تشكل الأجهزة المحمولة تحديات في مجال أمن البيانات
يجب على أرباب العمل اتخاذ الإجراءات اللازمة لحماية المعلومات السرية المخزنة على الأجهزة
هذه هي المقالة الثانية في سلسلة من ثلاث مقالات حول أمن البيانات. تتناول هذه المقالة كيفية الحد من مخاطر تسرب البيانات في الأجهزة المحمولة. وقد تناول الجزء الأول دور الموظفين في حماية البيانات، بينما يركز الجزء الثالث علىفرق الأمن متعددة التخصصات.
سواءً كان ذلك على أجهزة الكمبيوتر المحمولة أو الأجهزة اللوحية أو الهواتف الذكية، فإن عدداً متزايداً من الموظفين يصطحبون معهم المعلومات التجارية السرية إلى كل مكان يذهبون إليه تقريباً — وقد يتسبب ذلك في تعريض بيانات الشركة للتهديدات الخارجية. وفيما يلي بعض المخاطر المرتبطة بذلك ونصائح حول كيفية قيام الشركات بحماية بياناتها.
تعتبر الأجهزة المحمولة عرضة بشكل خاص للسرقة المادية، حيث يمكن سرقتها بسهولة إذا تُركت دون مراقبة. كما يمكن للمتسللين سرقة البيانات من الأجهزة المحمولة عن بُعد، لا سيما عندما يقوم الموظفون بتوصيل أجهزتهم المحمولة بشبكات لاسلكية في المقاهي والمطارات والأماكن العامة الأخرى.
وأشار فيليب جوردون، المحامي في شركة «ليتلر» بمدينة دنفر، إلى أن العمل في الأماكن العامة ينطوي أيضًا على مخاطر لأن المارة يمكنهم رؤية المعلومات التي تظهر على شاشة الموظف. وقال إن على أرباب العمل النظر في توفير حواجز خصوصية.
قالت دانييل فانديرزاندن، المحامية في مكتب أوغليتري ديكينز في بوسطن: "لا تسبب التنقلية، في حد ذاتها، مشاكل إضافية عندما تكون التدابير التقنية المناسبة مطبقة". "المفتاح هو ضمان أن تتم عمليات نقل البيانات بطريقة آمنة، وأن تكون جميع الأجهزة المستخدمة للوصول إلى بيانات صاحب العمل مؤمنة بشكل سليم".
الضمانات
قال جوردون إن أرباب العمل لا يستطيعون ضمان الحماية الكاملة لجميع البيانات عندما يعمل الموظفون عن بُعد، لكن بإمكانهم اتخاذ خطوات للحد من المخاطر. واقترح أن يضع أرباب العمل الضوابط الأمنية التالية لأي أجهزة تُستخدم للوصول إلى شبكات الشركة:
- التشفير.
- حماية بكلمة مرور.
- إمكانية المسح عن بُعد (لحذف البيانات في حالة ضياع الجهاز أو سرقته).
- مؤقت عدم النشاط الذي سيقوم بتسجيل خروج المستخدم.
- ميزة قفل تلقائي يتم تفعيلها بعد محاولات تسجيل دخول فاشلة.
وأضاف جوردون: "لا ينبغي السماح بالوصول عن بُعد إلى شبكات الشركات إلا من خلال اتصال آمن، مثل الشبكة الخاصة الافتراضية".
وقال بيتر ستولدريهر، المحامي في شركة "ريد سميث" بهيوستن، إن على أرباب العمل أيضًا التأكد من أن جميع الأجهزة المحمولة المملوكة للشركة مسجلة لدى الشركة وأنها تتطلب المصادقة الثنائية.
يضيف نظام تسجيل الدخول متعدد العوامل طبقة إضافية من الأمان من خلال مطالبة الموظف بالرد على رسالة نصية أو إدخال رمز فريد أثناء عملية تسجيل الدخول. وأوضحت ستيفاني راويت، المحامية في شركة «كلارك هيل» بفيلادلفيا، أن هذه الطريقة تتيح للموظف أن يؤكد قائلاً: «نعم، أنا بالفعل الشخص الذي يحاول تسجيل الدخول».
[أسئلة وأجوبة حول الموارد البشريةSHRM : كيف يمكنني التأكد من أن شركتي تحمي المعلومات الشخصية للموظفين؟]
قال فانديرزاندن إن على أرباب العمل حماية معلوماتهم وأجهزتهم من خلال السياسات والاتفاقيات المكتوبة وتدريب الموظفين بشكل مكثف. فعلى سبيل المثال، يجب إرشاد الموظفين إلى الاحتفاظ بأجهزتهم معهم أو في خزنة الفندق طوال الوقت أثناء السفر. كما يجب أن يدركوا أن استخدام بريدهم الإلكتروني الشخصي ليس وسيلة آمنة لنقل المعلومات السرية، ولن يوفر الحماية الكافية للمعلومات الشخصية التي يمكن من خلالها تحديد هوية الموظفين والعملاء.
سياسات "أحضر جهازك الخاص"
يسمح العديد من أرباب العمل للموظفين باستخدام أجهزتهم الشخصية للوصول إلى حسابات البريد الإلكتروني الخاصة بالشركة والمعلومات التجارية الأخرى. لكن سياسات «إحضار جهازك الخاص» (BYOD) تطرح تحديات إضافية في مجال أمن البيانات.
قال فانديرزاندن إنه على الرغم من أن سياسات "أحضر جهازك الخاص" (BYOD) المصاغة بعناية يمكن أن تقلل من المخاطر، فإن المشكلات الأمنية المحتملة المتعلقة بالأجهزة الشخصية أكثر خطورة مقارنة بالأجهزة المملوكة للشركة. فعلى سبيل المثال، عندما يستخدم الموظفون أجهزتهم الخاصة، لا يتمتع صاحب العمل بسيطرة كاملة على أنواع البرامج أو الأجهزة أو التطبيقات التي يستخدمها الموظفون.
وأشار جوردون إلى أن الأجهزة الشخصية للموظفين أكثر عرضة لاحتواء تطبيقات مزودة ببرامج ضارة قد تصيب شبكات الشركة. علاوة على ذلك، لا يحق لأصحاب العمل قانونياً الوصول إلى الأجهزة المملوكة للموظفين دون موافقتهم. لذا، يجب أن يُطلب من جميع الموظفين المشاركين في برنامج «أحضر جهازك الخاص» (BYOD) التوقيع على اتفاقية استخدام تتضمن الإذن لصاحب العمل بمسح المعلومات التجارية السرية عن بُعد من الجهاز، حتى بعد انتهاء الخدمة، على حد قوله.
لكن يجب ألا يتسرع أصحاب العمل في حذف المعلومات من الجهاز. فقد يؤدي مسح الجهاز إلى محو سجل كيفية استخدام الموظف لتلك المعلومات، كما قال فانديرزاندن. فعلى سبيل المثال، لن يتمكن صاحب العمل من معرفة ما إذا كان الموظف قد نسخ معلومات الشركة بشكل غير مسموح به إلى جهاز آخر قبل مسح الجهاز.
وقالت إن صاحب العمل، عند توزيع الأجهزة المملوكة له واستعادتها، يكون لديه عادةً فرصة أكبر لاكتشاف المخالفات السابقة.
يمكن لأصحاب العمل الحد من المخاطر من خلال وضع سياسات "أحضر جهازك الخاص" (BYOD) تتضمن أحكامًا صارمة بشأن السرية وتحدد الاستخدام المسموح به لبيانات الشركة. كما ينبغي النظر في تزويد الموظفين بتطبيق معتمد من الشركة يتمتع بميزات أمان كافية لحماية البريد الإلكتروني وبيانات الشركة على الأجهزة الشخصية للموظفين، حسبما قال ستولدريهر.
قطع الاتصال عند الإنهاء
وقال فانديرزاندن إن على أرباب العمل إجراء مقابلات شاملة مع الموظفين المغادرين الذين كان لديهم حق الوصول إلى بيانات سرية أو حساسة. "وينبغي إجراء مقابلات المغادرة وجهًا لوجه حتى يتسنى تقييم مدى صراحة الموظف."
وأضافت أنه من الممارسات الجيدة الاحتفاظ بنسخة احتياطية من الجهاز — في الحالة التي أُعيد بها إلى الشركة — لأن هذه النسخة قد تكون «كنزًا من المعلومات» في حال ظهور أي مشكلات في المستقبل. «وبالطبع، يجب عمل هذه النسخ قبل مسح الجهاز أو إعادة تخصيصه لمستخدم آخر».
وقال ستولدريهر إن السياسات يجب أن تتضمن متطلبات واضحة تُلزم الموظفين المغادرين بإعادة جميع الأجهزة التي أصدرتها الشركة على الفور، وإعادة أو حذف جميع معلومات الشركة المخزنة على أي أجهزة شخصية.
الجزء الثالث: فرق الأمن متعددة التخصصات تكافح اختراقات البيانات.
مقالات ذات صلة
تعرّف على كيفية نجاح شركة مارش ماكلينان في تعزيز رفاهية الموظفين باستخدام الأدوات الرقمية، وتحسين الإنتاجية والرضا عن العمل لأكثر من 20,000 موظف.
ويتوقع بعض الخبراء أن يساعد انتشار الذكاء الاصطناعي في مكان العمل، والزيادة المتوقعة في الإنتاجية والكفاءة المترتبة على ذلك، في بدء أسبوع العمل الذي يستمر أربعة أيام.
مع استمرار تطور تكنولوجيا الذكاء الاصطناعي، سيزداد الطلب على العمال الذين لديهم القدرة على العمل جنباً إلى جنب مع أنظمة الذكاء الاصطناعي وإدارتها. وهذا يعني أن العمال غير القادرين على التأقلم وتعلم هذه المهارات الجديدة سوف يتخلفون عن الركب في سوق العمل.