الموظفون هم المفتاح للحد من مخاطر اختراق البيانات
تشجيع العمال على اكتشاف التهديدات الأمنية والإبلاغ عنها
هذا هو المقال الأول في سلسلة من ثلاثة أجزاء حول أمن البيانات. يتناول المقال الأول دور الموظفين في حماية البيانات. وسيتناول الجزء الثاني كيفية الحد من مخاطر اختراق البيانات في الأجهزة المحمولة، بينما يركز الجزء الثالث علىفرق الأمن متعددة التخصصات.
لضمان حماية معلومات الشركة والمستهلكين والموظفين، يجب على أصحاب العمل فهم قوانين أمن البيانات التي تغطي مكان عملهم وتدريب الموظفين على معرفة دورهم في تقليل مخاطر انتهاك البيانات.
توجد في كل ولاية قانون خاص بانتهاك البيانات يُلزم الشركات بإرسال إخطارات عند تعرض المعلومات الشخصية للعملاء أو الموظفين (مثل رقم الضمان الاجتماعي أو رقم الحساب المصرفي) للخطر — سواء كان ذلك عن قصد من قِبل قراصنة أو موظفين غاضبين، أو بسبب خطأ ارتكبه أحد العاملين. قالت دانييل أوربان، المحامية في شركة «فيشر فيليبس» بمدينة دنفر: «نسمع عن حالات انتهاك كبيرة للبيانات على يد قراصنة خارجيين، لكن غالبية المشاكل تحدث داخل المؤسسة نفسها». قد يترك الموظفون الذين لديهم حق الوصول إلى المعلومات السرية هاتفًا ذكيًا صادرًا عن الشركة على طاولة في مقهى عن طريق الخطأ أو يستجيبون دون قصد لعملية احتيال عبر التصيد. وفي أحيان أخرى، قد يكشف الموظفون الساخطون عن معلومات خاصة بالمنظمة عن عمد.
وضع برنامج
وقالت دانييل فانديرزاندن، المحامية في مكتب أوغليتري ديكينز في بوسطن، إنه بما أن الموظفين يُعتبرون، حسبما يُذكر،المصدر الرئيسيللحوادث الأمنية، فإن مشاركة الموظفين أمر ضروري لمكافحة انتهاكات البيانات.
يجب أن يعرف الموظفون كيفية التعرف على التهديدات، وينبغي أن يشعروا بالراحة في الإبلاغ عن أي حوادث لمنع حدوث خرق أو لتفعيل إجراءات الإخطار الإلزامية.
أوصى فيليب جوردون، المحامي في شركة «ليتلر» بمدينة دنفر، بأن يتخذ أرباب العمل الخطوات التالية لترسيخ ثقافة الوعي بأمن البيانات والالتزام به:
- إجراء فحص شامل قبل التوظيف لتجنب تعيين أشخاص يشكلون خطراً على المعلومات الشخصية.
- اطلب من الموظفين التوقيع على اتفاقيات السرية لتأكيد أهمية حماية المعلومات.
- توفير تدريب دوري في مجال أمن المعلومات للموظفين الجدد والحاليين، مع التركيز على كيفية التعرف على عمليات الاحتيال عبر التصيد وحماية الأجهزة المحمولة.
- يجب قصر الوصول إلى المعلومات الشخصية على الموظفين الذين يحتاجون إليها لأداء مهام عملهم.
- ضع سياسات لأمن المعلومات مخصصة للموظفين في جميع الأقسام، وليس فقط لقسم تكنولوجيا المعلومات.
وقال جوردون إن على أرباب العمل أيضًا التأكد من أن الموظفين المغادرين يعيدون جميع المعدات التي زودتهم بها الشركة، ويحذفون جميع المعلومات التجارية السرية من أجهزتهم وحساباتهم الشخصية.
الالتزام بقوانين الولاية
يتعين على الشركات ضمان سلامة بيانات المستهلكين والموظفين، ومعرفة متى يجب الإبلاغ عن التهديدات الأمنية.
قال فانديرزاندن إن الغالبية العظمى من قوانين الولايات المتعلقة بانتهاك خصوصية البيانات لا تنطبق إلا على فئات محدودة من المعلومات. ففي معظم الولايات، تتألف المعلومات الشخصية المُعرّفة (PII) من الاسم الأول أو الحرف الأول من الاسم الأول مقترناً باللقب، بالإضافة إلى:
- رقم الضمان الاجتماعي.
- رقم رخصة القيادة.
- رقم حساب مصرفي أو بطاقة ائتمان أو أي رقم حساب مالي آخر.
في السنوات القليلة الماضية، أضافت العديد من الولايات فئات جديدة من المعلومات الشخصية المحمية، بما في ذلك المعلومات الطبية وأي معلومات متعلقة بالحسابات مقترنة برقم تعريف شخصي أو كلمة مرور.
يتمثل أحد الأهداف الرئيسية لهذه القوانين في حث الشركات على التركيز على الوقاية. ولذلك، تتضمن جميع قوانين الولايات بنداً يُعرف بـ«الملاذ الآمن»، والذي بموجبه لا يُطلب من المؤسسة الإبلاغ عن أي اختراق للمعلومات إذا كانت البيانات مشفرة ولم يتم تضمين مفتاح فك التشفير مع المعلومات المخترقة.
تشترط العديد من الولايات على الشركات إخطار المدعي العام للولاية أو السلطات الحكومية الأخرى في حالة حدوث خرق للبيانات. لكن غوردون أشار إلى أن معظم قوانين الولايات لا تشترط الإخطار إلا إذا كان الخرق من شأنه الإضرار بالأفراد المتضررين.
[أسئلة وأجوبة حول الموارد البشريةSHRM : ما هي بعض أفضل الممارسات لحماية بيانات الموظفين؟]
على الرغم من وجود بعض أوجه التشابه بين قوانين أمن المعلومات على مستوى الولايات، إلا أنها تختلف عمومًا في تعريفاتها للمعلومات الشخصية المحددة الهوية (PII)، وما يشكل خرقًا، ومن يجب إخطاره. على سبيل المثال، يُعرّف قانون ولاية كولورادو الخرق بأنه «الحصول غير المصرح به على بيانات محوسبة غير مشفرة، مما يعرض أمن أو سرية أو سلامة المعلومات الشخصية التي تحتفظ بها الكيانات الخاضعة للقانون للخطر». ويشير قانون ولاية هاواي إلى أن الوصول غير المصرح به إلى السجلات المشفرة لا يشكل خرقًا ما لم يتضمن هذا الكشف مفتاح التشفير.
تشترط ولايات كاليفورنيا وكونيتيكت وديلاوير على الشركات التي تعرضت لاختراق أن تقدم خدمات حماية الهوية للأفراد المتضررين.
تحمي قوانين ولايتي ألاباما وكاليفورنيا حسابات البريد الإلكتروني والحسابات الأخرى عندما يتضمن الكشف معلومات كافية تتيح الوصول إلى أشخاص غير مالك الحساب.
قال فانديرزاندن إن الموظفين هم حراس المعلومات الشخصية، لذا يجب تدريبهم على إجراءات الأمن والحماية، بما في ذلك التوعية بخطر التصيد الاحتيالي.
نهج من ثلاثة أجزاء
وقال فانديرزاندن: "ينبغي على أرباب العمل التركيز على ثلاث ركائز للأمن: الأمن التقني، والأمن المادي، وتدريب الموظفين". ويشمل الأمن التقني استخدام جدران الحماية وإعداد كلمات مرور قوية، وتقييد عمليات التنزيل، وتشفير البيانات، ومراقبة الهجمات. أما الأمن المادي فيشمل إغلاق الملفات والمكاتب والغرف التي تحتوي على معلومات حساسة أو خوادم، وتقييد الوصول المادي إلى مكان العمل باستخدام البطاقات الممغنطة أو المفاتيح المادية أو البيانات البيومترية.
وقالت إن على الشركات أن تضمن أيضًا ألا يتمكن العمال من الوصول إلا إلى البيانات التي يحتاجونها لأداء مهامهم.
قالت ستيفاني راويت، المحامية في شركة «كلارك هيل» بفيلادلفيا، إن على الموظفين أن يعرفوا كيفية اكتشاف الأنشطة المشبوهة وماذا يفعلون إذا نقروا عن غير قصد على رابط أو ضغطوا على زر أو دخلوا إلى موقع إلكتروني قد يعرض بيانات الشركة للخطر. «من المهم أن يكون لدى أرباب العمل سياسات جيدة وأن يقوموا بتوعية الموظفين».
وقال فانديرزاندن إنه ينبغي أيضًا تشجيع الموظفين على اتخاذ الخطوات اللازمة لمنع زملائهم من الكشف عن المعلومات. "ويشمل ذلك الإبلاغ عن الأنشطة المشبوهة."
وأشار أوربان إلى أنه من الضروري وضع خطة للتعامل مع حالات اختراق البيانات قبل وقوع أي حادث. "إذا لم تكن قد فكرت في كيفية التصرف في حالة حدوث اختراق للبيانات، فلن تكون مستعدًا عندما يحدث ذلك."
الجزء الثاني: كيفية الحد من مخاطر تسرب البيانات في الأجهزة المحمولة
مقالات ذات صلة
تعرّف على كيفية نجاح شركة مارش ماكلينان في تعزيز رفاهية الموظفين باستخدام الأدوات الرقمية، وتحسين الإنتاجية والرضا عن العمل لأكثر من 20,000 موظف.
ويتوقع بعض الخبراء أن يساعد انتشار الذكاء الاصطناعي في مكان العمل، والزيادة المتوقعة في الإنتاجية والكفاءة المترتبة على ذلك، في بدء أسبوع العمل الذي يستمر أربعة أيام.
مع استمرار تطور تكنولوجيا الذكاء الاصطناعي، سيزداد الطلب على العمال الذين لديهم القدرة على العمل جنباً إلى جنب مع أنظمة الذكاء الاصطناعي وإدارتها. وهذا يعني أن العمال غير القادرين على التأقلم وتعلم هذه المهارات الجديدة سوف يتخلفون عن الركب في سوق العمل.