جريدة الشرق الاوسط
موظفو المؤسسات… الخطر الأكبر على أمنها المعلوماتي
قد لا تكون نياتهم سيئة لكن بيئة العمل قد تفرض وقوع بعض الأخطاء
قد لا تكون نياتهم سيئة لكن بيئة العمل قد تفرض وقوع بعض الأخطاء
لندن ـ نيويورك: «الشرق الأوسط»
حماية المؤسسات ضد العابثين بها من الداخل من ذوي النوايا الخبيثة تتطلب فرض سياسات خاصة حول الدخول الى المعلومات والوصول اليها، وبالتالي التدقيق في نشاطات المستخدم المطلع على معلومات وانظمة سرية حساسة. وكانت قصص عديدة قد نشرت حول عاملين داخل شركات قاموا بسرقة معلومات حساسة قيمتها ملايين، ان لم تكن مليارات الدولارات. وهذه دورة لا تنتهي.
وأصعب المشاكل التي تواجهها الشركات هي البرامج التجسسية. وهي تهتم بالداخل اكثر وتكلف اكثر من الفيروسات لكونها مصممة بحيث لا يمكن الكشف عنها. لذلك يجب تعلم الوسائل الافضل لحماية شركتك. وبينت الدراسات الواحدة تلو الاخرى، الحقيقة المجردة في ما يتعلق بتغير طبيعة الامن في يومنا هذا. والتهديدات الاخطر في ما يتعلق بالمعلومات والاجهزة التي تمتلكها الشركات، لا تتمثل في قيام مجرمي الفضاء المعلوماتي بكتابة الرموز الخبيثة في اماكن افتراضية، بل تتمثل في موظفيها الذين يكونون موضع ثقتها.
والاداريون الاذكياء يدركون ذلك نظرا لكون المستخدمين في الطرف الاخر هم مؤتمنون على المعلومات الحساسة الخاصة بالمؤسسة، لذلك فانهم يشكلون عامل خطورة كبيرة. ومهما حاولنا تخفيف وطأة هذا التهديد، الا انه يظل امراً يستمر محترفو الامن في مقاومته والتنازع معه. وعلى الرغم من انه لا توجد حلول شبيهة بالرصاصة السحرية إلا ان ثمة خطوات بإمكان المؤسسات اتخاذها لضمان ان سياسات الشركة لا تزال مفروضة بفعالية وبالتالي تحييد اي خطر داخلي.
* مكمن الخطر يمثل المستخدمون خطراً امنيا لاسباب عديدة منها ان حدود الشركات تستمر في الاتساع مع تزايد عدد العاملين الجوالين لديها وتلاقي استخداماتهم الشخصية والمهنية في النقاط والمراكز الطرفية للشركة التي يعملون فيها، فأجهزة الكومبيوتر واللابتوب باتت اكثر شخصية ومعبأة بالتطبيقات التي لا تتعلق بالعمل، والتي من شأنها ان تعرض المؤسسة الى برامج التجسس والمتسللين والتهديدات الاخرى.
وثمة ايضا اخطار متزايدة تترصد حب الاستطلاع لدى المستخدمين في المراكز الطرفية هذه. ويكون اسلوب الخداع على شكل موقع في الشبكة، او رسالة الكترونية مصممة للاحتيال على الموظفين، لكي ينجزوا اعمالا وعمليات لها تأثير كبير على امن الشركة، او فضح معلومات سرية. والأدهى من ذلك ان الموظفين هم في حركة تنقل دائمة بين المؤسسات المتنافسة بسبب قيام هذه المؤسسات بتوظيف الموظفين المهمين طمعا في مهاراتهم، وايضا للحصول على المعلومات السرية التي يجلبونها معهم. وبشكل اجمالي فان التهديد الداخلي سواء كان خبيثا او غير مضر، فهو امر لا يمكن التغاضي عنه ابداً.
ولحماية المؤسسات ضد التهديدات والاخطار الداخلية يتطلب الامر فرض سياسات تتعلق بالوصول الى المعلومات ومراقبة نشاطات المستخدم والتدقيق فيها في ما يتعلق باستخدامه للمعلومات الحساسة والسرية ومنظوماتها. ونتيجة لذلك يتوجب على المديرين المعنيين بشؤون الامن اتخاذ اجراءات لحماية مؤسساتهم ضد اي تهديدات او اخطار.
* أخطاء غير مقصودة في هذا الوقت تتطلب الوقاية ضد اخطاء الموظفين او الحوادث الطارئة فرض سياسة معينة بحيث لا يجري التعويل فقط على المستخدمين في المراكز الطرفية لكي يتخذوا قرارات امنية ذكية. وغالبية الموظفين الابرياء كثيرا ما يتخذون خيارات غير صحيحة عندما يتعلق الامر بالتعاطي مع معلومات الشركة وبياناتها. ومثال على ذلك هو انه مع تزايد قيام المستخدمين باستخدام اجهزة «آي بود» والكاميرات الرقمية والمساعدات الشخصية الرقمية «بي دي أيه» وغيرها، يتوجب على المديرين الامنيين التذكر ان هذه الاجهزة قضت معظم عمرها موصولة الى كومبيوترات المنزل الاقل امنا. وهذا ما يجعل من السهل على المستخدمين تنزيل فيروس مؤذ من دون قصد، او رمز مدمر في أحد كومبيوترات الشركة.
وبإمكان المؤسسات وقاية ذاتها ضد اخطاء الموظفين العفوية والعرضية والخبيثة منها عن طريق مجموعة من الاشخاص والعمليات والاساليب والتقنيات. وينبغي ان تكون هذه سياسات محددة بوضوح لكي توفر تدقيقا مفصلا مع افادات وتقارير. وفي ما يلي بعض الخطوات الاساسية التي يمكن للمؤسسات اتخاذها لتحقيق ذلك.
ـ على المؤسسات اولا الاقرار بالواقع القائل ان الموظفين ليسوا خبراء امنيين، وبالتالي فإنهم معرضون دوما لاتباع سلوك خطر وارتكاب اخطاء، فهم عرضة الى فتح ملحقات رسائل غير امينة، او مطلع عليها من قبل، وتصفح تشكيلة واسعة من المواقع على الشبكة، والنقر على وصلات في البريد الالكتروني، او التراسل الفوري واستخدام نسخ قديمة وغير معدلة ومنقحة من البرمجيات، ووصل اجهزة شخصية او وسائط متعددة من دون فهم (او اهتمام). وهذه كلها لها تأثير ووقع كبيران. ولكون هؤلاء ليسوا خبراء امنيين، كما ذكرنا، ولا يفقهون بصورة عامة خطورة بعض البرمجيات والتهديدات ومواقع الضعف العملية التي تتطلب علاجا فوريا، فان الاعتماد على المستخدمين الطرفيين لكي يقوموا بتركيب اخر التعديلات على البرمجيات يحمل في طياته الكثير من الاخطار والاحتمالات.
وفي البيئات المثالية فإن سياسة الشركة المنصوص عليها تكون كافية بحد ذاتها لإملاء تفاعلات الموظفين مع التقنية. وعلى الرغم من ان سياسة مثل هذه هي خطوة مهمة، فان الواقع هو ان اكثر السياسات صرامة بحاجة الى حلول لدعمها وفرضها، فقد ثبت ان فرض السياسات حيث المستخدمين هم المسؤولون قد اثبت عدم فعاليته وجدواه.
ـ الخطوة الثانية هي انه لتخفيف وطأة التهديدات من الداخل ينبغي ازالة الاعتماد على المستخدمين كخبراء امنيين. ويتوجب على المؤسسات توفير اساليب لتطوير وفرض سياسات تمكن المستخدمين من التركيز على اعمالهم التي بين ايديهم، ولكنها تقلل ايضا خطورة قراراتهم اليومية لدى تفاعلهم مع التقنية. وهذه تتطلب فهم اي مستخدم بحاجة الى الوصول الى تطبيقات محددة، او اجهزة، او معلومات. وايضا فرض سياسات تسمح للمستخدمين بالوصول الى ما هو مطلوب فقط بغية اتمام عملهم بصورة ناجحة، وبالتالي ضمان ان التطبيقات التي هي قيد التداول، قد جرى تحديثها بآخر التنقيحات والتعديلات.
وعن طريق فرض التطبيق والتحكم بالجهاز يمكن للمؤسسات التحكم بمرونة في تنفيذ ملفات معينة، او اجهزة قابلة للنزع والازالة نزولا حتى مستوى المستخدمين. ومثل هذا الاجراء يأخذ القرارات من يدهم ويمكنهم من التركيز على العمل الذي يقومون به. كذلك عن طريق فرض القواعد الاساسية في ما يتعلق بالتعديلات والتجديدات والتنقيحات بإمكان المؤسسات أتمتة معالجة واصلاح العمليات في المؤسسة، بدلا من الاعتماد على المستخدمين. وهذا ما يضمن الحفاظ على الترتيب الامني الصحيح من دون تدخل المستخدمين في ذلك.
* الروح الاجتماعية
* ـ الخطوة الثالثة هي ضمان ممارسة السياسات المتبعة في المؤسسة بأكبر قدر ممكن من الشفافية والروح الاجتماعية بحيث لا تعوق انتاجية المستخدم الطرفي. فمن دون هذه الشفافية فإن المستخدم سينظر الى هذه السياسات ويستوعبها على انها معوق لانتاجيته بحيث سيعثر على اسلوب لتجاوزها والدوران من حولها. وعلى الرغم من انه لا ينبغي على المؤسسة توقع، او الاعتماد على موظفيها، لكي يصبحوا خبراء في مجال الامن، الا ان جعلهم ينخرطون في التدريبات الامنية وسياسات الشركة هي خطوة مهمة للعثور على التوازن بين الامن وانتاجية المستخدم. والاتصالات هي عامل مهم في تثقيف المستخدمين ومنع الاضطراب في انتاجية الموظف. والشرح لهم لماذا فرضت مثل هذه السياسة، هي عامل نجاح مهم. فحالما يدرك العاملون ماذا انت تفعل ولماذا، فانهم يكونون اكثر من مستعدين لتقديم يد المساعدة.
ـ الخطوة الاخيرة هي انه لتفهم التهديدات والاخطار الداخلية يتوجب على كبير موظفي المعلومات وغيرهم داخل دائرة تقنيات المعلومات ان تكون له امكانية الاطلاع على التقرير المستمر لحالة بيئة المؤسسة، وما هي السياسات التي تعمل، وتلك التي لا تعمل، وبالتالي ضبط هذه السياسات وفقا الى ذلك. ثم ان التدقيق الاتوماتيكي ومهام رفع تقارير المراقبة من شأنها اعطاء موظفي الامن المرونة الكافية للسماح ببعض الاجهزة المعينة وتطبيقاتها وترتيباتها مع الحفاظ على مراقبة نشاط العاملين. ومثال على ذلك اذا سمحت مؤسسة لموظفي الحسابات فقط الوصول الى تطبيقات محددة خاصة بالشؤون المالية، عليها ان تعرف ايضا ما اذا كان المستخدم يحاول الوصول الى جميع هذه التطبيقات. فهنا اما ان تكون وراء ذلك نية خبيثة، او حاجة شرعية.
.,._