تتضمن حوكمة BYOD (أحضر جهازك الخاص) مجموعة اللوائح والسياسات والممارسات التي وضعتها المؤسسات لضمان أمن وحماية بيانات وأنظمة الشركة على الأجهزة المملوكة للموظفين. مع تزايد استخدام الموظفين لهواتفهم الذكية الشخصية أو الأجهزة اللوحية أو أجهزة الكمبيوتر المحمولة لأغراض العمل أصبحت حوكمة BYOD ضرورة لأمن المعلومات. يستلزم ذلك تنفيذ تدابير صارمة. تشمل هذه التدابير و لا تقتصر على بروتوكولات التشفير والمصادقة الثنائية وبرامج إدارة الأجهزة المحمولة. كما تضم عمليات تدقيق الأمان المنتظمة للتخفيف من المخاطر المحتملة المرتبطة بالوصول غير المصرح به أو خرق البيانات. علاوة على ذلك ، تتضمن إجراءات هذه الحوكمة إرشادات واضحة حول سياسات الاستخدام المقبولة. الهدف من هذه السياسات تثقيف الموظفين حول نقاط الضعف المحتملة وأهمية الالتزام ببروتوكولات الأمان.
قد يكون من الصعب التأكد من توافق الأجهزة المحمولة. لقد تم إعدادها تم مسبقاً في المصنع بشكل لا يسمح لإدارة تكنولوجيا المعلومات بإجراء تعديلات عليها قبل تسليمها إلى المستخدمين. لذلك يجب على المعنيين فرض سياسات محددة للتعويض عن ذلك. نعتبر تحديث سياسات استخدام نقطة النهاية ضرورة مع تغير سلوك المستخدمين. و تحديداً عندما يتعين على المؤسسات التعامل مع متطلبات الامتثال وحماية البيانات. تمثل نقاط نهاية BYOD تحديات معقدة بشكل خاص. لذلك يتعين على المؤسسات التأكد من أن جميع نقاط النهاية تتوافق مع أمان وخصوصية البيانات على الرغم من عدم امتلاك المؤسسة للأجهزة.
تطوير سياسة BYOD وإبلاغها للمستخدمين
كما هو الحال مع أي مبادرة أمنية ، فإن بناء أساس قوي لسياسة BYOD سيعزز فرص نجاحها. خذ الوقت الكافي لتوضيح حدود استخدام الأجهزة الشخصية داخل المؤسسة. يجب أن تجيب سياسات أمان Enterprise BYOD على العديد من الأسئلة الجوهرية ومنها:
من المخول بالوصول إلى بيانات المؤسسة من الأجهزة الشخصية؟
تحت أي ظروف قد تتصل الأجهزة الشخصية بشبكات المؤسسة؟
هل تطلب المؤسسة موافقة صريحة لكل استخدام للـ BYOD؟
ضرورة توافق السياسة مع احتياجات المستخدمين
عادة ما تُقابل سياسات BYOD بالمقاومة و الرفض من المستخدمين قبل أن يقتنعوا بضرورتها في النهاية، إذا كنا محظوظين. لذلك من المهم العمل على بناء تحالفات مع العاملين في وحدات الأعمال. يفيد ذلك في وضع أساس واقعي وتعاون بناء لتطبيق سياسة BYOD. أيضاً، لا تعتمد على ما تقوله إدارة الموارد البشرية عما يتوقعه الموظفون من هذه السياسة وإنما تعامل مع هذه الإدارة مثل أي وحدة أعمال أخرى. دافعنا لهذه النصيحة هو أن أقسام تكنولوجيا المعلومات يجب أن يتاح لها الفرصة للحصول على فهم مباشر و دقيق لكيفية تأثير سياسات BYOD على إنتاجيتها. سيؤدي بناء العلاقات مع المستخدمين النهائيين في كل وحدات الأعمال إلى تحسين مخرجات السياسة لأن تكنولوجيا المعلومات سيتاح لها حينها أن تميز بين تلك السياسات الضرورية و بين تلك التي وتعيق الإنتاجية.
سياسات أحضر جهازك الخاص BYOD
إن مجرد إنشاء سياسات أمان BYOD لا يكفي للوفاء بالالتزامات المتعلقة بتوافق الأجهزة المحمولة. يجب على المستخدمين اتباع متطلبات السياسة ، وهذا ممكن فقط إذا كانوا على دراية بتفاصيل السياسة في المقام الأول. هذا هو المكان الذي تنفع فيه جهود التدريب والتوعية.
من الضروري اعتبار تدريب BYOD والإعداد اللاحق للجهاز الشخصي جزءاً من برنامج إعداد الموظف إذا لم يكن كذلك بالفعل. يجب أن يتلقى الموظفون الحاليون المعنيون بالـ BYOD تدريباً مكثفاً على ما تسمح به السياسة وتحظره. كحد أدنى ، يجب أن يعرف كل موظف وجود سياسات أمان BYOD. كما يجب عليهم استشارة فريق تكنولوجيا المعلومات قبل استخدام الأجهزة الشخصية في العمل.
من المهم تحديد لائحة مسبقة لأنظمة تشغيل الأجهزة المحمولة التي يمكن أن تدعمها تكنولوجيا المعلومات في المؤسسة . على سبيل المثال ، إذا كان المستخدمون يعملون في الخدمات المالية ، فقد ترغب إدارة تكنولوجيا المعلومات في حصر موافقات استخدام BYOD على الأجهزة التي تعمل بنظام تشغيل محمول محدد. سيؤدي ذلك إلى تسهيل دعم توافق الأجهزة المحمولة وعدم إرباك فريق الأمان.
تطبيق سياسة أحضر جهازك الخاص عبر MDM
توفر أنظمة إدارة الأجهزة المحمولة (MDM) القدرة على تطبيق إدارة تتسق مع سياسة الأجهزة المحمولة. تفرض MDM متطلبات الأمان التي تقرها المؤسسة. من الأمثلة على ذلك، تشفير محتويات الجهاز ، والمطالبة برمز مرور للوصول إلى الجهاز ، وقفل تطبيقات معينة باستخدام رمز مرور. لإضافة لتسهيل المسح عن بُعد للهواتف والأجهزة اللوحية المفقودة أو المسروقة. تسمح بعض منتجات MDM أيضاً لموظفي تكنولوجيا المعلومات بتحديد التطبيقات التي قد تعمل على أحد الأجهزة أو تلك التي قد تصل إلى معلومات الشركة الحساسة.
يجب على المؤسسة تثبيت وتكوين MDM لأجهزة BYOD للوفاء بالتزامات الامتثال الخاصة بها بشكل يتلاءم مع متطلبات المؤسسة. غالباً ما يؤدي ذلك إلى الكثير من الجدل بين المستخدمين و إدارة تكنولوجيا المعلومات حول السياسات التي يمكن لصاحب العمل تنفيذها على أجهزتهم الشخصية. علماً أن وجود MDM لتنفيذ برنامج BYOD يمكّن تكنولوجيا المعلومات من وضع سياسات على الجهاز المسجل ، مثل ما يلي:
- فرض تشغيل أحدث نظام تشغيل للجوال وتحديثات الأمان دون انتظار المستخدمين ليقوموا بذلك بأنفسهم.
- طلب كلمات مرور قوية وفريدة من نوعها أو حتى مصادقة متعددة العوامل للوصول إلى الجهاز.
- تطبيق التشفير على جميع الأجهزة لحماية بيانات الشركة الحساسة أثناء التخزين وفي أثناء النقل.
- تمكين إمكانيات المسح عن بُعد على الأجهزة التي تتصل بشبكة الشركة.
وعلى التوازي مع كل هذه القدرة على السيطرة و التحكم فإنه من الضروري أن تكون لدى قسم تكنولوجيا المعلومات طريقة خلاقة للتعامل مع الموظفين الذين قد لا يرغبون في ربط أجهزتهم الشخصية بالـ MDM وأن يحترموا قرارهم دون الإخلال بأمن معلومات المؤسسة و بالاعتماد على التوعية و السياسات الداخلية.
الحاويات الآمنة والمحاكاة الافتراضية- أحضر جهازك الخاص
واحدة من أكبر التحديات التي تواجه BYOD في المؤسسات هي حماية معلومات الشركة دون التأثير سلباً على الاستخدام الشخصي للجهاز. بعد كل شيء ، من غير المرجح أن يتفاعل الموظفون بشكل جيد مع متطلبات الأمان الصارمة للشركة عندما يستهدفون الجهاز المحمول الذي يستخدمونه عادة لأداء مهام غير متعلقة بالعمل. يمكن للمؤسسات التعامل مع مشكلة الفصل هذه باستخدام الحاويات الآمنة containerization أو المحاكاة الافتراضية virtualization لفصل بيانات الشركة وتطبيقاتها عن بيانات المستخدم الشخصية. تساعد هذه التقنيات في التخفيف من مخاطر تسرب البيانات وتمكن كذلك من إزالة أي موارد مؤسسية بسهولة دون التأثير على البيانات الشخصية.
باستخدام هذه المقاربة، سيتمكن الموظفون الذين يعملون مع بيانات المؤسسة على جهاز شخصي من الوصول إلى تلك البيانات من خلال حاوية آمنة موجودة كتطبيق على الجهاز. عندما يفتح الموظف التطبيق ، يمكنه الوصول إلى معلومات الشركة من خلال واجهة التطبيق. عند إغلاق التطبيق ، فإنه يحذف جميع معلومات المؤسسة من الجهاز ، مما يلغي الحاجة إلى القيود أثناء المهام الشخصية والاتصالات للمستخدمين. قد تنظر مؤسسات إلى خيار الحاوية الآمنة كحل عملي يضمن أن معلوماتها تبقى كجزيرة آمنة على جهاز شخصي.
الذكاء الاصطناعي التوليدي و خطة الامتثال
يثير الإصدار الأخير من ChatGPT لنظام التشغيل iOS سؤالاً حول مدى تأثير الذكاء الاصطناعي في مستقبل أمان BYOD والامتثال. ستتمكن المنظمات التي تحظر الذكاء الاصطناعي التوليدي على تجهيزات تكنولوجيا المعلومات المملوكة للشركات من تنفيذ هذه السياسة بسهولة. ومع ذلك ، ستحتاج المؤسسات التي تنفذ BYOD إلى العمل مع فرق تكنولوجيا المعلومات والأمن لتقييم المخاطر المحتملة لتطبيقات الذكاء الاصطناعي التوليدية التي تعمل على نقاط نهاية BYOD. تتضمن مخاطر تشغيل هذه التطبيقات على نقطة نهاية end point لديها الوصول إلى بيانات الأعمال تسرب البيانات ومشاركة بيانات الشركة أو المحتوى مع البرنامج.
في كلتا الحالتين ، فهذا يعزز ضرورة تطبيق سياسات MDM على الأجهزة المملوكة للموظفين. قد ينتج عن ذلك صرف بعض الموظفين النظر عن الحصول على تطبيقات أو خدمات ذكاء اصطناعي على أجهزتهم.
إجراء تقييمات منتظمة للمخاطر
من المهم تقييم المخاطر المرتبطة بتنفيذ BYOD بانتظام لمعالجة القضايا الجديدة أو التي تم التغاضي عنها مسبقاً. وكذلك تحديد التهديدات المحتملة ونقاط الضعف والثغرات تجاه متطلبات الامتثال. يجب أن تتضمن استراتيجية تقييم المخاطر تقييم البنية التحتية للشبكة وتخزين البيانات وضوابط الوصول وسلوك المستخدم.
كلمة أخيرة
بغض النظر عن النهج الذي تختاره المنظمة للتعامل مع مشكلات BYOD ، يجب عليها تدقيق واقع عمليات تكنولوجيا المعلومات الخاصة بها ومدى استفادتها و تأثرها بسياسات أمان BYOD المطبقة. حتى إذا كانت إحدى المؤسسات تحظر BYOD تماماً، يجب على فريق الأمان الخاص بها اتخاذ خطوات للتحقق من أن الأجهزة المملوكة للشركة فقط هي التي تتصل بشبكات المؤسسة. يجب على المنظمات التي تسمح بالـ BYOD التحقق من أن مستخدمي BYOD يعملون ضمن حدود سياسات المؤسسة والتزامات الامتثال الداخلية و الخارجية. يمكن للمنظمات التي تجري عمليات تدقيق منتظمة للـ BYOD تحسين سياسات وممارسات أمان BYOD بشكل مستمر. بحيث يمكنهم الجمع بين مخرجات عمليات التدقيق وملاحظات المستخدم لتحسين إنشاء وإدارة سياسات الأمان.
