ادارة المخاطر في أمن المعلومات واللاوائح الجديدة
هناك العديد من المهام غير السارة في الحياة والعمل. مراقبة سلوك الموظف هي واحدة من تلك المهام غير السارة. يجب أن تلعب الإدارة دورًا قويًا في ضمان أن المسؤولية لا تأتي الا عن طريق الشركة ، أي إدارة المخاطر. اللوائح الجديدة تحمل الإدارة المسؤولية عن سلوك الموظف الذي يمكن أن يتسبب في تعرض الشركة لخسارة مالية وتهم جنائية ودعاوى قضائية مدنية. المسؤول يتوقف هنا.
معظمنا لا يريد أن يكون الأخ الأكبر. نحن لا نحب فكرة “التجسس” على موظفينا. نحن لا نحب طعم التعدي على خصوصية شخص ما لأننا نقدر خصوصيتنا. ومع ذلك ، فإن ما لا تعرفه سيؤذيك وقد يؤذيك في المحكمة. لحسن الحظ ، جعلت التكنولوجيا عملنا أسهل كثيرًا.
أكثر مكونات المراقبة شيوعًا هي البريد الإلكتروني والإنترنت وإساءة استخدام الهاتف. يقدم معهد AMA / ePolicy نتائج استطلاع أُجري عام 2005 حول هذا الموضوع بالذات. ينص الاستطلاع على ما يلي: “عندما يتعلق الأمر باستخدام الكمبيوتر في مكان العمل ، فإن أصحاب العمل يهتمون بشكل أساسي بتصفح الويب غير الملائم ، حيث يقوم 76٪ بمراقبة اتصالات مواقع الويب الخاصة بالعاملين. بالكامل 65٪ من الشركات تستخدم برمجيات لحظر الاتصالات بالمواقع غير الملائمة – زيادة بنسبة 27٪ منذ عام 2001 عندما أجرت AMA و ePolicy Institute آخر مسح لسياسات وإجراءات المراقبة الإلكترونية والمراقبة في مكان العمل.
ربما تكون مراقبة استخدام الإنترنت أحد أنواع المراقبة الأسهل للتنفيذ والتي قد تكون السبب وراء ارتفاع الإحصائيات لهذا النوع. سبب وجيه آخر هو أن المنفذ 80 (http) هو أحد أكبر الثقوب المشروعة التي تم إنشاؤها عن قصد في معظم جدران الحماية. عندما يكون المنفذ 80 مفتوحًا ، هناك حاجة إلى أدوات وتقنيات إضافية لتصفية أو حظر الوصول غير المقبول إلى الويب.
بينما أدرك الموظفون أن استخدام البريد الإلكتروني للشركة للاستخدام الشخصي أو الاستخدام غير النزيه ليس فكرة جيدة ، إلا أنهم لم يتوقفوا عن استخدام البريد الإلكتروني. يعتمد معظمها على البريد الإلكتروني المستند إلى الويب للاتصالات مثل Yahoo و gmail و hotmail وما إلى ذلك. حتى الشركات التي لديها سياسات استخدام الإنترنت تسمح للموظفين باستخدام بريد الويب للاستخدام الشخصي والعرضي. سأشعر بالضيق إذا منعتني المنظمة التي عملت بها من استخدام بريد الويب الشخصي الخاص بي أثناء العمل لأن هذه هي الطريقة التي أتواصل بها مع أطفالي وزوجتي خلال يوم العمل. باعتباري متخصصًا في مجال الأمن ومسؤول أمن المعلومات ، إذا كان بإمكاني ذلك ، فسأحظر بريد الويب تمامًا وإلى الأبد لأنني أعتقد أنه يمثل مخاطرة أمنية كبيرة. هناك فرك.
كما في كل شيء ، التوازن هو المفتاح. بينما يمكن للأدوات ، مثل SurfControl و Websense و GFI WebMonitor ، أن تساعد المؤسسات على التحكم ، فمن المهم جدًا التأكد من أن البيانات التي يتم جمعها من أدوات المراقبة تصبح مسؤولية الموارد البشرية. يمكن إرسال تقارير الاستخدام عبر البريد الإلكتروني إلى قائمة التوزيع على أساس يومي أو أسبوعي أو شهري. من المهم أن تشمل قائمة التوزيع كبار المديرين في الموارد البشرية وتكنولوجيا المعلومات وحماية المعلومات والعمليات ، وليس تصنيف الموظفين في مجال الأمن وتكنولوجيا المعلومات. كما هو الحال دائمًا ، فإن سياسة الشركة هي الأساس لجميع الإجراءات. قبل تنفيذ أي تقنيات مراقبة ، يجب أخذ الوقت لصياغة السياسات والإجراءات التي ستدعم مراقبة الموظفين.