لمتطلبات العمل والامتثال.

ينبغي أن تشمل إدارة مفاتيح التشفير

  • إنشاء المفاتيح بطريقة آمنة.
  • تقييد الوصول إلى المفاتيح.
  • تغيير المفاتيح بصورة دورية.
  • الاحتفاظ بنسخ احتياطية للمفاتيح عند الحاجة.
  • فصل المهام بين المسؤولين.
  • إلغاء المفاتيح غير المستخدمة.
  • إتلاف المفاتيح بشكل آمن.

كما يجب تحديد الجهة المسؤولة عن إدارة مفاتيح التشفير، سواء كانت المؤسسة، أو مزود الخدمة، أو الطرفين معًا.

تقسيم الشبكات السحابية

يساعد تقسيم الشبكات على الحد من انتشار الهجمات وتقليل تأثيرها في حال اختراق أحد الأنظمة.

ينبغي فصل الأنظمة بحسب:

  • الوظيفة.
  • مستوى الحساسية.
  • مستوى المخاطر.

ويجب ألا تتصل أنظمة الإنتاج، وبيئات التطوير، وقواعد البيانات، والخدمات الإدارية، واتصالات الأطراف الخارجية ببعضها إلا عند وجود حاجة موثقة.

كما ينبغي أن تسمح سياسات الشبكة بحركة البيانات المصرح بها فقط، مع مراجعتها وتحديثها باستمرار.

المراقبة المستمرة

تُعد المراقبة المستمرة عنصرًا أساسيًا لاكتشاف التهديدات والاستجابة لها في الوقت المناسب.

ينبغي أن تساعد أنظمة المراقبة على اكتشاف

  • عمليات تسجيل الدخول غير المعتادة.
  • المواقع أو الأجهزة المشبوهة.
  • تغييرات الصلاحيات.
  • الخدمات المعرضة للجمهور.
  • عمليات نقل البيانات الكبيرة.
  • إنشاء حسابات إدارية جديدة.
  • تعطيل ضوابط الحماية.
  • الأحمال التشغيلية غير المعتمدة.
  • البرمجيات الخبيثة.
  • محاولات حذف السجلات أو النسخ الاحتياطية.

ويجب دمج التنبيهات مع عمليات المراقبة والاستجابة للحوادث داخل المؤسسة.

إدارة الثغرات

تتطلب البيئات السحابية برنامجًا مستمرًا لإدارة الثغرات الأمنية، يشمل:

  • الخوادم.
  • الحاويات (Containers).
  • التطبيقات.
  • أنظمة التشغيل.
  • المكونات البرمجية.

ينبغي ترتيب أولويات معالجة الثغرات وفقًا لـ

  • مستوى التعرض للإنترنت.
  • أهمية الأصل.
  • توفر وسائل الاستغلال.
  • حساسية البيانات.
  • تأثير الثغرة على الأعمال.
  • ضوابط الحماية الحالية.

كما ينبغي دعم عمليات الفحص من خلال:

  • اختبارات الاختراق.
  • اختبارات أمن التطبيقات.
  • مراجعات إعدادات الأنظمة.

حماية النسخ الاحتياطية واختبار الاستعادة

يجب إنشاء نسخ احتياطية للبيانات المستضافة سحابيًا بما يتوافق مع متطلبات الأعمال وخطط التعافي من الكوارث.

ينبغي أن تكون النسخ الاحتياطية

  • منفصلة عن حسابات بيئة الإنتاج.
  • مشفرة عند الحاجة.
  • خاضعة للمراقبة.
  • محفوظة وفقًا للسياسات المعتمدة.
  • مختبرة بصورة دورية.
  • متاحة حتى في حال تعطل مزود الخدمة أو فقدان الوصول إلى الحسابات.

كما يجب إجراء اختبارات استعادة دورية للتأكد من إمكانية إعادة تشغيل الخدمات الحيوية ضمن الزمن المطلوب.

بناء برنامج فعّال لأمن الحوسبة السحابية

يمكن للمؤسسات بناء برنامج متكامل لأمن الحوسبة السحابية من خلال ست مراحل رئيسية.

1. الاكتشاف

تشمل هذه المرحلة:

  • تحديد الحسابات السحابية.
  • حصر التطبيقات.
  • تحديد المعلومات المخزنة.
  • حصر المستخدمين.
  • تحديد الأحمال التشغيلية.
  • توثيق مزودي الخدمات.
  • حصر عمليات التكامل مع الأنظمة الأخرى.

2. التصنيف

يتم خلال هذه المرحلة تحديد:

  • حساسية البيانات.
  • أهمية الأنظمة للأعمال.
  • مستوى المخاطر.
  • المتطلبات التنظيمية لكل نظام.

3. التقييم

تشمل عملية التقييم مراجعة:

  • البنية الأمنية.
  • إعدادات الخدمات.
  • صلاحيات المستخدمين.
  • الثغرات الأمنية.
  • مخاطر الموردين.
  • متطلبات الامتثال.

4. الحماية

تشمل مرحلة الحماية تطبيق الضوابط الأمنية مثل:

  • إدارة الهوية والوصول.
  • التشفير.
  • تقسيم الشبكات.
  • المراقبة المستمرة.
  • الإعدادات الآمنة.
  • حماية البيانات.

5. التحقق

ينبغي التأكد من فاعلية الضوابط الأمنية من خلال:

  • اختبارات الاختراق.
  • مراجعات الإعدادات.
  • تقييم الصلاحيات.
  • تمارين التعافي من الكوارث.

6. التحسين المستمر

لا ينتهي برنامج الأمن بعد تطبيق الضوابط، بل يجب أن يستمر من خلال:

  • مراقبة التغييرات.
  • التحقيق في الحوادث.
  • قياس فاعلية الضوابط.
  • تحديث البرنامج بصورة مستمرة.

يجب التعامل مع أمن الحوسبة السحابية باعتباره عملية تشغيلية مستمرة، وليس مشروعًا يُنفذ مرة واحدة فقط.

متطلبات أمن الحوسبة السحابية في السعودية

ينبغي على المؤسسات العاملة في المملكة العربية السعودية تحديد المتطلبات التنظيمية التي تنطبق على نشاطها وبياناتها وقطاعها قبل الانتقال إلى البيئة السحابية.

ومن أبرز الجهات والأنظمة ذات العلاقة:

ضوابط الهيئة الوطنية للأمن السيبراني

أصدرت الهيئة الوطنية للأمن السيبراني ضوابط الأمن السيبراني للحوسبة السحابية (الإصدار الثاني لعام 2024)، والتي تُعد امتدادًا للضوابط الأساسية للأمن السيبراني.

وتركز هذه الضوابط على:

  • مزودي الخدمات السحابية.
  • المؤسسات المشتركة في الخدمات.
  • متطلبات توطين البيانات.
  • المسؤوليات الأمنية للطرفين.

تنظيمات هيئة الاتصالات والفضاء والتقنية

توفر هيئة الاتصالات والفضاء والتقنية تنظيمات خاصة بخدمات الحوسبة السحابية، تحدد:

  • حقوق مزودي الخدمات.
  • التزامات مزودي الخدمات.
  • حقوق العملاء.
  • التزامات المستخدمين.
  • المتطلبات المنظمة للخدمات السحابية في القطاعين الحكومي والخاص.

نظام حماية البيانات الشخصية

ينبغي على المؤسسات التي تعالج البيانات الشخصية الالتزام بمتطلبات نظام حماية البيانات الشخصية (PDPL)، بما يشمل:

  • معالجة البيانات.
  • حماية البيانات.
  • مشاركة البيانات.
  • الاحتفاظ بالبيانات.
  • نقل البيانات.

ومن الأفضل تحديد جميع متطلبات الامتثال قبل الانتقال إلى البيئة السحابية، لأن إضافة الضوابط الأمنية والتنظيمية بعد تشغيل الخدمات غالبًا ما تكون أكثر صعوبة وتكلفة.

أخطاء شائعة في حماية البيئة السحابية

1. افتراض أن مزود الخدمة مسؤول عن كل شيء

يحمي مزود الخدمة أجزاءً مهمة من البنية التحتية، لكن المؤسسة تظل مسؤولة عن العديد من الجوانب الأمنية.

لذلك يجب توثيق نموذج المسؤولية المشتركة، والتأكد من فهمه من قبل:

  • فرق الأمن السيبراني.
  • فرق تقنية المعلومات.
  • إدارة المشتريات.
  • الإدارة القانونية.
  • وحدات الأعمال.

2. منح صلاحيات مفرطة

قد تسهّل الصلاحيات الواسعة عمليات النشر، لكنها تزيد بشكل كبير من المخاطر الأمنية.

لذلك ينبغي:

  • تقييد الوصول.
  • منح الصلاحيات عند الحاجة فقط.
  • تحديد مدة الصلاحيات المؤقتة.
  • مراجعتها بصورة دورية.

3. تعطيل السجلات لتقليل التكاليف

قد يؤدي تعطيل سجلات الأحداث الأمنية إلى:

  • صعوبة اكتشاف الهجمات.
  • تعقيد التحقيق في الحوادث.
  • ضعف القدرة على إثبات الامتثال.

ويجب تحديد متطلبات التسجيل وفقًا للمخاطر الأمنية، وليس بناءً على التكلفة فقط.

4. عدم إزالة الموارد المؤقتة

قد تستمر الأنظمة التجريبية، وبيئات التطوير، والحسابات المؤقتة، ومساحات التخزين في العمل بعد انتهاء المشاريع.

لذلك يجب أن يكون لكل مورد:

  • مالك محدد.
  • تاريخ انتهاء.
  • إجراءات آمنة للإيقاف أو الحذف.

5. نقل البيانات دون تصنيفها

ينبغي تحديد حساسية المعلومات ومتطلباتها التنظيمية قبل نقلها إلى البيئة السحابية.

فليست جميع البيانات مناسبة لنفس:

  • موقع التخزين.
  • مستوى الحماية.
  • الصلاحيات.
  • سياسات المشاركة.

كيف تدعم أدفانس داتا سيك الاعتماد الآمن للخدمات السحابية؟

تساعد أدفانس داتا سيك المؤسسات على تقييم بيئاتها السحابية وتعزيزها وفقًا للمخاطر التشغيلية والمتطلبات التنظيمية في المملكة العربية السعودية، بما يضمن اعتماد الخدمات السحابية بصورة آمنة وفعالة.

تشمل خدماتنا

  • تقييم أمن البيئات السحابية.
  • مراجعة البنية الأمنية.
  • تقييم إعدادات الخدمات السحابية.
  • تقييم الثغرات الأمنية واختبار الاختراق.
  • اختبار أمن التطبيقات وواجهات الربط البرمجية (APIs).
  • إدارة الهوية والوصول والحسابات ذات الصلاحيات المرتفعة.
  • تصنيف البيانات وحمايتها.
  • تطبيق حلول منع تسرب البيانات (DLP).
  • حلول إدارة المعلومات والأحداث الأمنية (SIEM).
  • حماية الأجهزة والشبكات.
  • حوكمة الأمن السيبراني وإدارة المخاطر والامتثال.
  • تقييم فجوات ضوابط الهيئة الوطنية للأمن السيبراني.
  • تعزيز الجاهزية للاستجابة للحوادث.
  • حلول النسخ الاحتياطي والتعافي من الكوارث.

يساعد نهجنا المؤسسات على:

  • تحديد المخاطر التشغيلية.
  • تعزيز فعالية الضوابط الأمنية.
  • تحسين الامتثال التنظيمي.
  • اعتماد الخدمات السحابية بثقة أكبر.

الخاتمة

توفر الحوسبة السحابية للمؤسسات السعودية فرصًا كبيرة للابتكار، وتسريع التحول الرقمي، وتحسين الكفاءة التشغيلية، وزيادة قابلية التوسع. إلا أن تحقيق هذه الفوائد يتطلب تطبيق استراتيجية متكاملة لأمن الحوسبة السحابية تعتمد على الحوكمة الفعالة، وإدارة الهوية، والإعدادات الآمنة، وحماية البيانات، والمراقبة المستمرة، وخطط التعافي من الحوادث.

ولا يتحقق أمن الحوسبة السحابية من خلال الاعتماد على منتج أو مزود خدمة واحد، بل يعتمد على المسؤولية المشتركة بين:

  • الإدارة.
  • فرق الأمن السيبراني.
  • فرق تقنية المعلومات.
  • المطورين.
  • الموردين.
  • مزودي الخدمات السحابية.

وستكون المؤسسات التي تدمج الأمن في جميع مراحل التخطيط والتشغيل أكثر قدرة على:

  • حماية المعلومات الحساسة.
  • المحافظة على استمرارية الخدمات.
  • تحقيق الامتثال للمتطلبات التنظيمية.
  • الاستجابة الفعالة للحوادث الأمنية.

إذا كنتم تسعون إلى تعزيز أمن بيئتكم السحابية، يمكن لأدفانس داتا سيك مساعدتكم في تقييم البيئة الحالية، وتحديد الفجوات الأمنية ذات الأولوية، ووضع خارطة طريق عملية للاعتماد الآمن للخدمات السحابية وتحقيق الامتثال التنظيمي.

2 1 e1753986686385
أهمية أمن الحوسبة السحابية في السعودية في تعزيز الأمن السيبراني 2

الأسئلة الشائعة (FAQ)

لماذا تُعد حماية الخدمات السحابية مهمة في السعودية؟

تساعد حماية الخدمات السحابية المؤسسات على تأمين المعلومات والأنظمة الرقمية، ودعم التحول الرقمي، والالتزام بمتطلبات الأمن السيبراني، وضوابط الحوسبة السحابية، وأنظمة حماية البيانات المطبقة في المملكة العربية السعودية.

من المسؤول عن حماية الخدمات السحابية؟

تعتمد المسؤولية على نموذج المسؤولية المشتركة، حيث يتولى مزود الخدمة حماية البنية التحتية الأساسية، بينما تتحمل المؤسسة مسؤولية حماية البيانات، وإدارة الهوية، وإعدادات الخدمات، وأمن التطبيقات، والامتثال للمتطلبات التنظيمية

هل المصادقة متعددة العوامل (MFA) ضرورية؟

نعم، تُعد المصادقة متعددة العوامل من أكثر وسائل الحماية فعالية، إذ تقلل بشكل كبير من احتمالية استغلال كلمات المرور المسروقة للوصول إلى الأنظمة السحابية.

Share this post :
Call Now Button