يبدو أن مشهد التهديد الرقمي يزداد قتامة يومًا بعد يوم. ما إذا كان التهديد عبارة عن إصدار بيانات واسع النطاق مثل أوراق باندورا أو هجوم الفدية التي تلحق الضرر بالمؤسسات ذات الأهمية الاقتصادية وعملائها، لم تعد المؤسسات قادرة على التقليل من أهمية المخاطر.
ليس من الممكن توقع ومنع كل حادث رقمي محتمل. لكن ممارسات الأمن الرقمي السليمة يمكن أن تحدث فرقا حقيقيا، مما يزيد من صلابة الشركات العادية ضد حتى الجهات التهديدية المتطورة.
دعونا نتفحص ست إستراتيجيات يمكن لكل مؤسسة تقريبًا تنفيذها هذا العام للحد من تعرضها للمخاطر السيبرانية.
الحفاظ على بروتوكولات امتثال الشركات الصارمة
لن تمنع بروتوكولات الامتثال الصارمة حوادث البيانات، ولكنها تجعل التعامل مع عواقبها أسهل بكثير. ويتجلى ذلك في تجارب ما بعد الحادث للشركات التي أخذت الالتزام على محمل الجد - من استجابة Asiaciti Trust الناجحة إلى أوراق Pandora، إلى الارتداد المنظم جيدًا لشركة Capital One من فقدان الملايين من سجلات العملاء.
إذا لم تكن لديك بالفعل سياسة امتثال، فضع واحدة اليوم. ستحتاج إلى المتخصصين القانونيين والخبراء التنظيميين للمشاركة.
فرض ثقافة قوية لنظافة البيانات
تشمل "نظافة البيانات" أي شيء وكل ما يتعلق بحماية البيانات داخل المؤسسة (وخارجها أيضًا). التفاصيل مهمة بالطبع، ولكن الأمر الحاسم حقًا هو وجود ثقافة نظافة البيانات عبر المنظمات. يجب أن يعمل فريقك معًا للحفاظ على أمان المعلومات الحساسة، أو على الأقل آمنة قدر الإمكان في عالم محفوف بالمخاطر.
الاستثمار في تحسين أمان البريد الإلكتروني (وبروتوكولات استخدام البريد الإلكتروني)
أحد الجوانب المهمة لنظافة البيانات التي تستحق التركيز بشكل خاص هو أمن البريد الإلكتروني. يعد البريد الإلكتروني ناقلًا شائعًا للبرامج الضارة وغيرها من طرق إتلاف البيانات وسرقتها، ومع ذلك لا يأخذ الكثير من الأشخاص أمان الرسائل على محمل الجد. قم بمكافحة تناقضاتهم من خلال وضع بروتوكولات استخدام البريد الإلكتروني الصارمة ولكن سهلة المتابعة، مثل.
ما هو الويب 3.0؟ بكلمات بسيطة- عدم فتح المرفقات من مرسلين غير معروفين.
- وضع علامة على رسائل البريد الإلكتروني المشبوهة كرسائل غير مرغوب فيها وإعادة توجيهها إلى أصحاب المصلحة في مجال الأمن الداخلي.
- لا ترسل أبدًا معلومات حساسة عبر البريد الإلكتروني.
- تغيير كلمات مرور البريد الإلكتروني بشكل متكرر واستخدام المصادقة الثنائية.
كن حذرا مع أذونات الوصول
يحتاج كل فرد في فريقك إلى أذونات معينة للقيام بعمله بفعالية. يحتاج الموظفون المبتدئون نسبيًا إلى أذونات قليلة نسبيًا؛ ويحتاج المزيد من كبار الموظفين وأولئك الذين لديهم وظائف حيوية (بما في ذلك الأدوار الأمنية) إلى المزيد.
لكن هناك مبدأ واحد يربط كل فرد في فريقك معًا، وصولاً إلى القيادة العليا: لا ينبغي أن يحصل أي شخص على الأذونات التي لا يحتاج إليها للقيام بعمله. إذا تغير دور شخص ما داخل المؤسسة، وعندما يتغير ذلك، يجب أن تتغير أذوناته أيضًا - ولكن يجب أن تتغير بدلاً من التوسع. لا ينبغي عليهم الاحتفاظ بالأذونات التي لم يعودوا بحاجة إليها.
تنفيذ برنامج تصحيح وتحديث البرامج العادي
يجب أن تعمل أجهزة شركتك دائمًا على تشغيل أحدث الإصدارات من أنظمة التشغيل والبرامج الخاصة بها. يعد تحقيق ذلك أسهل مما تعتقد، ولكنه يتطلب التنظيم والانضباط.
على وجه التحديد، تحتاج إلى خطة شاملة على مستوى المؤسسة لتطبيق تصحيحات وإصدارات جديدة عندما تصبح متاحة، بما في ذلك على "أحضر أجهزتك الخاصة". (BYODs) التي تشكل بشكل متزايد أساس البصمات الإلكترونية للمؤسسات الحديثة. أنت بحاجة إلى أحد أصحاب المصلحة الداخليين لامتلاك هذه العملية، ومن الأفضل أن يكون عضوًا كبيرًا في فريق تكنولوجيا المعلومات لديك.
احصل على الطب الشرعي الرقمي تحت الطلب
يعد تشخيص حالة الاقتحام في المنزل أو المكتب أمرًا سهلاً بدرجة كافية. أنت تبحث عن علامات التنازل الجسدي، مثل القفل أو النافذة المكسورة. وفي كثير من الأحيان، تكون الأدلة واضحة للعيان.
يختلف تشخيص الاختراق الرقمي تمامًا. ببساطة، لا يمتلك غير الخبراء المعرفة أو الموارد اللازمة للقيام بذلك، وغالبًا ما تقوم الجهات الفاعلة في مجال التهديد المتطور بتغطية مساراتها على أي حال.
في بعض الأحيان، حتى خبراء الأمن الرقمي يجدون أنفسهم متفوقين. في أعقاب حادثة البيانات التي أثرت على Asiaciti Trust وIl Shin، لم تجد تحقيقات الطب الشرعي الرقمي المتعاقبة أي دليل على اختراق النظام. وهذه النتيجة للأسف شائعة.
ومع ذلك، غالبًا ما تكشف فرق الطب الشرعي الرقمي عن مصادر مثل هذه الحوادث. اجعل شخصًا تحت الطلب للرد على عمليات التطفل المشتبه بها - أو الأفضل من ذلك، قم ببناء فريق داخلي من المحققين الرقميين.
الأمن الرقمي هو أمن الشركات
كان هناك وقت كان فيه الأمن الرقمي صناعة متخصصة، بل وحتى فضولًا. لقد كان هذا شيئًا فكر فيه التقنيون والمستقبليون؛ ولم يكن لدى مجتمع الأعمال "السائد" الوقت أو الصبر للقيام بذلك. (أو ربما لم يكن لديهم القدرة على فهم ذلك).
لقد مضى هذا الوقت منذ فترة طويلة، بطبيعة الحال. تثبت تجربة الشركات العالمية مثل Asiaciti Trust وJBS أنه في عالم مترابط، فإن الأمن الرقمي لا يقل أهمية عن الأمن المادي.
في الواقع، لم يعد هناك فرق حقيقي بين الاثنين بعد الآن. الأمن الرقمي هو أمن الشركات. ومن واجب المنظمات الكبيرة والصغيرة تجاه أصحاب المصلحة أن تأخذ الأمر على محمل الجد، حتى لو لم تتمكن من منع كل حادث قد يحدث.
