من سياسات الاستخدام المقبول إلى إرشادات العمل عن بعد، يبقى تحديد القواعد والإجراءات لجميع الأفراد الذين يمكنهم الوصول إلى موارد تكنولوجيا المعلومات الخاصة بمؤسستك أمراً أساسياً لأمن المعلومات. بالنسبة للعديد من المؤسسات، اتسعت البنى التحتية التقنية لمستوى يبدو أنه لا حدود له. يعمل العديد من الموظفين عن بُعد أو عبر نموذج هجين. أصبحت الخدمات المستندة إلى السحابة هي القاعدة. تستمر الحوسبة الطرفية وانترنت الأشياء في النمو. يمكن أن تسهل التقنية حياة الموظفين عبر زيادة قدرتهم على الوصول إلى البيانات، لكنها يمكن أن تزيد أيضاً من مخاطر الأمن السيبراني. وبالتالي، يجب على المؤسسات باستمرار مراجعة سياسات أمن المعلومات الخاصة بها وتحديثها عند الحاجة. كما ينبغي للمؤسسة إضافة سياسات تواكب الحالات التقنية المستجدة. فيما يلي بعض السياسات الهامة لضمان أمن المؤسسة وحسن إدارة أصولها المعلوماتية.
سياسة الاستخدام المقبول
كما يوحي اسمها، تحدد سياسة الاستخدام المقبول (AUP) ما المقبول و غير المقبول من الأنشطة أو الممارسات أو الاستخدامات لمعدات الشركة ومواردها. تحدد السياسة الأدوار الأمنية داخل المنظمة بالإضافة إلى وصف المسؤوليات المرتبطة بهذه الأدوار. كما تحدد مستوى الأداء المقبول وتوقعات السلوك والنشاط. قد يؤدي عدم الامتثال للسياسة إلى اتخاذ إجراءات تأديبية تصل لإنهاء الخدمة.
يعتبر ضمان الاستخدام السليم لأصول تكنولوجيا المعلومات في جميع أنحاء المؤسسات واحدة من أساسيات أي برنامج للأمن السيبراني. . تصف سياسات الاستخدام المقبول ما تعتبره المؤسسات على أنه استخدام مقبول لأصولها وبياناتها. باختصار، تشرح هذه السياسة ما هو متوقع من الموظفين أثناء استخدامهم لأصول الشركة.من خلال تزويد المستخدمين بإرشادات حول ما يمكنهم فعله والقيود المفروضة على كيفية قيامهم بالأشياء، يمكن للمؤسسات تقليل المخاطر. هذه السياسة حيوية للحفاظ على سلامة وأمن البنية التحتية لتكنولوجيا المعلومات في المؤسسة. وتضع سياسة الاستخدام المقبول إرشادات واضحة حول كيفية استخدام الموظفين لموارد الشركة، مثل أجهزة الكمبيوتر والشبكات والبيانات.
كما نرى، هذه السياسة ضرورية لعدة أسباب. أولاً، تساعد في منع إساءة استخدام الموارد، مما قد يؤدي إلى خروقات أمنية. على سبيل المثال، قد يقوم الموظفون عن غير قصد بتنزيل برامج ضارة من خلال زيارة مواقع ويب غير مصرح بها أو استخدام أجهزة شخصية غير آمنة. وتساعد سياسة الاستخدام الفعّالة في حماية البيانات الحساسة عبر توفير إرشادات حول كيفية التعامل مع البيانات وتخزينها ونقلها. وهذا أمر بالغ الأهمية لضمان الامتثال لقواعد حماية البيانات.
العمل على الأجهزة الشخصية
من منظور تكنولوجيا المعلومات، تحدد سياسة الاستخدام المقبول الاستخدام المقبول لبيانات الشركة والأجهزة والشبكات. وفي نموذج العمل الهجين، يجب أن تتضمن هذه السياسة أيضاً الشروط والأحكام للعمل على الأجهزة الشخصية أو باستخدام الشبكات المنزلية. ويجب أن تشمل الزوار والعاملين المؤقتين والمقاولين وغيرهم من غير الموظفين الذين يستخدمون أنظمة وشبكات الشركة.
حتى لو بدت بعض هذه الشروط والأحكام واضحة (مثل عدم زيارة مواقع غير أخلاقية باستخدام جهاز كمبيوتر محمول صادر عن الشركة)، فمن المهم مع ذلك أن يوقع الموظفون على السياسة حتى يكونوا على دراية بالقواعد – وعواقب مخالفتها. لنتذكر، أن كل المدن تضع حدود للسرعة، لكن الناس لا يزالون يتجاوزون السرعة و يتلقون المخالفات المرورية نتيجة لذلك.
يعلم الناس أن الأمن السيبراني مهم لكنهم لا ينظرون إلى الأمن السيبراني باعتباره مسؤوليتهم الشخصية. ومع ذلك، فإن نسبة كبيرة من خروقات البيانات ناجمة عن خطأ بشري، مثل النقر فوق رابط ضار. المشكلة هي أن العديد من سياسات الاستخدام المقبول مكتوبة بلغة تقنية، أو أن فريق الأمن استنسخ في مؤسسته قالب عام وجدوه على الانترنت. ولكن هناك مناهج أكثر وفعالية لوضع السياسات وتنفيذها. ماذا عن إشراك الخبراء الذين لديهم معرفة في السلوك وإدارة التغيير؟ يجب أن تنعكس خبرة هؤلاء المختصين في لغة السياسة إذا كنت تتطلع حقاً إلى تغيير وإعادة صياغة صورة الأمن في المؤسسة.
سياسة استخدام الذكاء الاصطناعي
يستمر الذكاء الاصطناعي في النمو وترسيخ أهميته بالنسبة للعديد من المنظمات، ولكن التكنولوجيا ليست خالية من المخاطر ويحتاج المستخدمون إلى إرشادات حول كيفية الاستفادة بشكل صحيح من الأدوات والبيانات. وبالتالي، تحتاج الشركات إلى تطوير سياسات واضحة للاستخدام المقبول للذكاء الاصطناعي. إذا كانت هناك سياسات قائمة بشأن تسريب البيانات، فيجب تحديثها لتشمل تفاصيل حول نماذج اللغة الكبيرة (LLMs) للذكاء الاصطناعي. على سبيل المثال، يجب أن تنص السياسات صراحةً على حظر استخدام معلومات الشركة في مطالبات ChatGPT مثلاً”.
ليس من المهم فقط أن يكون لدينا سياسات مقبولة لاستخدام الذكاء الاصطناعي ولكن أيضاً إمكانية فرضها . يمكن لبرنامج Microsoft Defender تتبع وتنبيه وحظر استخدام نماذج اللغة الكبيرة (LLMs)، مما يضمن الامتثال لهذه السياسات. يساعد تنفيذ مثل هذه التدابير في الحماية من الاستخدام غير المصرح به للبيانات والاختراقات الأمنية المحتملة.
نرى المزيد من الشركات تدمج نماذج LLM مع ضمان عدم تدريب هذه النماذج على بياناتها الخاصة. يساعد هذا النهج في تجنب المخاطر والحفاظ على السيطرة خلال استخدام الذكاء الاصطناعي داخل المنظمة. يمكن لاستخدام إطار عمل الذكاء الاصطناعي ISO 42001 الذي تم إصداره مؤخراً أن يعزز بشكل كبير نهج المنظمة لحوكمة الذكاء الاصطناعي عبر تقديم نموذج متكامل لإدارة مخاطر الذكاء الاصطناعي.
سياسات أمن المعلومات – تصنيف البيانات
إن حماية البيانات، وخاصة المعلومات شديدة الحساسية، تشكل جزءاً حيوياً من أي استراتيجية لسياسات تكنولوجيا المعلومات.وبالتالي، ينبغي للشركات أن تضع سياسة لحماية البيانات والخصوصية لضمان الامتثال لقوانين حماية البيانات وحماية البيانات الشخصية على أن يشمل ذلك إرشادات جمع البيانات ومعالجتها والاحتفاظ بها، وآليات إنفاذ السياسات وضوابط الأمان لتخزين البيانات ونقلها، وإجراءات الاستجابة لخرق البيانات. بالإضافة إلى ذلك، تحتاج الشركات إلى لوضع إرشادات للاحتفاظ بالبيانات والتخلص منها بشكل آمن. وينبغي أن يشمل ذلك جداول الاحتفاظ بالبيانات بناءاً على تصنيف البيانات. وإجراءات التخلص الآمن من البيانات التي لم تعد مطلوبة للعمل. والامتثال للمتطلبات القانونية والتنظيمية للاحتفاظ بالبيانات؛ والتوثيق وتدقيق أنشطة التخلص من البيانات.
سياسة الاستجابة للحوادث
يجب أن تكون فرق الأمن مستعدة للاستجابة بسرعة لأي حدث أمني. إن المدة التي تستغرقها الاستجابة تحدد الفرق بين إحباط هجوم قبل أن يتسبب في ضرر أو التعرض لتأثير كبير من الحادث. تحدد إن سياسة الاستجابة للحوادث نهج إدارة حوادث الأمن السيبراني والاستجابة لها. يجب أن يتضمن هذا تعريفاً لما يعتبر حادثاً أمنياً. وأدوار ومسؤوليات فريق الاستجابة للحوادث، وخطوات الكشف عن الحوادث وتحليلها واحتوائها واستئصالها واسترداد العمل. و زمن وطرق الإبلاغ ومعلومات الاتصال المستخدمة في ذلك. وكذلك عمليات المراجعة والتحسين بعد الحادث.
يمكن للاستجابة للحوادث أن تكون جزءاً من سياسة عامة لأمن المعلومات تنشئ إطاراً لإدارة وحماية أصول المعلومات الخاصة بالشركة. كما يجب أن يتضمن ذلك أهدافاً ونطاقاً لأمن المعلومات، والأدوار والمسؤوليات المتعلقة بأمن المعلومات، ومبادئ وممارسات الأمن العامة.
سياسة الوصول الهجين والبعيد
لقد غيرت جائحة كورونا نماذج العمل وسياسات أمن المعلومات إلى الأبد، بالنتيجة، أصبح مألوفاً عمل الموظفين من المنزل أو من مكان بعيد آخر على الأقل لجزء من الوقت. ومن المرجح أن يبقى النموذج الهجين/العمل عن بعد، بما يتضمنه من تحديات أمنية.
ومن بين المخاطر الأمنية الأكثر شيوعاً اتساع أسطح الهجوم، وعدم الامتثال لقواعد خصوصية البيانات، وزيادة قابلية التعرض للتصيد الاحتيالي. و خطر الأجهزة والشبكات غير المؤمنة بشكل صحيح والتي تُستخدم للوصول إلى أنظمة وبيانات المؤسسة.
تحتاج المنظمات إلى وضع سياسات بشأن الوصول إلى البيانات عن بُعد لكن يجب أن تكون المعلومات والبرامج والإعدادات سهلة الوصول إليها لتحقيق أهداف. وكذلك فإن منظمات الأعمال يجب أن توازن بين أمن الشبكة وإمكانية الوصول إليها. وبسبب الزيادة في اللوائح التنظيمية في الخدمات المالية والرعاية الصحية وغيرها من القطاعات، وظهور قوانين حماية وحماية البيانات في جميع أنحاء العالم، فإن هذه المهمة صعبة.
تسمح حلول الوصول عن بعد للموظفين والطلاب والعملاء بالوصول إلى الموارد من أي مكان مع حماية البيانات الحساسة. ومن خلال اتباع بروتوكولات أمنية صارمة، يمكن للشركات حماية بنيتها التحتية مع الحفاظ على استمرار العمل. وبالتالي، فإن تلبية المطالب المتزايدة لأصحاب المصلحة، سواء كانوا طلاباً وموظفين في التعليم، أو مرضى ومهنيين طبيين في الرعاية الصحية، أو عملاء وموظفين في عالم الشركات، يتطلب الوصول الآمن عن بعد. والمطلوب دائماً تحقيق التوازن بين إمكانية الوصول وحماية البيانات من أجل تقديم خدمات عالية الجودة و الحفاظ على الامتثال. يساعد الأمن وإمكانية الوصول الجيل القادم من المهنيين على النجاح والازدهار.
سياسات أمن المعلومات – كلمة أخيرة
سياسات أمن المعلومات تمثل مجموعة من القواعد التي تضعها المنظمة لضمان التزام جميع مستخدمي تكنولوجيا المعلومات ضمن نطاق المنظمة بالإرشادات المتعلقة بأمن البيانات المخزنة رقمياً ضمن حدود المنظمة.
