Comms الداخلية والخارجية هي حقل ألغام قديم لقادة الأمن ، حيث توازن الفرق الأمن مع قابلية الاستخدام. في بعض الحالات ، يمكن أن تتحول أنظمة COMMS غير الآمنة على أفضل الفرق والموظفين إلى تهديدات داخلية (عرضية). هذا يمثل تحديين رئيسيين: الوقاية من فقدان البيانات وشراء الشركات.
لنبدأ بالوقاية من فقدان البيانات. التسرب الأخير للمعلومات حول العمليات العسكرية الأمريكية عبر الإشارة هو حادثة غير عادية – لكنها قد تكون أكثر شيوعًا مما نعتقد ، خاصة داخل الشركات. وبغض النظر عن السياسة والقضايا القانونية ، فإن تبادل البيانات التنظيمية الحساسة حول الأنظمة غير المصممة لذلك ليس من غير المألوف ، على الرغم من انعدام الأمن الصاخب.
تبرز مثل هذه الحوادث التي لا تستحق المخاطرة بالاستخدام تطبيقات الطرف الثالث غير المستحقة، مثل الإشارة أو WhatsApp ، على الرغم من سهولة استخدامها. يمكن أن تكون التسريبات من الدردشات مثل هذه تدمر لسمعة المنظمة ، مما يؤدي إلى الخسارة المالية والأضرار السمعة والقانونية ، وفي بعض الحالات عدم الامتثال. في كثير من الأحيان ، لا يتم تسجيل المحادثات التي تم عقدها على التطبيقات التي لا تشرف عليها أو الموافقة عليها من قبل فرق الأمن رسميًا ، والتي يمكن أن تكون مشكلة للامتثال. في بعض الصناعات ، مثل التمويل والرعاية الصحية ، على سبيل المثال ، من المتوقع أن تحتفظ المنظمات بسجلات المحادثات لتلبية الامتثال ، مع الرسائل المختفية ، على سبيل المثال ، تنتهك ذلك. من ناحية أخرى ، فإن بعض المؤسسات (مثل العديد من تلك الموجودة في قطاعات البيع بالتجزئة والإعلام) لديها سياسات قصيرة جدًا للاحتفاظ بالبيانات ، مع رسائل مكتوبة وغير محفوظة تنتهك ذلك.
قابلية الاستخدام والحصول على المشاركة التنظيمية
من المهم مراعاة لماذا يلجأ الموظفون إلى تطبيقات المراسلة الخارجية حتى يتمكن محترفي الأمن من بناء تقنية آمنة يستخدمها الأشخاص بالفعل. ببساطة ، يلجأ الموظفون في بعض الأحيان إلى تطبيقات COMMS التي تم إصدارها من غير ORG بسبب سهولة الاستخدام وسهولة الوصول. الفرق الكبرى عرضة لهذا ، مع أي نوع من القيود التي تخاطر بخطر تباطؤ العمل – والوقت هو المال.
يتم تحدي فرق الأمن بمحاولة توفير تقنية آمنة سيتم استخدامها بالفعل مع التدابير الأمنية المناسبة المضمنة. يجب تشفير هذه التطبيقات وتتيح للناس أن ينجزوا وظائفهم بكفاءة ومع القليل من الاحتكاك. على قدم المساواة ، يجب تعليم الموظفين بشأن مخاطر (والقوانين) المتمثلة في استخدام تطبيقات الطرف الثالث غير الموافق عليها ، وكذلك التداعيات الشخصية والتنظيمية لعدم استخدامها.
صعود BYOD
ظروف العمل الحديثة ، مثل العمل الهجين، قد زاد الأمر تعقيد الأمر. الأجهزة الشخصية التي يتم استخدامها للعمل و “إحضار الجهاز الخاص بك” (BYOD) نماذج في ارتفاع المؤسسات. في كثير من الأحيان هذا لأنه يقلل من التكاليف ويزيد من المرونة. في حين أن هذه الأجهزة تتيح المحادثة السريعة بين الفرق ، فإن الأجهزة الشخصية غير المحببة يمكن أن تعني عدم وجود سيطرة على فرق الأمن ، ونتيجة لذلك ، زيادة خطر الأمن.
في نهاية المطاف ، يجب وضع سياسات وممارسات قوية من BYOD للتخفيف من المخاطر الزائدة التي تنشأ من استخدام الأجهزة الشخصية للعمل. يجب أن يكون هناك بعض عناصر مراجعة الشركات لما هو مسموح به على هذه الأجهزة لضمان سلامة البيانات التنظيمية.
في حين أن العديد من المستخدمين قد يؤمنون بأمان التطبيقات التي يستخدمونها ، شخصياً ومهنياً ، فإن الجهاز المعرض للخطر يعني غالبًا أن هذه التدابير الأمنية قد تجاوزت. التأكد من أن المستخدمين يتبعون نظافة الأجهزة الأساسية عندما يتعلق الأمر بالأمان أمر مهم (تحديث البرامج والتطبيقات بانتظام ، على سبيل المثال). بالإضافة إلى ذلك ، يجب أن يفهم المستخدمون أهمية تمكين المصادقة متعددة العوامل (MFA) وتدابير مماثلة تجعل من الصعب على ممثل التهديد الانتقال عبر الحسابات.
الحكم؟
هذه ليست مشكلة جديدة لفرق CISO وفرق الأمن. من الصعب الحصول على المشاركة التنظيمية على الإنترنت بشكل عام ، ولكن تقييد التطبيقات التي تسمح للأشخاص بإنجاز وظائفهم بسرعة على قدم المساواة. يجب على فرق الأمان إعطاء الأولوية لإنشاء أنظمة COMMS والاستثمار بها مع واجهات مستخدم جيدة تدعمها تدابير أمنية قوية ، مثل التشفير. يجب أن تفي هذه التطبيقات والأجهزة والأدوات أيضًا بمعايير الامتثال المحددة للصناعات المعنية بالمنظمة. بالإضافة إلى ذلك ، يعد التدريب القوي على الوعي أمرًا بالغ الأهمية لمساعدة الناس على جميع المستويات على فهم مخاطر وعواقب العمل خارج معايير الأمن التنظيمية.
إليوت ويلكس هو CTO في أنظمة الدفاع الإلكترونية المتقدمة. يتمتع ويلكس ، وهو زعيم التحول الرقمي ومدير المنتجات ، على أكثر من عقد من الخبرة في العمل مع كل من الحكومات الأمريكية والبريطانية ، وآخرها كمستشار للأمن السيبراني للخدمة المدنية.
