دراسات 54 أصبح الأمن السيبراني أمر في غاية الأهمية للمؤسساتوالأفراد وحاجة عالمية ملحة مما يستلزم القيام بإجراءات تدقيق صارمة لتوفير ضمانات للإدارة العليا ومجالس الإدارة على حد سواء. إن تدقيق الأمن السيبرانيلا يقومفقطعلى تقييم الأنظمة والضوابطالمعمول بها لضمان الأنشطة السيبرانية الآمنة. فالهدفالأساسي لههو تقييم التكنولوجيا والسياساتوالإجراءاتالحالية علىمستوى أعمق، لتحديدما إذاكانتجميعالمعاييرواللوائحالمعمولبهايتمالوفاءبهابفعاليةوكفاءة.وهناكالعديدمنالممارسات المفضلة التي يمكن للمنظمات تطبيقها أثناء عمليات التدقيق لقياسكفاءة وفعالية أنظمة وعمليات وضوابط الأمن السيبراني. فالهدفمن وجود مدقق الأمن السيبراني هو التحقق مما إذا كانت المؤسسة تعمل وفقًا للمعايير واللوائح والإرشادات المختلفة للأمن السيبراني. ويقيس تدقيق الأمن السيبراني الواقعالحاليللمؤسسةمنحيثالامتثالأولاً،ويقيسهامقابلمعيارصناعةمعينحيثيتمبعدذلكإجراء تحليل للثغرات من أجلضمان تحديد جميع ثغرات التحكم ومعالجتها من خلال التوصيات المستهدفة. تدقيق الأمن السيبراني الفعال هنــاك عــدة أســباب تدفــع المدقــق لإجــراء عمليــات تدقيــق منتظمـة للأمـن السـيبراني، بمـا فـي ذلـك مراقبـة البنيـة التحتيـة لتكنولوجيــا المعلومــات فــي المنظمــة والأنظمــة والضوابــط بشـكل منتظـم لاكتشـاف أي مخاطـر أو عيـوب محتملـة، وللتأكـد مــن أن الأنظمــة المطبقــة تلبــي الحــد الأدنــى مــن متطلبــات الامتثــال وتخفيــف المخاطــر المتوقعــة. بالاضافــة إلــى تقييــم كفــاءة وفعاليــة الأنظمــة والعمليــات التشــغيلية للأمــن الســيبراني، وفحــص أنظمــة المعلومــات والضوابــط الأمنيــةو الإجــراءات الإداريــة لموضوعــة بهــدف التخفيــف مــن المخاطــر لتوفيـر مدخـ ت بشـأنصياغـة خطط الطوارئ مـن أجل مواجهة الهجمــات الإلكترونيــة الطارئــة أو غيرهــا مــن نقــاط الضعــف. هذا وتشـمل الجوانب الأساسـية لأي تدقيق للأمن السـيبراني مراجعــة سياســات الأمــن الســيبراني، وتطويــر نهــج متكامــل وتحليــل الكفــاءة الســيبرانية للموظفيــن وتســهيل مبــادرات التدقيق على أسـاسالمخاطر في المنظمة. تعتبر سياسـات أمـن المعلومـات محوريـة لمدققـي الأمن السـيبراني، ذلكلأن المعرفـة بالسياسـات تمكـن المدققيـن مـن تصنيـف بيانـات المؤسســة وتحديــد مســتويات الأمــان اللازمــة لحمايتهــم. وعنـد مراجعـة أيسياسـة ذاتصلـة بالأمـن السـيبراني، يجـب أن يســعى المدقــق الســيبراني لمقارنتهــا بإصــدار النمــوذج المثالـي أو المعيـار العالمـي. وإنـه لمـن الضـروري تحديـد مـا إذا كانـتسياسـة الأمـن السـيبراني لمؤسسـة مـا تلبـي وتمتثـل لمعاييــر الصناعــة والمعاييــر العالميــة. مــن المهــم أيضًــا معرفــة لوائــح الامتثــال ذات الصلــة والقابلــة للتطبيــق علــى المنظمـة قبـل تنفيـذ هـذه الخطـوة. تتوفــر العديــد مــن المقاييــس العالميــة الفعالــة التــي ينبغــي مقارنــة برامــج وسياســات الأمــن الســيبراني بهــا مثــل معيــار )، والأنظمــة PCI-DSS( أمــان بيانــات صناعــة بطاقــات الدفــع ،Sarbanes-Oxley،(ISO( )، وقانـون SOC والضوابـط التنظيميـة ( ،)GDPR( واللائحـة العامـة لحمايـة البيانات في الاتحـاد الأوروبي ،Cloud Security Alliance (CSA) (CCM( ومصفوفــة ضوابــط ) المعــروفســابقًا باســم CIS ومركــز ضوابــط أمــان الإنترنــت ( ضوابـط الأمـان الحرجـة. قـد يُطلـب مـن المنظمـات الامتثـال لمعيـار واحـد أو أكثـر اعتمـادًا علـى قطاعاتهـا و / أو سـلطاتها القضائيــة. علــى ســبيل المثــال، يجــب أن تلتــزم المؤسســات نظـرًا لاسـتخدامها الواسـع لبطاقات PCI-DSS الماليـة عـادةً بــ د. حسام باسم حداد
RkJQdWJsaXNoZXIy MTAzNjM0NA==