يمكّن الوصول عن بُعد الموظفين والأطراف الثالثة من استخدام أنظمة وبيانات المؤسسة من خارج الشبكة. إدارة وتأمين هذا الوصول أمر ضروري.
يجب على المنظمات وضع سياسات وإجراءات تحدد استخدام الوصول عن بُعد آمن مقبول كجزء منها بشكل عام برنامج إدارة الأمن السيبراني. على الرغم من أن معظم الشركات لديها سياسات للأمن السيبراني في مكانها ، فقد لا تغطي بالتحديد وصولًا عن بُعد أو قد تتطلب التحديث لتضمينه.
في هذه المقالة ، تعرف على كيفية إعداد سياسة الوصول عن بُعد الرسمية بما يتوافق مع معايير التكنولوجيا ذات الصلة وأفضل الممارسات الأمنية التي تلبي أيضًا متطلبات التدقيق والامتثال. استخدم قالب سياسة الوصول عن بُعد المجاني القابل للتنزيل لتوثيق سياسة مؤسستك.
من الذي تنطبق عليه سياسة الوصول عن بُعد؟
تغطي سياسة الوصول عن بُعد أي موظف يصل عن بعد بيانات وأنظمة المؤسسة. الجهات الخارجية ، مثل الشركاء والمقاولين والبائعين والوكلاء ، التي تصل إلى بيانات وأنظمة الشركات يجب تضمينها أيضًا في سياسة الوصول عن بُعد.
لماذا تحتاج الشركات إلى سياسة الوصول عن بُعد؟
يتطلب الموظفون عن بُعد وأطراف ثالثة الوصول إلى تكنولوجيا المعلومات وموارد الأعمال ، مثل البيانات وقواعد البيانات والتطبيقات والأنظمة والشبكات ، للحفاظ على الإنتاجية والعمليات التجارية. يجب تمكين الوصول سواء كانت ، في المنزل ، في المكاتب البعيدة أو أثناء التنقل.
على الرغم من أن العمل عن بعد له فوائد متعددة ، إلا أنه يقدم العديد من المخاطر الأمنية. تساعد سياسة الوصول عن بُعد على ضمان عدم تقديم العمال عن بُعد عن اضطرابات العمل أو حوادث الأمن السيبراني.
من يخلق ويدير سياسة الوصول عن بُعد؟
يتم تطوير وإدارة سياسات الوصول عن بُعد بشكل عام وإدارتها من قبل فريق الأمن بالتزامن مع فرق الشبكات.
يتضمن إنشاء سياسة وصول عن بُعد فريقًا متعدد الوظائف يتضمن أيضًا فرق الموارد البشرية والقانونية والامتثال. يجب على الفريق معالجة الاعتبارات التشغيلية والقانونية والتنافسية وغيرها المرتبطة بالوصول عن بُعد إلى البيانات وأنظمة تكنولوجيا المعلومات. يجب أن تناقش الفرق متطلبات الوصول عن بُعد للإدارات الداخلية لاستيعاب احتياجات الوصول عن بُعد للمستخدمين.
ما يجب تضمينه في سياسة الوصول عن بُعد
يتضمن أمان الوصول عن بُعد الأنشطة التالية:
- تنفيذ ضوابط الوصول القوية.
- قياس فعالية الضوابط الأمنية.
- مراقبة أنشطة الوصول عن بُعد.
- إدارة تقنيات الوصول عن بُعد آمنة.
- الحفاظ على قواعد وسياسات الوصول عن بُعد محدثة.
- اختبار عمليات أمان الوصول عن بُعد.
تحتاج المؤسسات إلى إعداد سياسة وصول عن بُعد تعالج هذه الأنشطة وتكملها بتقنيات كافية وتدريب الموظفين.
تعالج بعض المنظمات الوصول عن بُعد في سياسات الأمن السيبراني الحالية. يجب أن تحدد هذه أنشطة الوصول عن بُعد وكيفية بناءها على السياسات والإجراءات الحالية ، مع ملاحظة مقاييس وصول عن بُعد محددة. قم بتضمين تفاصيل إضافية ، مثل كيفية اختبار جزء الوصول عن بُعد من السياسة ، إذا لزم الأمر.
قد تتطلب المنظمات الأخرى الأكبر أو الأكثر تعقيدًا سياسة وصول عن بُعد منفصلة وأكثر تحديدًا. قد تشمل هذه الشركات متعددة المواقع المشتتة جغرافيا أو المنظمات مع العديد من العمال عن بُعد.
يجب أن تمثل سياسات الوصول عن بُعد ما يلي:
- معايير منح الموظفين وصول عن بُعد.
- معايير منح أطراف ثالثة الوصول عن بُعد.
- الموارد التي يمكن للمستخدمين عن بُعد الوصول إليها.
- التي تتيح عناصر التحكم في الوصول والتقنيات هذا الوصول.
- موارد الشبكة اللازمة للوصول عن بُعد.
- موظفو الأمن وتكنولوجيا المعلومات المسؤولين عن تنفيذ أنشطة الوصول عن بُعد.
- متطلبات الأمان للأجهزة المادية ونقاط النهاية.
- تكوينات الأجهزة والبرامج للوصول عن بُعد.
- تواتر مراجعة وتغيير عناصر التحكم عن بُعد.
- إجراءات لاختبار والتحقق من أن بروتوكولات الوصول عن بُعد وعناصر التحكم في الوصول تؤدي بشكل صحيح.
- اختبار دوري لضمان التشغيل السليم.
- التدقيق الدوري لضمان اتباع الضوابط.
- إجراءات الطوارئ في حالة حل وسط الوصول عن بُعد.
- تكامل الوصول عن بُعد إلى استجابة الحادثو استجابة خرق البيانات وغيرها من خطط الاستجابة للمؤسسات.
النظر في تضمين التقنيات والعمليات والأدوات التالية:
- بروتوكولات وتكنولوجيات الوصول عن بُعد مثل VPNS و RDP وحوسبة الشبكة الافتراضية و SSH و Zero Trust ، وكذلك خدمات الوصول عن بُعد.
- أدوات التحكم في الوصول ، مثل MFA ، ومبدأ أقل امتياز ، وإدارة الوصول المميزة ، والتحكم في الوصول القائم على الأدوار ، وأمن كلمة المرور ، و وصول شبكة ثقة الصفر.
- onboarding ، مراجعات خارجية وصول المستخدم.
- ضوابط أمان البيانات ، مثل التشفير ، والوقاية من فقدان البيانات ، والنسخ الاحتياطي والنسخ الاحتياطية.
- ضوابط أمان الشبكة مثل جدران الحماية ، وأنظمة الوقاية من التسلل والكشف ، واكتشاف الشبكة والاستجابة لها.
- ضوابط أمان Wi-Fi.
- أمان البريد الإلكتروني.
- قطع الأشجار والمراقبة.
- تحليلات سلوك المستخدم والكيان.
- أمن نقطة النهاية و BYOD.
تشمل الوصول عن بُعد في التدريب على التوعية الأمنية المنتظمة. تثقيف المستخدمين حول مخاطر أمان الوصول عن بُعد وأهمية الالتزام بسياسة الوصول عن بُعد. دع المستخدمين يعرفون الآثار المترتبة على عدم الامتثال.
كيفية تنسيق سياسة الوصول عن بُعد
يغطي الخطوط العريضة التالية المكونات الرئيسية للسياسة:
- مقدمة. ينص على الأسباب الأساسية لسياسة الوصول عن بُعد.
- الغرض والنطاق. يوفر تفاصيل عن الغرض من السياسة ونطاقها.
- بيان الامتثال. يحدد القوانين واللوائح والمعايير والتوجيهات الأخرى التي تهدف السياسة إلى تحقيقها.
- بيان السياسة. ينص السياسة على شروط واضحة ومحددة وتشمل المقاييس المذكورة في فقرة سابقة.
- قيادة السياسة. يحدد من المسؤول عن الموافقة على السياسة وتنفيذها ، وكذلك إصدار عقوبات لعدم الامتثال.
- التحقق من الامتثال للسياسة. تحدد المقاييس اللازمة للتحقق من أن أنشطة أمان الوصول عن بُعد يمكن التحقق منها ومتوافقة مع السياسة وأي سياسات أخرى لتكنولوجيا المعلومات.
- عقوبات لعدم الامتثال. يحدد العقوبات ، بما في ذلك التوبيخ اللفظي أو استشهاد ملفات الموظفين ، لعدم الامتثال للسياسة.
- التذييلات. تستخدم حسب الحاجة لدمج بيانات مرجعية إضافية ، مثل قوائم جهات الاتصال واتفاقيات مستوى الخدمة.
النظر في الارتباط بالسياسات الأمنية المجاورة ، مثل سياسة أمن المعلوماتو سياسة أمان البياناتو سياسة كلمة المرور، سياسة أمان الشبكة ، إلخ
منتجات البرمجيات متاحة للمساعدة في إعداد السياسات ، بما في ذلك الوصول عن بُعد ، إذا لزم الأمر. النظر أيضا في استخدام الذكاء الاصطناعى لأمن الوصول عن بُعد. يمكن أن تساعد AI في تحليل الوصول عن بُعد ، على سبيل المثال ، من خلال اكتشاف انتهاكات السياسة أو وجود البرامج الضارة. يمكن أن تؤدي بعض أدوات الأمن السيبراني مع ميزات الذكاء الاصطناعي إلى أتمتة أنشطة الكشف والاستجابة أو إجراء صيد التهديد للعثور على نشاط مشبوه ، والذي يمكن أن يكون مهمًا بشكل خاص لحماية الوصول عن بُعد.
بول كيرفان ، FBCI ، CISA ، هو مستشار مستقل وكاتب تقني يتمتع بأكثر من 35 عامًا من الخبرة في استمرارية العمل ، والتعافي من الكوارث ، والمرونة ، والأمن السيبراني ، و GRC ، والاتصالات والكتابة الفنية.
