الممارسات المقبولة:

أ‌.    تحديث المعرفة الأمنية: على العاملين الالتزام بتحديث معلوماتهم الأمنية بشكل مستمر وحضور التدريبات المتعلقة بأمن المعلومات.

ب‌.  التزام بقواعد الدخول والخروج: الالتزام باستخدام بطاقات التعريف للدخول إلى الأنظمة الحساسة، وعدم مشاركة بطاقات التعريف مع الآخرين.

ت‌.  التعامل بحذر مع البيانات الحساسة: حماية المعلومات الحساسة من الوصول غير المصرح به وعدم تبادلها عبر قنوات غير آمنة.

ث‌.  استخدام البرامج المرخصة فقط: الالتزام باستخدام البرمجيات المرخصة والتي تمت الموافقة عليها من قبل قسم تكنولوجيا المعلومات في المؤسسة.

ج‌.  الإبلاغ عن أي نشاط مشبوه: إخطار قسم أمن المعلومات فورًا في حالة الاشتباه بأي نشاط غير طبيعي أو محاولة اختراق.

الممارسات غير المقبولة:

أ‌.    تجاوز الصلاحيات: محاولة الوصول إلى معلومات أو أنظمة خارج نطاق صلاحيات الموظف يعد خرقًا أمنيًا.

ب‌.  استخدام حسابات الآخرين: استخدام حسابات دخول موظفين آخرين للوصول إلى الأنظمة غير مسموح.

ت‌.  الإهمال في التعامل مع الأجهزة: ترك الأجهزة الإلكترونية مثل الحواسيب دون حماية بكلمات مرور أو في أماكن غير آمنة.

ث‌.  نقل المعلومات بطرق غير آمنة: إرسال البيانات الحساسة عبر البريد الإلكتروني دون تشفير أو تخزينها في أجهزة شخصية غير مؤمنة.

ج‌.  مشاركة كلمات المرور: تبادل أو مشاركة كلمات المرور بين الموظفين يؤدي إلى زيادة مخاطر الاختراقات.

محاكاة عملية

السيناريو المقبول:

موظف يستخدم الحاسوب الخاص به: ( أ ) ، موظف في قسم الموارد البشرية، يدخل إلى نظام المعلومات الخاص بالشركة باستخدام بطاقة التعريف الشخصية وكلمة مرور قوية. يقوم بتحديث بيانات الموظفين من خلال منصة آمنة، ويحرص على عدم ترك حاسوبه دون قفل الشاشة عند الابتعاد عنه. بعد انتهاء عمله، يقوم بتسجيل الخروج من النظام ويغلق جهازه تمامًا.

السيناريو غير المقبول:

موظف يتجاهل قواعد الأمان: سمير، موظف جديد، يدخل إلى النظام باستخدام حسابه الشخصي، لكنه يترك جهاز الحاسوب مفتوحًا دون قفل عندما يغادر مكتبه. يقوم زميله بالوصول إلى جهازه عن طريق حسابه الشخصي ويطلع على بيانات حساسة خاصة بالموظفين الآخرين، وهو ما يمثل خرقًا واضحًا لسياسات أمن المعلومات.

الإجراءات المتبعة لتصحيح الأخطاء:

أ‌.    التدريب الفوري: الموظف الذي ارتكب الخطأ يجب أن يخضع لتدريب إضافي حول أفضل الممارسات لأمن المعلومات.

ب‌.  توجيه تحذير رسمي: يتم تقديم تحذير كتابي للموظف الذي خالف السياسات لضمان عدم تكرار الخطأ.

ت‌.  مراجعة وتقييد الصلاحيات: في حال تكرار الانتهاكات، يتم مراجعة صلاحيات الموظف وتقليلها إذا لزم الأمر لمنع الوصول غير المصرح به.

ث‌.  تفعيل أنظمة الرقابة: زيادة مراقبة أنشطة الدخول والخروج من الأنظمة عبر استخدام برامج متخصصة للكشف عن أي سلوك غير طبيعي.

تساعد هذه السياسة في الحد من الأخطاء البشرية، وتعزيز أمن العاملين في التعامل مع الأنظمة التكنولوجية في المؤسسة.