الأمن السيبراني للشركات السعودية: من أين تبدأ

بقلم فريق زمام · 29 May 2026

تأتيك النصيحة الأمنية للأعمال عادةً في صورتين: إطارٌ من مئتي صفحة، أو عرض بيعٍ لمنتج لم تفهمه بعد. ولا تفيد أيّ منهما المنشأة السعودية الصغيرة أو المتوسطة التي تريد فقط أن تعرف ما الذي تفعله أولاً. والإجابة الصادقة مطمئنة في بساطتها: العمل الذي يحميك أكثر ليس تصيّد التهديدات الغريب، بل ضبط أساسياتك الظاهرة للعامة وحماية هويّاتك، بالترتيب أدناه تقريباً.

اعرف الأرض التي تقف عليها

جهتان وطنيتان تشكّلان الأساس الذي يستحقّ أن تعرفه:

• تنشر الهيئة الوطنية للأمن السيبراني الضوابط الأساسية للأمن السيبراني، وهي أساسٌ مرجعيٌّ واسع للمؤسسات في المملكة.
• تشرف الهيئة السعودية للبيانات والذكاء الاصطناعي على نظام حماية البيانات الشخصية، الذي يحكم كيف تجمع البيانات الشخصية وتعالجها وتنقلها.

ولستَ مضطرّاً أن تصير خبير امتثال بين ليلة وضحاها. لكنّ خياراتك الأمنية ينبغي أن تتحرّك نحو هذه الأسس لا بعيداً عنها.

أول 90 يوماً

1. عالِج ما يراه العامة. نطاقك وشهاداتك ومصادقة بريدك وترويسات الحماية ظاهرةٌ للجميع، بمن فيهم المهاجمون. ابدأ بمراجعة خارجية، وأغلِق النتائج السهلة — راجع كيف تعرف أن موقعك مكشوف .
2. أحكِم البريد. فعّل مصادقة البريد وادفع سياستها نحو الفرض. يحمي هذا وصولك إلى الوارد وعلامتك من الانتحال معاً — راجع شرح SPF و DKIM و DMARC .
3. احمِ الهويّات. فعّل المصادقة متعددة العوامل¹ أينما توفّرت، خصوصاً للبريد ومزوّد DNS والحسابات الإدارية. فبيانات الدخول المسروقة لا تزال أكثر طرق الدخول شيوعاً.
4. رقّع وجرّد. احتفظ بقائمة بأصولك العامة وبالبرمجيات التي تُشغّلها، وطبّق التحديثات فور صدورها. فالأنظمة المنسيّة غير المرقّعة المتصلة بالإنترنت هي الشرّير المتكرّر في كل اختراق حديث.
5. انسخ احتياطياً وتمرّن. احتفظ بنسخ احتياطية غير متصلة أو غير قابلة للتعديل، وتأكّد — بالاختبار الفعلي لا بالظنّ — أنك تستطيع الاستعادة منها.

ابنِ العادة لا القائمة فحسب

الأمن ليس مشروعاً له تاريخ نهاية. فسطح هجومك العام يتبدّل كلّما أطلقتَ موقعاً، أو تبنّيتَ أداة، أو أوقفتَ خادماً. ومراجعته بوتيرة منتظمة — وهي جوهر فكرة إدارة سطح الهجوم الخارجي — هي ما يمنع الأساسيات من أن تتقادم بصمت.

كيف يساعد زمام

يمنح زمام المنشآت السعودية نقطة بداية عربية واضحة وآمنة: مراجعة خارجية مجانية غير تطفّلية لإعداداتك العامة، يصلك تقريرها بريداً واضحاً. وقد بُني حول السياق المحلي، ولا يكشف النتائج الحساسة علناً أبداً.

ما الذي لا يثبته زمام

زمام لا يمنح شهادة امتثال، ولا يثبت التزامك الكامل بضوابط الهيئة الوطنية للأمن السيبراني، أو نظام حماية البيانات الشخصية، أو أي متطلبات قطاعية. ما يقدّمه هو نقطة بداية دفاعية: رؤية ما يظهر للعامة عن نطاقك، وترتيب إصلاحات واضحة في DNS وTLS ومصادقة البريد وترويسات الأمان.

مراجع سعودية رسمية

• الضوابط الأساسية للأمن السيبراني (ECC) — الهيئة الوطنية للأمن السيبراني
• نظام حماية البيانات الشخصية — الهيئة السعودية للبيانات والذكاء الاصطناعي
• اللائحة التنفيذية لنظام حماية البيانات الشخصية — SDAIA
• إطار الأمن السيبراني NIST 2.0 — مرجع عام لإدارة المخاطر

ذات صلة

• ما هي إدارة سطح الهجوم الخارجي؟
• كيف تعرف أن موقعك مكشوف أو مُخترَق

الهامش