logo

أمن استخدام الأجهزة الخاصة في العمل

الصفحة الرئيسية الوعي السيبراني الأخصائيون أمن الشبكات والمؤسسات أمن استخدام الأجهزة الخاصة في العمل

أمن استخدام الأجهزة الخاصة في العمل

ما هو نظام/ سياسة (أحضر جهازك الخاص BYOD)؟

" أحضر جهازك الخاص" أحد السياسات التقنية الحديثة التي تسمح للموظفين باستخدام أجهزتهم الشخصية لأغراض متعلقة بالعمل، حيث يقوم الموظفون بجلب الأجهزة اللوحية وأجهزة الحواسيب ووسائل تخزين البيانات USB الخاصة بهم لإتمام مهامهم المتعلقة بالعمل، وتعد الهواتف الذكية من أكثر الأجهزة المحمولة انتشارًا. تهدف سياسة (أحضر جهازك الخاص) إلى ضمان تبني الموظفين لممارسات الأمن القوية عند الاتصال بشبكة الشركة الداخلية - وهذا ليس فقط للتخلص من حاجة الموظفين إلى حمل هاتفين!

cyberwiser

ففي السنوات الأخيرة، ازداد استخدام نظام "أحضر جهازك الخاص" بسبب سعي الشركات إلى زيادة الإنتاجية وخفض النفقات. أما بالنسبة للمستخدم، فيتعلق الأمر كله بميزة سهولة عملية العمل والتنقل، كالوصول إلى رسائل البريد الإلكتروني، والاتصال بشبكة العمل، والوصول إلى تطبيقات وبيانات الشركة.

تقوم بعض الشركات بتزويد موظفيها بأجهزة تكنولوجيا المعلومات والتي تُعرف بنموذج COPE (Corporate-Owned Personally Enabled)، فتعد هذه أحد نماذج العمل التي تقوم فيه المؤسسات بتوزيع أجهزة الحواسيب المحمولة أو الأجهزة اللوحية أو الهواتف الذكية على موظفيها وتسمح لهم باستخدامها كما لو كانت أجهزتهم الشخصية الخاصة بهم.

بينما يتمتع هذا النظام بالكثير من الفوائد والمزايا لكل من الموظفين والشركات التي يعملون فيها، إلا أنه يحتوي أيضًا على بعض الثغرات الأمنية إذا لم يتم تنفيذه بالشكل الصحيح.

سيغطي هذا الموضوع التهديدات الرئيسية التي تواجهها الشركات عند تنفيذ هذا النظام، بالإضافة إلى أفضل الممارسات والحلول للتخفيف من هذه المخاطر.

مزايا نظام (أحضر جهازك الخاصBYOD):

  • يكون الموظفون أكثر أريحية عند استخدامهم لأجهزتهم الشخصية المحمولة (مخصصة) بدلاً من إجبارهم على استخدام الأجهزة الصادرة عن قسم تكنولوجيا المعلومات، حيث تتيح هذه الألفة والراحة محفزا سيكولوجياً لاستجابة الطلبات بشكل أسرع، مما يؤدي إلى زيادة كبيرة في إنتاجية الموظف.

  • يتيح النظام المرونة المطلوبة للموظفين الذين يتنقلون باستمرار، فذلك يجعلهم أكثر استعدادا واستجابة لرد على رسائل البريد الإلكتروني وإنجاز مهام أخرى خارج المكتب وبالتالي تواجدهم حتى بعد أوقات العمل.

  • يعتبر نظام اقتصادي فعال من حيث التكلفة لان الشركات توفر المبالغ المستخدمة في شراء الأجهزة وما يرتبط بها من مستلزمات.

التهديدات / المخاطر المرتبطة بنظام (أحضر جهازك الخاصBYOD):

  • تطبيقات الأجهزة المحمولة الضارة: نظرًا لأن الأجهزة المحمولة تشكل جزءًا رئيسيًا من بيئة هذا النظام الخاص بالمنظمة فينبغي أن تكون المنظمة على دراية بالتهديدات التي تشكلها التطبيقات المشبوهة/البرمجيات الاحتيالية التي يتم تنزيلها بواسطة مستخدمي هذه الأجهزة. كثيرًا ما يفشل المستخدمون الذين يقومون بتنزيل البرامج من متاجر التطبيقات التابعة لمواقع غير معروفة أو اخرى ك"التورنت Torrent"في التحقق من شرعية وسلامة التطبيقات التي يقومون بتنزيلها، متجاهلين حقيقة أن العديد من هذه التطبيقات ضارة. فعادةً ما يخدع مجرمون الاحتيال عبر الإنترنت المستهلكين من خلال إظهارها على أنها تنزيلات قانونية لتطبيقات جديدة وشائعة. وإن ما يجعل بعض هذه التطبيقات خطيرة للغاية هو أنها تعمل مثل التطبيقات العادية، لكنها في الواقع تنقل روابط ضارة مثل الإعلانات المزعجة أو برامج التجسس أو تكون ثغرة يمكن من خلالها الوصول الى البيانات بالجهاز أو الشبكة.

  • التصيد الاحتيالي: على الرغم من أن التصيد الاحتيالي لا يقتصر على نظام "أحضر جهازك الخاص"، إلا أنه يشكل مشكلة خطيرة في البيئة المطبقة لهذا النظام/ السياسة، نظرًا لأن الشركات غالبًا ما تركز فقط على أمن الأجهزة الموجودة على شبكتها الخاصة، بالإضافة الى أن مجرمو الأنترنت يستغلون الحلقة الأضعف في سلسلة الأمان وهو المستخدم - العامل البشري.
    بينما تقوم العديد من الشركات بتثبيت الحلول الأمنية التي تكشف بكفاءة محاولات التصيد المحتملة على البنية التحتية تكنولوجيا المعلومات الخاصة بالشركة، إلا أن هناك نسبة أقل بكثير تطبق ذلك على الأجهزة الشخصية لموظفيها والتي تتبع نظام (أحضر جهازك الخاص). هذا يجعلهم عرضة للهجمات على حساباتهم المتعلقة بالعمل، والتي قد يستغلها المهاجم بعد ذلك للوصول الى الشبكة الداخلية التي يتصل بها الجهاز الخاص بالموظف.

  • الهجمات ونقاط الضعف المستهدفة: تعد الهجمات المستهدفة ونقاط الضعف في الأجهزة الخاصة بالموظفين مصدر قلق أمني رئيسي للشركات، فعلى سبيل المثال، يمكن أن تسمح إحدى الثغرات الأمنية أو الإعدادات المفقودة أو الافتراضية (Default Settings) باختراق جهازك أثناء استخدام شبكة إنترنت اللاسلكية العامة. ومثال آخر هو الألعاب، حيث يمكن أن تظهر البرمجيات الخبيثة في شكل ألعاب أو التطبيقات المستخدمة لتغيير إعدادات أساسية (إعدادات المصنع) للأجهزة المحمولة، أو المواقع الإلكترونية المشبوهة التي يتم الوصول إليها عبر جهاز حاسوب شخصي محمول وبذلك يتصل جهاز الموظف بتلك القنوات المشبوهة ويكون عرضة للاختراق وبذلك يعرض شبكة العمل لتلك المخاطر. وناهيك عن خطر الهجمات المستهدفة، بحيث يتربص المخترق لأي ثغرة في أجهزة الموظفين أو الشبكة مثل الأجهزة غير المحدثة أو تحتوي على تطبيقات قديمة يمكن أن يستخدمها لأغراض ضارة.

  • الأجهزة المفقودة أو المسروقة يستخدم الموظف جهازه الخاص للتعامل ولتخزين معلومات العمل السرية، وذلك يشكل خطرا كبيرا حال فقدان الجهاز في مكان عام وإذا ما وقع الجهاز في الأيدي الخاطئة!

  • الموظفون غير الموثوق بهم: يمكن أن يتيح نظام (أحضر جهازك الخاص) لموظف غير الموثوق به سرقة البيانات من الشركة من خلال فرصة استخدام جهازه الشخصي.

أفضل ممارسات نظام/ سياسة (أحضر جهازك الخاص):

  • وضع سياسة (أحضر جهازك الخاص): أثناء قيامك بتنفيذ حلول استخدام هذا النظام من خلال التطبيقات ومفاتيح المعرفات (ID KEYS) وبروتوكولات الاتصال وإعداد البنية التحتية، فإنه يجب تعميمها ونشرها بحيث يكون جميع الموظفين يخضعون لهذه السياسة الموحدة من حيث تضبيط الإعدادات بأجهزتهم الشخصية مثل الصلاحيات والقيود ومعايير الأمن المتبعة ومنع أي جهاز معد بشكل لا يتطابق مع إعداد المصنع بذات الجهاز Rooted or Jailbroken .

  • إدارة الهوية والوصول: ينبغي أن توضح السياسة إجراءات التحكم في الهوية وصلاحية التحكم والدخول لضمان وصول المستخدمين المصرح لهم فقط إلى الجهاز ومحتوياته. ينبغي أيضا استخدام كلمات مرور قوية، بالإضافة إلى إجراءات المصادقة الأخرى مثل البصمة ومفاتيح الدخول (الرقمية والقائمة على USB)، والمصادقة متعددة العوامل، بالإضافة الى التحقق من المعاملات والاتصالات كسجلات الدخول log in.

  • مسح بيانات الجهاز عن بُعد: ينبغي على مؤسستك أن تكون قادرة على حذف بيانات العمل المهمة من الجهاز في حالة الطوارئ. يمكن أن تساعد الحلول مثل أنظمة إدارة التنقل للمؤسسات في إزالة بيانات الشركة من الأجهزة المحمولة وبهذه الطريقة، ستتم حماية شركتك في حال تمكن مستخدم غير مصرح له من الوصول إلى جهاز أو إذا حدث عطل بالجهاز أو انتهاء خدمة الموظف.

  • الأجهزة المفُقودة أو المسُروقة: في حال ضياع أو سرقة الجهاز الخاص بالموظف ينبغي على المستخدمين الإبلاغ عن الجهاز المفقود أو المسروق لمؤسستك في أسرع وقت ممكن؛ كلما أسرعوا في الإبلاغ قلت المخاطرة على سلامة وسرية البيانات. وتوفر بعض حلول نظام إدارة الأجهزة المحمولة للمؤسسات إمكانات البحث الجغرافي، مما يتيح لك تعقب الأجهزة المفقودة.

  • حماية خصوصية الموظفين: قد يشعر الموظفون بالقلق بشأن خصوصيتهم إذا طبقت الشركة سياسة (أحضر جهازك الخاص)، فقد يعتقدون أن السماح للموظفين بإحضار أجهزتهم الخاصة للعمل هو ذريعة لمكان العمل للتطفل عليهم أو الوصول إلى البيانات الشخصية المحفوظة على هواتفهم ولذلك ينبغي التعامل مع هذا التخوف من خلال توعيتهم بشكل تقني الى حدا ما.

  • نصائح سريعة أخرى:

  • يمكن للمؤسسات استخدام حلول البنية التحتية المتنقلة الافتراضية التي تسمح للمستخدمين بالوصول إلى معلومات الشركة على أجهزتهم الشخصية المحمولة من خلال نظام تشغيل محمول افتراضي يعمل على خادم الشركة. ويعمل هذا الحل على فصل البيانات الشخصية عن ملفات الشركة بشكل فعّال.

  • ينبغي استخدام كلمات مرور قوية مع تفعيل مصادقة المتعددة العوامل (MFA) على الأجهزة الشخصية الخاصة بالموظفين.

  • يجب أن تكون حلول مكافحة الفيروسات فعالة.

  • ينبغي مراقبة الأجهزة بشكل صحيح للكشف عن أي عمليات خرق أو تسريب للبيانات.

  • ينبغي تجنب مشاركة الأجهزة الشخصية الخاصة بالموظفين مع الأصدقاء أو الأقارب.

  • ينبغي تقييد المعلومات السرية للغاية وعدم تخزينها على الأجهزة الشخصية الخاصة بالموظفين.

  • يجب ضبط صلاحيات الدخول للبيانات على حسب احتياجات العمل للموظفين.

مواضيع ذات صلة

أمان كلمة المرور أمن مشاركة الملفات أمان الموقع الالكتروني الأمن اللاسلكي المخاطر السيبرانية للقادة