الوحدة السابعة: التوعية والتدريب الأمني (Security Awareness & Training)

1️⃣ التوعية الأمنية مقابل التدريب الأمني

التوعية الأمنية (Awareness):

• تُركّز على نشر المفاهيم الأمنية الأساسية، وتستهدف جميع الأفراد داخل المؤسسة، بهدف بناء وعي عام بالمخاطر المحتملة (مثل التصيد الاحتيالي، كلمات المرور الضعيفة).

التدريب الأمني (Training):

• يركز على بناء مهارات محددة للفئات الفنية أو المتخصصة، مثل مسؤولي النظام أو موظفي الدعم التقني، لتطبيق ضوابط أمنية محددة (مثل تحليل السجلات، استخدام أدوات كشف الثغرات).

📌 مثال توضيحي:

التوعية = نشر ملصق يوضح مخاطر مشاركة كلمة المرور.

التدريب = ورشة عمل عملية لموظفي الدعم حول كيفية التعامل مع حادثة اختراق.

2️⃣ لماذا نحتاج برامج توعية أمنية؟

• 90% من الهجمات تبدأ برسالة تصيد واحدة.
• الموظفون غير الواعين قد يُسببون تسريب بيانات بدون قصد.
• التوعية تقلل من الأخطاء البشرية وتُحسّن الامتثال للسياسات.

3️⃣ مكونات برنامج التوعية والتدريب الأمني

تحديد الجمهور المستهدف:

• جميع الموظفين
• المستخدمون ذوو الامتيازات (Admins)
• الطلاب والمستخدمون الخارجيون

الموضوعات الأساسية:

• كيفية إنشاء كلمة مرور قوية
• حماية البريد الإلكتروني
• التصيد الاحتيالي (Phishing)
• التنقل الآمن على الإنترنت
• التعامل مع أجهزة USB
• السياسات المؤسسية للأمن

طرق التنفيذ:

• دورات تدريبية حضورية أو افتراضية
• مقاطع فيديو قصيرة ومؤثرة
• ملصقات تفاعلية في أماكن العمل
• اختبارات دورية وتقييمات
• حملات شهرية (مثل: "شهر الأمن السيبراني")

قياس الفعالية:

• تحليل نتائج الاختبارات
• قياس التفاعل مع المواد التدريبية
• رصد الحوادث الأمنية بعد التدريب

4️⃣ دراسة حالة: حملة توعية ناجحة

المؤسسة: جامعة افتراضية

المشكلة: زيادة تقارير الاحتيال عبر البريد الإلكتروني

الحل:

• إطلاق حملة توعية مدتها 3 أشهر
• توزيع نشرات توضح كيفية التعرف على رسائل التصيد
• إرسال رسائل اختبارية (Phishing Simulation)
• تكريم الموظفين الذين رصدوا الهجمات بشكل صحيح

النتائج:

• انخفاض الحوادث بنسبة 60%
• زيادة الوعي بين أعضاء هيئة التدريس والطلاب

5️⃣ مخاطر الهندسة الاجتماعية

ما هي الهندسة الاجتماعية؟

هي محاولات لخداع الأفراد للقيام بإجراء معين يؤدي إلى اختراق أمني، دون الحاجة إلى استغلال ثغرات تقنية.

أشهر الأساليب:

• التصيد الاحتيالي (Phishing)
• انتحال الهوية (Impersonation)
• الطُعم الرقمي (Baiting)
• استغلال الفضول (مثل رسائل الجوائز)

الوقاية:

• لا تفتح مرفقات غير معروفة.
• لا تضغط على روابط مشبوهة.
• أبلغ فورًا عن أي تصرف مريب.

6️⃣ النشاط العملي

المهمة:

تصميم برنامج توعية أمني لمؤسسة تعليمية

الخطوات:

1. تحديد الجمهور (مثل: طلاب + إداريين)
2. اختيار الموضوعات (مثل: كلمات المرور – التصيد)
3. تحديد أدوات التنفيذ (فيديو – اختبار تفاعلي – ورشة)
4. وضع خطة تقييم بعد التنفيذ

📚 مراجع ومصادر مقترحة

• NIST SP 800-50: Building an Information Technology Security Awareness and Training Program
• SANS Security Awareness Toolkit
• ISACA: Security Culture & Behavior Guidelines
• فيديوهات: سايبر بالعربي – التوعية ضد الهندسة الاجتماعية
• CISA – Cybersecurity Awareness Month Resources

✅ الخلاصة

لا يوجد نظام أمني فعّال بدون وعي بشري فعّال.

يجب أن تتحول ثقافة المؤسسة من "الامتثال للسياسة" إلى "الاقتناع بالمسؤولية".

كل فرد في المؤسسة – من الطالب إلى المدير – هو جزء من منظومة الحماية.

❝ أكثر الثغرات الأمنية خطورة... هي تلك التي تجلس خلف الشاشة ❞