📚 قاعدة المعرفة

تفرض الهيئة الوطنية للأمن السيبراني في المملكة العربية السعودية معايير تشفير قوية لحماية بيانات الحوسبة السحابية. يجب على المؤسسات تنفيذ التشفير للبيانات الثابتة باستخدام خوارزمية AES-256 أو ما يعادلها، وبروتوكول TLS 1.2 أو أعلى للبيانات أثناء النقل. بالنسبة لبيانات المستوى الأول (L1) شديدة الحساسية، يجب إدارة مفاتيح التشفير داخل المملكة العربية السعودية، إما من قبل المؤسسة نفسها أو من خلال خدمات إدارة المفاتيح المعتمدة. تتطلب الضوابط الأساسية للأمن السيبراني من المؤسسات تنفيذ ممارسات إدارة مفاتيح مناسبة، بما في ذلك تدوير المفاتيح وتخزين المفاتيح الآمن والفصل بين إدارة المفاتيح وتخزين البيانات. يجب على المؤسسات استخدام وحدات الأمان للأجهزة (HSMs) لعمليات إدارة المفاتيح الحرجة. بالإضافة إلى ذلك، يجب تطبيق التشفير على النسخ الاحتياطية وقواعد البيانات ووحدات التخزين. يجب على مزودي الخدمات السحابية إثبات الامتثال لمتطلبات التشفير هذه، ويجب على المؤسسات التحقق من تنفيذ التشفير من خلال تقييمات وعمليات تدقيق أمنية منتظمة كما تتطلب اللوائح السعودية.

يجب على المؤسسات التي تدير بيئات سحابية في المملكة العربية السعودية الامتثال لمتطلبات الاستجابة للحوادث والمراقبة الصادرة عن الهيئة الوطنية للأمن السيبراني. يشمل ذلك تنفيذ مراقبة أمنية على مدار الساعة طوال أيام الأسبوع وتسجيل جميع الأنشطة السحابية، مع الاحتفاظ بالسجلات لمدة سنة واحدة على الأقل. يجب على المؤسسات نشر أنظمة إدارة معلومات وأحداث الأمن (SIEM) للكشف عن الحوادث الأمنية والاستجابة لها في الوقت الفعلي. يجب أن تغطي مراقبة الأمن السحابي محاولات الوصول وتغييرات التكوين ونقل البيانات والأنشطة الشاذة. يجب على المؤسسات الإبلاغ عن حوادث الأمن السيبراني للهيئة الوطنية للأمن السيبراني في غضون 72 ساعة من اكتشافها، خاصة تلك التي تؤثر على البنية التحتية الحيوية أو تتضمن اختراقات للبيانات. يجب تطوير خطة استجابة للحوادث خاصة ببيئات الحوسبة السحابية واختبارها بانتظام وتشمل إجراءات الاحتواء والقضاء والاستعادة. يجب على المؤسسات أيضًا تنفيذ الكشف الآلي عن التهديدات وإجراء تقييمات منتظمة للثغرات والحفاظ على التكامل بين أدوات أمان مزود الخدمة السحابية ومراكز عمليات الأمن الداخلية لضمان الرؤية الشاملة والاستجابة السريعة للحوادث.

لدى المملكة العربية السعودية متطلبات صارمة للاستجابة للحوادث والإخطار بالاختراقات للخدمات السحابية: 1) الإبلاغ الفوري: يجب على المؤسسات الإبلاغ عن حوادث الأمن السيبراني التي تؤثر على الأنظمة السحابية للهيئة الوطنية للأمن السيبراني خلال ساعة واحدة من الاكتشاف للحوادث الحرجة وخلال 24 ساعة للحوادث الكبرى عبر المنصة الوطنية للاستجابة لحوادث الأمن السيبراني، 2) تقارير الحوادث المفصلة: خلال 72 ساعة، يجب تقديم تقرير شامل للحادث يتضمن الأنظمة المتأثرة وأنواع البيانات وتحليل السبب الجذري وخطوات المعالجة، 3) التزامات مزود الخدمة السحابية: يجب على مزودي الخدمات السحابية إخطار عملائهم فوراً عند اكتشاف أي حادث أمني يؤثر على بيانات أو خدمات العملاء، 4) اختراقات البيانات الشخصية: بموجب نظام حماية البيانات الشخصية، يجب الإبلاغ عن الاختراقات التي تشمل البيانات الشخصية لهيئة البيانات والذكاء الاصطناعي والأفراد المتأثرين ضمن أطر زمنية محددة، 5) خطة الاستجابة للحوادث: يجب على المؤسسات الاحتفاظ بإجراءات موثقة للاستجابة للحوادث خاصة بالبيئات السحابية، بما في ذلك الأدوار وإجراءات التصعيد وبروتوكولات الاتصال، 6) الحفاظ على الأدلة الجنائية: يجب الحفاظ على الأدلة بطريقة سليمة جنائياً للتحقيق. قد يؤدي عدم الامتثال لمتطلبات الإخطار إلى عقوبات كبيرة بموجب أنظمة الأمن السيبراني السعودية.

ينطبق إطار الضوابط الأساسية للأمن السيبراني الصادر عن الهيئة الوطنية للأمن السيبراني بشكل شامل على البيئات السحابية في المملكة العربية السعودية. تشمل المتطلبات الرئيسية الخاصة بالسحابة: 1) بنية الأمن السحابي (الضابط 5-1): يجب على المؤسسات تنفيذ بنية سحابية آمنة مع التقسيم المناسب وأمن الشبكات وضوابط الوصول، 2) حماية البيانات (الضابط 4): تشفير البيانات الحساسة في التخزين والنقل السحابي، مع إدارة المفاتيح داخل المملكة، 3) إدارة الهوية والوصول (الضابط 1): تطبيق إدارة الوصول المميز ومبادئ الحد الأدنى من الصلاحيات والمراقبة المستمرة للوصول السحابي، 4) المراقبة الأمنية (الضابط 11): نشر حلول SIEM لمراقبة الأنشطة السحابية واكتشاف الحالات الشاذة، 5) إدارة مخاطر الأطراف الثالثة (الضابط 13): تقييم ومراقبة مستمرة للوضع الأمني لمزودي الخدمات السحابية، 6) النسخ الاحتياطي والاستعادة (الضابط 10): نسخ احتياطية منتظمة مخزنة في مواقع منفصلة جغرافياً داخل المملكة. يجب على المؤسسات إجراء تقييمات امتثال سنوية والاحتفاظ بوثائق تثبت الامتثال للضوابط في نشرها السحابي.

تفرض المملكة العربية السعودية متطلبات صارمة لتوطين البيانات للخدمات السحابية، خاصة للبيانات الحساسة والحيوية. وفقاً لأنظمة هيئة الاتصالات وإرشادات المكتب الوطني لإدارة البيانات: 1) يجب تخزين البيانات الحكومية المصنفة كـ 'سري' أو 'سري للغاية' حصرياً داخل المملكة، 2) يفضل تخزين البيانات الشخصية للمواطنين والمقيمين السعوديين محلياً، مع اشتراط ضمانات مناسبة لنقلها عبر الحدود، 3) يجب أن تبقى بيانات البنية التحتية الحيوية والبيانات من القطاعات الأساسية (الرعاية الصحية، المالية، الطاقة) داخل المملكة، 4) يجب أن يكون لدى مزودي الخدمات السحابية الذين يخدمون الجهات الحكومية مراكز بيانات موجودة فعلياً في المملكة، 5) يجب الحفاظ على سيادة البيانات بشروط تعاقدية واضحة تمنع الوصول غير المصرح به من قبل الحكومات الأجنبية. يجب على المؤسسات التي تستخدم مزودي الخدمات السحابية الدوليين ضمان الامتثال من خلال نماذج هجينة أو مناطق محلية أو حالات مخصصة داخل الأراضي السعودية. تشرف هيئة البيانات والذكاء الاصطناعي السعودية على الامتثال لهذه المتطلبات.

تشمل أفضل ممارسات الأتمتة لمراكز العمليات الأمنية للمؤسسات السعودية: 1) تطبيق منصات تنسيق وأتمتة واستجابة الأمن (SOAR) لتقليل وقت الاستجابة وتلبية متطلبات الإبلاغ السريع للهيئة الوطنية، 2) أتمتة الفرز والتصنيف الأولي للتنبيهات الأمنية بناءً على إطار تصنيف الحوادث للهيئة، 3) إنشاء كتيبات تشغيل آلية لأنواع الحوادث الشائعة (التصيد، البرمجيات الخبيثة، هجمات الحرمان من الخدمة) المتوافقة مع بيئة التهديدات السعودية، 4) دمج موجزات معلومات التهديدات الآلية من فريق الاستجابة للطوارئ والمصادر الدولية مع الحظر التلقائي لمؤشرات الاختراق، 5) أتمتة إعداد تقارير الامتثال لإنشاء تقارير الحوادث المطلوبة ووثائق الامتثال للضوابط الأساسية، 6) تطبيق سير عمل آلي لفحص الثغرات وإدارة التحديثات، 7) استخدام الذكاء الاصطناعي للكشف عن الشذوذ مع ضمان الامتثال لإطار حوكمة الذكاء الاصطناعي لهيئة البيانات، 8) أتمتة تحليلات سلوك المستخدم للكشف عن التهديدات الداخلية، 9) إنشاء إجراءات آلية للنسخ الاحتياطي والاستعادة للأنظمة الحيوية، 10) ضمان تضمين جميع عمليات الأتمتة لمسارات التدقيق للامتثال التنظيمي والتحليل الجنائي.

تشمل أفضل ممارسات تدريب موظفي مراكز العمليات الأمنية في المملكة: 1) ضمان حصول المحللين على شهادات معترف بها دولياً (GIAC، CISSP، CEH أو ما يعادلها) كما توصي الهيئة الوطنية، 2) توفير مواد تدريبية باللغة العربية للسياق المحلي ووثائق الامتثال، 3) إجراء تمارين منتظمة تحاكي سيناريوهات التهديدات الخاصة بالمملكة (مثل الهجمات خلال موسم الحج، استهداف البنية التحتية الحيوية)، 4) تنفيذ برامج تعليم مستمر تغطي تحديثات إطار الضوابط الأساسية والتغييرات التنظيمية المحلية، 5) الشراكة مع الجامعات السعودية وبرامج التدريب التابعة للهيئة الوطنية، 6) التدريب المتقاطع للموظفين على الجوانب التقنية والامتثال لقوانين الأمن السيبراني السعودية، 7) إنشاء برامج إرشاد تجمع المحللين المبتدئين مع المحترفين ذوي الخبرة، 8) طلب تدريب تنشيطي سنوي على إجراءات الاستجابة للحوادث المتوافقة مع إرشادات الهيئة، 9) المشاركة في تمارين الدفاع السيبراني الوطنية التي تنظمها الهيئة أو فريق الاستجابة للطوارئ.

يجب على مراكز العمليات الأمنية في المملكة تنفيذ مشاركة معلومات التهديدات من خلال: 1) التكامل الإلزامي مع منصة معلومات التهديدات لفريق الاستجابة للطوارئ لتلقي ومشاركة مؤشرات الاختراق، 2) المشاركة في مراكز تبادل وتحليل المعلومات الخاصة بالقطاعات الحيوية، 3) الامتثال لمتطلبات الإبلاغ عن الحوادث من خلال مشاركة بيانات التهديدات ضمن الأطر الزمنية المحددة، 4) تطبيق بروتوكول إشارة المرور لتصنيف حساسية المعلومات المشتركة، 5) استخدام صيغ موحدة مثل STIX/TAXII لتبادل بيانات التهديدات تلقائياً، 6) إنشاء اتفاقيات مشاركة ثنائية مع شركاء موثوقين مع احترام متطلبات سيادة البيانات، 7) المساهمة المنتظمة في تقييمات بيئة التهديدات الوطنية، 8) الالتزام بأنظمة هيئة البيانات والذكاء الاصطناعي فيما يتعلق بتصنيف البيانات وحمايتها عند مشاركة معلومات التهديدات.

يجب على مراكز العمليات الأمنية في المملكة تتبع مؤشرات الأداء التالية المتوافقة مع متطلبات الهيئة الوطنية: 1) متوسط وقت الكشف - الوقت المستغرق لتحديد الحوادث الأمنية، 2) متوسط وقت الاستجابة - الوقت من الكشف إلى الاحتواء، 3) متوسط وقت التعافي - الوقت لاستعادة العمليات الطبيعية، 4) عدد الحوادث المكتشفة والمحلولة ضمن الأطر الزمنية للإبلاغ المحددة من الهيئة (ساعة واحدة للحوادث الحرجة)، 5) معدل الإيجابيات الخاطئة لقياس دقة التنبيهات، 6) نسبة تغطية الأصول المراقبة، 7) معدل استخدام معلومات التهديدات، 8) معدل الامتثال للضوابط الأساسية، 9) مستويات تدريب وشهادات الموظفين، 10) فعالية التكامل مع فريق الاستجابة للطوارئ والمبادرات الوطنية. يجب الإبلاغ عن هذه المقاييس للإدارة والجهات المعنية فصلياً.

عند التعامل مع ثغرات اليوم صفر، يجب على المؤسسات السعودية: عزل الأنظمة المتأثرة فوراً إذا تم اكتشاف استغلال، وتطبيق ضوابط تعويضية مثل تجزئة الشبكة والمراقبة المعززة، والإبلاغ عن الثغرة للهيئة الوطنية للأمن السيبراني من خلال قنوات الإبلاغ الرسمية عن الحوادث خلال 24 ساعة للبنية التحتية الحرجة، والتنسيق مع فريق الاستجابة لطوارئ الحاسب الآلي السعودي للحصول على التوجيه ومشاركة معلومات التهديدات، وتجنب الإفصاح العلني حتى التنسيق مع الهيئة الوطنية للأمن السيبراني لمنع الاستغلال الواسع النطاق، وتوثيق جميع الإجراءات المتخذة لأغراض الامتثال والتدقيق، ومراقبة مؤشرات الاختراق الخاصة بالثغرة، والتعامل مع الموردين للحصول على تحديثات طارئة مع تطبيق تدابير تخفيف مؤقتة، ومشاركة معلومات التهديدات المجهولة مع نظراء القطاع من خلال منصات مشاركة المعلومات المعتمدة من الهيئة الوطنية للأمن السيبراني، والتأكد من تدريب فرق الاستجابة للحوادث على سيناريوهات اليوم صفر. يجب على المؤسسات الحفاظ على علاقات مع الباحثين الأمنيين الدوليين مع ضمان توافق الإفصاحات مع مصالح الأمن القومي السعودي.

وفقاً للضوابط الأساسية للأمن السيبراني الصادرة عن الهيئة الوطنية للأمن السيبراني، يجب على المؤسسات السعودية: إجراء تقييمات منتظمة للثغرات الأمنية على الأقل كل ربع سنة للأنظمة الحرجة، وتطبيق أدوات الفحص الآلي للثغرات، وإنشاء عملية لإدارة التحديثات مع جداول زمنية محددة (التحديثات الحرجة خلال 15 يوماً، والعالية المخاطر خلال 30 يوماً)، والحفاظ على جرد للأصول لتتبع جميع الأنظمة التي تتطلب الفحص، وترتيب أولويات الثغرات بناءً على المخاطر والأهمية، وتوثيق وتتبع جهود المعالجة، وإجراء اختبارات الاختراق سنوياً للأنظمة الحرجة، والإبلاغ عن الثغرات الأمنية الكبيرة للسلطات المعنية. يجب على المؤسسات أيضاً التأكد من أن إدارة الثغرات تغطي الخدمات السحابية وتطبيقات الهواتف المحمولة وبيئات التكنولوجيا التشغيلية الشائعة في القطاعات الصناعية السعودية.

يجب على المؤسسات السعودية في قطاعات البنية التحتية الحرجة (الطاقة، الرعاية الصحية، المالية، الاتصالات) ترتيب أولويات الثغرات الأمنية باستخدام نهج قائم على المخاطر: إعطاء الأولوية القصوى للثغرات التي لها استغلالات نشطة تستهدف الكيانات السعودية أو المنطقة، واستخدام درجات CVSS مع تصنيفات أهمية الأصول، وإعطاء الأولوية للأنظمة المتصلة بالإنترنت وتلك التي تعالج البيانات الحساسة، واعتبار الثغرات التي تؤثر على التكنولوجيا التشغيلية وأنظمة التحكم الصناعي حرجة بسبب تأثيرها على البنية التحتية الوطنية، وتقييم التأثير على الأعمال والاضطراب المحتمل للخدمات الأساسية، والتوافق مع الجداول الزمنية التنظيمية لمؤسسة النقد العربي السعودي أو الهيئة الوطنية للأمن السيبراني أو القطاع المحدد، ومراقبة معلومات التهديدات من فريق الاستجابة لطوارئ الحاسب الآلي السعودي والمصادر الإقليمية. يجب أن تحظى الثغرات الحرجة في الأنظمة الداعمة لعمليات الحج أو إنتاج النفط أو الخدمات المالية باهتمام فوري نظراً لأهميتها الوطنية.

يجب على المؤسسات السعودية تطبيق ممارسات شاملة لفحص الثغرات الأمنية بما في ذلك: نشر أدوات الفحص المصادق عليها مثل Qualys أو Rapid7 أو Tenable للشبكات الداخلية، واستخدام كل من الفحوصات الأسبوعية الآلية والتقييمات اليدوية، وإجراء فحوصات خارجية من خارج محيط الشبكة شهرياً، وتطبيق المراقبة المستمرة للأصول الحرجة، والتأكد من تحديث الماسحات الضوئية بأحدث توقيعات الثغرات، وفحص تطبيقات الويب باستخدام أدوات متوافقة مع OWASP، وإجراء فحوصات الامتثال للتكوين وفقاً لمعايير CIS وخطوط الأساس للهيئة الوطنية للأمن السيبراني، وفحص البيئات السحابية (الشائعة في مشاريع التحول الرقمي السعودية)، والحفاظ على تقارير الفحص لأغراض التدقيق (لمدة عامين كحد أدنى وفقاً للهيئة الوطنية للأمن السيبراني)، وتنسيق الفحوصات لتجنب تعطيل العمليات التجارية خاصة خلال شهر رمضان وموسم الحج، واستخدام ميزات التقارير باللغة العربية حيثما كانت متاحة لتسهيل التواصل مع أصحاب المصلحة والإدارة المحلية.

ينظم نظام حماية البيانات الشخصية عمليات نقل البيانات الدولية لضمان استمرار حماية البيانات خارج المملكة. لا يمكن نقل البيانات الشخصية دولياً إلا إذا: 1) كانت الدولة المستقبلة لديها معايير حماية بيانات كافية كما تحددها سدايا؛ 2) تم تطبيق ضمانات مناسبة من خلال قواعد الشركات الملزمة أو البنود التعاقدية القياسية أو مدونات السلوك؛ 3) تم الحصول على موافقة صريحة من صاحب البيانات بعد إبلاغه بالمخاطر؛ 4) كان النقل ضرورياً لتنفيذ العقد أو المطالبات القانونية أو حماية المصالح الحيوية. يجب على المؤسسات إجراء تقييمات أثر النقل والاحتفاظ بالوثائق. تحتفظ سدايا بقائمة بالدول والآليات المعتمدة. يمكن أن تؤدي عمليات النقل الدولية غير المصرح بها إلى عقوبات تصل إلى 3 ملايين ريال، مما يجعل الامتثال أمراً بالغ الأهمية للمؤسسات العاملة عبر الحدود.

تشمل طرق تقديم التدريب على الوعي الأمني الفعالة للمؤسسات السعودية: 1) التعلم المدمج الذي يجمع بين الوحدات الإلكترونية والجلسات الحضورية لاستيعاب تفضيلات التعلم المتنوعة؛ 2) التعلم المصغر من خلال مقاطع فيديو قصيرة ومركزة (3-5 دقائق) يمكن الوصول إليها عبر الأجهزة المحمولة، بما يتماشى مع الاستخدام العالي للهواتف المحمولة في المملكة؛ 3) أسلوب اللعب مع لوحات المتصدرين والمكافآت، المكيفة ثقافياً لتشجيع المشاركة؛ 4) حملات تصيد احتيالي محاكاة مع ملاحظات فورية بالعربية والإنجليزية؛ 5) ورش عمل تفاعلية وتمارين نظرية للأدوار الحرجة؛ 6) سيناريوهات ذات صلة ثقافية تعكس بيئة الأعمال السعودية ومشهد التهديدات المحلية؛ 7) إحاطات تنفيذية لدعم القيادة؛ 8) ملصقات ونشرات إخبارية واتصالات داخلية بالعربية؛ 9) أنظمة إدارة التعلم لتتبع وإعداد تقارير الامتثال؛ و10) التعاون مع مقدمي التدريب السيبراني المحليين المطلعين على الأنظمة السعودية. يجب أن يحترم المحتوى القيم الثقافية وأن يكون متاحاً خلال ساعات العمل المناسبة، مع مراعاة أوقات الصلاة والعادات المحلية.

يجب أن يغطي التدريب على الوعي الأمني في المؤسسات السعودية: 1) التعرف على التصيد الاحتيالي والهندسة الاجتماعية، خاصة الهجمات باللغة العربية التي تستهدف المستخدمين السعوديين؛ 2) أمن كلمات المرور ومتطلبات المصادقة متعددة العوامل؛ 3) التعامل الآمن مع البيانات الحساسة وفقاً للوائح هيئة البيانات والذكاء الاصطناعي ونظام حماية البيانات الشخصية؛ 4) أمن الأجهزة المحمولة نظراً للاستخدام العالي للهواتف الذكية في المملكة؛ 5) مخاطر وسائل التواصل الاجتماعي وإرشادات مشاركة المعلومات؛ 6) إجراءات الإبلاغ عن الحوادث وفقاً لمتطلبات الهيئة الوطنية للأمن السيبراني؛ 7) ممارسات العمل عن بُعد الآمنة؛ 8) الوعي بأمن الحوسبة السحابية؛ 9) التعرف على التهديدات الداخلية؛ و10) الامتثال للأنظمة الخاصة بالقطاعات (المالية، الصحية، الطاقة). يجب تقديم التدريب باللغتين العربية والإنجليزية لضمان الفهم عبر جميع مستويات الموظفين.

يجب على مراكز عمليات الأمن السعودية تتبع هذه المقاييس الحرجة: 1) متوسط الوقت للاكتشاف ومتوسط الوقت للاستجابة بما يتماشى مع الأطر الزمنية للاستجابة للحوادث الخاصة بالهيئة الوطنية للأمن السيبراني، 2) عدد وخطورة الحوادث المبلغ عنها للهيئة مع معدل الامتثال، 3) معدل الإيجابيات الكاذبة لتحسين ضبط التنبيهات وكفاءة المحللين، 4) مقاييس التغطية التي تظهر مراقبة جميع الأصول الحيوية وفقاً لمتطلبات الضوابط الأساسية، 5) معدل اكتشاف التهديدات وإحصائيات الهجمات المحظورة، 6) درجات الامتثال لضوابط الضوابط الأساسية والأنظمة الخاصة بالقطاعات، 7) مقاييس أداء المحللين بما في ذلك وقت إغلاق الحالات ودقة التصعيد، 8) توفر النظام ووقت التشغيل لأدوات المراقبة الأمنية، 9) معدلات إكمال التدريب وحالة الشهادات لموظفي مركز العمليات، 10) دقة تصنيف الحوادث، و11) التقارير المنتظمة للإدارة التنفيذية والهيئة الوطنية للأمن السيبراني حسب المطلوب. يجب توثيق هذه المقاييس باللغتين العربية والإنجليزية للمراجعات التنظيمية.

يجب على مراكز عمليات الأمن في المملكة العربية السعودية دمج معلومات التهديدات من خلال: 1) الاشتراك في مصادر معلومات التهديدات الإقليمية التي تغطي تهديدات الشرق الأوسط ودول مجلس التعاون الخليجي، 2) المشاركة في برامج مشاركة معلومات التهديدات التابعة للهيئة الوطنية للأمن السيبراني ومبادرات المركز الوطني لعمليات الأمن السيبراني، 3) مراقبة الجهات الفاعلة في التهديدات المعروفة باستهداف القطاعات الحيوية السعودية (الطاقة، المالية، الحكومية، الرعاية الصحية)، 4) تطبيق منصات معلومات التهديدات الآلية التي تربط مؤشرات الاختراق المحلية والعالمية، 5) تحليل منتديات الويب المظلم باللغة العربية ووسائل التواصل الاجتماعي للتهديدات الناشئة، 6) التعاون مع مراكز تبادل وتحليل المعلومات الخاصة بالقطاعات، 7) وضع معلومات التهديدات العالمية في سياق البنية التحتية والتطبيقات السعودية المحددة، 8) الحفاظ على ملفات تعريف محدثة للتهديدات لمجموعات التهديدات المستمرة المتقدمة التي تستهدف المنطقة، و9) دمج معلومات التهديدات مع أنظمة SIEM وأدوات الأمن للدفاع الاستباقي.

تشمل أفضل ممارسات التوظيف والتدريب لمراكز عمليات الأمن في المملكة العربية السعودية: 1) تطبيق متطلبات السعودة وفقاً لإرشادات وزارة الموارد البشرية، مع إعطاء الأولوية لتطوير المواهب المحلية، 2) إنشاء هيكل محللين متدرج (المستوى 1، 2، 3) مع مسارات واضحة للتقدم الوظيفي، 3) طلب شهادات مثل GIAC وCISSP وCEH أو الشهادات المعترف بها سعودياً، 4) توفير تدريب ثنائي اللغة (العربية/الإنجليزية) لضمان التواصل والتوثيق الفعال، 5) إجراء تمارين محاكاة منتظمة للهجمات على البنية التحتية الحيوية السعودية، 6) الشراكة مع الجامعات السعودية ومراكز التدريب مثل الصندوق السعودي للتنمية البشرية لتطوير خط المواهب، 7) تنفيذ برامج نقل المعرفة لبناء الخبرات المحلية، 8) توفير تدريب متخصص على الجهات الفاعلة في التهديدات الإقليمية وأنماط الهجمات التي تستهدف المؤسسات السعودية، و9) ضمان التطوير المهني المستمر بما يتماشى مع متطلبات الهيئة الوطنية للأمن السيبراني المتطورة.

يجب على فرق مراكز عمليات الأمن في المملكة العربية السعودية اتباع إطار الإبلاغ عن الحوادث الخاص بالهيئة الوطنية للأمن السيبراني: 1) الإبلاغ عن حوادث الأمن السيبراني للهيئة خلال ساعة واحدة للحوادث الحرجة و24 ساعة للحوادث الكبرى من خلال بوابة الإبلاغ الرسمية، 2) الاحتفاظ بسجلات مفصلة للحوادث باللغتين العربية والإنجليزية، 3) تصنيف الحوادث وفقاً لمستويات الخطورة الخاصة بالهيئة (حرج، عالي، متوسط، منخفض)، 4) تطبيق ضوابط حوكمة الأمن السيبراني ECC-1 لإدارة الحوادث، 5) التنسيق مع فريق الاستجابة للطوارئ السيبرانية التابع للهيئة للتهديدات الكبيرة، 6) توثيق جميع إجراءات الاستجابة وخطوات المعالجة، 7) إجراء مراجعات ما بعد الحوادث وتقديم التقارير حسب المطلوب، و8) ضمان الامتثال للأنظمة الخاصة بالقطاعات (مثل مؤسسة النقد العربي السعودي للمؤسسات المالية، وهيئة الاتصالات وتقنية المعلومات للاتصالات).