أدوات الوصول

Skip to main content

المدونة التقنية

المؤسسة الليبية للتقنية
أول شهادة إمتثال لسياسات تقنية المعلومات في ليبيا

    أول شهادة إمتثال لسياسات تقنية المعلومات في ليبيا

    في عودة لطرح أدبيات المؤسسة وفريقها وإدارتها وأفكارهم في شهر التوعية بالأمن السيبراني من كل عام “شهر أكتوبر”، فإننا نحاول باستمرار أخذ زمام المبادرة، والتطلّع دائمًا نحو شق طريق جديد وفق ما هو متاح وفي ظل حدود إمكانياتنا. وعلى هذا الأساس، وفي ظل تصاعد الهجمات السيبرانية على ليبيا في السنوات الأخيرة، وجدنا أن الهيئة الوطنية لأمن وسلامة المعلومات –NISSA LIBYA– أصدرت سياساتها العامة والإرشادية منذ ما يقارب ست سنوات، إضافة إلى إصدارها الإستراتيجية الوطنية للأمن السيبراني في فبراير 2023.

    هنا اشتعلت “لمبة” الفكرة. ولما أن الكثير من السياسات والإستراتيجيات غير مفعّلة في ليبيا وهي حبيسة الأدراج المغلقة والخزائن، وفي نوع من الريادة والسبق، أخذنا في شهر مايو 2023 زمام البدء في العمل ومحاولة الالتزام بالمعايير والسياسات الوطنية. وسأصدقكم القول: الرحلة من مايو 2023 عند وصول أول استبيان حتى شهر مارس 2024 كانت صعبة ومؤلمة ومتعبة ومكلفة جدًّا جدًّا جدًّا.

    وبالإشارة إلى النقطة التي تنص على أن من مهام إستراتيجية الهيئة الوطنية لأمن وسلامة المعلومات العمل على التوعية بكل السبل، ومن فكرتي أن نكون قدوة ونفعّل السياسات، وأن نرى شهادة امتثال ليبية، فقد طلبنا العون من كل الشركات الخاصة الداعمة للمؤسسة.

    واجهتنا المشكلات واستطعنا حلها أسرع مما كنا نتوقع، وهو ما كان صدمة لنا وزاد ثقتنا في بلوغ الهدف.

    طلبت منا الهيئة في استبياناتها وسياساتها وفريقها توعية الموظفين، ووجدنا أن شركة Libyan Spider تقدّم برنامجًا توعويًا خاصًّا بشركة Kaspersky، مدفوعًا من طرفهم لنا في صورة دعم عيني.

    طُلب منا أن يكون لدينا Local Backup، وكانت شركة نظم التقنية الحديثة MST في الموعد بتزويدنا بمعدات وسيرفرات مخصّصة. طُلب منا إنترنت آمن ومخصص وسماحية وصول وأجهزة تأمين الولوج إلى الإنترنت، وقد كان ذلك من الحداثة العالمية للاتصالات وتقنية المعلومات.

    أما ما قصّر المسافات على نحو كبير ووفر التكلفة فهو الباقة الخاصة بمايكروسوفت M365، التي قدّمت لنا منذ سنوات عدة مجانًا، وهي تساوي الكثير دعمًا من مايكروسوفت. وهنا طلبنا من متخصصين في الحلول التقنية والأمنية لمايكروسوفت، وهي شركة تزامن للحلول المتكاملة، وبالفعل كان ذلك، فقد سخّر فريقهم وقته وجهده لتقديم حلول منع فقدان البيانات (DLP) وسياسات الخصوصية وتحليل الأنظمة وملكية الأجهزة وتأمين هوية المستخدمين، والكثير من القيود التي رفعت مؤشر أمن المعلومات من 40% في حالتنا الطبيعية إلى 72%، وهو الأعلى. وقد سبب ذلك بعض الانزعاج ومقاومة التغيير من الموظفين والأعضاء، لكنهم كانوا على قدر المسؤولية والعمل.

    الكثير من العمل والمهام والتوصيات والأخطاء –من lock screen بزمن أكثر من ساعة، التي لا يجب أن تكون كذلك، فاحتُسبت علينا كخطإ– مرورًا بـ Encrypt Backup، وصولًا إلى صلاحيات المدير والمستخدم وadmin، والمطبوعات الورقية، وتأمين المستندات الحساسة، وbackup في مكان آخر.

    يرى بعضهم أن أن ما فعلناه مجرد عملية صورية لغرض التسويق والبهرجة. لا يا عزيزي، هذا عمل أكثر من 40–50 مهندسًا ومتخصصًا وفنيًّا وعضوًا ومستشارًا، وقد جرى تدقيقه في كتيّب يحتوي أكثر من 300 صفحة من الهيئة، مع إرسال موظفين رفضوا حتى شرب القهوة لدينا أو قبول ضيافة روتينية.

    أذكر أن إحدى الجلسات طُلب مني الخروج من المقر حتى يُسأل الموظفون والأعضاء عن سير العمل، ليطابقوا ما ندّعيه بما هو مكتوب ومقدّم. كانت حادثة أشبه بالاستجواب (هههه).

    حتى اليوم نحدّث أنظمتنا يوميًّا ونستعد لأي زيارة مفاجئة من فريق الهيئة الوطنية لأمن وسلامة المعلومات، فقد نبهونا أن صلاحية هذه الشهادة في حالتنا هي ثلاث سنوات، قابلة للكسر أو فقدان السريان في حالة زيارتهم لنا ووجود أي خلل أو خرق للسياسات المقدّمة.

    لا توجد لدينا كلمة مرور عادية.

    لا يوجد لدينا برنامج مقرصن، ولا يُسمح بدخول أي تطبيق مشبوه.

    نحاول تأمين أجهزتنا بأحدث الإصدارات.

    نحاول الالتزام بأعلى المعايير.

    كلامي لا يعني أننا معصومون من الاختراق أو الضرر أو تلف البيانات أو توقف الخدمة، ولكننا نرجو أن نكون قد ارتقينا لننفّذ أعلى معايير كتيب سياسات الهيئة الوطنية لأمن وسلامة المعلومات، وأن تحذو العديد من المؤسسات والشركات حذونا في هذا المسار.

    لا تتوقعوا أن كلمة “أمن المعلومات” كلمة بسيطة أو رخيصة، أو أن البرمجيات سهلة التنفيذ، أو أن توعية الموظفين –من أبسط موظف إلى أعلى السلم الإداري– أمر هيّن؛ فهي مكلفة جدًّا جدًّا، وما كان وصولنا إلى هذا المستوى إلا بتوفيق من الله، وعون العديد من الداعمين والشركاء والأعضاء.

    النجاح المحقّق مُرضٍ، والاستمرار فيه يكلّفنا نحن وشركاءنا يوميًّا الكثير من الوقت في الاطّلاع والتحديثات، وشراء المعدات وتطوير البرمجيات والأساليب.

    كانت هذه أدبيات بسيطة في رحلة وحدة تقنية المعلومات في المؤسسة الليبية للتقنية.

    وحتى المقالة القادمة، أحييكم وأتمنى لكم التوفيق جميعًا في هذه الأعمال وغيرها، كلٌّ في مجاله