الانتقال إلى المحتوى الرئيسي
HubSecure
القائمة

المدونة

دليل مسؤول أمن المعلومات للثقة الصفرية في المؤسسات المالية الخليجية

تشترط كل من ساما ومصرف الإمارات المركزي ومركز دبي المالي العالمي أطر ثقة صفرية موثقة. هذا هو خارطة طريق التنفيذ التي تنقلك من السياسة إلى الأدلة.

· بواسطة HubSecure Security

انتقل مفهوم معمارية الثقة الصفرية من مصطلح يتردد في المؤتمرات إلى توقع تنظيمي في قطاع الخدمات المالية الخليجي. يستخدم كل من إطار الأمن السيبراني لساما ومعايير أمن المعلومات في مصرف الإمارات المركزي وقانون الأمن السيبراني لمركز دبي المالي العالمي لغةً ترسم مبادئ الثقة الصفرية مباشرةً: التحقق الصريح والحد الأدنى من الامتياز وافتراض الاختراق.

يواجه مسؤولو أمن المعلومات في المؤسسات المالية الخليجية تحدياً محدداً: ترجمة مبادئ الثقة الصفرية إلى ضوابط موثقة قابلة للتفتيش تُرضي منظمين قد لا يتمتعون بالخبرة التقنية لكنهم يزدادون تطوراً في تمييز البرنامج الناضج عما تصفه وثيقة الامتثال.

يغطي هذا الدليل تسلسل التنفيذ واشتراطات الأدلة والأماكن الثلاثة التي تفشل فيها المؤسسات الخليجية عادةً رغم اعتقادها أنها ملتزمة.

ما تشترطه الجهات الرقابية فعلاً

إطار الأمن السيبراني لساما يُلزم بضوابط في ستة مجالات: القيادة والحوكمة والمخاطر والامتثال واستمرارية الأعمال والعنصر البشري والعمليات والتقنية. يشترط المجال التقني صراحةً معماريات تحكم وصول تُطبّق الحد الأدنى من الامتياز وتجزئة الشبكة والرصد المستمر. تطلب فرق تفتيش ساما أدلة على تشغيل هذه الضوابط فعلاً، لا مجرد سياسات تصفها.

معايير أمن المعلومات لمصرف الإمارات المركزي تتبع هيكلاً مشابهاً مع تركيز إضافي على أمن السحابة ومخاطر الأطراف الثالثة. تُلزم المعايير تحديداً بأن يخضع الوصول إلى الأنظمة التي تحتضن البيانات المالية للعملاء للمصادقة متعددة العوامل ورصد الجلسات المستمر ومنح الامتياز المحدود زمنياً.

قانون الأمن السيبراني لمركز دبي المالي العالمي يُلزم المنشآت بصون نظام إدارة أمن المعلومات بضوابط محددة للوصول والتعامل مع البيانات والاستجابة للحوادث. تجاوز المفتشون فحص وجود وثيقة سياسة نظام إدارة الأمن المعلومات إلى مراجعة ما إذا كانت الضوابط تشغيلية وما إذا كانت أدلة التشغيل قابلة للاسترجاع.

تسلسل التنفيذ الفعّال

تفشل تطبيقات الثقة الصفرية حين تبدأ من البنية التحتية وتتخطى جرد الأصول والهويات. تبدأ الجهات الرقابية الفحص من طبقة الهوية للخارج. ابدأ من هناك.

المرحلة الأولى: أساس الهوية والوصول (الأسابيع 1–6)

حدد كل هوية بشرية وغير بشرية تصل إلى الأنظمة التي تحتوي على بيانات العملاء أو السجلات المالية أو المعلومات المنظَّمة. يشمل ذلك:

  • حسابات الموظفين عبر جميع التطبيقات (لا مجرد Active Directory)
  • حسابات الخدمات ومفاتيح API التي تستخدمها العمليات الآلية
  • حسابات وصول الموردين الخارجيين
  • بيانات اعتماد الأنظمة القديمة التي لم تُلغَ صلاحيتها قط

لكل هوية: وثّق ما تصل إليه، وما تحتاج فعلاً للوصول إليه، ومتى راجعت الوصول آخر مرة، وما إذا كانت المصادقة متعددة العوامل مُطبَّقة. الفجوة بين “ما تصل إليه” و”ما تحتاجه” هي خريطة تضخم الامتياز لديك. هذا أول ما يبحث عنه فريق تفتيش ساما.

المرحلة الثانية: تجزئة الشبكة (الأسابيع 4–12)

تمتلك مؤسسات مالية خليجية كثيرة شبكات داخلية مسطحة نمت بصورة عضوية مع نمو المنشأة. الثقة الصفرية تستلزم تجزئة صريحة — يجب ألا تكون أنظمة بيانات العملاء قابلة للوصول من محطات عمل الموظفين العامين دون تصريح صريح مسجَّل محدود زمنياً.

أولوية التجزئة: الأنظمة التي تحتضن البيانات المالية الشخصية وبنية مكافحة غسل الأموال وأنظمة الخدمات المصرفية الأساسية وأي نظام يتصل بـ SWIFT.

المرحلة الثالثة: الرصد المستمر وتسجيل الجلسات (الأسابيع 8–16)

الثقة الصفرية ليست بوابة تمر منها مرة واحدة بل تحقق مستمر. يجب تسجيل جميع الجلسات التي تصل إلى الأنظمة المنظَّمة بتفاصيل كافية لإعادة بناء الجلسة للأغراض الجنائية: الهوية المصادق عليها وعنوان IP المصدر والموارد التي وصلت إليها والإجراءات المتخذة ومدة الجلسة.

المرحلة الرابعة: ضوابط وصول الأطراف الثالثة (مستمرة)

وصول الموردين والشركاء هو الموطن الذي تفشل فيه المؤسسات الخليجية في الفحص في أغلب الأحيان. الشبكة الداخلية المجزأة تماماً تنهار أمام بيانات اعتماد VPN مشتركة أُعطيت لمورد برمجيات منذ عامين ولم تتجدد قط.

يجب أن يكون كل وصول للأطراف الثالثة: محدوداً زمنياً، ومقيداً بالأنظمة الضرورية كحد أدنى، ومسجلاً بالدقة ذاتها التي يُسجَّل بها وصول الموظفين، ومراجعاً على فترات محددة.

الأخطاء الثلاثة التي تؤدي إلى فشل الفحص

الخطأ الأول: سياسات بلا أدلة: يُقدّم مسؤول أمن المعلومات وثيقة سياسة الثقة الصفرية ومخططاً معمارياً. يطلب المفتش سجل وصول مستخدم محدد في تاريخ محدد قبل ستة أشهر. لا يمكن إنتاج ذلك لأن السجلات إما غير محتفظ بها أو لا يمكن البحث فيها بهذه الدقة. يفشل البرنامج — لا لأن المعمارية كانت خاطئة بل لأن الأدلة غير موجودة.

الخطأ الثاني: تضخم الامتياز في حسابات الخدمات: تتراكم الإذونات على العمليات الآلية بمرور الوقت لأن إزالة الإذونات يُعطّل الأمور. في الفحص، يُكتشف أن حساب خدمة لديه وصول إداري لقواعد بيانات الإنتاج رغم أنه يخدم وظيفة تقارير للقراءة فحسب. يُعامَل هذا كفشل ضبط جوهري.

الخطأ الثالث: وصول ظل لا يشمله البرنامج: يُعالج برنامج الثقة الصفرية نظام الخدمات المصرفية الأساسية ونظام إدارة علاقات العملاء بصورة ممتازة. لا يُغطّي أداة التقارير القديمة التي يصل إليها ثلاثة محللين كبار بكلمة مرور مشتركة، ولا الحاوية السحابية التي يستخدمها فريق المالية لتبادل الملفات مع المدققين. يعثر المنظم على هذا عبر مقابلات الموظفين، لا الاختبار التقني.

بناء طبقة الأدلة

المعمارية التي يستطيع المنظمون تفتيشها تستلزم أدلة موجودة باستقلالية عن الأشخاص الذين بنوا المعمارية:

  • سجلات وصول منظمة قابلة للاستعلام بالهوية والمورد والنطاق الزمني ونوع الإجراء — وقابلة للتصدير بصيغ مقروءة لفرق الفحص.
  • سجلات مراجعة الوصول توثق من راجع منح الوصول وفي أي تاريخ وبأي نتيجة — لا جدول بيانات، بل سجل مُوقَّع بطابع زمني لا يمكن تأريخه بأثر رجعي.
  • سجلات الحوادث والشذوذات تُظهر أن قدرة الرصد المستمر تُنتج تنبيهات، وأن التنبيهات تُراجَع، وأن المراجعات تُنتج نتائج موثقة.
  • سجلات وصول الأطراف الثالثة محدَّثة، لا المُحدَّثة قبيل الفحص السابق.

المحادثة التي تريد إجراءها في القاعة

مسؤول أمن المعلومات الذي يُدير فحوصات المنظمين الخليجيين بنجاح ليس من أعد أفضل وثائق السياسات، بل من يستطيع استدعاء أي أدلة مطلوبة في القاعة في أقل من خمس دقائق وتسليم المفتش تقريراً مقروءاً والإجابة على أسئلة المتابعة من الذاكرة لأن البرنامج تشغيلي لا أداءاتي.

الثقة الصفرية، حين تُطبَّق بصورة صحيحة، تجعل هذه المحادثة مباشرة. كل قرار وصول يترك سجلاً. لكل منح امتياز تاريخ انتهاء وتاريخ مراجعة. لكل شذوذ توثيق للتصرف.

الاشتراط التنظيمي ليس امتلاك معمارية الثقة الصفرية. بل إثبات أن مبادئ الثقة الصفرية تشغيلية في بيئتك وأنك قادر على إثبات ذلك.