ريجينا الأحمدية
من أكثر بنود العمل أهمية والغير قابلة للنقاش، هي تلك المتعلقة بالحفاظ على أسرار المؤسسة مهما كانت صغيرة أم كبيرة. وفي حين إمضاء الموظف على عقد التوظيف، يتسع نطاق مسؤوليته وتكبر عائلته لتضم أشخاص جدد وزبائن يتعلق مصيرهم أحياناً بزلة لسان أو تقصير موظف.
ودائماً يكون العصر الرقمي هذا، المهدد الرئيسي للسرية الوظيفية، فهو الذي خدعنا بأجهزة يمكن أن تتسع لمعلومات وبيانات مؤسسات بكاملها وتحميها كلمة سر. لتدخل في المقابل تطبيقات ووسائل تواصل، تعمل أحياناً كالمرض الخبيث بالجسد. والفارق هو أن هذه التطبيقات قد تحركها عقول إجرامية متدربة على سحب المعلومات والبيانات الحساسة بأساليب قد تصعب مواجهتها ببرامج حماية وكلمة سر، إنما بالتحفظ والوعي والكتمان المطلق حتى على أصغر التفاصيل وأسخفها.
وتعد سريّة البيانات والمعلومات خاصة الحساسة والشخصية، من أفضل ممارسات الأمن السيبراني للشركات الرقمية، حيث تسمح للمؤسسات بتطبيق سياسات الأمان باستمرار وتوفر عملية تنظيم أسرار البنية التحتية لتكنولوجيا المعلومات وإدارتها وتأمينها، ضماناً بأن الموارد عبر الأنظمة الأساسية والبيئات السحابية لا يمكن الوصول إليها إلا من خلال كيانات معتمدة.
وتتضمن بعض أنواع البيانات السرية الأكثر شيوعاً ما يلي:
– بيانات اعتماد الحساب المميز
– كلمات المرور
– الشهادات
– مفاتيح SSH وهو بروتوكول شبكة يضمن نقل البيانات بأمان
– مفاتيح واجهة برمجة التطبيقات
– مفاتيح التشفير
أما التحديات الرئيسية التي تواجه عملية إدارة أسرار البنية التحتية لتكنولوجيا المعلومات، فتكمن بفهم المهاجمين السيبرانيين لموضوع حصول المستخدم على حق الوصول إلى البيانات تلقائياً في الوقت الفعلي والأذونات لأي موارد مملوكة والخاصة بمالك هذه البيانات والحصول على إمكانية الوصول الغير المصرح به. وغالباً ما ينتشر الهجوم السيبراني الذي يستهدف أسرار المؤسسات والشركات التي تحتوي على بيانات ومعلومات دقيقة، إلى ما هو أبعد من نطاق الإختراق الأوّلي.
ومن المعروف أن البيانات السرية (وهو مصطلح يشمل على كل ما يجب التكتم عليه وحمايته وإخفاءه عن العلن. وقد يتضمن أحياناً مكان الشركة وأسماء بعض الموظفين) منتشرة على نطاق واسع وهي تتضمن بيانات اعتماد مضمنة في التطبيقات، على سبيل المثال Pivotal أو Kubernetes أو Red Hat OpenShift. والمعبأة في حاويات التطبيقات المهمة للأعمال وبرامج الأمان، مثل أدوات فحص الثغرات الأمنية، خوادم التطبيقات وبرامج إدارة تكنولوجيا المعلومات ومنصات أتمتة العمليات الروبوتية وسلسلة أدوات التكامل المستمر.
كما يمكنهم الوصول إلى البيانات المحمية والتوسع بمعدلات لا مثيل لها والاستفادة من الموارد السحابية وتنفيذ العمليات التجارية على الفور، لكن كما تُظهِر خروقات الأمن السيبراني التي حظيت بتغطية إعلامية جيدة، فإن العمليات الآلية عُرضة للهجمات السيبرانية المعقدة التي يمكن أن تحدث فجأة وتنتشر بسرعة. لذلك يجب على المؤسسات والموظفين حماية البيانات السرية للدفاع ضد الهجمات وتخفيف المخاطر.
عادةً ما يتم تضمين الخطوات التالية في عملية تنظيم أسرار البنية التحتية لتكنولوجيا المعلومات وإدارتها وتأمينها، كما يتم أيضًا استخدام العديد من هذه الأساليب والتقنيات لحماية الوصول المميز للمستخدمين.
مصادقة جميع طلبات الوصول التي تستخدم بيانات اعتماد غير بشرية.
تطبيق مبدأ الإمتياز الأقل، الذي يقوم على الحد من وصول كل مستخدم إلى المعلومات والأنظمة التي يحتاجها لتأدية المهام الوظيفية وليس أكثر.
فرض الاستفادة من الأدوار والامتيازات المحددة لتقييد وصول الأنظمة ليقتصر على المستخدمين المصرح لهم. وتدوير بيانات الاعتماد بانتظام.
أتمتة إدارة البيانات السرية وتطبيق سياسات وصول متسقة.
تتبع جميع عمليات الوصول والحفاظ على تدقيق شامل.
إزالة المعلومات والبيانات الحساسة من التعليمات البرمجية وملفات التكوين والمناطق الأخرى غير المحمية.
وهكذا يتم الحفاظ على السرية الوظيفية التي تحمي المؤسسة والموظف وتعزز الأمن السيبراني الذي يعتبر الدرع الأساسي في وجه الهجمات الإلكترونية والعوائق الرقمية.