إنَّ البيانات هي شريان الحياة للشركات والمؤسسات الحديثة؛ فهي تغذي عمليات صنع القرار، وتحافظ على العمليات اليومية للشركات في مختلف الصناعات.
مع تزايد الاعتماد على البيانات الرقمية، أصبحت أهمية حمايتها من التهديدات المحتملة أكثر أهمية من أي وقت مضى.
لذا تلجأ الشركات إلى اتخاذ نهج استباقي لأمن البيانات. ويشمل ذلك البقاء على اطلاع بأحدث التطورات الأمنية، والاستثمار في التقنيات المناسبة، وتثقيف موظفيها حول أفضل الممارسات.
في هذا التقرير نستعرض 3 استراتيجيات رئيسية تقدمها “سونيل جيمس”، نائب رئيس قسم هندسة البرمجيات في مؤسسة هيوليت باكارد للمساعدة على تبسيط وتعزيز الوضع الأمني للمؤسسة.
للاطلاع على المزيد من المواضيع والتقارير في صفحة مختارات أرقام
استراتيجيات لتعزيز أمن بيانات المؤسسات
1- اعتماد سياسة النسخ الاحتياطي باستمرار لحماية البيانات من هجمات برامج الفدية
– مع تزايد هجمات برامج الفدية الضارة (ransomware attacks)، تستجيب المؤسسات من خلال التركيز بشكل أكبر على استعادة البيانات.
– تتمثل إحدى طرق الحماية من الهجمات في التقاط لقطات دورية لبياناتك بحيث يمكنك الرجوع إلى آخر لقطة محفوظة في غضون دقائق في حالة حدوث خرق.
– يوصي جيمس باستراتيجية أكثر دقة، وهي حماية مستمرة للبيانات، حيث تسمح النسخ الاحتياطية للبيانات غير المشفرة دائمًا للمؤسسات باستعادة البيانات المسروقة على الفور تقريبًا.
– يتيح النسخ الاحتياطي للمعلومات باستمرار تأمينها من عمليات التخريب والتلف المحتملة جراء التعرض للهجمات ومحاولات الاختراق. إنه أشبه بالحفظ التلقائي (Autosave) لبيانات المؤسسة.
– قد لا يبدو الفرق بين الدقائق والثواني كبيرًا، ولكن غالبًا ما يكون لدى الشركات عشرات الآلاف من الموظفين والعملاء الذين يدخلون البيانات إلى الأنظمة.
– في غضون ثوانٍ، تخاطر المؤسسات بفقدان البيانات الهامة.
– بالنسبة للصناعات مثل التمويل والرعاية الصحية التي لديها لوائح إضافية واعتبارات أمنية، فإن كل ثانية تنطوي على مخاطر تراكمية.
– كما يجب على المؤسسات اعتماد تقنيات آمنة ومرنة تسهل الحماية المستمرة للبيانات في كل مكان توجد فيه بياناتها – في السحابة العامة أو في أماكن العمل أو في بيئات السحابة الهجينة.
2- مطالبة المستخدمين بإثبات الهوية في كل مرة مع تحقيق أمان الثقة الصفرية
– قد تبدو الحاجة إلى التحقق باستمرار من هويتك لعرض البيانات وكأنه عمل روتيني.
– ولكن بالنسبة للخبراء الأمنيين يُعد التأكد من أن المستخدمين المصرح لهم فقط هم من يمكنهم الوصول إلى بيانات أو موارد محددة أمرًا ضروريًا لأمن البيانات.
– يجب على الشركات تنفيذ آليات مصادقة قوية مع تدابير مثل المصادقة متعددة العوامل، وسياسات كلمة المرور القوية، والدخول الموحد (SSO).
– هناك أيضًا إطار تحقيق أمان الثقة الصفرية (Zero Trust Framework) وهو نهج حديث للأمن يختلف عن حالة الوصول المقيد إلى البيانات.
– يتم تحقيق أمان الثقة الصفرية (zero trust) داخل المؤسسة عن طريق تقنيات مختلفة بما في ذلك التحقق من هوية المستخدم بشكل مستمر ومتكرر دون الحاجة إلى إدخال كلمات المرور أو رموز المصادقة التقليدية.
– وذلك باستخدام تقنيات التحقق الحديثة، وعند الوصول إلى نظام أو تطبيق محمي بأمان الثقة الصفرية، يتم تحديد هوية المستخدم بواسطة العديد من الأدلة مثل معلومات الجهاز وموقع المستخدم وبمجرد التحقق من هويته يتم منحه الوصول إلى النظام.
– عندما تقوم الشركات بالتحول إلى تحقيق أمان الثقة الصفرية، فإنها تحتاج أولاً إلى فهم النطاق الكامل لبياناتها وأنظمتها.
– يجب أن تعمل الثقة الصفرية في نهاية المطاف على تبسيط نهجك الأمني.
3- التعاون بشأن السياسة لتحديد الجهات المخولة بالوصول إلى البيانات
– يفيد تحديد الجهات المصرح لها بالولوج إلى المعلومات في ضمان عدم دخول أطراف أو أفراد غير مصرح بهم.
– الأمر الذي يضمن حماية المعلومات ويضيق نطاق البحث عن الجهة المسؤولة عن إحدى التعديلات عند تعرض المعلومات لأي اختراق أو سرقة.
– بالإضافة إلى ما سبق يعنى تحديد الجهات المخولة بالوصول إلى المعلومات بتخصيص صلاحيات محددة لكل منها، الأمر الذي ينظّم عملية أمن وحماية المعلومات.
– كذلك يجب أن يجتمع أصحاب المصلحة – بما في ذلك قادة التكنولوجيا والفريق التنفيذي ورؤساء الأعمال – بانتظام، لتقييم السياسات والمجالات الحالية التي يمكنهم تحسينها.
– يوضح جيمس كيف تتطور الأعمال كل يوم، وكذلك المشهد الأمني.
– وبالتالي، يجب إنشاء لجنة تضم مجموعة من أصحاب المصلحة لتدقيق ومراجعة قائمة أصول البيانات الهامة والاجتماع بانتظام لتقييم السياسات الأمنية وصقلها.
– ختامًا، في حين أن التكنولوجيا أمر بالغ الأهمية لاستراتيجية الأمن، فإن موظفيك هم الذين يحددون في نهاية المطاف كيفية تغيير هذه الاستراتيجية لتلبية احتياجات شركتك على أفضل وجه.
– لكي تنجح الاستراتيجية الأمنية الموحدة، يجب على القادة النظر في النطاق الكامل لأعمالهم، أي الأشخاص والعمليات والتكنولوجيا.
المصدر: فوربس