لماذا تعتبر الشهادات جزءًا واحدًا فقط من برنامج أمان السحابة الخاص بك

ستيفن موري

05‏/07‏/2017

البريد الإلكتروني

1 min read

لماذا تعتبر الشهادات جزءًا واحدًا فقط من برنامج أمان السحابة الخاص بك

النقاط الرئيسية

    • لا تضمن الشهادات وحدها الأمان. إنها تؤكد أن بعض المعايير قد تم تحقيقها، ولكن ليس أن الضوابط تعمل أو يتم مراقبتها بشكل صحيح.

    • تعتبر الجاهزية التشغيلية أكثر أهمية من الشهادة. يمكن أن تجتاز الشركة تدقيقًا بينما أدوات الأمان الخاصة بها - مثل أنظمة IDS/IPS - غير وظيفية.

    • غالبًا ما يتحقق المدققون من الوجود، وليس الأداء. تقوم العديد من الشهادات بتقييم ما إذا كانت الأنظمة موجودة، وليس ما إذا كانت مُعدة بشكل صحيح أو يتم صيانتها بنشاط.

    • برنامج أمان سحابي قوي يمزج بين الامتثال والمراقبة المستمرة. توفر الشهادات قاعدة امتثال، لكن الاختبارات والتقييمات المستمرة تضمن الحماية الحقيقية.

    • تكشف اختبارات الاختراق من الطرف الثالث عن الثغرات الحقيقية. إنها تقدم رؤى أعمق من الاستطلاعات أو قوائم التحقق، مما يؤكد أن تدابير الأمان تعمل في ظروف العالم الحقيقي.

    • يجب أن تأخذ تقييمات البائعين في الاعتبار الوصول إلى البيانات وتعريض المخاطر. يستحق الشركاء الذين يتعاملون مع معلومات حساسة تدقيقًا أكثر صرامة ومراجعة منتظمة.

    • تتطلب الأمان الفعال الشفافية. تشارك المنظمات الناضجة طوعًا السياسات وأطر استجابة الحوادث وإجراءات إدارة الثغرات.

أهم النقاط في الأسئلة والأجوبة

  • لماذا ليست الشهادات مقياساً موثوقاً لنضج الأمان؟

    لأنها تثبت فقط أن الضوابط المطلوبة موجودة، وليس أنها تعمل. تنطوي نضوج الأمان الحقيقي على التحقق المستمر، والمراقبة، والاستجابة للتهديدات.

  • ما هو الفشل الشائع في الاعتماد فقط على فحوصات الامتثال؟

    قد تقوم المنظمات بنشر أدوات فقط من أجل "تلبية المتطلبات". على سبيل المثال، قد يتم تثبيت نظام كشف التسلل (IDS) ولكن ليس مصمماً فعلياً للكشف عن التهديدات أو تنبيهها.

  • ماذا يجب أن تستعرض بجانب الشهادات عند تقييم بائع؟

    دائمًا تحقق من تقرير النتائج الكامل (ليس فقط الملخص)، واسأل عن اختبار الاختراق السنوي، واطلب الوصول إلى وثائق الأمان الأساسية.

  • كيف يمكن للاختبار من جهة خارجية تحسين برنامج الأمان؟

    اختبارات الاختراق تحاكي الهجمات الواقعية، تكشف عن نقاط الضعف التي تتجاهلها تدقيقات الامتثال، مما يضمن أن الدفاعات تعمل كما هو مقصود.

  • ما الذي يحدد برنامج أمان السحابة الناضج؟

    نهج متوازن يجمع بين التوثيقات، المراقبة المستمرة، استراتيجيات حماية البيانات، الجاهزية للاستجابة للحوادث، وإدارة الجهات الفاعلة المحتملة بشكل استباقي.

  • كيف ينبغي عليك تقييم وضعية الأمان للموردين؟

    تقييم بناءً على حساسية البيانات التي يصلون إليها - يجب أن تفي الشركات المتخصصة في بيانات العملاء بمعايير أمان أعلى وأن تخضع لمراجعات منتظمة.

غالبًا ما يسألني الناس عما يجعل برنامج الأمان جيدًا. على الرغم من أنني أود الإشارة إلى جانب واحد من محيطي الأمني لاستخدامه كمثال، هناك العديد من العناصر التي يجب تسليط الضوء عليها.

التصديقات لا تقيس دائمًا وضعك الدفاعي

التصديق، بالتعريف، هو إشارة تجعل شيئًا ما واضحًا. في حالة الأمن، وبالتحديد برامج الأمن، يعني ذلك التصديق بصفة رسمية.

غالبًا ما يسألني الناس ماذا يجعل برنامج الأمان جيدًا. على الرغم من أنني أود الإشارة إلى جانب واحد من محيطي الأمني لاستخدامه كمثال، هناك عناصر متعددة يجب تسليط الضوء عليها. يعتمد القطاع على التصديقات والشهادات لقياس دفاعاتك الأمنية. سيخبرك المهندسون والمشغلون أن المحيط الأمني الفعلي وقدرات تقييم التهديدات تعرّف برنامج الأمان الخاص بك. سأخبرك أن كل من تصديقات الامتثال كقياس والقدرات التشغيلية لفريق الأمان الخاص بك تعرّف برنامجك. على الرغم من أن التصديقات وحدها ليست معيارًا دقيقًا لقياس برنامج.

التصديقات ضرورة في الصناعة لضمان الامتثال للقوانين الفيدرالية والمحلية والولائية فضلاً عن أفضل الممارسات في الصناعة. تشكل معايير ISO وNIST أو DoD القاعدة الأساسية لمعظم التصديقات. على سبيل المثال، تنشر NIST مجموعة من المعايير والأدلة التقنية لمساعدة المؤسسات في بناء دفاعات حدودية 'مقبولة' للحكومة. ومع ذلك، كما سأوضح، لمجرد تحديد المعايير لا يعني أن التنفيذ دائمًا يكون رائعًا.

التصديق، بالتعريف، هو إشارة تجعل شيئًا ما واضحًا. في حالة الأمن، وبالتحديد برامج الأمن، يعني ذلك التصديق بصفة رسمية.

غالبًا ما يسألني الناس ماذا يجعل برنامج الأمان جيدًا. على الرغم من أنني أود الإشارة إلى جانب واحد من محيطي الأمني لاستخدامه كمثال، هناك عناصر متعددة يجب تسليط الضوء عليها. يعتمد القطاع على التصديقات والشهادات لقياس دفاعاتك الأمنية. سيخبرك المهندسون والمشغلون أن المحيط الأمني الفعلي وقدرات تقييم التهديدات تعرّف برنامج الأمان الخاص بك. سأخبرك أن كل من تصديقات الامتثال كقياس والقدرات التشغيلية لفريق الأمان الخاص بك تعرّف برنامجك. على الرغم من أن التصديقات وحدها ليست معيارًا دقيقًا لقياس برنامج.

التصديقات ضرورة في الصناعة لضمان الامتثال للقوانين الفيدرالية والمحلية والولائية فضلاً عن أفضل الممارسات في الصناعة. تشكل معايير ISO وNIST أو DoD القاعدة الأساسية لمعظم التصديقات. على سبيل المثال، تنشر NIST مجموعة من المعايير والأدلة التقنية لمساعدة المؤسسات في بناء دفاعات حدودية 'مقبولة' للحكومة. ومع ذلك، كما سأوضح، لمجرد تحديد المعايير لا يعني أن التنفيذ دائمًا يكون رائعًا.

التصديق، بالتعريف، هو إشارة تجعل شيئًا ما واضحًا. في حالة الأمن، وبالتحديد برامج الأمن، يعني ذلك التصديق بصفة رسمية.

غالبًا ما يسألني الناس ماذا يجعل برنامج الأمان جيدًا. على الرغم من أنني أود الإشارة إلى جانب واحد من محيطي الأمني لاستخدامه كمثال، هناك عناصر متعددة يجب تسليط الضوء عليها. يعتمد القطاع على التصديقات والشهادات لقياس دفاعاتك الأمنية. سيخبرك المهندسون والمشغلون أن المحيط الأمني الفعلي وقدرات تقييم التهديدات تعرّف برنامج الأمان الخاص بك. سأخبرك أن كل من تصديقات الامتثال كقياس والقدرات التشغيلية لفريق الأمان الخاص بك تعرّف برنامجك. على الرغم من أن التصديقات وحدها ليست معيارًا دقيقًا لقياس برنامج.

التصديقات ضرورة في الصناعة لضمان الامتثال للقوانين الفيدرالية والمحلية والولائية فضلاً عن أفضل الممارسات في الصناعة. تشكل معايير ISO وNIST أو DoD القاعدة الأساسية لمعظم التصديقات. على سبيل المثال، تنشر NIST مجموعة من المعايير والأدلة التقنية لمساعدة المؤسسات في بناء دفاعات حدودية 'مقبولة' للحكومة. ومع ذلك، كما سأوضح، لمجرد تحديد المعايير لا يعني أن التنفيذ دائمًا يكون رائعًا.

نشر الأداة لا يعني أنها توفر قيمة

تسمح الضوابط بالمرونة في التنفيذ والنمو والابتكار التشغيلي بمرور الوقت. لسوء الحظ، تستخدم بعض المنظمات هذه المرونة لتمرير الأمور دون وجود دفاعات حقيقية في مكانها.

مثال رئيسي على هذه المشكلة هو أنظمة الكشف/الحماية من التسلل (IDS أو IPS). مثل برامج مكافحة الفيروسات، تستثمر معظم المنظمات في IDS/IPS كمسألة من ممارسات الأمان القياسية للحماية من حركة المرور الضارة وتسرب البيانات. تمتلئ الصناعة بمزودين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات أنظمة بدلاً من شرائها.

لقد تركت مؤخرًا واحدة من هذه المنظمات التي “بنت” نظام الكشف عن التسلل الخاص بها باستخدام أدوات مفتوحة المصدر. قيل للمراجعين إن النظام كان “أداة رائعة”، وتم إعطاؤهم أمثلة على حركة المرور. عندما بحثت بعمق في معلومات المراقبة التي كانت الأداة تقدمها، أدركت أن حركة المرور لم تُحلل على الإطلاق. بل كانت تمر عبر المستشعر دون أن يتم تكوينه لالتقاط أي حركة مرور أو إصدار تنبيهات على الإطلاق. علاوة على ذلك، تم إعداد بيانات الاعتماد المستخدمة لإدارة الأداة بواسطة موظف سابق ولم يتم تحديثها بعد مغادرته. وبالتالي، كانت الأداة غير نشطة لأشهر دون أي تدخل بشري. لا يقتصر الأمر على أن هذا يعرض الشركة للخطر، بل يعرض أيضًا الأمن الخارجي للخطر.

لن يكتشف المراجع المتمرس هذه المشكلة لأن التصريحات لا تبحث عن معلومات “تشغيلية” في جميع الأنظمة - المعيار هو حرفيًا طبقة واحدة من الأسئلة والأجوبة. في الواقع، تقيس معظم التصريحات ببساطة ما إذا كانت الأداة موجودة، وليس قابليتها التشغيلية. بالإضافة إلى ذلك، فإن معظم المراجعين ليسوا ذو خبرة كافية لتمييز IDS/IPS وظيفية عن تلك غير الوظيفية. تعتمد جوهر التدقيق على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب أيضًا على المراجعين تغطية مجموعة واسعة من الضوابط أثناء التدقيق، لذا فإن الوقت هو عامل كبير في جودة تحليلهم.

ستخبرك التصريحات وحدها أن الشركة لديها برنامج أمان ناضج به ضوابط. إن مطالبة شريك محتمل بإكمال استبيان المورد لن يمنحك الثقة أيضًا. تقتصر الاستبيانات على نفس المعلومات بصيغة مختلفة. كيف يمكنك تقييم برنامج أمان ناضج؟

تسمح الضوابط بالمرونة في التنفيذ والنمو والابتكار التشغيلي بمرور الوقت. لسوء الحظ، تستخدم بعض المنظمات هذه المرونة لتمرير الأمور دون وجود دفاعات حقيقية في مكانها.

مثال رئيسي على هذه المشكلة هو أنظمة الكشف/الحماية من التسلل (IDS أو IPS). مثل برامج مكافحة الفيروسات، تستثمر معظم المنظمات في IDS/IPS كمسألة من ممارسات الأمان القياسية للحماية من حركة المرور الضارة وتسرب البيانات. تمتلئ الصناعة بمزودين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات أنظمة بدلاً من شرائها.

لقد تركت مؤخرًا واحدة من هذه المنظمات التي “بنت” نظام الكشف عن التسلل الخاص بها باستخدام أدوات مفتوحة المصدر. قيل للمراجعين إن النظام كان “أداة رائعة”، وتم إعطاؤهم أمثلة على حركة المرور. عندما بحثت بعمق في معلومات المراقبة التي كانت الأداة تقدمها، أدركت أن حركة المرور لم تُحلل على الإطلاق. بل كانت تمر عبر المستشعر دون أن يتم تكوينه لالتقاط أي حركة مرور أو إصدار تنبيهات على الإطلاق. علاوة على ذلك، تم إعداد بيانات الاعتماد المستخدمة لإدارة الأداة بواسطة موظف سابق ولم يتم تحديثها بعد مغادرته. وبالتالي، كانت الأداة غير نشطة لأشهر دون أي تدخل بشري. لا يقتصر الأمر على أن هذا يعرض الشركة للخطر، بل يعرض أيضًا الأمن الخارجي للخطر.

لن يكتشف المراجع المتمرس هذه المشكلة لأن التصريحات لا تبحث عن معلومات “تشغيلية” في جميع الأنظمة - المعيار هو حرفيًا طبقة واحدة من الأسئلة والأجوبة. في الواقع، تقيس معظم التصريحات ببساطة ما إذا كانت الأداة موجودة، وليس قابليتها التشغيلية. بالإضافة إلى ذلك، فإن معظم المراجعين ليسوا ذو خبرة كافية لتمييز IDS/IPS وظيفية عن تلك غير الوظيفية. تعتمد جوهر التدقيق على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب أيضًا على المراجعين تغطية مجموعة واسعة من الضوابط أثناء التدقيق، لذا فإن الوقت هو عامل كبير في جودة تحليلهم.

ستخبرك التصريحات وحدها أن الشركة لديها برنامج أمان ناضج به ضوابط. إن مطالبة شريك محتمل بإكمال استبيان المورد لن يمنحك الثقة أيضًا. تقتصر الاستبيانات على نفس المعلومات بصيغة مختلفة. كيف يمكنك تقييم برنامج أمان ناضج؟

تسمح الضوابط بالمرونة في التنفيذ والنمو والابتكار التشغيلي بمرور الوقت. لسوء الحظ، تستخدم بعض المنظمات هذه المرونة لتمرير الأمور دون وجود دفاعات حقيقية في مكانها.

مثال رئيسي على هذه المشكلة هو أنظمة الكشف/الحماية من التسلل (IDS أو IPS). مثل برامج مكافحة الفيروسات، تستثمر معظم المنظمات في IDS/IPS كمسألة من ممارسات الأمان القياسية للحماية من حركة المرور الضارة وتسرب البيانات. تمتلئ الصناعة بمزودين يقدمون أشكالاً مختلفة من أنظمة IDS/IPS. ومع ذلك، تبني بعض المنظمات أنظمة بدلاً من شرائها.

لقد تركت مؤخرًا واحدة من هذه المنظمات التي “بنت” نظام الكشف عن التسلل الخاص بها باستخدام أدوات مفتوحة المصدر. قيل للمراجعين إن النظام كان “أداة رائعة”، وتم إعطاؤهم أمثلة على حركة المرور. عندما بحثت بعمق في معلومات المراقبة التي كانت الأداة تقدمها، أدركت أن حركة المرور لم تُحلل على الإطلاق. بل كانت تمر عبر المستشعر دون أن يتم تكوينه لالتقاط أي حركة مرور أو إصدار تنبيهات على الإطلاق. علاوة على ذلك، تم إعداد بيانات الاعتماد المستخدمة لإدارة الأداة بواسطة موظف سابق ولم يتم تحديثها بعد مغادرته. وبالتالي، كانت الأداة غير نشطة لأشهر دون أي تدخل بشري. لا يقتصر الأمر على أن هذا يعرض الشركة للخطر، بل يعرض أيضًا الأمن الخارجي للخطر.

لن يكتشف المراجع المتمرس هذه المشكلة لأن التصريحات لا تبحث عن معلومات “تشغيلية” في جميع الأنظمة - المعيار هو حرفيًا طبقة واحدة من الأسئلة والأجوبة. في الواقع، تقيس معظم التصريحات ببساطة ما إذا كانت الأداة موجودة، وليس قابليتها التشغيلية. بالإضافة إلى ذلك، فإن معظم المراجعين ليسوا ذو خبرة كافية لتمييز IDS/IPS وظيفية عن تلك غير الوظيفية. تعتمد جوهر التدقيق على الشركة لتقديم أفضل ما لديها بدلاً من الإجابة على الأسئلة الصعبة. يجب أيضًا على المراجعين تغطية مجموعة واسعة من الضوابط أثناء التدقيق، لذا فإن الوقت هو عامل كبير في جودة تحليلهم.

ستخبرك التصريحات وحدها أن الشركة لديها برنامج أمان ناضج به ضوابط. إن مطالبة شريك محتمل بإكمال استبيان المورد لن يمنحك الثقة أيضًا. تقتصر الاستبيانات على نفس المعلومات بصيغة مختلفة. كيف يمكنك تقييم برنامج أمان ناضج؟

تقييم برنامج أمان السحابة بالكامل

أولاً، يجب عليك مراجعة على الأقل الشهادات وتقرير النتائج، وليس الملخص التنفيذي. سيوفر لك ذلك نظرة عامة عن البرنامج الذي تم مراجعته بواسطة طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمن الشاملة استراتيجيات قوية لحماية البيانات مثل إجراءات النسخ الاحتياطي واستعادة قاعدة البيانات لضمان استمرارية الأعمال وسلامة البيانات أثناء الحوادث الأمنية. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج مكافآت الأخطاء. شخصيًا، لا أؤيد مكافآت الأخطاء، لكنني أؤيد اختبار اختراق من طرف ثالث على أساس سنوي. يوفر اختبار الاختراق لك اختبارًا منظمًا للدفاعات الخاصة بك وتعليقات حقيقية حول الثغرات. أخيرًا، قم بمراجعة الوثائق الأمنية (عادةً فهرس المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يشمل ذلك (لكن لا يقتصر على) سياسة الأمان، واستجابة الحوادث، وإدارة الثغرات. ستقدم لك فريق أمان ذو خبرة مشاركة تلك الوثائق والأدلة كجزء من العمل العادي.

أعتبر من الضروري تقييم كل البائعين والشركاء من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو البائع يدير بيانات الشركة، فإنه يخضع لمزيد من التدقيق مقارنةً ببائع لا يفعل ذلك. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذه الزاوية، بدلاً من التعامل مع جميع الشركاء والبائعين بنفس الطريقة. عند الشك، اطلب دائمًا المزيد من المعلومات.

أولاً، يجب عليك مراجعة على الأقل الشهادات وتقرير النتائج، وليس الملخص التنفيذي. سيوفر لك ذلك نظرة عامة عن البرنامج الذي تم مراجعته بواسطة طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمن الشاملة استراتيجيات قوية لحماية البيانات مثل إجراءات النسخ الاحتياطي واستعادة قاعدة البيانات لضمان استمرارية الأعمال وسلامة البيانات أثناء الحوادث الأمنية. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج مكافآت الأخطاء. شخصيًا، لا أؤيد مكافآت الأخطاء، لكنني أؤيد اختبار اختراق من طرف ثالث على أساس سنوي. يوفر اختبار الاختراق لك اختبارًا منظمًا للدفاعات الخاصة بك وتعليقات حقيقية حول الثغرات. أخيرًا، قم بمراجعة الوثائق الأمنية (عادةً فهرس المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يشمل ذلك (لكن لا يقتصر على) سياسة الأمان، واستجابة الحوادث، وإدارة الثغرات. ستقدم لك فريق أمان ذو خبرة مشاركة تلك الوثائق والأدلة كجزء من العمل العادي.

أعتبر من الضروري تقييم كل البائعين والشركاء من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو البائع يدير بيانات الشركة، فإنه يخضع لمزيد من التدقيق مقارنةً ببائع لا يفعل ذلك. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذه الزاوية، بدلاً من التعامل مع جميع الشركاء والبائعين بنفس الطريقة. عند الشك، اطلب دائمًا المزيد من المعلومات.

أولاً، يجب عليك مراجعة على الأقل الشهادات وتقرير النتائج، وليس الملخص التنفيذي. سيوفر لك ذلك نظرة عامة عن البرنامج الذي تم مراجعته بواسطة طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمن الشاملة استراتيجيات قوية لحماية البيانات مثل إجراءات النسخ الاحتياطي واستعادة قاعدة البيانات لضمان استمرارية الأعمال وسلامة البيانات أثناء الحوادث الأمنية. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج مكافآت الأخطاء. شخصيًا، لا أؤيد مكافآت الأخطاء، لكنني أؤيد اختبار اختراق من طرف ثالث على أساس سنوي. يوفر اختبار الاختراق لك اختبارًا منظمًا للدفاعات الخاصة بك وتعليقات حقيقية حول الثغرات. أخيرًا، قم بمراجعة الوثائق الأمنية (عادةً فهرس المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يشمل ذلك (لكن لا يقتصر على) سياسة الأمان، واستجابة الحوادث، وإدارة الثغرات. ستقدم لك فريق أمان ذو خبرة مشاركة تلك الوثائق والأدلة كجزء من العمل العادي.

أعتبر من الضروري تقييم كل البائعين والشركاء من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو البائع يدير بيانات الشركة، فإنه يخضع لمزيد من التدقيق مقارنةً ببائع لا يفعل ذلك. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذه الزاوية، بدلاً من التعامل مع جميع الشركاء والبائعين بنفس الطريقة. عند الشك، اطلب دائمًا المزيد من المعلومات.

أخبار أخرى

اقرأ المزيد من هذه الفئة

A person is standing at a desk while typing on a laptop.

المنصة الكاملة المدعومة بالذكاء الاصطناعي التي تتوسع مع أعمالك.

تواصل مع المبيعات

ابدأ مجانًا

© 2025 طائر

الاتصال بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الكاملة المدعومة بالذكاء الاصطناعي التي تتوسع مع أعمالك.

تواصل مع المبيعات

ابدأ مجانًا

© 2025 طائر

الاتصال بالدعم

A person is standing at a desk while typing on a laptop.

المنصة الكاملة المدعومة بالذكاء الاصطناعي التي تتوسع مع أعمالك.

تواصل مع المبيعات

ابدأ مجانًا

© 2025 طائر

الاتصال بالدعم