person-touching-open-macbook-on-table-83

نصيحة لتحقيق أمن إلكتروني قوي دون إنفاق الكثير من المال

جوزيف شتاينبرغ

ترجمة: بسمة أبو اليقظان
تدقيق : أحمد رضا 

اعتاد القراصنة الراغبين في سرقة المعلومات والأموال استهداف الشركات الكبرى والهيئات الحكومية بشكل رئيسي. غير أنهم قد حولوا تركيزهم في السنوات الأخيرة، فوجهوا الآن قدرًا كبيرًا من انتباههم إلى صغرى الشركات والأفراد.

وهذا التغيير ليس مفاجئًا، إذ أنه ورغم امتلاك المنظمات الكبرى حسابات بنكية أكبر وكنوزًا من البيانات لسرقتها، فهي تمتلك أيضًا جيوشًا من موظفي أمن المعلومات ولديها علاقات أقوى مع فارضي القانون – وهو ما يقلل احتماليات نجاح القراصنة ويزيد من فرص القبض عليهم وسجنهم.

 

ومع دخول التغييرات الجديدة حيز التنفيذ، تزداد أهمية الأمن المعلوماتي لأصحاب الأعمال الصغيرة ورجال الأعمال الذين يفكرون في بدء عمل تجاري ما، والناس بشكل عام.

في حين أنه من المناسب إجراء تقييمات تقليدية للمخاطر قبل تحديد الاستراتيجية والتقنيات الأمنية، فالواقع أن العديد من الشركات الصغيرة لن تشمل بمواردها ذلك، لكن اتباع بعض النصائح العامة السليمة أفضل بكثير من لا شيء.

لذا، كيف يمكن للشركات الصغيرة والأفراد تحسين أمنهم المعلوماتي بشكل كبير دون إنفاق الكثير من المال؟ إليكم بعض المقترحات:

1. ضمان الوعي. افهم أنك مستهدف. ضع في اعتبارك أن محادثة واحدة قصيرة يمكن أن تساعد الموظفين على فهم أنهم أهداف للقرصنة، ومن ثم الاعتقاد بأن الأمن المعلوماتي هام. إن الأشخاص الذين يعتقدون أن المجرمين يريدون اختراق حواسيبهم وهواتفهم يتصرفون بشكل مختلف عن أولئك الذين لا يفهمون هذه الحقيقة.

2. تقديم تدريب أساسي على أمن المعلومات. من الضروري فهم أساسيات معينة وتدريب الآخرين أيضًا. يجب أن يعرف الأشخاص كيفية تجنب السلوكيات الخطرة معلوماتيًا – مثل فتح المرفقات والنقر على الروابط الموجودة في رسائل البريد الإلكتروني غير المتوقعة، أو تنزيل الموسيقى أو مقاطع الفيديو من مواقع إلكترونية مشبوهة، أو استخدام شبكة واي فاي مجانية في الأماكن العامة بشكل غير مناسب لإجراء مهام حساسة، أو شراء منتجات من متاجر غير معروفة تبيع بأسعار «أجمل من أن تكون حقيقية» ولا تملك معلومات اتصال فعلية. يمكن العثور على مواد التدريب على أمن المعلومات عبر الإنترنت – والعديد منها مجاني. ومع ذلك، لا تعتمد أبدًا على التدريب كخط دفاع وحيد ضد أي مخاطر كبيرة.

3. لا تعط الجميع مفاتيح قلعتك. إذا كان عامل معين مشبوهًا – أو إذا اخترق قرصان أمن أحد الأفراد – فستحتاج إلى احتواء الضرر. امنح الأشخاص إمكانية الوصول إلى أنظمة الحاسوب والبيانات التي يحتاجونها لأداء مهامهم فقط، لا لكل شيء آخر. والأمر عينه ينطبق على أفراد العائلة وحواسيب المنزل.

4. قم بالنسخ الاحتياطي في أحيان كثيرة. اصنع نسخًا احتياطية أغلب الوقت، بحيث إذا وقع خطأ ما لا يصيبك الذعر من فقدان البيانات إذا احتجت استرجاعها من نسخ احتياطي. وإن لم تكن متأكدًا مما إذا كنت تقوم بالنسخ الاحتياطي بما يكفي، فالمرجح أنك كذلك بالفعل. لا تحتفظ بالنسخ الاحتياطية على شبكة إنتاجك – فلو تسللت برامج ضارة (كالرانسموير) للشبكة، فقد تتسبب في تلف النسخ الاحتياطية أيضًا. من الأفضل أن يكون لديك نسخ احتياطية خارج موقع العمل وكذلك في موقع العمل. وتأكد بانتظام من اختبار عمل النسخ الاحتياطية الخاصة بك بالفعل – فامتلاك النسخ الاحتياطية لا معنى له إذا لم تتمكن من استعادتها.

5. شفر معلوماتك. خزن جميع البيانات الحساسة الخاصة بعملك بصورة مشفرة. إذا كانت لديك شكوك حول ما إذا كان شيء ما حساسًا بما يكفي للسماح بتشفيره، فمن المحتمل أن ذلك ما يجب أن تفعله، ولذلك يستحسن أن تخطئ وأنت في جانب الحذر والتشفير. تمتلك العديد من إصدارات الويندوز تشفيرًا متضمنًا، وهناك الكثير من أدوات التشفير المجانية المتاحة أيضًا.

6. لا تشارك بيانات الاعتماد. يجب أن يكون لدى كل شخص يحتاج الوصول إلى النظام بيانات اعتماد خاصة به لتسجيل الدخول. وتنفيذ مثل هذا المخطط لا يحسن القدرة على تدقيق أنشطة الأشخاص في حالة حدوث مشكلة فحسب، بل يشجع الأشخاص على حماية كلمات مرورهم بشكل أفضل.

7. استخدم سياسة كلمة مرور مناسبة. تقتضي الحكمة التقليدية صنع كلمات مرور معقدة لجميع الأنظمة – لكن هذا يؤدي إلى قيام الأشخاص بتدوين كلمات المرور أو إعادة استخدامها. لذا فبدلاً من ذلك، ضع في اعتبارك استراتيجيات أخرى مثل مطالبة الأشخاص بتحديد تركيبات من الكلمات والأرقام وأسماء الأعلام (مثل: investing9goats2Starbucks). وبالنسبة للأنظمة شديدة الحساسية، فكر في أشكال أقوى للمصادقة على الدخول، مثل أنظمة التعرف الحيوية، أو استخدام المصادقة متعددة العوامل. لمزيد من المعلومات حول سياسات كلمات المرور، يرجى الاطلاع على مقالتي من العام الماضي بعنوان «لماذا يجب عليك تجاهل كل ما أُخبرت بشأن اختيار كلمات المرور».

8. وضع سياسات التواصل الاجتماعي وتنفيذها وفرضها. يمكن أن تتسبب المنشورات غير اللائقة على وسائل التواصل الاجتماعي في العديد من المشكلات – مثل تسريب المعلومات الحساسة، وانتهاك قواعد الامتثال، ومساعدة القراصنة على تنفيذ الهجمات. عليك استخدام التكنولوجيا لضمان عدم تحول التواصل الاجتماعي إلى كابوس (وأوصي بالطبع بـ SecureMySocial)؛ فلا تعتمد فقط على إخبار الناس بعدم إنشاء أنواع معينة من المنشورات على فيسبوك أو تويتر – فالتاريخ يخبرنا بأن العديد من الأشخاص ببساطة لا يدركون متى يقومون بنشر هذه المنشورات، وحتى من يدركون ذلك قد يسربون البيانات عن غير قصد عند النشر من الهاتف الذكي الذي «يصحح تلقائيًا» كلمة بها خطأ إملائي لتصبح مصطلحًا حساسًا مقصودًا.

9. استخدام برامج الأمان. تحتاج جميع أجهزة الحاسوب (أجهزة الحاسوب المحمولة والأجهزة اللوحية والهواتف وما إلى ذلك) التي تحتوي على معلومات حساسة (أو التي ستتصل بالشبكة مع الأجهزة الأخرى التي تحتوي عليها) إلى برامج أمان. هناك العديد من الحزم الشائعة غير المكلفة، والتي تتضمن مكافحة الفيروسات وجدار الحماية الناري ومكافحة البريد العشوائي وتقنيات مفيدة أخرى. يجب أن تحتوي الأجهزة المحمولة على برنامج مُحسَّن للأنظمة المحمولة، ويجب أن يكون لديها إمكانات المسح عن بُعد (ولا تنس تمكين مسح البيانات عن بُعد!).

10. فصل الوصول إلى الإنترنت. إذا كنت توفر الوصول إلى الإنترنت للهواتف الذكية الشخصية والأجهزة اللوحية للعاملين، أو لزوار مكتبك أو منزلك، فقم بتنفيذ ذلك على شبكة منفصلة؛ فمعظم أجهزة التوجيه الحديثة توفر مثل هذه القدرة.

11. معالجة مخاطر الجهاز الشخصي. إذا تم السماح للأشخاص باستخدام الأجهزة الشخصية للأنشطة المتعلقة بالعمل، فتأكد من وجود تقنية أمان مناسبة على هذه الأجهزة. وكما هو الحال مع وسائل التواصل الاجتماعي، لا تعتمد على السياسات – افرضها باستخدام التكنولوجيا.

12. الامتثال للوائح والقوانين. تأكد من أنك تمتثل لجميع اللوائح والقوانين التي قد تنطبق على عملك. إذا كنت تقوم بمعالجة بطاقات الائتمان، على سبيل المثال، فتأكد من أنك ممتثل لمعايير PCI الحالية. على أي حال، لا تخزن أبدًا رموز أمان بطاقة الائتمان أو أرقام PIN لبطاقة المصرف.

13. تعيين شخص محترف. إن أمكن، عيِّن اختصاصي أمن معلومات للمساعدة في تصميم وتنفيذ نهجك في الأمن المعلوماتي. قد تعوض تكلفة قدر صغير من المشورة المهنية نفسها عدة مرات من حيث الوقت والمال والتفاقم الذي يجري توفيره في الطريق. يمتلك القراصنة وغيرهم من المجرمين القدر المناسب من الخبرة التقنية – فلا تضع نفسك في موقف غير مؤات ضدهم. وضع في اعتبارك أنك لو كنت ستقاضى، فستعين محاميًا، ولو كنت ستخضع للتدقيق، فستعين محاسبًا. وهناك احتمال شبه مؤكد أنك تتعرض، أو سوف تتعرض لهجوم معلوماتي. تأكد من أنك محمي بشكل صحيح.

Subscribe to Our Newsletter

© 2020 Bayt Al Hikma 2.0