في يوليو 2021، كتبت مقالة لـ الكمبيوتر الأسبوعية حول ما يجب على فرق الأمن مثل فريقي مراعاته عند عودة الموظفين إلى المكتب. في ذلك الوقت، واجهنا جميعًا العديد من التحديات. وكان أحد هذه الأماكن هو المكان الذي يمكن لموظفينا العمل منه. في الأساس، تم تقسيمها إلى ثلاث فئات:
- العودة الإلزامية إلى المكتب؛
- العمل بشكل دائم من المنزل؛
- مزيج مختلط من الاثنين، سواء كان مرنًا أو مع الحد الأدنى لعدد الأيام في المكتب.
وبدون إعادة فتح النقاش حول ما إذا كان العمل من المنزل أكثر إنتاجية منه في المكتب أو العكس، فمن الواضح أنه كان هناك تحول في عقلية الموظفين حول مكان عملهم. وجدت الشركات التي أجبرت الموظفين على العودة إلى مكاتبهم أن بعضهم لم يعودوا وغادروا إلى الشركات التي قدمت المزيد من المرونة. أثناء حديثي مع بعض زملائي، يفضل البعض التواجد في المكتب عند التعاون مع الآخرين. يفضل البعض البقاء في المنزل للتركيز على العناصر التي تتطلب درجة من التركيز ولتجنب طبيعة المكتب المتقطعة إلى حد ما.
عندما يتعلق الأمر بالأمان وحماية البيانات، فإن المكان الذي يعمل فيه الموظف وما هي المعدات التي يستخدمها يمكن أن يجلب مخاطر كبيرة. على سبيل المثال:
- العمل من منطقة عامة، مثل المقهى أو مساحة العمل المشتركة؛
- العمل أثناء التنقل؛
- العمل في الخارج؛
- استخدام الهاتف الشخصي للبقاء على اتصال مع فريقهم أثناء غيابهم.
إذًا، ما الذي يحتاجه متخصصو الأمن مثلنا للنظر في التعامل مع هذه الأمور؟
أولاً، نحتاج إلى التأكد من أن سياساتنا وإجراءاتنا محدثة وتحدد بوضوح ما هو مقبول وما هو غير مقبول، سواء من حيث مكان عمل الموظفين أو كيفية عمله، مع عواقب واضحة لعدم الامتثال. ليس من الجيد أن تعلن الشركات أنها تلتزم بمعايير ISO 27001 أو SSAE 18 أو ISACA إطار كوبيت لديهم موظفين لا يلتزمون بها. على الرغم من أنه قد لا تكون هناك متطلبات محددة منصوص عليها في أي من هذه المتطلبات للعمل عن بعد، إلا أن وجود ما يلي يمكن أن يساعد في منع أي حوادث تتعلق بالأمان أو حماية البيانات:
- توثيق سياسة العمل عن بعد. يجب أن يكون هذا منفصلاً عن سياسة العمل من المنزل، بحيث يمكن أن يغطي أشياء مثل المجتمع والعمل أثناء وجودك بعيدًا عن المنزل أو أثناء وجودك بالخارج؛
- وبالمثل، قم بتوثيق سياسة الجهاز الشخصي، مع توضيح ما هو مسموح به وما هو غير مسموح به؛
- تأكد من توصيل أي سياسات وإجراءات بوضوح إلى الموظفين حتى لا يكون هناك أي ارتباك وأن يكون لديك عملية واضحة لكيفية قيام الموظفين بتقديم الطلبات ذات الصلة؛
- يوصى بشدة أن يكون لديك عملية ترخيص حتى يتم إشراك أصحاب المصلحة الرئيسيين ويمكنهم الموافقة على الطلبات، مثل المديرين التنفيذيين والأمن وتكنولوجيا المعلومات والشؤون القانونية.
- توافر الوسائل اللازمة لتوثيق وتتبع الموظفين الذين يعملون في الخارج. يمكن أن يكون هذا بسيطًا مثل جدول بيانات يوضح بالتفصيل التواريخ التي يبتعدون عنها/حتى؛
- إذا لم تقم بذلك بالفعل، فقم بتمكين أي تنبيهات أمنية لإعلامك إذا تم رؤية الموظفين خارج بلد العمل النموذجي أو في بلدان عالية الخطورة، حتى تتمكن من تعليق حساباتهم إذا لزم الأمر؛
- اعمل مع فريقك القانوني أو اطلب مشورة قانونية مستقلة لضمان الامتثال التعاقدي. إذا كان عقد العميل يحظر العمل أو عرض بياناته من ولايات قضائية محددة، فسيحتاج أي موظف يتجه إلى تلك المناطق إلى إلغاء وصوله إلى هذا العميل المحدد حتى عودته؛
- قم بمراجعة سجل المخاطر الخاص بك وأضف هذه العوامل إليه إذا لم تكن مدرجة بالفعل. ومن خلال تحديد المخاطر المتبقية التي تكون على استعداد لقبولها، سيساعدك هذا في اتخاذ أي قرارات مستقبلية. إن المخاطر تظهر وتتزايد باستمرار، لذا من الضروري مراجعة هذا السجل والمخاطر المرتبطة به بشكل منتظم.
نحن بحاجة أيضًا إلى التأكد من وجود الأساسيات. أنا متأكد من أنني لست الوحيد الذي ركب القطار وجلس بجوار شخص كان يعمل. في إحدى الحالات، رأيت الشخص الجالس بجانبي ينهض ويترك جهاز الكمبيوتر الخاص به مفتوحًا مع عرض رسائل البريد الإلكتروني الخاصة به. أخبرتني نظرة سريعة أنهم يعملون في مجال الموارد البشرية وأن البريد الإلكتروني الذي كانوا يكتبونه يشير إلى فصل أحد الموظفين. الآن، إذا كانت لدي نية خبيثة، فيمكنني استخدام تلك المعلومات ضد الأفراد المعنيين أو ضد الشركة. إذا كان موظفوك يعملون أثناء التنقل، فتأكد من أنهم يعرفون عدم ترك أغراضهم دون مراقبة، وعدم الاتصال بنقاط اتصال Wi-Fi غير الآمنة، وعدم الكشف عن أي شيء حساس على الشاشة أو في المناقشات مع الآخرين على مرمى السمع.
ماذا يمكن أن نتوقع في المستقبل؟ ستستمر متطلبات العمل من أماكن أخرى، لذا إذا كان لديك كل شيء للتعامل مع هذه الطلبات، فيجب أن تكون على ما يرام. ومع ذلك، هذا ليس سوى نصف المعركة. يجب عليك التأكد من أن موظفيك يفهمون سبب تطبيق هذه الإجراءات والأسباب التي قد تجعلك ترفض مثل هذه الطلبات. وأعتقد أيضًا أنه سيكون هناك زيادة في عدد الموظفين الذين يحرصون على استخدام أجهزتهم الخاصة في العمل لأنهم لا يريدون امتلاك جهازي كمبيوتر محمول أو هاتفين. مرة أخرى، من المهم أن تكون واضحًا بشأن ما تسمح به وما تحظره. يمكنك السماح بهاتف شخصي فقط للوصول إلى البريد الإلكتروني ولكن دون إمكانية الوصول إلى شبكة الشركة وحظر استخدام الكمبيوتر المحمول الشخصي. كما رأينا حتى الآن من استعلام كوفيد في المملكة المتحدة، يمكن أن يؤدي عدم وضوح العمل والمسائل الشخصية على جهاز واحد إلى تحديات أمنية وقانونية خطيرة، لذا فإن وجود فصل واضح لا يحمي شركتك فحسب، بل يحمي الموظفين الأفراد أيضًا.
نأمل أن يكون هذا قد قدم بعض المجالات التي يجب أخذها في الاعتبار، بعضها قد تكون فكرت فيه بالفعل، والبعض الآخر لم تفكر فيه. بالنسبة للأماكن التي بدأت فيها هذه الأمور الآن تصبح نقاط نقاش أكثر تكرارًا، تأكد من معالجتها مبكرًا حتى لا تتركك أنت أو موظفيك أو شركتك معرضين لحوادث أمنية أو تتعلق بحماية البيانات. وهذا ليس شاملاً بأي حال من الأحوال، لذا انظر إلى الأطر المذكورة لمساعدتك في هذه الرحلة.
سيمون باكويل، CISM، هو مدير أمن المعلومات في بينيفكس وعضو في إيساكا مجموعة عمل الاتجاهات الناشئة
