يعد تبني العمل عن بعد طريقة رائعة لبناء فريق من المحترفين ذوي المهارات العالية، ولكنه قد يعرض شركتك الرقمية أيضًا لمشاكل جديدة تتعلق بالأمن السيبراني وأمن المعلومات.
عندما يعمل جميع أعضاء فريقك في مكتب فعلي واحد، يمكنك التحكم بسهولة أكبر في الوصول إلى أجهزة الكمبيوتر والمستندات والشبكات. يستخدم الجميع نفس خادم الملفات والشبكة واتصال الإنترنت.
عند العمل عن بعد، يجب مشاركة الملفات عبر شبكات كمبيوتر مختلفة، وقد يلزم أيضًا مشاركتها مع أعضاء الفريق الذين يعملون على أجهزة شخصية، وليس على أجهزة الشركة.
لحسن الحظ، هناك العديد من ممارسات أمن المعلومات التي يمكنك التركيز عليها لتقليل المخاطر وجعل العمل عن بعد خيارًا أكثر أمانًا للجميع.
1. تنفيذ النظافة الأساسية للأمن السيبراني
يمكن أن يؤدي اتخاذ بعض الخطوات الأساسية واتباع بعض الإجراءات الأمنية البسيطة إلى تحسين أمن المعلومات عن بعد في شركتك الرقمية. يمكن أن تتراوح عناصر التحكم الأمنية هذه من إجراءات محددة – مثل الحفاظ على تحديث البرامج – إلى العادات، مثل تذكر مراقبة أجهزة العمل في جميع الأوقات.
- حافظ على تحديث برامج العمل. يمكن أن يساعد طلب التحديثات التلقائية لأنظمة التشغيل والبرامج الفردية في الحفاظ على أمن المعلومات وأجهزة أعضاء الفريق البعيدين آمنة ضد التهديدات المتطورة باستمرار.
- فحص الأجهزة بحثًا عن الفيروسات والبرامج الضارة. يمكن أن يوفر استخدام برامج مكافحة الفيروسات والبرامج الضارة ذات السمعة الطيبة خطًا إضافيًا للدفاع على الأجهزة التي تظل آمنة ومحدثة.
- تأمين الأجهزة عندما لا تكون قيد الاستعمال. تأكد من أن أعضاء فريقك يعرفون عدم ترك أجهزة الكمبيوتر المحمولة أو الهواتف الخاصة بالعمل – حتى لو كانوا يستخدمون أجهزة شخصية – دون مراقبة في الأماكن العامة مثل مساحات العمل المشتركة أو المقاهي.
- تجنب النقر على الروابط غير المألوفة أو الروابط الواردة من مرسلين غير معروفين. تعمل تطبيقات البريد الإلكتروني، مثل Gmail وOutlook، على تصفية رسائل البريد الإلكتروني العشوائية للحفاظ على أمن المعلومات، ولكن يجب ألا تنقر مطلقًا على رابط أو مرفق من مرسل غير معروف.
- اتصل فقط بشبكات Wi-Fi المعروفة. يمكن للجهات السيئة بسهولة إنشاء شبكات إنترنت لاسلكية عامة تبدو صالحة، ولكنها في الواقع تعرض المستخدمين للخطر.
- قم بتشغيل VPN للاتصالات عن بعد. يمكن أن يضيف استخدام الشبكات الخاصة الافتراضية، أو VPNs، طبقة إضافية من أمن المعلومات عندما تتصل أجهزة الكمبيوتر الخاصة بأعضاء الفريق البعيدين بأنظمة الشركة.
إذا كانت شركتك تتعامل مع معلومات التعريف الشخصية (PII)، فقد تحتاج أيضًا إلى اتباع أفضل الممارسات الإضافية – تلك التي تساعدك على زيادة أمن المعلومات وتأمين البيانات الشخصية وتجنب الخروقات الأمنية وفقًا لتشريعات الخصوصية مثل اللائحة العامة لحماية البيانات.
2. تأمين شبكات مكاتب العمل
بالإضافة إلى الوصول إلى شبكات Wi-Fi المعروفة فقط، ستحتاج إلى التأكد من أن الشبكات آمنة.
يعد استخدام اتصالات الإنترنت الآمنة أحد أكبر الأشياء التي يمكنك أنت وفريقك القيام بها لتحسين أمن المعلومات أثناء العمل عن بعد.
وفقًا لوكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، فإن شبكة الإنترنت اللاسلكية الآمنة هي:
- محمية بكلمة مرور آمنة يتم تغييرها بانتظام.
- مجهزة بمعرف مجموعة الخدمات المخصصة (SSID).
- متاح فقط لمستخدمين محددين، كل منهم لديه كلمة مرور الوصول.
- مشفر بأمان على مستوى WPA3، والذي يحمي المعلومات المرسلة والمستقبلة على الشبكة.
- محمي بواسطة جدار حماية مثبت على جهاز التوجيه أو المودم.
تجعل هذه الإجراءات من الصعب على المستخدمين غير المصرح لهم الوصول إلى الشبكة، مما يقلل من احتمالية حدوث اختراق أو هجوم أو تسرب البيانات والحفاظ على أمن المعلومات.
يجب على كل شخص يعمل مع شركتك عن بعد أن يلتزم باستخدام جهاز الكمبيوتر الخاص به فقط للوصول إلى وثائق العمل عندما يكون على شبكة آمنة. الشبكات العامة المجانية الموجودة غالبًا في المقاهي والمكتبات والمطارات لا تلبي معايير الأمان المناسبة.
يمكن أن يؤدي الاتصال بشبكة غير آمنة إلى تعرضك لمجموعة من مشكلات خصوصية البيانات وأمن المعلومات ونقاط الضعف الأخرى، بما في ذلك البرامج الضارة وهجمات الوسيط (man-in-the-middle attacks).
3. إدارة البيانات الحساسة بعناية شديدة
عند منح الوصول إلى الشبكات والمستندات، اتبع مبدأ الامتياز الأقل (least privilege). يركز هذا النهج على منح المستخدمين الحد الأدنى من الوصول أو المعلومات اللازمة لتنفيذ مهمة ما، ويمكن أن يقلل من التعرض للمعلومات الحساسة.
يعد إنشاء ضوابط الوصول بناءً على الدور أو المشروع إحدى الطرق للقيام بذلك. على سبيل المثال، لا ينبغي أن يحتاج مسوق المحتوى الذي يعمل لدى شركة تأمين صحي إلى الوصول إلى معلومات المريض الحساسة المحمية بموجب قانون نقل التأمين الصحي والمسؤولية وقوانين الخصوصية المماثلة. يمكنك منح عضو الفريق هذا حق الوصول إلى نظام إدارة محتوى موقع الويب الخاص بك وحساب البريد الإلكتروني، ولكن يمكنك تقييد الوصول إلى الأنظمة الأخرى والشبكات المحمية.
من خلال تقييد عدد المستخدمين المصرح لهم الذين يمكنهم الوصول إلى البيانات الحساسة – ومن خلال الحفاظ على أذونات الوصول إلى البيانات هذه مستندة إلى الأدوار – يمكنك بسهولة تحديد الانتهاكات الداخلية وإلغاء وصول المستخدم عند الحاجة من أجل الحفاظ على أمن المعلومات.
من المهم أن تظل مطلعًا على إدارة الوصول أيضًا. إذا تغير دور أحد أعضاء الفريق أو ترك الشركة، فستحتاج إلى إزالة إمكانية الوصول إلى أنظمته وفقًا لذلك.
4. حافظ على أمان الاتصالات الداخلية والخارجية
لن يكون الاتصال بشبكة آمنة ومنح الأذونات المستندة إلى الأدوار كافيًا إذا كنت تتحدث عن عملك – أو تشارك الملفات – من خلال قنوات اتصال غير آمنة.
بدلاً من السماح لأعضاء الفريق البعيدين بالوصول إلى المستندات وإرسال رسائل العمل عبر حسابات البريد الإلكتروني والهواتف الشخصية، فكر في تزويد فريقك بهواتف آمنة صادرة عن الشركة.
إذا لم يكن هذا خيارًا، أو كنت ملتزمًا بسياسة إحضار جهازك الخاص (BYOD)، فلا يزال بإمكانك تحسين أمان اتصالات العمل الخاصة بك عن طريق:
- تعيين عناوين البريد الإلكتروني للشركة واستخدام تشفير البيانات الشامل.
- استخدام تطبيقات المراسلة المشفرة مثل Signal.
- الاحتفاظ بجميع اتصالات العمل على تطبيق تسيطر عليه الشركة، مثل Slack.
- مشاركة الملفات فقط من خلال القنوات المعتمدة، مثل حساب Google Drive للشركة.
- التواصل مع المواهب المستقلة من خلال منصة مخصصة مثل رسائل منصة نفذلي.
5. وضع سياسة كلمة مرور قوية
يجب أن تكون جميع التطبيقات والأجهزة المستخدمة للعمل عن بعد محمية بكلمة مرور قوية من أجل الحفاظ على أمن المعلومات.
إذا قمت بإصدار أجهزة لأعضاء فريقك، فقم بإعداد الأجهزة بحيث تتطلب كلمات مرور ذات طول معين وتعقيد معين.
بالنسبة لحالات BYOD، تأكد من أنه يتعين على أعضاء الفريق إدخال كلمة مرور آمنة للوصول إلى تطبيقات الشركة وحسابات البريد الإلكتروني والأنظمة الأساسية الحساسة الأخرى.
في كلتا الحالتين، ستحتاج إلى تعيين كلمات المرور بحيث تنتهي صلاحيتها على فترات زمنية مخصصة – مثل كل 90 يومًا – ومطالبة الجميع بتحديث كلمات المرور الخاصة بهم في هذا الوقت من أجل الحفاظ على أمن المعلومات.
يمكن لمدير كلمات المرور المعتمد من الشركة، مثل Dashlane أو 1Password أو Proton Pass، مساعدة أعضاء فريقك في إنشاء كلمات المرور الخاصة بهم والاحتفاظ بها وتحديثها كما هو مطلوب.
6. استخدم المصادقة متعددة العوامل (MFA)
تعد المصادقة متعددة العوامل (التي تسمى أحيانًا المصادقة الثنائية) فكرة جيدة أيضًا. وكما يوحي الاسم، فهي عملية متعددة الخطوات تضيف طبقة إضافية من الأمان إلى الحسابات والأجهزة المحمية بكلمة مرور من أجل الحفاظ على أمن المعلومات.
يمكن إعداد أسلوب MFA بعدة طرق.
الخطوة الأولى هي دائمًا تسجيل الدخول إلى تطبيق أو جهاز باستخدام كلمة مرور. بعد ذلك، يتم تشغيل المستخدم لإكمال نموذج آخر للتحقق من تسجيل الدخول. قد يبدو هذا كالتالي:
- استلام الرمز أو الضغط على رابط مرسل عبر رسالة نصية أو بريد إلكتروني.
- النقر على إشعار في تطبيق الهاتف المحمول المقابل، إذا كنت تحاول تسجيل الدخول على جهاز كمبيوتر.
- الضغط على زر على جهاز متصل، مثل الساعة الذكية.
- إدخال الرمز الذي تم إنشاؤه بواسطة تطبيق المصادقة المعين.
- توفير البيانات البيومترية، مثل بصمة الإصبع أو بصمة الوجه.
- إدخال أو النقر على جهاز مصادقة فعلي مثل YubiKey.
عادةً ما يكون استخدام تطبيق المصادقة أو التحقق البيومتري أو جهاز المصادقة الفعلي أكثر أمانًا من إرسال رموز التحقق عبر رسالة نصية. وذلك لأن بطاقة SIM الخاصة بالهاتف يمكن أن تتم سرقتها أو نسخها أو التدخل فيها بطريقة أخرى، مما يضع رمز التحقق في أيدي جهة فاعلة سيئة ويفتح إمكانية اختراق البيانات أو الهجوم الإلكتروني.
إذا كنت تقوم بإصدار أجهزة لأعضاء فريقك، فإن إضافة جهاز مصادقة فعلي إلى كل حزمة أمر بسيط. إذا كنت تعمل مع استخدام BYOD أو فرق مستقلة، ففكر في طلب استخدام تطبيق مثل Google Authenticator أو Microsoft Authenticator.
7. قم بعمل نسخة احتياطية للبيانات بانتظام
ويجب أن يكون لديك أيضًا نظام صارم لإجراء نسخ احتياطي لبياناتك، حتى عندما تكون أجهزتك مؤمنة فعليًا وإلكترونيًا من أجل الحفاظ على أمن المعلومات.
يعد تخزين المستندات في الخدمات السحابية الآمنة مثل Google Workspace مفيدًا. إذا تعطل جهاز الكمبيوتر الخاص بك، فسيظل بإمكانك الوصول إلى جميع ملفات العمل الأساسية الخاصة بك على جهاز جديد.
ومع ذلك، حتى مع وجود جميع ملفاتك في السحابة، قد تفقد إمكانية الوصول إلى إعدادات التطبيق الحالية وتفاصيل الاتصال والمزيد إذا توقف جهاز الكمبيوتر أو الهاتف الخاص بك عن العمل. ومن خلال الاحتفاظ بنسخة احتياطية من كل هذه البيانات الإضافية في موقع آمن، يمكنك تكوين جهاز بديل بسرعة للعمل بالطريقة التي تريدها.
تتمتع جميع أجهزة كمبيوتر Apple وWindows بقدرات النسخ الاحتياطي. حيث يتم إرسال البيانات إما إلى حسابات المستخدم على iCloud وMicrosoft أو إلى محرك أقراص خارجي فعلي. هناك أيضًا أنظمة أمان مؤسسية تابعة لجهات خارجية يمكنها مساعدتك في عمل نسخة احتياطية لشبكة الكمبيوتر الخاصة بشركتك بالكامل وموقع الويب.
8. كن حذرًا من أساليب الهندسة الاجتماعية
في بعض الأحيان. إذا أراد أحد العناصر السيئة الوصول إلى أنظمة الشركة. فسوف يفعل ذلك عن طريق الاتصال بأحد أعضاء فريقك.
وهذا ما يسمى الهندسة الاجتماعية، والهدف هو إنشاء علاقة تمنح الوصول إلى معلومات الشركة أو ملفاتها أو أنظمتها.
يحاول الشخص الذي يسعى للوصول إنشاء الثقة. إما من خلال سلسلة من الاتصالات التي تزعم أنها تتعلق بمسألة تجارية. أو من خلال التظاهر بأنه شخص يعتبر تلقائيًا “جديرًا بالثقة” – مثل عضو في فريق الموارد البشرية أو تكنولوجيا المعلومات لديك في الشركة.
قد يثق عضو الفريق الذي أصبح هدفًا بهذا الشخص وبالتالي يقع ضحية لعمليات الاحتيال.
عمليات الاحتيال الأشهر وطرق الحماية منها
- التصيد – Phishing. استخدام الروابط المزيفة والمكالمات الهاتفية والرسائل النصية ووسائل الاتصال الأخرى للوصول إلى الأنظمة.
- الاصطياد – Baiting. مشاركة البرامج الضارة والفيروسات من خلال مرفقات البريد الإلكتروني والملفات الأخرى.
- انتحال الدومين – DNS spoofing. الجهات الفاعلة السيئة التي تتحكم في حركة مرور المتصفح لإعادة توجيه النشاط.
- التخويف – Scareware. على سبيل المثال، برنامج طلب فدية يعرض رسالة تطالب بالدفع مقابل الوصول إلى أنظمة الكمبيوتر.
وهذا إلى جانب حقيقة أن جهات الاتصال الحقيقية الموثوقة يمكن أن تتعرض حساباتها الخاصة للاختراق من قبل المتسللين. يجعل من المهم بشكل مضاعف ما يلي:
- تقييم خطورة الملفات والروابط عند استلامها عبر البريد الإلكتروني أو الرسائل النصية. إذا كان الرابط يبدو مريبًا، فلا تفتحه، حتى لو كان من عنوان بريد إلكتروني تثق به.
- اقرأ بعناية عناوين البريد الإلكتروني والويب التي تحتوي على روابط. سوف يقوم الممثلون السيئون بنسخ العناوين التي تبدو مألوفة. على سبيل المثال، عن طريق استبدال حرف “m” بحرف “rn” الذي يسهل الخلط بينه.
- انتبه إلى مشاركة المعلومات الأساسية فقط مع المتعاونين الخارجيين والعملاء المحتملين والمزيد – احتفظ بالأشياء على أساس الحاجة إلى المعرفة.
- التحقق من الطلبات غير المتوقعة، حتى لو كانت تبدو وكأنها من أحد أعضاء الفريق.
- تحقق جيدًا من حالة شخص ما كزميل أو بائع أو عميل إذا لم يكن مألوفًا له.
- قم بتصعيد المخاوف بشأن طلبات البيانات إلى أعلى سلسلة القيادة للتحقق مما إذا كان ينبغي نشر المعلومات المعنية أم لا.
يعتمد الأشخاص الذين ينفذون هجمات الهندسة الاجتماعية على أن ضحاياهم يشعرون بالخوف الشديد أو الارتباك أو الإحراج من طلب المساعدة. لذا لا تتردد في التشاور مع أحد المتخصصين الموثوقين إذا كنت تتعامل مع رسالة أو رابط مشبوه من أجل الحفاظ على أمن المعلومات.
9. كن على علم بالاتجاهات الأمنية الحديثة
ولسوء الحظ، فإن الهندسة الاجتماعية وغيرها من أشكال هجمات الأمن السيبراني تتطور باستمرار. يبحث المحتالون دائمًا عن طرق جديدة لاختراق الأنظمة، والوصول إلى البيانات، والاستفادة من المشاعر – مثل الثقة أو الخوف – للإضرار بالأمن.
في النهاية، أفضل ما يمكنك فعله هو التأكد من أن أنظمتك آمنة وأن فريقك يفهم أفضل الممارسات. يجب أن يكون لديك أيضًا نظام لإبقاء أصحاب المصلحة المعنيين على علم بالمخاوف والاتجاهات والتطورات الأمنية من أجل الحفاظ على أمن المعلومات.
تحتفظ شركات الأمن مثل Proton وMcAfee أيضًا بمكتبات موارد يمكنها توفير معلومات قيمة لمساعدتك في معرفة المزيد حول اتجاهات الأمن السيبراني وأفضل الممارسات.
قم ببناء فريق آمن عن بعد باستخدام منصة نفذلي
يجعل موقع نفذلي بناء فريق مستقل أمرًا سهلاً. على الرغم من أنك ستظل بحاجة إلى التركيز على الحفاظ على أمان ملفاتك واتصالاتك وأنظمتك كما ناقشنا. فإن منصتنا تجعل من السهل القيام بما يلي:
- البحث عن المهنيين المستقلين المهرة والعمل معهم.
- حافظ على الرسائل مركزية ومنظمة.
- مشاركة الملفات الفردية المتعلقة بالمشاريع (مقابل منح وصول واسع للأنظمة الداخلية).
- ادفع بشكل آمن للمتخصصين الذين تعمل معهم.
- التعاون مع أعضاء الفريق الداخليين والبعيدين في المشاريع.
- قم ببناء شبكة من المستقلين المحترفين الذين تثق بهم أنت وزملائك.
كل ما تحتاجه هو حساب على منصة نفذلي للبدء. قم بإنشاء حساب أو تسجيل الدخول اليوم للبدء في العثور على فريق العمل المستقل المثالي لشركتك الرقمية. بما في ذلك متخصصي الأمن السيبراني الذي تحتاجه للقيام بأفضل أعمالك.