تعبيرية
دراسة: أكبر خطر على الأمن الإلكتروني بالشركات هو إهمال الموظفين
كشف تقرير صادر عن شركة Shred-it وهي إحدى الشركات المتخصصة في أمن المعلومات عن أكبر خطر يواجه الأمن الإلكتروني بالشركات والمؤسسات وهو إهمال الموظفين، حيث وجد التقرير أن 47 % من قادة الأعمال قالوا إن خطأ بشريًا مثل الفقدان العرضي لجهاز أو مستند من قبل موظف كان سببًا في اختراق بيانات منظمتهم.
تم استطلاع آراء أكثر من 1000 من أصحاب الأعمال الصغيرة والمديرين التنفيذيين في الولايات المتحدة عبر الإنترنت في شهر أبريل / نيسان الماضي للحصول على التقرير.
في عام 2017 كلفت عمليات اختراق بيانات الشركات ما متوسطه 3.6 مليون دولار على مستوى العالم، وفقًا لتقرير منفصل صادر عن معهد بونيمون المتخصص في إجراء أبحاث حول الخصوصية وحماية البيانات وسياسة أمن المعلومات.
بالنسبة للشركات الصغيرة على وجه الخصوص يمكن لهذا الرقم أن يمحو الشركة بالكامل ويتسبب في إفلاسها. وبالنسبة لشركة من أي حجم يمكن لاختراق البيانات أيضًا أن يقلل من قيمة العلامة التجارية للشركة ويؤثر سلبًا على قدرتها على العمل، وفقًا لتقرير Shred-it.
وقال مونو كالسي نائب رئيس شركة Shred-it: “تظهر نتائج الدراسة بوضوح أن عادات الموظفين الصغيرة على ما يبدو يمكن أن تشكل مخاطر أمنية كبيرة على الشركات”.
وقد كشف تقرير شركة Shred-it عن العادات التي يقوم بها الموظفين وتتسبب في حدوث خطر على الأمن الإلكتروني بالشركات والتي تتمثل في التالي:
العادات الأساسية السيئة للموظفين :
إن العديد من أخطر الجرائم التي يرتكبها الموظفون هي أشياء قد لا يفكرون أنها سلوك محفوف بالمخاطر، حيث اعترف أكثر من 25% من الموظفين الذين شملهم استطلاع Shred-It بأنهم تركوا حاسوبهم بدون قفل ودون رقابة.
حتى تدوين الملاحظات على الورق، أو ترك الأوراق على مكتبك، قد يكون له عواقب غير مقصودة، حيث قال كالسي “عندما تستخدم ورقة لتوثيق الملاحظات أو محضر الاجتماع فإنها من الخطر ترك هذه المعلومات في مكان يسهل الوصول إليه، فخطأ بسيط يمكن أن يأتي بنتائج عكسية، ففي وقت سابق من هذا العام ترك موظف في وزارة الأمن الوطني وثائق أمنية حساسة على متن طائرة”.
العمل عن بعد:
إن زيادة التواصل والتقدم التكنولوجي يعني أنه يمكن للموظفين العمل من أي مكان تقريبًا – قد يكون العمل من مقاهي ستاربكس أو حتى من غرفة المعيشة الخاصة بك لطيفًا ومريحًا، ولكنه قد يؤدي أيضًا إلى تعرض شركتك لاختراق بيانات خطير.
عمل الموظفين عن بعد آخذ في الازدياد بشكل كبير. حيث أن أكثر من نصف مديري التوظيف يوافقون على أن العمل عن بعد ويعتقدون أنه مستقبل العمل، وفقاً لتقرير حول مستقبل العمل من منصة آبورك Upwork للعمل الحر.
يتفق معظم المسؤولين التنفيذيين على أن خطر حدوث اختراق للبيانات يكون أعلى عندما يعمل الموظف عن بعد، ولكن عدد قليل من الشركات لديها سياسات شاملة خارج الموقع متوفرة لهؤلاء الموظفين. في حين قال أكثر من نصف أصحاب الأعمال الصغيرة إنهم ليس لديهم سياسة للعاملين عن بعد.
بالإضافة إلى ذلك، فإن المقاولين أو الموردين الخارجيين يفتحون أيضًا مجال لاختراقات البيانات في الشركات التي يتعاملون معها. حيث وجد استطلاع Shred-it أن 1 من كل 4 مديرين تنفيذيين و1من كل 5 من أصحاب الأعمال الصغيرة قالوا إن البائع الخارجي كان السبب في اختراق البيانات في شركتهم.
ويرجع ذلك إلى أن العديد من الشركات لا تقوم بعمل مراجعة لصلاحيات الوصول للبيانات عندما تنتهي علاقتهم مع شركة خارجية، لذلك لابد أن يكون هناك تحكم أفضل وإدارة صحيحة لهذه الأمور.. وفقًا لما قاله كالسي.
سد فجوة التدريب:
يوجد لدى العديد من الشركات تدريب وسياسات لحماية بياناتها من الاختراق وتعليم موظفيها ممارسات الأمن الإلكتروني الجيدة. لكن هذه الجهود قد لا تكون متكررة أو منظمة بما فيه الكفاية لحماية الشركة فعلًا.
من جهته قال كالسي “الافتراض العام بأن الكثير من الشركات تعتقد أنها إذا قامت بتدريب موظف مرة في السنة سيحتفظ بهذه المعلومات وهذا افتراض خاطئ، لأنه يجب أن يكون التدريب والتوعية عادة ديناميكية ومستمرة لتعزيز ثقافة الشركة للممارسات الأمنية الجيدة”.
وبالإضافة إلى ذلك ينبغي أن يمتد الأمن الإلكتروني إلى ما بعد العمل من المكتب وإلى المنزل، خاصة إذا كانت الشركة لديها موظفين عن بعد أو تستخدم بائعين خارجيين للقيام بأعمال تجارية.
ما يمكن أن تفعله الشركات:
قد يستغرق تحويل ممارسات الأمن الإلكتروني في الشركة شهوراً أو سنوات، لذلك إليك بعض الإجراءات التي يمكن القيام بها في الحال.
تحديث سياسة مكان العمل… يقترح التقرير فرض سياسة المكتب النظيف CDP وهي وثيقة مشتركة تحدد كيف يجب على الموظفين ترك مساحة عملهم عند مغادرة المكتب -تتطلب معظم CDPs من الموظفين إزالة جميع الأوراق الموجودة في مكاتبهم في نهاية اليوم- بالإضافة إلى وجود فصل من سياسة الشركة مخصص للموظفين الذين يعملون عن بعد والباعة الخارجيين.
تأمين الوصول المادي إلى المعلومات… يجب الاحتفاظ بالمعلومات الحساسة في أدراج مكتبية مقفلة أو في خزائن، ومشاركة المستندات عند الضرورة، وتدوين الملاحظات على جهاز كمبيوتر أو حاسوب لوحي.
التخلص من محركات الأقراص الصلبة القديمة بشكل صحيح… الكثير من الشركات أو الموظفين يفترض أن المعلومات يمكن حذفها أو التخلص منها بمجرد مسحها من على القرص الصلب، ولكن هذا غير صحيح لذلك يجب تدمير القرص الصلب تمامًا.
الأمن الإلكتروني لدى الشركات يعتبر مسؤولية مشتركة بين جميع أفرادها، ويجب الإلتزام بالسياسات التي تضعها أقسام تقنية المعلومات، فتجاهل هذه السياسيات الأمنية قد يجعل الشركات تتعرض لخسائر فادحة من جراء اختراق بسيط أو تسريب معلومات قيمة.