أمن تكنولوجيا المعلومات في المنزل: صعب ولكن ليس مستحيلاً
ربما لا يمكنك توفير الأمن للعمال في المنزل الذي يتناسب مع مكتبك ، ولكن يمكنك الاقتراب. إليك بعض الأفكار.
عندما وصل الحجر الصحي لـ COVID-19 في منتصف شهر مارس ، خلق حالة غير مسبوقة حيث ارتفع عدد العمال عن بعد بشكل كبير بما يتجاوز أي شيء متوقع.
يقول شون غالاغر ، باحث التهديد في Sophos: “النظير الوحيد لهذا المقياس هو 11 سبتمبر ، وكان ذلك إقليميًا إلى حد ما”. “لم يكن شيئًا وطنيًا مثل هذا ، ولم يكن تقريبًا لهذه الفترة الزمنية.”
كان غالاغر يعمل عن بعد من بالتيمور لصالح شركة في نيويورك. تم تهجير جميع زملائه العاملين في نيويورك لعدة أسابيع.
يقول: “كان علينا معرفة كيفية العمل بدون المكتب لمدة شهر تقريبًا”. “لكن ذلك كان محددًا إقليمياً للغاية. هذه مشكلة أوسع بكثير.”
إقليمي مقابل عالمي
أقرب شيء قد اختبرته معظم الشركات إلى COVID-19 هو شيء مثل إعصار أو كارثة طبيعية أخرى ، وكلها إقليمية. لقد تجاوزت هذه الأزمة أي خطط كانت لدى الشركات للتعامل مع العمال عن بعد – ومع ذلك جاء مستوى من انعدام الأمن لم يكن من الممكن تخيله أيضًا.
يقول Gallagher: “إنه ليس شيئًا قد يكون موجودًا في خطة عمل استمرارية التعافي من الكوارث لمعظم الشركات”. “لكنها بالتأكيد ليست غير مسبوقة من حيث الحاجة إلى القدرة على التعامل بمرونة مع العمليات الجارية مع موظفين ليسوا في المكتب.”
علاوة على ذلك ، فإن الانتقال الواسع إلى العمل عن بُعد هو تفاقم للعنصر البشري الذي “غالبًا – وبصراحة دائمًا – العنصر الأكثر صعوبة في التحكم في مخاطر الأمن السيبراني” ، كما يقول بوب مور ، مدير برامج الخادم وأمن المنتجات في Hewlett Packard Enterprise.
يمكن لجميع المؤسسات الكبيرة ترتيب عمل بعض المستخدمين من المنزل ، ولكن حتى وقت قريب ، حاول القليل منهم أن يعمل كل شخص تقريبًا من المنزل. إذا كانت أدوات وإجراءات الأمان الحالية غير كافية ، فما الذي يتعين عليك فعله لجعل الموقف مقبولاً؟
طرحنا ثلاثة أسئلة على مجموعة من خبراء الأمن. ها هي إجاباتهم.
ماذا يمكنك أن تفعل لتأمين مساحة العمل عن بعد الخاصة بك؟ VPN ، مضاد فيروسات ، مصادقة ثنائية
جاءت الإرشادات الشائعة من كل متخصص في أمن الحوسبة تحدثنا إليه ، بدءًا من الحاجة إلى تزويد جهاز الكمبيوتر الخاص بك بشبكة افتراضية خاصة (VPN) بحيث تتم جميع أنشطتك على شبكة شركتك ، وليس بمفردك ، أو بشكل أكثر مرونة ، أو أكثر عرضة للخطر واحد. هذا مجرد اختلاف واحد بين أمان المكتب والأمان عن بُعد.
“في بيئة مكان العمل ، عادة ما يكون لديك بيئة عمل جيدة التنظيم وذات تحكم عالٍ حيث توجد إجراءات وضوابط صارمة على نوع حركة المرور التي يمكن أن تتدفق ، ونوع المصادقة المستخدمة ، ونوع البيانات التي يمكن تخزينها ، “يقول تيم فيريل ، مهندس الأمن السيبراني في HPE.
يتفق الآخرون. يقول Mick Wolcott ، الشريك في Goldman Lockey Consulting في سان فرانسيسكو: “في معظم مواقع الشركات أو الأعمال ، توجد جدران حماية ويتم مراقبة الشبكة بواسطة فريق شبكة”. “بينما في المنزل ، تقوم ببساطة إما بعمل Comcast أو AT&T أو شيء من هذا القبيل ، ولا تحصل على ما وراء الكواليس حيث نفحص حركة المرور الواردة. لا يمكننا معرفة ما إذا كانت هناك برامج ضارة تم تنزيله أو حيث تم النقر عليه ، ولا يمكننا مراقبة الأحداث في الخلفية “.
لذا فإن الحماية من الفيروسات والبرامج الضارة ليست كافية. تحتاج أيضًا إلى تحديثات منتظمة لحمايتك. وكما هو الحال دائمًا ، تحتاج إلى الحماية من التصيد الاحتيالي. يجب أن تكون دائمًا في أقصى درجات الوعي عند التعامل مع مشكلة عدم حصانة الرسائل على اتصالك البعيد وجهاز الكمبيوتر الخاص بك ، خاصةً عند مشاركة الكمبيوتر مع أفراد العائلة الآخرين أو استخدامه لأعمالك الشخصية أيضًا.
أخيرًا ، يجب أن يكون لديك مصادقة ثنائية ، وهو أمر أصبح أكثر شيوعًا ولكن بالكاد يمكن تسميته de rigueur. يعد هذا وقتًا عصيبًا لتأسيس المصادقة الثنائية ، ولكن فكر في الأمر على أي حال ؛ إنها أفضل طريقة لمنع التصيد الاحتيالي وهجمات المصادقة الأخرى.
يقترح غالاغر احتمالًا آخر ، يبدو أمرًا حساسًا شائعًا ولكنه مفاجئ: نسخ عبر الإنترنت للأدوات التي تستخدمها في العمل.
يقول: “إذا كانت لديك القدرة على استخدام الخدمات عبر الإنترنت من خلال متصفح للقيام بمعظم عملك ، فهذا يساعدك على تقسيم بيانات الشركة بعيدًا عن البيانات الشخصية”. سيكون المثال الأكبر هو استخدام الإصدارات المستندة إلى المستعرض من برامج Microsoft Office (الآن تطبيقات Microsoft 365) بدلاً من البرامج قيد التشغيل محليًا.
ولكن بين VPN والمصادقة ذات العاملين وبرامج مكافحة الفيروسات التي يتم تحديثها بانتظام ، قمت بتغطية جزء كبير من نموذج التهديد للأشخاص الذين يعملون من المنزل. وتقول غالاغر إن معظم البقية هي “تذهيب الزنبق”.
لكن الموقف العام في أمن الشركة ، كما يقول ، يجب أن يكون تحركًا على مستوى الصناعة إلى نموذج انعدام الثقة.
“افترض أن كلاً من شركتك وأنظمة نقطة النهاية لديك تعمل في مياه ostile وأن هناك نوعًا من التنازلات تجري في أي وقت “، كما يقول.
يقول فيريل: لقد قطعنا “شوطًا طويلاً من الأيام الخوالي في محيط صلب وداخلي ناعم”. “لقد أصبح المحيط مساميًا لدرجة أنه أصبح بمثابة نقطة تفتيش في طريقك للدخول والخروج. ولكن عليك أن تفترض أن كل ما يتصل بشبكتك معادٍ وأن تتعامل معه على هذا النحو. أنت تفترض أن كل جهاز بعيد يحتمل أن يكون عدائيًا.”
ما الذي يجب أن تفعله شركتك لتأمين موظفيها؟ إنشاء سيطرة مركزية
يقول Gallagher: “كإستراتيجية طويلة المدى ، يجب أن تتأكد من أن الأشخاص لديهم إمكانية الوصول إلى جهاز مُدار من قبل الشركة ومغلق لاستخدام محدد”. “أو ، يمكنك الانتقال إلى نموذج يمتلك فيه كل شخص جهازًا افتراضيًا يمكنه تثبيته ويتم إدارته عن بُعد. وهذا يمنحهم القدرة على القيام بأشياء العمل على حساب المنزل ، ولكن يمكنك عزل الكمبيوتر المنزلي عن الجهاز الظاهري. وأعتقد أن هذا شيء تتجه إليه الكثير من الشركات “.
هذا حساب ، خاصة في الشركات الأصغر والأكبر. لكن وقت خفض التكاليف ربما يكون قد انتهى.
يقول وولكوت: “أحد الأشياء الكبيرة التي أعتقد أنني لم أقم بتغطيتها لأننا كنا نتحدث في الغالب عن أمان الشبكة هو أهمية النسخ الاحتياطية”. “لدينا عدد غير قليل من قصص الرعب حيث قام شخص ما بالنقر فوق ارتباط ضار ، وتنزيله ، وقام بتشفير جهاز الكمبيوتر بالكامل [و] من الواضح أنه احتجزه للحصول على فدية.” في الواقع ، على الرغم من أن التجسس الصناعي قد يكون نادرًا ، إلا أن برامج الفدية شائعة جدًا ، حيث يُعرف باسم عصابات برامج الفدية ، مثل Maze و REvil و Ragnar Locker.
كيف يمكنك التخطيط لما هو غير مخطط له؟ العملية والسياسة ونمذجة التهديد
يحذر Simon Leech ، كبير مستشاري الأمن وإدارة المخاطر في HPE Pointnext Services ، “لا تدع الشركة تملي عليك سياسات الأمان”. يقول ليتش إن الكثير من الشركات ستكون في عجلة من أمرها للتكيف مع العمل عن بُعد بسرعة كبيرة ، لكن لا ينبغي أن تكون كذلك. “يجب ألا يسمح فريق الأمن بإتاحة فرصة لإدخال نقطة ضعف من خلال نشر التكنولوجيا بسرعة وبشكل غير آمن.”
ولا ينبغي أن تجمع الأشياء اللامعة على حساب العملية الصلبة ، وفقًا لفيريل.
يقول: “ينظر الجميع إلى المنتج لأن المنتج هو الشيء اللامع”. “ولذا سيذهبون لشراء أداة حديثة جديدة فاخرة للتعامل مع بعض هذه المشكلات ، لكنهم سيتغاضون تمامًا عن العملية وسيتغفلون عن السياسة. إن الأداة الأكثر تكلفة والأجمل في العالم لا تستحق العناء إذا لا يتم الالتفاف حول عملية تجعله يعمل بشكل صحيح “.
أمن تكنولوجيا المعلومات للمؤسسات: دروس للقادة
المنظمات التي تتبع أفضل الممارسات هي في أفضل وضع للتعامل مع إجراءات الحجر الصحي بشكل آمن.
إذا كان الأمن يمثل أولوية ، فلا توجد طريقة لإنفاق الأموال الآن للتخفيف من مشاكل العمل في المنزل.
إذا كان لدى موظفيك شبكة افتراضية خاصة (VPN) ، ومصادقة ثنائية ، ومضاد فيروسات يتم تحديثه بانتظام ، فأنت في حالة جيدة بما يكفي.