في عالم اليوم، لدينا وصول أكبر إلى الأشخاص والأماكن. وصول أكبر إلى المعلومات والمعرفة. وصول أكبر إلى كل شيء وأي شيء على الانترنت. مع هذا الوصول المتزايد، تنشأ رغبة متزايدة لدينا كبشر في التحكم في بياناتنا الخاصة أو السرية، خاصةً عندما يتعلق الأمر بالمؤسسات التي نعمل بها. ومع ذلك، هناك خوف من أن الأشخاص الخطأ قد يحصلون على المعلومات أو الأنظمة لإحداث مشكلات كبيرة لنا كأشخاص أو للمؤسسة عموماً. ولكن لا داعي للخوف من الفوضى في إدارة من يمكنه الوصول إلى موارد المؤسسة إذا جعلنا التحكم بالوصول (access control) أولوية في برامج الأمن لكل منظمات الأعمال.
التحكم بالوصول – رؤية استراتيجية
من خلال بناء استراتيجية التحكم بالوصول، يمكن للمؤسسات ضمان وجود ممارسات مناسبة لحوكمة وصول المستخدمين. ويعتبر التحكم في الوصول الفعال ضروري لحماية الأشخاص والمعلومات والأصول من خلال تمكين المؤسسة من تقليل المخاطر على الموظفين، العملاء والشركاء. كما يساعد برنامج التحكم في الوصول الفعال على اتخاذ قرارات منطقية بشأن منح الأفراد الوصول المناسب اللازم لأداء وظائفهم بفعالية دون إضعاف معايير الأمان أو التسبب باضطراب الأعمال.
تحسين التحكم بالوصول
لتطوير متطلبات لبرنامج التحكم في الوصول. يجب وجود عملية موثقة لتسجيل وإلغاء تسجيل المستخدمين لطلب أو الموافقة أو منح أو تعديل أو مراجعة أو إلغاء الوصول. على أن تعكس قواعد التحكم بالوصول متطلبات مؤسستك فيما يتعلق بالتفويض والوصول ونشر وعرض المعلومات. يجب دعم هذه القواعد بإجراءات رسمية مع تحديد واضح للمسؤوليات المخصصة للأدوار المناسبة. تأكد من أن متطلبات التحكم في الوصول تغطي التدابير المنطقية والمادية التي تستند إلى مبدأ “الامتياز الأقل- Principle of Least Privilege”.
كما يجب تحديد وتوثيق أنواع الحسابات (مثل المستخدم العادي، المستخدم ذو الامتيازات، النظام، الخدمة، إلخ) المستخدمة في المؤسسة. وكذلك توضيح قواعد التحكم في الوصول لكل مستخدم أو مجموعة مستخدمين. كما يتطلب الأمر وضع شروط للعضوية في المجموعات (Groups) أو منح الأدوار الوظيفية. لتحقيق فائدة أكير، يجب أن يكون لدى المستخدمين فهم واضح لمتطلبات الأمن المراد تلبيتها من خلال التحكم في الوصول لموارد مؤسستك.
عملية مستمرة – التحكم بالوصول
هناك حاجة جوهرية لضمان وجود إدارة مستمرة للحسابات. من المرجح أن يحدث وصول غير مصرح به أو غير مناسب للحسابات إذا لم تكن هناك صيانة مستمرة لها. إن إدارة الحسابات ليست “مهمة تُنفذ مرة واحدة” ولكنها عمل ديناميكي يجب القيام به بشكل دوري للحفاظ على فعاليتها. كما يجب فرض الحصول على موافقة الإدارة كشرط لازم لجميع الطلبات لإنشاء الحسابات بحيث يتم إنشاءها (الحسابات) وتمكينها وتعديلها ومراقبتها وتعطيلها وإزالتها وفقًا لسياسة التحكم في الوصول المعتمدة. وأن توضح طرق تلبية متطلبات التحكم المحددة في السياسة. ويقتضي الأمر إجراء مراجعات أو تدقيقات داخلية دورية للحسابات والوصول، مرة واحدة على الأقل سنوياً، للتحقق من استمرار الحاجة إلى الامتيازات الممنوحة حالياً.
أهمية لمعرفات الفريدة
يجب ربط الإجراءات بمعرف فريد لكل مستخدم، مخصص لاستخدامه الشخصي فقط. وتنفيذ تقنيات مصادقة مناسبة للتحقق من الهوية المزعومة لأي مستخدم مخول يطلب الوصول في كل مرة يسجل الدخول إلى شبكات أو أنظمة أو تطبيقات المؤسسة. على أن تشمل الضوابط الأساسية إعدادات لتكوين وتعقيد كلمات المرور أو العبارات السرية.
كما يعتبر تعيين ضوابط للحسابات ذات الوصول المميز أمراً ضرورياً لتقليل احتمالية منح المستخدمين العاديين أذونات وصول أكثر مما يحتاجون إليه. ولضمان ذلك من المهم تنفيذ فحوصات و التحقق من الإجراءات التي يتم تنفيذها باستخدام الحسابات ذات الامتيازات لضمان أن مستخدمي هذه الحسابات يؤدون أدوارهم وفقاً لمتطلبات الضوابط الأمنية الموصوفة. يتيح اتباع مبدأ “الامتياز الأقل” الوصول الضروري لكل مستخدم لإنجاز مهامه الموكلة له -فقط- وفقاً لمهام أو وظائف عمل المؤسسة.
وتساعد عمليات تسجيل الدخول على التحقق من هوية المستخدمين وربط المستخدم بالإجراءات التي يقوم بها. وكذلك لتقليل احتمالية اختراق كلمات المرور التي قد تؤدي إلى حوادث أمنية أو اختراق للبيانات فإنه يجب وضع حد أقصى لخمس (أو أقل) محاولات تسجيل دخول غير صحيحة متتالية من قبل المستخدم خلال فترة خمسة عشر دقيقة. وبالتالي يتم قفل الحسابات بعد الوصول إلى هذا الحد من محاولات تسجيل الدخول الفاشلة.
يوصي الخبراء بإرسال تنبيهات تسجيل الدخول الفاشلة، جنباً إلى جنب مع التنبيهات المخصصة الأخرى للـ Active Directory، إلى الموظفين المسؤولين عن مراقبة نظم المؤسسة. أما كلمات المرور فتعتبر خط دفاع لحماية المؤسسات ومعلومات العملاء من الوصول غير المصرح به الناتجة عن كلمات المرور الضعيفة. من المهم أن تكون أنظمة إدارة كلمات المرور تفاعلية وتضمن استخدام كلمات مرور ذات جودة فقط. وأن يُطلب من المستخدمين اتباع أفضل الممارسات لاختيار واستخدام والحفاظ على سرية كلمات المرور. كما يُوصى بأن توفر المؤسسات تدريباً حول اختيار كلمات المرور وحمايتها.
سياسة المكاتب النظيفة
تطلب أفضل الممارسات والخبرات تنفيذ ضوابط لتأمين أنظمة المعلومات وتوفير طبقة دفاع للمؤسسات لتقليل خطر وصول مستخدم غير مخول إلى حسابات مستخدم لديه صلاحيات أو إلى مخرجات أجهزة النظام. كما يجب أن تحتوي سياسة التحكم في الوصول الخاصة بك على متطلبات للتحكم في المكاتب النظيفة (clean desk policy) للتأكد من أن الأوراق أو الوسائط التي لا يتم استخدامها حالياً محفوظة في أدراج المكاتب أو خزائن الملفات. ومن المهم أن يفعل الموظفون قفل الأجهزة عندما يتركون منطقة عملهم لتقليل الفرصة أمام الأشخاص غير المصرح لهم للاطلاع على معلومات حساسة محتملة معروضة على شاشة الحاسب أو أي جهاز آخر. إضافة لحماية الأجهزة الطرفية، مثل الطابعات أو الفاكسات، لمنع الأفراد غير المصرح لهم من الحصول على مخرجات من هذه الأجهزة.
أما بالنسبة لإدارة الوصول عن بُعد. فإن تنفيذ الضوابط المناسبة للتحكم بالوصول عن بُعد إلى الشبكات والأنظمة والتطبيقات، يقلل من سطح تعرض المؤسسات للمخاطر السيبرانية و الوصول غير المصرح به أو الاختراقات المحتملة المرتبطة بهذه الخدمة.
التحكم بالوصول اللاسلكي
يجب تنفيذ ضوابط لإدارة كيفية الوصول إلى الشبكات والأنظمة والتطبيقات باستخدام التقنيات اللاسلكية. إن حماية الوصول اللاسلكي إلى الأنظمة والتطبيقات تتم باستخدام مصادقة المستخدمين أو الأجهزة المعتمدة.
ويقع على عاتق المؤسسات تنفيذ الفصل بين المهام للوظائف المتعارضة أو مجالات المسؤولية لتقليل احتمالية التعديل غير المصرح به أو غير المقصود، أو الاحتيال، أو إساءة استخدام المعلومات أو الأنظمة. ويتطلب الأمر أن يكون -متطلباً ومطبقاً أينما أمكن ذلك- وجود نظام للتحكم المزدوج (مثل شخصين يحملان مسؤوليات منفصلة بحاجة -قسرية- إلى العمل معاً لإتمام مهمة واحدة) .
كما نرى أهمية ضمان وجود ضوابط فعالة للحواسب المحمولة والعمل من المنزل. ومن هذه الضوابط، وضع قيود على الاستخدام، ومتطلبات التكوين، ومتطلبات الاتصال، وإرشادات التنفيذ لجميع الأجهزة المتنقلة التي تتحكم بها المؤسسة. يجب استخدام تشفير كامل للجهاز لحماية سرية وسلامة المعلومات الموجودة على الأجهزة المحمولة. و أن يُطلب من الموظفين الإبلاغ عن أي أجهزة مفقودة أو مسروقة. وبالتالي، من المهم امتلاك المؤسسة القدرة على حذف بيانات الأجهزة المحمولة عن بُعد في حال تم فقدها أو سرقتها.
كلمة أخيرة
لتضمن الشركات مستوى عال من الحماية فإنه يجب تطوير وتنفيذ برنامج شامل للتحكم في الوصول بشكل متسق . إن التخلي عن هذا البرنامج يؤدي لضرر في وظائف الأمان والتحكم المؤسساتية. من خلال هذا البرنامج المدعوم من جميع أصحاب المصلحة في المؤسسة ، يمكن تحقيق موقف أمني شامل فعال.
