الخدمات الإستشارية : 

 

  • خدمات إدارية.
  • خدمات تقنية.
  • موارد بشرية.

 

 

 

1- الخدمات الإدارية : 

تقدير الفجوة في أمن المعلومات:

تتمحور هذه الخدمة حول مراجعة المفاهيم والأنظمة والعمليات في أمن المعلومات وتحديد مكامن النقص والضعف بناء على معايير دولية متخصصة في أمن المعلومات، وتظهر فائدة هذه الخطوة المعرفية كثيرا عندالبدء في رسم صورة أوضح لتطوير هذه الأنظمة وبالتالي رفع كفاءة المنظمة للتصدي للهجمات المتوقعة على أنظمتها المعلوماتية الحساسة، كما أن معرفة مكامن النقص تساعد على تقنين الميزانية المخصصة لأمن المعلومات وإعطاء الإدارة العليا حرية أكبر في صرف الفائض على شؤون المنظمة الأخرى.
تحديد المخاطر في أمن المعلومات:

من صرف الجنون أن تقوم بحفظ بيضة في حرز، مالم تكن هذه البيضة من ذهب!

لذا فإن هذه الخدمة تعنى بتعيين الأصول المهمة في المنظمة ومن ثم تحديد المخاطر التي تواجهها وتقييمها واتخاذ الخطوات لخفضها إلى مستوى مقبول، مع الأخذ بالاعتبار لأي احتياطات لازمة يمكن أن تتسبب بها أي مخاطر مستقبلية، فوجود آلية فعالة لتحديدالمخاطر  يعد عنصرًا هامًا ضمن خطة أمن تقنية المعلومات الناجحة.

تطوير خطة استراتيجية لأمن المعلومات:

التخطيط المتميز والمحكم هو سر نجاح أي مشروع، والذي يهدف دائما إلى الحصول على أفضل النتائج بطرق سليمة وفعالة في الزمن المطلوب وتحت نطاق الميزانية الموضوعة، لذا فإن المركز يسخّر جهود مستشاريه لدراسة مختلف المنشأت ومن ثم تطوير خطة أمن معلومات استراتيجية تتماشى مع سياسة عمل المنشأة وتحقق أهدافها المنشودة.، حيث تتضمن هذه الخطة على الرؤية،و الرسالة،و الأهداف،و تحليل نقاط القوة والضعف والفرص والمخاطر (SWOT)،و المشاريع المستقبلية التي تحتاجها الجهة في مجال أمن المعلومات، بالإضافة إلى تحديد مهام إدارة أمن المعلومات وموظفيها، وهيكلة إدارة أمن المعلومات.

تطوير سياسات واجراءات أمن المعلومات:

يعد سن السياسات والاجراءات أحد أبرز المهام المناطة بالإدارة العليا لأي منشآة، حيث يتم وضع هذه السياسات والاجراءات بهدف نشر النظام والوعي داخل المنشأة بما يخص تعاملاتها الداخلية والخارجية، ويتم تطوير السياسات والاجراءات الخاصة بأمن المعلومات كإجراء قانوني و وقائي للحماية ضد الاستعمال الخاطئ لأجهزة وأنظمة المنشأة بما يضمن حفظ المعلومات وسلامتها.

تطبيق المعيار العالمي في أمن المعلومات “آيزو 27001”:

يعد معيار الآيزو 27001 أحد أبرز المعايير العالمية المختصة بأمن المعلومات، حيث يتميز بشموليته وتغطيته لمختلف الجوانب النظرية والتطبيقية للمنشآت، فهو يشمل ما يزيد على 130 عنصر من عناصر التحكم الأمنية والتي عند تطبيقها تكون كافية بإذن الله لضمان أمن معلومات المنشأة المتوفرة في أجهزتها وأنظمتها وتعاملاتها الإلكترونية، وبالتالي حصول المنشأة على شهادة دولية معتمدة باستحقاقها للآيزو 27001.

تطبيق أهم عشرين عنصر من عناصر التحكم الأمني:

بدأت هذه العناصر بالفعل في تغيير مفهوم الأمن داخل المنشآت بمختلف نشاطاتهامن خلال تركيزها على الضوابط الرئيسية التي تمنع الهجمات الإلكترونية المعروفة وتكشفما نتج عنها، حيث توفر هذه العناصرللمسؤولين عن فرض الالتزام والأمن داخل المنشأة ما ينبغي القيام به لتأمين الأنظمة بدرجة أكبر، حيث تعمل هذه العناصر على حماية حدود النظام عن طريق توفير الاعدادات الأمنية الأمثل لمختلف التعاملات الإلكترونية داخل المنشأة.

الاشراف على المشاريع الأمنية:

تختلف الحاجات الأمنية بإختلاف الأعمال والمواقع، لذا فإنه عند رغبة أي منشأة في إتمام أي مشروع أمني فإن المركز يسخر جهود خبراءه في الاشراف على كافة جوانب ذلك المشروع و الإدلاء بمختلف الارشادات التي تساعد على نجاح ذلك المشروع والخروج منه بكافة النتائج المرجوة.

 

 

2- الخدمات التقنية : 

إجراء اختبارات اكتشاف و فحص الثغرات الأمنية:

مع تعجل شركات تقنية المعلومات في طرح حلولها التقنية بدون مراجعة دقيقة للثغرات الأمنية وكذلك عدم اكتراث المبرمجين و المطورين بالجوانب الأمنية للتعاملات الالكترونية فان ذلك يؤدي إلى اختراقات قد تكلف المنظمات الكثير من الخسائر سواء معنوية أو مالية.

إجمالاً ما يتم عملههو اختبار تقني من قبل شخص مختص (مختبِر) لتقييم مستوى الأمن في شبكة الحواسيب والخوادم والأنظمة المعلوماتية والصفحات الإلكترونية المتعلقة بالمنشأة، وهو في مجمله يكون محاكاة لهجوم شخص مجهول على الشبكة الداخلية للمنشأة ومحاولة اختراقها وسرقة المعلومات منها، وهي تنقسم إجمالاً في طريقتها إلى نوعين:

1- اختبار الصندوق الأسود
2- اختبار الصندوق الأبيض

التحليل الجنائي الرقمي:

في هذا العصر أضحى جهاز الحاسوب أحد الأدوات المستخدمة لتنفيذ الجرائم، أو ما يعرف بالجرائم الإلكترونية، والتي يمكن أن تنتج عن اختراق أو اتلاف لشبكة أو نظام أو خادم أي منشأة وما يسببه ذلك من ضرر كبير يمكن أن يسبب الكثير من الخسائر المادية والمعنوية،لذا فإن المركز يسخر جهوده التقنية لاكتشاف الفعل والفاعل سواء كان ذلك عن طرق العمد أو الخطأ من قبل أحد موظفي المنشأة، ويتم ذلك عن طريق تحليل للأدلة الجنائية التي خلفتها تلك الحادثة ومن ثم الحصول على النتائج المطلوبة.
تأمين الدليل النشط ووحدة التحكم بالنطاقات:

يحتوي الدليل النشط (Active Directory) على كافة المعلومات المتعلقةبشبكة الاتصال الخاصة بكم، مثل حسابات المستخدمين والمجموعات والسياسات وحقوق المستخدم وغيرها،لذا فإن تأمين الدليل النشط عموماً ووحدة التحكم بالنطاقات (Domain Controller) خصوصا أمراً في غاية الأهمية، ويستطيع المركز تقديم المساعدةلرفع مستوى أمن الدليل النشطووحدة التحكم بالنطاقات من خلال معالجة ما يتصل بهما من عناصر الأمن الأساسية.
تأمين البنية التحتية للمنشأة:

تضم معظم الشبكات في وقتنا الحالي الكثير من خوادم الحاسب الآلي التي توفر خدمات البنية التحتية لبيئة تقنية المعلومات، ولذلك يعتبر تأمين هذه الخوادم أمرًا ذو أهمية قصوى، ونحن في مركز التميز لأمن المعلومات يمكننا تقديم المساعدة لرفع مستوى أمن هذه الخوادم من خلال معالجة ما يتصل بها من عناصر الأمن الأساسية.
تأمين حسابات المسؤولين:

الشبكة الداخلية تعد هي الشريان الأساسي لأي منشأة ، فهي حامل وناقل معلومات المنشأة وهي التي تكون مستهدفة دائما عند أي هجوم إلكتروني، ولا يقتضي اختراق الشبكة أن يكون هجوما متعمدا بل قد يكون خطأ غير مقصود من قبل أحد موظفي المنشأة، لذا فإن تأمين حسابات عملاء الشبكة وتحديد صلاحياتهم يعد أحد أهم طرق حماية المعلومات المنشأة من أي ضياع أو تلف.

 

 

3- الموارد البشرية : 

التوعية الأمنية:

يحرص المركز دوماً على المبادرة في الجانب التوعوي والتثقيفي،فتحت مظلة الرخصة الوطنية لأمن المعلومات تم إطلاق البرنامج التوعوي “روام – -” وهو برنامج إلكتروني ذاتي التعلم يهدف إلى توعية وتثقيف الموظفين في القطاعات المختلفة بأهمية أمن المعلومات وتأثيره على حفظ سير العمل واستمراريته، وتزويدهم بالعديد من المعلومات في هذا الجانب مما يكفل زيادة المعدل المعرفي لديهم وتوسيع مداركهم للارتقاء بعمل الجهات التي يعملوا لديها وتحقيق الأهداف الأساسية والعليا للمنشأة.

التأهيل:

يتميز المركز بوجوده ضمن بيئة أكاديمية زاخرة داخل أروقة جامعة الملك سعود، لذا فإن المركز يعرف تماما أهمية تأهيل الكوادر البشرية وتطويرهم قدر الإمكان عبر  عناصر نقل المعرفة المختلفة، متمثلة بالدورات التدريبية والبرامج التوعوية والمطبوعات المختصة بأمن المعلومات، حيث يحرص المركز على توفير المحتوى الحديث وتقديمه بشكل يسهل على مختلف الاشخاص فهمه والاستفادة منه، وهي تتوزع على النحو التالي:

  •      أساسيات أمن المعلومات.
  •     كيف تصبح مخترقاً أخلاقياً.
  •     تقييم المخاطر.
  •     تأمين الشبكات.
  •     دورة تطبيقات ASP.NET الآمنة.
  •     المعيار العالمي لأمن المعلومات ISO27001.
  •      نظام التشغيل “لينكس” للمبتدئين.
  •     تأمين أنظمة تشغيل مايكروسوفت ويندوز.
  •     عشرون عنصر من عناصر التحكم الأمني.
  •     التحليل الجنائي الرقمي باستخدام برنامج EnCase.
  •      دورة حياة البرمجة الآمنة.
  •     تطوير تطبيقات آمنة على منصة الهاتف الجوال.