استخدام الكمبيوتر المحمول أو الهاتف الخاص بك للعمل؟ لماذا يشكل ذلك خطرًا أمنيًا على الشركات

المؤمنين أوليفيا مايايز محاضر أول، جامعة ويتواترسراند

في المرة القادمة التي تعمل فيها في مقهى أو مكان عام مماثل، خذ لحظة لتنظر حولك إلى "زملاء العمل" في ذلك اليوم، المنشغلين مثلك بأجهزة الكمبيوتر المحمولة والهواتف المحمولة والأجهزة اللوحية. كم عدد هذه الأجهزة التي تنتمي إلى المنظمات التي تستخدمها؟ أم أنهم - وأنت - يستخدمون أجهزة شخصية لإجراء أعمال الشركة؟

تتبنى العديد من الشركات ممارسة الراحة المعروفة باسم " إحضار جهازك الخاص ". وهذا يسمح للموظفين باستخدام أجهزتهم الشخصية أو المملوكة لهم بشكل خاص مثل الهواتف الذكية وأجهزة الكمبيوتر المحمولة ومحركات أقراص USB وحتى التخزين السحابي الشخصي لأغراض العمل. يشمل المصطلح الأوسع نطاقًا، "إحضار تكنولوجيتك الخاصة"، استخدام البرامج المملوكة للقطاع الخاص للأنشطة التجارية.

وبحسب مؤشر جاهزية الأمن السيبراني لعام 2024 لشركة التكنولوجيا Cisco، أفادت 85% من أكثر من 8000 شركة شملها الاستطلاع حول العالم أن موظفيها دخلوا إلى منصات الشركة باستخدام أجهزة غير مُدارة.

هناك فوائد لا يمكن إنكارها لنهج "إحضار جهازك الخاص". وتشمل هذه الفوائد انخفاض تكاليف الشراء للشركات وزيادة المرونة للموظفين. ولكن هذه الممارسة محفوفة بالمخاطر أيضًا.

لا تتمتع الأجهزة المملوكة للقطاع الخاص دائمًا بتجهيزات أمنية جيدة. وغالبًا ما تفتقر إلى ضوابط أمان نقطة النهاية مثل برامج مكافحة الفيروسات والتشفير (تحويل بيانات النص العادي إلى تنسيق غير قابل للقراءة). وهذا يجعلها عرضة لانتهاكات البيانات وأشكال أخرى من الهجمات الإلكترونية. مثل هذه الهجمات شائعة ويمكن أن تكون مكلفة. وثقت شركة الأمن السيبراني كاسبيرسكي ما يقرب من 33.8 مليون هجوم إلكتروني على الأجهزة المحمولة في جميع أنحاء العالم في عام 2023 - بزيادة بنسبة 50٪ عن أرقام عام 2022.

إذن، ما الذي يمكن للمؤسسات فعله للحد من المخاطر المرتبطة بـ "إحضار جهازك الخاص"؟ بصفتي متخصصًا في الأمن السيبراني وأجري أبحاثًا وأدرس مواضيع الأمن السيبراني، إليك نصيحتي للشركات التي تريد الحفاظ على أمان بياناتها مع السماح للموظفين باستخدام تكنولوجيتهم الخاصة.

من الذي يجب أن يشعر بالقلق؟

يتعين على المؤسسات من جميع الأحجام التي تستخدم الإنترنت وتكنولوجيا الاتصالات في العمليات التجارية أن تعالج المخاطر المرتبطة بـ "الأجهزة الخاصة". ولا يقتصر هذا الأمر على أقسام تكنولوجيا المعلومات. فبدون التعاون بين الفرق الفنية والإدارة، من المستحيل تحقيق التوازن بين الكفاءة التشغيلية وتدابير أمن البيانات القوية.

ينبغي أن يكون هذا أولوية فورية إذا:

 

لا توجد سياسات أو معايير أو إرشادات خاصة بـ "إحضار جهازك الخاص" في مؤسستك أو عملك

لم تقم بإدخال الضمانات الفنية الأساسية للأجهزة الشخصية. قد تكون هذه الضمانات عبارة عن شبكات خاصة افتراضية، وبرامج مكافحة فيروسات حديثة، ومصادقة متعددة العوامل، وتشفير، وأدوات إدارة الأجهزة المحمولة.

لا تمتلك شركتك عمليات كافية لإدارة حسابات المستخدمين (غالبًا ما تكون هذه هي الحال بالنسبة للكيانات التي لا تمتلك موارد تكنولوجيا المعلومات والاتصالات المخصصة)

عمليات تكنولوجيا المعلومات والاتصالات الخاصة بك مجزأة، ولا توجد معايير أو ممارسات موحدة عبر الأقسام

ولم تقم المؤسسة بتقييم المخاطر المرتبطة بممارسات "إحضار جهازك الخاص".

لا يزال الوقت مبكرًا لتعزيز ضوابط الأمن السيبراني لهذه الممارسات. ومع تطور المخاطر السيبرانية، يتعين على المؤسسات التكيف لحماية معلوماتها. قم بتقييم المخاطر المالية والسمعة المترتبة على خرق البيانات وستجد بالتأكيد أن الأمر يستحق إنفاق الأموال مقدمًا لمنع الخسائر الضخمة في المستقبل.

إدارة المخاطر

تستطيع المنظمات التي تمتلك الموارد اللازمة للأمن السيبراني اتخاذ التدابير اللازمة داخليًا. وقد تحتاج منظمات أخرى إلى التفكير في الاستعانة بمصادر خارجية في المجالات الحرجة التي توجد فيها فجوات كبيرة.

أولاً، تحتاج إلى استراتيجية شاملة "إحضار جهازك الخاص" تتناسب مع احتياجات مؤسستك. ويجب أن تتوافق هذه الاستراتيجية مع الأهداف التنظيمية وتحدد من يجب أن يطبق التدابير اللازمة. ويجب أن توضح الاستراتيجية كيف يمكن للسماح للموظفين باستخدام أجهزتهم الخاصة في العمل تلبية احتياجات العمل.

ومن ثم، يتعين على الشركة إنشاء سياسات للمساعدة في إدارة الأجهزة المملوكة للقطاع الخاص.

ولكن لا جدوى من مجرد وضع سياسة على الورق: بل يجب إبلاغها إلى جميع الموظفين، وجعلها متاحة بسهولة في جميع الأوقات من خلال منصات مثل شبكة الإنترنت الداخلية. ويجب إبلاغ جميع المستخدمين بأي تحديثات للسياسة من خلال قنوات مختلفة مثل رسائل البريد الإلكتروني أو ورش العمل. ويجب توفير التدريب المنتظم المخصص. فليس كل شخص لديه خبرة في التكنولوجيا؛ فقد يحتاج الموظفون إلى المساعدة في تثبيت الضمانات اللازمة.

وتذكر أن تطلع فريقك على أي تغييرات. ومن الأهمية بمكان إجراء تقييمات منتظمة (شهرية أو ربع سنوية) أو مستمرة للمخاطر وإجراء التغييرات اللازمة.

من الأهمية بمكان أن تراقب المؤسسة الامتثال وتنفذه. ويتعين على جميع أعضاء الموظفين، من كبار المديرين التنفيذيين إلى الموظفين المبتدئين، الالتزام بالسياسات اللازمة للحفاظ على أمن البيانات. إن الأمن السيبراني مسؤولية مشتركة، ومن المهم أن نكون يقظين بشأن بعض التهديدات، مثل التصيد الاحتيالي - عندما يتظاهر المحتالون بأنهم مسؤولون كبار في الشركة لاستهداف كبار المسؤولين الرئيسيين الآخرين على وجه التحديد.

تجنب الكارثة

يمكن أن تساعد هذه الاستراتيجيات الشركات على منع تحول "إحضار جهازك الخاص" إلى "إحضار كارثتك الخاصة". إن النهج المُدار جيدًا ليس مجرد حماية ضد التهديدات - بل هو استثمار في نمو مؤسستك واستقرارها ومصداقيتها.

Posted in: ذكاء إصطناعي