إنشاء فريق متعدد الوظائف لمكافحة مشكلات أمن البيانات
اكتشف المعلومات التي يخزنها كل قسم ووضع خطة لحمايتها
هذه هي المقالة الثالثة في سلسلة من ثلاث مقالات حول أمن البيانات. تشرح هذه المقالة كيفية تشكيل فريق أمني متعدد التخصصات. وقد تناول الجزء الأول دور الموظفين في حماية البيانات، بينما ركز الجزء الثاني على كيفية الحد من مخاطر اختراق البيانات في الأجهزة المحمولة.
قد تبدو حماية معلومات الشركة وأجهزتها مهمة تلائم قسم تكنولوجيا المعلومات بشكل أفضل، ولكن برنامج أمن البيانات الفعال يتضمن التعاون مع الموارد البشرية والقادة في جميع أنحاء المؤسسة.
تحتاج الشركات من جميع الأحجام والقطاعات إلى حماية معلوماتها السرية، فضلاً عن بيانات الموظفين والعملاء. ووفقاً لحجم المؤسسة، يمكن أن تقع مسؤولية أمن البيانات على عاتق أقسام الامتثال أو التكنولوجيا أو الشؤون المالية أو الشؤون القانونية أو الموارد البشرية، حسبما ذكرت دانييل فانديرزاندن، المحامية في شركة «أوغليتري ديكينز» في بوسطن. «يعد تحديد الجهات المعنية المناسبة داخل مؤسستك خطوة أولى أساسية».
قال فيليب جوردون، المحامي في شركة «ليتلر» بمدينة دنفر، إن على قادة الموارد البشرية وقادة وحدات الأعمال العمل معًا لتزويد قسم تكنولوجيا المعلومات بمعلومات عن الموظفين المصرح لهم بالوصول إلى البيانات ونطاق الوصول المسموح به. كما يتعين عليهم إبلاغ قسم تكنولوجيا المعلومات على الفور عندما لا يعود الموظف بحاجة إلى حق الوصول أو عندما يغادر الشركة.
أوصت ستيفاني راويت، المحامية في شركة «كلارك هيل» بفيلادلفيا، بتشكيل فريق عمل للتعامل مع حالات الطوارئ المتعلقة بأمن البيانات. وقالت: «هناك العديد من العوامل المتغيرة، لذا ينبغي لفريق العمل إعداد خطة عمل قبل وقوع أي حادث».
ينبغي على الفريق أن يفكر في الاتصال بأخصائيي الأمن السيبراني والعلاقات العامة، فضلاً عن مستشاري شؤون العمل، في حالة وقوع خرق خطير، حيث قد تضطر الشركات إلى الرد على التساؤلات العامة والامتثال لقوانين الولاية المعمول بها بشأن الإبلاغ عن خروقات البيانات.
"إنه مشهد متغير باستمرار"، كما قالت دانييل أوربان، المحامية في شركة فيشر فيليبس بمدينة دنفر. "الأمور تتغير بسرعة، والأخبار عن انتهاكات البيانات تتوالى، ويمكن أن تكلف الانتهاكات الكبيرة ملايين الدولارات، حتى بالنسبة لصاحب العمل الصغير."
تطوير الفريق
قال جوردون إن على قادة الشركات تحديد المشاركين من أقسام تكنولوجيا المعلومات والموارد البشرية والشؤون القانونية ووحدات العمل الأخرى، ممن يلتزمون ببرنامج أمن البيانات ولديهم الوقت الكافي للمشاركة. "عينوا رئيسًا يضمن إنجاز المهام وعقد الاجتماعات وفق جدول أعمال مثمر."
[منصة مناقشة عبر الإنترنتSHRM : SHRM ]
وأضاف أنه ينبغي لأعضاء الفريق أن يجتمعوا بشكل متكرر لمناقشة التغيرات التكنولوجية التي قد تزيد من المخاطر، وتحديث السياسات والإجراءات وفقًا لذلك.
وقال فانديرزاندن إن على أعضاء الفريق أيضًا إجراء جرد للموارد المتوفرة داخل المؤسسة والتأكد من أن جميع الموظفين يدركون أن الحفاظ على أمن المعلومات يمثل معركة يومية. وعلى الرغم من أن أعضاء الفريق ينتمون عادةً إلى أقسام مختلفة، إلا أنه ينبغي أن يكون لديهم هدف مشترك، ألا وهو ضمان توفر الأدوات والتدريب والموارد اللازمة لدى المؤسسة لحماية المعلومات.
وأوصى أوربان بالبدء بإشراك أكبر عدد ممكن من الإدارات في المناقشة، ومعرفة البيانات التي تحتفظ بها، والموظفين الذين يمكنهم الوصول إلى تلك المعلومات. "من الأفضل أن تكون شاملاً للغاية في البداية في محاولة لفهم كل مصدر ممكن للبيانات."
وقال جوردون إن أي عقود تُبرم مع الموردين الذين يتعاملون مع البيانات الحساسة — مثل مقدمي خدمات الرواتب والمزايا — يجب أن تتضمن بندًا صارمًا بشأن أمن المعلومات. وينبغي أن تتعاون أقسام الموارد البشرية وتكنولوجيا المعلومات والشؤون القانونية والمشتريات لضمان اتخاذ الموردين المحتملين التدابير المناسبة لحماية المعلومات.
وقالت أوربان: "من المهم جدًا التفكير في السياسات المعمول بها". وأضافت: "قد يصبح الامتثال للقوانين أمرًا معقدًا إذا كنت تعمل في أكثر من ولاية واحدة أو حتى إذا كان لديك عملاء في أكثر من ولاية واحدة". ونصحت بالاستعانة بمستشار لوضع خطة للتعامل مع حالات اختراق البيانات إذا لم يكن لدى أي شخص داخل الشركة الوقت الكافي للقيام بذلك.
الدورة الكاملة
ينبغي لفريق أمن البيانات أن يتواصل مع الموظفين طوال فترة عملهم في الشركة. وقال فانديرزاندن: "أثناء عملية التعيين، ينبغي على أرباب العمل الحصول على موافقة خطية من الموظفين لحماية المعلومات السرية الخاصة بالشركة وأي معلومات شخصية يمكنهم الوصول إليها".
وأشار جوردون إلى أنه خلال فترة العمل، ينبغي أن تتعاون إدارتا الموارد البشرية وتكنولوجيا المعلومات لتوفير تدريب دوري للموظفين حول أمن المعلومات.
وقال فانديرزاندن: «من الناحية المثالية، ستعمل إدارتا الموارد البشرية وتكنولوجيا المعلومات معًا على الاحتفاظ بقائمة جرد كاملة ومحدثة ودقيقة بعمليات الوصول والاستخدام، وبأي أجهزة يستخدمها الموظفون لأغراض العمل. «وتعد قائمة الجرد هذه أمرًا بالغ الأهمية في حالة نشوب نزاع قانوني».
قال جوردون إنه عند مغادرة الموظفين، يتعين عليهم إعادة جميع المعدات التي زودتهم بها الشركة وحذف جميع المعلومات التجارية السرية من أجهزتهم الشخصية. وينبغي على أرباب العمل النظر في إجراء مقابلات عند المغادرة للتأكد من أن الموظفين المغادرين يتبعون الإجراءات المناسبة.
مقالات ذات صلة
تعرّف على كيفية نجاح شركة مارش ماكلينان في تعزيز رفاهية الموظفين باستخدام الأدوات الرقمية، وتحسين الإنتاجية والرضا عن العمل لأكثر من 20,000 موظف.
ويتوقع بعض الخبراء أن يساعد انتشار الذكاء الاصطناعي في مكان العمل، والزيادة المتوقعة في الإنتاجية والكفاءة المترتبة على ذلك، في بدء أسبوع العمل الذي يستمر أربعة أيام.
مع استمرار تطور تكنولوجيا الذكاء الاصطناعي، سيزداد الطلب على العمال الذين لديهم القدرة على العمل جنباً إلى جنب مع أنظمة الذكاء الاصطناعي وإدارتها. وهذا يعني أن العمال غير القادرين على التأقلم وتعلم هذه المهارات الجديدة سوف يتخلفون عن الركب في سوق العمل.