ما يجب على CISOs فعله الآن
تكافح الشركات اليوم للحفاظ على الرؤية عبر شبكاتها ونقاط النهاية الخاصة بها. لكن تكنولوجيا المعلومات الظلية تزيد الأمور تعقيدًا. تشكل هذه الممارسة السرية، التي تجعل الموظفين يستخدمون التكنولوجيا والتطبيقات خارج نطاق تكنولوجيا المعلومات، مخاطر كبيرة على أمن البيانات والعمليات التجارية.
تكمن جاذبية تكنولوجيا المعلومات الظلية في وعدها برفع الكفاءة والتنوع. نظرًا للحاجة إلى إنجاز المهام بفعالية، غالبًا ما يلجأ الموظفون إلى البرامج أو الخدمات السحابية غير المصرح بها دون فهم المخاطر بشكل كامل. النية صافية، ولكن النتيجة يمكن أن تكون خطيرة تماما.
ما عليك سوى إلقاء نظرة على الإصدار الأحدث والأكثر شيوعًا لتكنولوجيا معلومات الظل: الذكاء الاصطناعي التوليدي. في وقت سابق من هذا العام سامسونج وجدت موظفيها يشاركون كود المصدر الخاص بهم مع ChatGPT للتحقق من الأخطاء ودمج محاضر الاجتماعات. وهذا أمر مثير للقلق بشكل خاص نظرًا لأن أداة الذكاء الاصطناعي تستخدم مطالباتها لتدريب نماذجها بعد ذلك. لذلك، تشكل هذه المطالبات التي تبدو بريئة تسربًا كبيرًا للبيانات.
الحقيقة هي أن تكنولوجيا المعلومات الظلية لن تذهب إلى أي مكان. لذلك، دعونا نلقي نظرة على كيفية قيام الشركات باتخاذ إجراءات حاسمة وحماية نفسها في العصر البعيد.
تطور الظل لتكنولوجيا المعلومات
تتحول تقنية Shadow IT وتتحول باستخدام التكنولوجيا الجديدة. في السنوات السابقة، اتسمت تقنية معلومات الظل بحالات معزولة للموظفين الذين يستخدمون حسابات البريد الإلكتروني الشخصية أو محركات الأقراص القابلة للإزالة. بعد ذلك، جعلتها السحابة سائدة مع البرمجيات كخدمة (SaaS). كل يوم، يتوفر المزيد والمزيد من التطبيقات، ويقوم أعضاء الفريق بشكل متكرر بتثبيتها واستخدامها دون استشارة قسم تكنولوجيا المعلومات.
العمل عن بعد يجعل الأمور أسوأ. بالنسبة للمستخدمين، من الأسهل (والمغري) تجاوز سياسة الشركة وهم مرتاحين في منازلهم. دراسات تظهر أن استخدام تكنولوجيا المعلومات الظلية نما بنسبة الثلثين تقريبًا بسبب الطفرة الوبائية للعمل عن بعد.
والآن هناك تهديد جديد. في عصر الذكاء الاصطناعي التوليدي هذا، يقوم الموظفون بتجربة مهام العمل وقوة ChatGPT بحرية. وبغض النظر عن تحسينات الإنتاجية، فإن اعتماد هذه الأدوات غالبًا ما يتعارض مع إجراءات ترخيص تكنولوجيا المعلومات. وفقا للبحث، 7 من كل 10 عمال يستخدمون ChatGPT لا يخبرون المشرفين عليهم. وفي الوقت نفسه، تكون بيانات المؤسسة أقل أمانًا عبر خدمات الجهات الخارجية.
ما الذي يجب على قادة الأمن السيبراني فعله الآن
والخبر السار هو أن قادة الأمن السيبراني يمكنهم، بل ويجب عليهم، أن يقاوموا. أولاً، عليهم استعادة الرؤية. وهذا ممكن من خلال مراقبة شبكة الشركة لاكتشاف الأنشطة الشاذة، وتنزيل البرامج وتثبيتها، بالإضافة إلى عمليات ترحيل البيانات وأحمال العمل.
وبعد ذلك، ومع الرؤية الجديدة، يمكن لقسم تكنولوجيا المعلومات أن يبدأ العمل. يتضمن ذلك إعداد تنبيهات أمنية وحظر تطبيقات ومواقع ويب معينة. على سبيل المثال، يمكن لهذه التدابير البسيطة والقوية أن تستهدف بشكل فعال الكيانات المعروفة مثل ChatGPT.
ومع ذلك، في مشهدنا الرقمي المتطور باستمرار، تظهر مواقع الويب والتطبيقات الجديدة بانتظام. وبالتالي، فإن الاعتماد فقط على حجب هذه الكيانات قد لا يكون كافيا. لمعالجة هذه الثغرة الأمنية، من الضروري استخدام أدوات حماية البيانات التي تعمل على تأمين البيانات أثناء نقلها، مما يضمن بقاء المعلومات الحساسة محمية من الوصول غير المصرح به أو التعرض لها.
بالإضافة إلى ذلك، يؤدي فرض القيود التي تمنع نقل البيانات إلى الأجهزة أو التطبيقات غير المعتمدة إلى تحسين الوضع الأمني العام.
تذكر: الموظفون سوف يعصون
التخصيصات تحل جزءًا واحدًا فقط من المشكلة. والآخر هو العنصر البشري. في نهاية المطاف، تظل تكنولوجيا المعلومات الظلية معنا لأن الموظفين لا يستمعون دائمًا. إنهم يريدون الاستفادة من الكفاءات الجديدة وتعزيز إنتاجهم. ولكن عليهم أن يفهموا أن الغاية لا تبرر الوسيلة. ولذلك يجب على قادة الأمن السيبراني تعزيز ثقافة الوعي الأمني، والتي تعامل الموظفين باعتبارهم خط الدفاع الأول.
القادة: ابذلوا قصارى جهدكم لفهم سبب لجوء الموظفين إلى أدوات غير مصرح بها والتحقيق في البدائل الآمنة. بالإضافة إلى ذلك، يمكنك سد الفجوة بين بروتوكولات الأمان ومتطلبات الموظفين من خلال جلسات التدريب التفاعلية.
تذكر أن الموقف العدائي لا يؤدي إلا إلى تفاقم المشكلة. وبدلاً من ذلك، تعاون مع الأقسام الأخرى لفهم متطلبات البرامج الخاصة بها والمساعدة في تصميم الحلول المعتمدة. وهذا النهج يعزز الشعور بالشراكة بدلا من الإنفاذ.
يجب على الشركات اليوم أن تحقق التوازن الصحيح بين التحصينات التقنية والفهم البشري. بفضل الأدوات الجديدة مثل ChatGPT التي تغري موظفينا أكثر من أي وقت مضى، يعد تطوير إستراتيجية واعية للأمان أمرًا ضروريًا للحد من جذب تكنولوجيا المعلومات الظلية.