لقد كان Teramind مؤيدًا متحمسًا لـ RSA. إنه مكان يجتمع فيه كبار قادة الأمن السيبراني وأقران المجتمع لتبادل الأفكار الأكبر والأكثر جرأة التي تساعد في دفع الصناعة إلى الأمام. يعجبني أن مؤتمرات RSA تتميز بموضوع رئيسي يعتمد على حركة صناعية أو مساهمة أو فكرة لديها القدرة على التأثير بشكل كبير أو تعطيل الوضع الراهن. يساعد هذا المهنيين مثلنا على التركيز على الاتجاهات الأكثر وضوحًا التي تؤثر على الصناعة. موضوع هذا العام هو “العنصر البشري” ، وهو موضوع نقدره بشدة في تيراميند.
غالبًا ما يفسر متخصصو أمن المعلومات المكون البشري لتكنولوجيا المعلومات على أنه “القابلية للخطأ البشري” ، الحلقة الأضعف في جهاز أمن بيانات الشركة. لا يمكنك لومهم. في كثير من الحالات ، يتم تمكين حوادث الأمن السيبراني عن طريق الخطأ البشري أو النية الخبيثة أو الجهل. في الواقع ، وفقًا لـ دراسة من قبل شركة IBM، الخطأ البشري هو السبب الرئيسي لـ 95٪ من انتهاكات الأمن السيبراني. لذلك ، فمن المنطقي أن الصناعة تستثمر بشكل متزايد في التقنيات والاستراتيجيات والمعايير التي تقلل من هذه المخاطر البشرية. إنه أحد الأسباب الرئيسية التي تجعل Teramind يقدم أدوات مراقبة سلوك المستخدم ، واكتشاف التهديدات الداخلية ، وأدوات منع فقدان البيانات المصممة لتقليل التهديدات من الجهات الفاعلة البشرية الخبيثة والعرضية.
ومع ذلك ، هذا ليس خطبًا لاذعًا حول المأزق الواضح الذي يواجه مشهد أمن البيانات اليوم. بدلاً من ذلك ، سأنظر من الجانب الآخر من المعادلة البشرية: المستخدمين المفترض أن نحرسهم. البشر ليسوا مجرد موارد يمكنك إجبارها على الامتثال لأفضل الممارسات الأمنية. لدينا مشاعر ومخاوف واحتياجات. إن الاستراتيجية الأمنية الفعالة سوف تحتاج إلى معالجة هذه العناصر البشرية.
على سبيل المثال ، إذا قمت بتنفيذ سياسة أمان كلمة مرور قوية دون معالجة الميل البشري للبحث عن الملاءمة ، فسيجد الأشخاص طريقة لتجاوز القاعدة. سيقومون إما بتدوينها بنص عادي ، أو حفظها على متصفحهم ، أو البدء في تكرار كلمات المرور نفسها على المواقع غير المصرح بها / الشخصية. ستحتاج إلى تزويدهم بخيار فعال مثل SSO أو خزنة المفاتيح أو أي شيء آخر لإدارة كلمات المرور الخاصة بهم بسهولة.
وبالمثل ، دعونا ننظر في مراقبة مكان العمل. تستخدم العديد من الشركات هذه الخدمات لتحسين الإنتاجية وتقليل التهديدات الداخلية وتسريبات البيانات. ومع ذلك ، إذا تجاهلت حق الموظفين في الخصوصية ، فسوف تخاطر بالعواقب القانونية ، ناهيك عن الخلافات الثقافية ، وفقدان الثقة ، والعديد من القضايا الأخرى التي ستفوق أي مزايا أمنية يمكنك تحقيقها. بعبارة أخرى ، أنت بحاجة إلى اعتماد حلول وسياسات فعالة في تقديم ليس فقط أمانًا وظيفيًا بل تتيح الإدماج. دعونا نلقي نظرة على كيفية تحقيق ذلك.
في السنوات الأخيرة ، أصبحت خصوصية البيانات موضوعًا للمحادثة بين متخصصي الأمن السيبراني بسبب إدخال القانون العام لحماية البيانات ، وقانون حماية خصوصية المستهلك CCPA ، وقوانين أخرى مماثلة. من ناحية ، تحتاج إلى حماية بيانات عملائك وملكيتك الفكرية وأسرار عملك من التهديدات الخارجية أو الداخلية. في الوقت نفسه ، لديك التزام بالحفاظ على خصوصية موظفيك. الحل هو استخدام أنظمة مستقلة ، مثل مراقبة الموظفو UEBAو و DLP الأنظمة ، لتنفيذ أمان نقطة النهاية ولكن القيام بذلك دون الاستيلاء عن غير قصد على البيانات الشخصية للموظفين وتعريض نفسك لانتهاكات الخصوصية. على سبيل المثال ، قم بتعليق المراقبة وتسجيل ضغطات المفاتيح عندما يزور المستخدمون موقع البنك الخاص بهم أو يصلون إلى حساب البريد الإلكتروني الشخصي الخاص بهم ، أو يستخدمون ميزات إخفاء الهوية أو التعتيم الذكي لتنقيح PII / PFI / PHI أو أي بيانات خاصة أخرى. قد يكون هذا صعبًا بعض الشيء ويتطلب حلولًا حديثة لها مثل هذه القدرات. تحدثنا أكثر عن هذا في هذا المقال إذا كنت مهتمًا بمعرفة كيفية تكوين حلول Teramind لتحقيق هذه الأهداف المتضاربة غالبًا.
في حين أن أمان البيانات يعد أمرًا جيدًا بلا شك ، إلا أنه يمثل أيضًا مشكلة دقيقة يمكن أن تعرض الشركات لمعضلة أخلاقية. بعد كل شيء ، أنت تحمي مؤسستك وعملائك وموظفيك من حدث فقدان بيانات مدمر. في الواقع ، الأمور ليست كالأسود والأبيض. ومع ذلك ، من السهل أن تتشوش الدوافع عند العمل على حماية بيانات العميل.
على سبيل المثال ، قد يتساءل الموظفون عن سبب تنفيذك لتدابير أمنية محددة أو مبادرات المراقبة. هل هذا لأنك تريد زيادة إنتاجية مكان عملك؟ هل تحتاج حقًا إلى فحص رسائل البريد الإلكتروني الخاصة بهم لتحقيق ذلك؟ في حين أن الهدف من أمن البيانات أخلاقي ، يجب أن تكون التدابير الدفاعية مناسبة. إن العثور على الغرض من المراقبة والأمن ووضع الحدود وبروتوكولات الشفافية أمر أساسي لتجنب مثل هذه المزالق الأخلاقية.
يجب ألا يؤثر الأمان على سهولة الاستخدام. بدلاً من ذلك ، يجب أن تتيح الحرية والإبداع. لحسن الحظ ، مع إدخال التعلم الآلي / الذكاء الاصطناعي ، ومعالجة اللغات الطبيعية ، والتصنيفات المستندة إلى السياق ، وتطورات البرامج الأخرى ، يمكن للشركات الموازنة بين الأمان وسهولة الاستخدام. ومع ذلك ، لا تزال بحاجة إلى قضاء بعض الوقت في تكوين هذه الحلول أو تدريبها ببيانات كافية لتقليل الإيجابيات الخاطئة. بالإضافة إلى ذلك ، سوف يتأثر حل الأمان الخاص بك عند حظر سير العمل دون تقديم حل بديل. على سبيل المثال ، قد تعتقد أن حظر استخدام السحابة يؤدي إلى إجراء احترازي معقول. ومع ذلك ، إذا لم تسمح لقناة أخرى مثل السحابة الخاصة أو حل “يشبه السحابة” مثل Transporter أو Space Monkey ، فمن المرجح أن يشارك الموظفون هذه الملفات باستخدام البريد الإلكتروني أو محركات أقراص USB أو المنهجيات الأقل أمانًا ، مما يؤدي في النهاية إلى من الصعب تطبيق سياسة الأمان الخاصة بك.
لا يقتصر أمن البيانات على مسؤولية خبراء الأمن فقط. لكي تكون ناجحًا ، يجب أن تكون أولويات أمان البيانات جهدًا جماعيًا يمتد إلى جميع مستويات الشركة. في الواقع ، لا يمكن معالجة كل شيء من قرصنة الانتخابات والتزييف العميق إلى تسليح المعلومات إذا كنا نعتمد فقط على متخصصي الأمن والتقنيات.
المشكلة أكبر من أن تتعامل معها مجموعة واحدة. إذن ، ما الذي يمكننا القيام به كمحترفين في مجال الأمن لدفع المشاركة الجماعية؟ الأهم من ذلك ، يمكننا أن نعلن أهمية أفضل ممارسات خصوصية البيانات. تقوم منظمات مثل RSA بعمل رائع في نشر الكلمة ، ولكن يمكننا جميعًا المساعدة أيضًا. تثقيف وتدريب الناس كلما سنحت لك الفرصة. مهارات مثل تجنب رسائل البريد الإلكتروني المخادعة ، واكتشاف علامات الهندسة الاجتماعية ، وتحمل المسؤولية عبر الإنترنت ، واستخدام وسائل الحماية الأساسية ، والإبلاغ عن مكالمات البريد العشوائي هي بعض الموضوعات التي يمكننا مشاركتها جميعًا على قنواتنا الاجتماعية كلما شاركنا أكثر ، زاد الوعي الذي نخلقه.
من السهل تجاوز المسؤولية وإلقاء اللوم على المستخدمين عندما يفعلون شيئًا خاطئًا ، ولكن بصفتنا متخصصين في مجال الأمن ، فنحن المسؤولون عن تقييم القرارات الصعبة بين الأمان والخصوصية والأخلاق والربحية وقابلية الاستخدام والامتثال والمسؤولية والسلطة. إن تطوير سياسة أمنية تتمحور حول الإنسان سيجعلها أكثر ملاءمة لمستخدمينا ، وبالتالي دفع نجاحها. كما يقول أصدقاؤنا في RSA ، “يتعلق الأمر بحماية الأشخاص للأشخاص”.
وإذا كنت قادمًا إلى RSA ، فتأكد من التوقف للتواصل مع فريق Teramind! سنكون متاحين للعروض التوضيحية والمناقشات مثل تلك الموجودة في هذه المقالة في South Expo ، Booth # 3141.