البيانات غير الغازية الحكم “يدافع عن الحد الأدنى من التعطيل مع الاستمرار في إدارة وضمان الجودة والخصوصية وحماية البيانات في المؤسسة بشكل فعال.” لقد أصبحت هذه المسألة في طليعة المناقشات المتعلقة بحوكمة بيانات الشركات لأن الكثير منها يعتمد على ممارسات المستخدم الداخلي.
وللتوضيح، في منتصف عام 2021، أفادت 94% من المنظمات التي شملها الاستطلاع من أجل Egress أنها فعلت ذلك عانى من خروقات البيانات الداخلية. وبعد عام واحد، أقر 67% من الموظفين الذين تساءلوا في استطلاع ثانٍ أنهم فعلوا ذلك فشل في الالتزام لسياسات الأمن السيبراني للشركات، وفقًا لمجلة هارفارد بيزنس ريفيو.
يعد عدم التزام الموظفين (أو في بعض الحالات، نقص المعرفة) بسياسات الأمان والحوكمة أحد الأسباب وراء قيام المزيد من الشركات باستخدام عمليات تدقيق الهندسة الاجتماعية لمراجعة الممارسات في أقسام المستخدمين. سبب آخر للهفوات في الحوكمة هو ضغوط الموظفين، والتي في عام 2023، بحسب جالوب، بنسبة 44% من إجمالي الموظفين.
لا تريد الشركات موظفين مرهقين، لكنها لا تريد إدارة سيئة للبيانات أيضًا، وهم يعلمون أن إدارة البيانات ليست وظيفة يمكن لتكنولوجيا المعلومات القيام بها بشكل مستقل.
والسؤال هو: ما مدى واقعية أن نتوقع من الموظفين والأقسام المستخدمة أن يفعلوا ما يريدون سياسات حوكمة البيانات؟
هدف الحكم غير الغازية
تتطلب إدارة البيانات التزام المستخدم بالسياسات، ولكن التحدي الذي لا يقل أهمية هو جعل إدارة البيانات غير تدخلية للمستخدمين قدر الإمكان. لا يرغب المستخدمون في الحصول على مهام جديدة تبدو “إضافية” لمسؤولياتهم الوظيفية. وبالتالي، فمن المنطقي أن ننظر إلى إدارة البيانات من خلال عدسة ما يفعله المستخدمون بالفعل يوميًا.
فيما يلي بعض أفضل الممارسات:
يتحمل مديرو المستخدمين مسؤولية إعطاء تكنولوجيا المعلومات قائمة بأسماء موظفيهم، إلى جانب مستويات الترخيص لموارد تكنولوجيا المعلومات التي يحتاجها كل موظف. يتحمل مديرو المستخدمون أيضًا مسؤولية السماح للموارد البشرية وتكنولوجيا المعلومات بمعرفة أي موظفين ينتقلون إلى أقسام مستخدمين أخرى أو يغادرون الشركة حتى يمكن تغيير أو إلغاء تراخيص هؤلاء الموظفين.
أصبح الآن من الممارسات المعتادة في معظم الشركات أن يقوم الموظفون في مناطق المستخدم بالإبلاغ فورًا عن أي رسائل بريد إلكتروني غير عادية حتى يتمكن قسم تكنولوجيا المعلومات من التحقيق في رسائل البريد الإلكتروني للتأكد من شرعيتها.
في كثير من الحالات، تقوم تكنولوجيا المعلومات بالفعل بإرسال تقارير شهرية عن استخدام النظام لجميع الموظفين إلى مديريهم للمراجعة. الغرض من التقارير هو أن يقوم المديرون بالتحقق من استخدام نظام الموظفين بحثًا عن أي خلل.
كل هذه الخطوات مفيدة للحفاظ على حوكمة بيانات الشركة. وهي أيضًا مهام يقوم بها المستخدمون بشكل روتيني.
الهدف من استراتيجية حوكمة البيانات غير التدخلية هو ضمان استمرار المستخدمين في القيام بما يقومون به بالفعل، مع تجنب إضافة مهام جديدة لإدارة البيانات إلى أعباء عمل المستخدم.
استخدام أتمتة تكنولوجيا المعلومات
هناك طريقة أخرى لجعل إدارة البيانات غير تدخلية للمستخدمين وهي استخدام برامج التشغيل الآلي لفرض إدارة البيانات.
تتوفر حلول الأتمتة لعمليات مثل هذه:
المصادقة متعددة العوامل التي تتطلب تسجيل دخول المستخدم إلى موارد تكنولوجيا المعلومات بما يتجاوز مجرد معرف المستخدم وكلمة المرور (على سبيل المثال، عن طريق إضافة عنصر ثالث مثل تحديد الهوية البيومترية).
أدوات تنظيف البيانات وإعدادها التي تفحص وتضمن أن البيانات منسقة بشكل صحيح ودقيقة وقادرة على التكامل مع أشكال البيانات الأخرى في مستودعات البيانات المركزية قبل قبول البيانات في تلك المستودعات.
أدوات التتبع والتتبع التلقائي التي يمكنها اكتشاف ومراقبة أنشطة المستخدم في جميع النقاط في الشبكة وإصدار تنبيه على الفور في حالة اكتشاف خلل في الاستخدام.
نشر شبكات الثقة المعدومة التي لا تؤمن الحدود الخارجية للشبكات فحسب، بل أيضًا الحدود الداخلية لأنظمة وأصول تكنولوجيا المعلومات المحددة التي لا يُسمح بها إلا لمستخدمين محددين.
حلول SD WAN (شبكة واسعة النطاق محددة بالبرمجيات) وSASE (حافة خدمة الوصول الآمنة) التي تعمل على توسيع أمان البيانات إلى ما هو أبعد من جدران شبكات المؤسسة الداخلية والتي توفر أدوات متقدمة وأتمتة لضمان أمان عمليات البيانات المستندة إلى السحابة.
تحديثات أمان البرامج التلقائية التي تدفع التحديثات إلى أجهزة المستخدم النهائي.
تتبع جهاز تكنولوجيا المعلومات الذي يحدد موقع الأجهزة المفقودة أو في غير مكانها ويغلقها.
تشفير البيانات من السحابة إلى السحابة ومن السحابة إلى مركز البيانات يضمن أمان البيانات أثناء النقل.
ما الذي يمكن فعله أيضًا؟
أشارت دراسة هارفارد بيزنس ريفيو المذكورة أعلاه إلى أنه عندما ينتهك الموظفون سياسات أمن الشركة والحوكمة عمدًا، كانت الأسباب الثلاثة الأكثر شيوعًا هي “إنجاز المهام بشكل أفضل في وظيفتي”، و”الحصول على شيء أحتاجه”، و”مساعدة الآخرين في الحصول على ما يريدون”. انتهى العمل.”
من خلال استخدام الأتمتة والتأكد من عدم مطالبة المستخدمين بالمزيد مما يفعلونه عادةً فيما يتعلق بأمن البيانات وخصوصيتها، قدر الإمكان، يمكن لتكنولوجيا المعلومات أن تجعل إدارة البيانات غير تدخلية قدر الإمكان للمستخدمين.
ومع ذلك، هناك تحذير: لا يمكن إعفاء المستخدمين من كافة أشكال المشاركة والمسؤولية في إدارة البيانات.
يعد اتباع السياسة هو الطريقة المثلى لضمان الإدارة السليمة للبيانات، ولكن يجب أن يكون إجراء عمليات تدقيق الهندسة الاجتماعية بشكل دوري من قبل طرف ثالث بمثابة نهج آخر.
تعد مشاركة المستخدم في عمليات التدقيق هذه بمثابة “طلب” صغير، وإذا كان بإمكانها توفير ملايين أو حتى مليارات الدولارات للشركة من رسوم التخفيف التي يمكن أن تأتي نتيجة لخرق البيانات، فمن المؤكد أنها تستحق العناء.
