انتقل إلى المحتوى الرئيسي

6 دقيقة قراءة

ماذا يطلب فعلاً NCA ECC-2 من سحابتك — وما لا يطلبه

حين تقرأ مؤسسة سعودية الضوابط الأساسيّة للأمن السيبراني (ECC-2) من الهيئة الوطنية للأمن السيبراني (NCA) لأوّل مرّة، تنقسم الاستجابة عادةً إلى مَوقفين. فِرَق تُعامِل الأمر بوصفه عمليّة ورقيّة — تكتب السياسة، تأخذ الإقرار، تَحفَظ الملف. وأخرى تُبالغ في الهندسة — تشتري حُزمة امتثال، تُضيف فريق تدقيق، تُعامل كلّ ضابط مشروعاً مُمتدّاً لأرباع. كِلتا الاستجابتين تُغفل ما يطلبه الإطار فعلاً من البنية السحابيّة، وهو يقع تماماً بينهما.

هذا المقال هو ما نقوله لفِرَق الهندسة التي نعمل معها عن ECC-2 والسحابة، قبل أن يصل المُدقِّق.

ما يُؤكِّده ECC-2 فعلاً

ECC-2 إطار ضوابط. لا يَفرض مكدّساً تقنيّاً. يُؤكِّد ما يجب أن يكون صحيحاً في بيئتك — مثلاً، أنّ الوصول إلى الأصول المعلوماتيّة مُسجَّل ومُراجَع، وأنّ البيانات مُصنَّفة ومُعالَجة وفق تصنيفها، وأنّ التغيير على الإنتاج يَمرّ بعمليّة مَضبوطة، وأنّ البيئة مُراقَبة باستمرار، وأنّ للحوادث عمليّة استجابة محدَّدة. يَترك الإطارُ كيفيّةَ تطبيقك لتلك التأكيدات مفتوحةً، ما دام التطبيق قابلاً للتحقُّق والتدقيق.

بالنسبة للبنية السحابيّة، يَعني هذا أكثر ممّا يبدو. لا يقول ECC-2 «استخدم SIEM سحابي-أصليّ» أو «سَجِّل في منصّة بعينها». بل يقول إنّ البيئة يجب أن تُراقَب باستمرار، وأنّ السجلّات يجب أن تُحفَظ، وأنّ التنبيهات يجب أن تَصل إلى إنسان. الفريق الذي يَقضي ستّة أشهر في تقييم بائعي SIEM قبل أن يقرأ الإطار قد أهدر ستّة أشهر. والفريق الذي يُعامل الأمر تأشيراً للصناديق — «لدينا سجلّات، هذه لقطة شاشة» — سيَفشل في أوّل تدقيق حقيقيّ.

ما يَطلبه الإطار فعلاً من السحابة — بصورة محدَّدة

مُترجَماً إلى الهندسة، يَطلب ECC-2 في بيئة سحابيّة (كحدٍّ أدنى):

  • رؤية الأصول. يجب أن تَعلم ما الذي يَعمل، وأين، وبأيّ بيانات اعتماد، ومنذ متى. في بيئة سحابيّة، يَعني هذا جردةً مَصُونة للحوسبة والتخزين والهويّات والشبكة والأسرار وSaaS — لا جدول إكسل لمرّة واحدة.
  • ضوابط الهويّة والوصول. إدارة الوصول المُمتاز، والمصادقة متعدّدة العوامل، والوصول القائم على الأدوار كحدٍّ أدنى، مع مُراجعة دوريّة. يَهتمّ الإطار بأداة IAM لديك أقلَّ ممّا يَهتمّ بقدرتك على إثبات مَن كان لديه أيّ وصول في تاريخٍ يجب الإبلاغ عنه.
  • مراقبة مستمرّة. سجلّات من الحوسبة والهويّة والشبكة والتطبيق؛ تنبيهات تَصل إلى إنسان؛ مدّة احتفاظ تَكفي لدعم تحقيقات الحوادث والتدقيق. مدّة الاحتفاظ يُحدّدها مُنظِّم قطاعك، لا ECC-2 مباشرةً — اقرأ الإطار الذي ينطبق على صناعتك إلى جانب ECC-2.
  • ضبط التغيير. يجب أن يَمرّ التغيير على الإنتاج بعمليّة محدَّدة وموثَّقة بالأدلّة. البنية-كَشِفرة بمراجعة طلبات السحب هي أنظف مسار؛ ومسار اعتماد يدويّ بأدلّة مُرفقة مَقبول.
  • الاستجابة للحوادث. عمليّة موثَّقة، مستجيبون مُعيَّنون، والعَضَل التشغيليّ لتشغيلها فعلاً. سيَسأل الإطارُ عمّا إذا كنتَ قد اختبرتَ العمليّة — لا فقط ما إذا كنتَ قد كتبتَها.
  • تصنيف البيانات والتعامل معها. يجب أن تُصنَّف البيانات، وتُعالَج وفق تصنيفها، وتُتلَف بشكل سليم. في بيئة سحابيّة، يَعني هذا عادةً تشفيراً عند الراحة بإدارة مفاتيح دوريّة، وتشفيراً أثناء النقل، وإجراءات إتلاف يُمكن الدفاع عنها.

ما لا يَطلبه ECC-2:

  • مزوِّدَ سحابة بعينه، أو SIEM بعينه، أو حُزمة امتثال بعينها.
  • أن يُحَلَّ كلّ ضابط بأتمتة. الضوابط اليدويّة بأدلّة موثَّقة صالحة.
  • أن تُسلِّم في دورة واحدة. التطبيقات الناضجة مُتدرِّجة؛ يَهتمّ المُدقِّق باتّجاه سَيرك بقدر اهتمامه بحالتك الراهنة.

أين نَرى التطبيقات تنحرف

الأنماط المتكرّرة التي نَراها حين نُستدعى لإصلاح تطبيقات ECC-2:

  • تسجيل بلا تنبيه. الفريق لديه سجلّات تدقيق مُهيَّأة، ومدّة الاحتفاظ جيّدة — لكن لا تَنبيهات تَصل إلى إنسان، والسجلّات لا تُستعلَم إلّا بعد تصاعُد الحادث.
  • انجراف الهويّة. التطبيق المبدئيّ نظيف؛ بعد ستّة أشهر تَجد حسابات خدمة خامدة بصلاحيّات مُرفَّعة، واستثناءات MFA لا يَملكها أحد، وسياسات IAM انجرفت بعد موعد مراجعتها.
  • الدليل في الطبقة الخاطئة. لقطات شاشة في مجلّد مُشترك بدلَ دليل يُصدره النظام نفسه. الأوّل عبء صيانة؛ والثاني هو التصميم.
  • انحياز سحابة واحدة. تطبيقات تَعمل على مزوّد سحابة واحد وتنكسر لحظة انتقال حِملٍ إلى آخر، أو إلى مزوّد سعوديّ إقليميّ — وأكثر مُشتري ECC-2 سيَحتاجون استخدام ذلك في النهاية.

ما نُهندسه لبيئات ECC-2

منهجنا نقيض الامتثال الذي تقوده الورقة. نُهندس دليلَ الامتثال ناتجاً حتميّاً عن البنية — استيعاب سحابيّ بلا وكلاء، تقييم قواعد حتميّ وفق ضوابط ECC-2 ذات الصلة وأطره الشقيقة (NCA CCC-2 وDCC-1 وPDPL وISO 27001 وNIST CSF 2.0)، وتوثيق تشفيريّ مُرفَق بكلّ تحقُّق. الأثر الذي يَستلمه المُدقِّق ليس لقطة شاشة ولا تقريراً ربعيّاً؛ بل ادّعاء قابل للتحقُّق المستمرّ. يَعمل المحرَّك ذاتيَّ الاستضافة، قابلاً للعزل التام، مع تحكّم العميل في مفاتيح التشفير ومسارات البيانات — لأنّ المُشترين الذين كُتب ECC-2 لأجلهم لا يَطرحون إرسال أدلّتهم إلى SaaS تابع لطرف ثالث على الطاولة.

اقرأ نبذة قدرة أتمتة الامتثال السحابي للعمق الهندسيّ، أو ابدأ مشروعاً إن كان لديك برنامج ECC-2 يَحتاج الطبقة الهندسيّة وراءه.

محتوى ذو صلة

تريد مهندسين كبار على مشروعك، لا مقالاً عنه فحسب؟

أخبرنا بما تبنيه — وسنُخبرك إن كانت إحدى قدراتنا تناسبه، أم أنّ مشروعك يستلزم ما نبنيه من الصفر.

ابدأ مشروعك تواصل عبر واتساب