Gatekeeper
العودة إلى الرؤى
إدارة الهوية والوصول في المنظمات السعودية: أفضل الممارسات ومتطلبات الهيئة الوطنية للأمن السيبراني

إدارة الهوية والوصول في المنظمات السعودية: أفضل الممارسات ومتطلبات الهيئة الوطنية للأمن السيبراني

امتثالبواسطة Gatekeeper

إدارة الهوية والوصول: خط الدفاع الأول

تُشكّل إدارة الهوية والوصول (Identity and Access Management - IAM) حجر الأساس في أي استراتيجية أمن سيبراني ناجحة. في عصر أصبح فيه العمل عن بُعد والأنظمة السحابية والتطبيقات المتعددة واقعاً يومياً، لم يَعد كافياً حماية المحيط الخارجي للشبكة فقط. يجب التحقق من هوية كل مستخدم وتحديد صلاحياته بدقة ومراقبة أنشطته باستمرار.

وفقاً لتقرير Verizon لاختراقات البيانات (DBIR)، فإن أكثر من 80% من الاختراقات المرتبطة بالتطبيقات تنطوي على بيانات اعتماد مسروقة أو ضعيفة. هذه الإحصائية وحدها تكفي لتوضيح أهمية بناء منظومة IAM متينة. في السياق السعودي، تفرض الهيئة الوطنية للأمن السيبراني (NCA) متطلبات محددة لإدارة الهوية والوصول ضمن ضوابط الأمن السيبراني الأساسية.

المكونات الأساسية لمنظومة IAM

تتكون منظومة إدارة الهوية والوصول الشاملة من عدة مكونات متكاملة تعمل معاً لضمان أن الأشخاص المناسبين يملكون الوصول المناسب للموارد المناسبة في الوقت المناسب:

إدارة الهويات (Identity Management)

تُعنى بدورة حياة الهوية الرقمية من الإنشاء إلى الإلغاء. تشمل عمليات إضافة المستخدمين الجدد (Provisioning) وتعديل صلاحياتهم عند تغيير أدوارهم الوظيفية وإلغاء حساباتهم عند مغادرة المنظمة (Deprovisioning). يجب أتمتة هذه العمليات لتقليل الأخطاء البشرية وضمان تنفيذها في الوقت المناسب.

المصادقة (Authentication)

عملية التحقق من هوية المستخدم قبل منحه الوصول. تتراوح آليات المصادقة من كلمات المرور التقليدية إلى المصادقة متعددة العوامل (MFA) والمصادقة البيومترية والشهادات الرقمية ومفاتيح الأمان الفيزيائية (FIDO2). كلمات المرور وحدها لم تَعد كافية لحماية الأنظمة الحساسة.

التفويض (Authorization)

تحديد ما يُسمح للمستخدم المُصادق عليه بفعله. يعتمد على نماذج تحكم بالوصول مثل التحكم المبني على الأدوار (RBAC) والتحكم المبني على السمات (ABAC) والتحكم المبني على السياسات (PBAC). يجب تطبيق مبدأ الامتياز الأقل (Least Privilege) لمنح المستخدمين الحد الأدنى من الصلاحيات اللازمة لأداء مهامهم فقط.

حوكمة الهوية (Identity Governance)

تُعنى بالسياسات والعمليات التي تحكم إدارة الهويات والوصول. تشمل المراجعات الدورية للصلاحيات (Access Reviews)، وفصل المهام (Separation of Duties)، وإثبات الامتثال للجهات الرقابية، وإعداد التقارير والتحليلات.

المصادقة متعددة العوامل (MFA): ضرورة وليست خياراً

تُعد المصادقة متعددة العوامل من أكثر الضوابط الأمنية فعالية في منع الوصول غير المصرح به. تُشير دراسات متعددة إلى أن MFA تمنع أكثر من 99% من هجمات اختراق الحسابات الآلية. تشترط ضوابط NCA تطبيق MFA على جميع الأنظمة الحساسة والوصول عن بُعد والحسابات المميزة.

تعتمد MFA على الجمع بين اثنين أو أكثر من عوامل المصادقة التالية:

  • شيء تعرفه (Knowledge Factor): كلمة المرور أو رمز PIN أو إجابات أسئلة الأمان. يُعد العامل الأكثر شيوعاً لكنه الأضعف عند استخدامه منفرداً بسبب إمكانية التخمين أو السرقة عبر التصيد.

  • شيء تملكه (Possession Factor): هاتف ذكي مع تطبيق مصادقة (مثل Microsoft Authenticator أو Google Authenticator) أو مفتاح أمان فيزيائي (YubiKey) أو بطاقة ذكية. يُوصى بمفاتيح FIDO2 للحسابات عالية الحساسية.

  • شيء أنت عليه (Inherence Factor): البصمة أو التعرف على الوجه أو مسح قزحية العين أو التعرف على الصوت. توفر مستوى عالياً من الأمان لكن تتطلب أجهزة متخصصة واعتبارات خصوصية وفق PDPL.

إدارة الوصول المميز (PAM)

تُمثّل الحسابات المميزة (Privileged Accounts) الهدف الأعلى قيمة للمهاجمين لأنها تمنح وصولاً واسعاً للأنظمة والبيانات الحساسة. تشمل حسابات المدراء (Administrator) وحسابات الخدمة (Service Accounts) وحسابات الوصول الطارئ (Break-Glass Accounts). تتطلب ضوابط NCA تطبيق ضوابط خاصة لإدارة هذه الحسابات:

  1. خزنة كلمات المرور (Password Vault): تخزين بيانات اعتماد الحسابات المميزة في خزنة مشفرة مركزية مع تدوير كلمات المرور تلقائياً بشكل دوري. لا يجب أن يعرف أي شخص كلمة مرور الحساب المميز مباشرة.

  2. تسجيل الجلسات (Session Recording): تسجيل جميع الجلسات المميزة بالفيديو والنص لأغراض التدقيق والتحقيق في الحوادث. يُمكّن هذا من مراجعة كل إجراء اتخذه المستخدم المميز بدقة.

  3. الوصول في الوقت المناسب (Just-In-Time Access): منح الصلاحيات المميزة لفترة محدودة فقط عند الحاجة الفعلية مع سحبها تلقائياً بعد انتهاء المهمة. يُقلل هذا النهج من نافذة التعرض في حال اختراق الحساب.

  4. مراقبة السلوك الشاذ: استخدام تحليلات سلوك المستخدم (UEBA) لرصد الأنشطة غير المعتادة في الحسابات المميزة مثل تسجيل الدخول من مواقع جغرافية غير متوقعة أو في أوقات غير اعتيادية أو الوصول لأنظمة خارج نطاق المهام المعتادة.

تسجيل الدخول الموحد (SSO)

يُتيح تسجيل الدخول الموحد (Single Sign-On) للمستخدمين الوصول إلى تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. يُحقق SSO توازناً بين الأمان وسهولة الاستخدام من خلال:

  • تقليل عدد كلمات المرور التي يحتاج المستخدم لتذكرها مما يُقلل من إعادة استخدام كلمات المرور الضعيفة عبر أنظمة متعددة.

  • تمكين التحكم المركزي في المصادقة مما يُسهّل تطبيق سياسات كلمات المرور القوية والمصادقة متعددة العوامل عبر جميع التطبيقات.

  • تسريع عملية إلغاء الوصول عند مغادرة الموظف حيث يكفي تعطيل الحساب المركزي لمنع الوصول لجميع التطبيقات المرتبطة فوراً.

  • توفير رؤية شاملة لأنشطة المستخدم عبر جميع التطبيقات من خلال نقطة تسجيل مركزية واحدة تُسهّل التدقيق والمراقبة.

يعتمد SSO على بروتوكولات معيارية مثل SAML 2.0 وOpenID Connect (OIDC) وOAuth 2.0. يُوصى باستخدام حلول هوية مؤسسية مثل Microsoft Entra ID أو Okta أو حلول مفتوحة المصدر مثل Keycloak.

متطلبات NCA لإدارة الهوية والوصول

إدارة الهوية والوصول ليست مشروعاً تقنياً بحتاً بل هي عملية حوكمة مستمرة تتطلب تعاوناً بين فرق الأمن السيبراني وتقنية المعلومات والموارد البشرية والإدارة العليا.

تُحدد ضوابط الأمن السيبراني الأساسية (ECC-2:2024) متطلبات تفصيلية لإدارة الهوية والوصول ضمن محور تعزيز الأمن السيبراني. تشمل أبرز المتطلبات:

  • اعتماد سياسة إدارة هوية ووصول شاملة تُغطي إنشاء الحسابات وتعديلها وإلغاءها ومراجعة الصلاحيات الدورية.

  • تطبيق المصادقة متعددة العوامل (MFA) على جميع الأنظمة الحساسة وبوابات الوصول عن بُعد (VPN) ولوحات الإدارة ووحدات التحكم السحابية.

  • تطبيق مبدأ الامتياز الأقل والحاجة للمعرفة مع مراجعة الصلاحيات الممنوحة كل ثلاثة أشهر على الأقل والتأكد من عدم تراكم صلاحيات غير ضرورية.

  • تطبيق سياسة كلمات مرور قوية تتضمن حداً أدنى للطول (12 حرفاً) وتعقيداً ومنع إعادة استخدام كلمات المرور السابقة وقفل الحساب بعد محاولات فاشلة متعددة.

  • إلغاء وصول الموظفين المغادرين فوراً عند انتهاء علاقتهم بالمنظمة مع التأكد من تعطيل جميع حساباتهم عبر جميع الأنظمة.

الخلاصة: الهوية هي المحيط الأمني الجديد

في عالم السحابة والعمل الهجين، لم تَعد جدران الحماية التقليدية كافية لحماية الأصول الرقمية. أصبحت الهوية هي المحيط الأمني الجديد. المنظمات السعودية التي تستثمر في بناء منظومة IAM متينة — تجمع بين المصادقة متعددة العوامل وإدارة الوصول المميز وتسجيل الدخول الموحد وحوكمة الهوية — ستكون أكثر مرونة وصموداً أمام التهديدات المتطورة. ابدأ بتقييم وضعك الحالي وحدد الفجوات وضع خارطة طريق تدريجية لبناء منظومة IAM تتوافق مع متطلبات NCA وتحمي أصولك الرقمية بفعالية.

شارك هذا المقال