7 خطوات لسلامة البيانات يجب أن تتخذها شركتك الآن

سيكون الحفاظ على أمان بياناتك منظمًا في صميم هذا العام ، ليس فقط بسبب اللوائح المحدثة مثل اللائحة العامة لحماية البيانات (GDPR) ، ولكن أيضًا لأن الصورة العامة لأمن تكنولوجيا المعلومات ما زالت تبدو قاتمة. في استطلاع أجرته شركة الأبحاث Statista العام الماضي فقط ، صنفت الشركات الأمريكية التهديدات الإلكترونية بأنها مرتبطة بأخطر تهديد لها ، بجوار حدوث خلل في عملية تجارية رئيسية مثل سلسلة التوريد. ستكون الشركات الصغيرة معرضة للخطر بشكل خاص ، ليس فقط لأن لديها موارد محدودة للتغلب على المشكلة ولكن أيضًا لأن المتسللين بدأوا في استهداف هذه الشريحة بشكل خاص ومجموعها.

لذلك ، تكريماً للأسبوع الوطني للأعمال التجارية الصغيرة (NSBW) ، سنستريح من الحديث عن بدء مشروع ريادة أعمال جديد ، وبدلاً من ذلك نركز على مساعدتك على حماية المشروع الذي لديك بالفعل بشكل أفضل. لحسن الحظ ، يمكن تقسيم حماية شركتك ومخازن البيانات الخاصة بها إلى عملية قابلة للتكرار مثل معظم أعمال تكنولوجيا المعلومات. للمساعدة في البدء ، قمنا بتجميع قائمة من سبعة أسئلة رئيسية يجب أن تطرحها وتأكد من الإجابة عليها ، ويفضل أن يكون ذلك من موظفي تقنية المعلومات في مؤسستك.

1. هل نستخدم برامج الأمان؟

يقوم برنامج Endpoint Protection بمراقبة شبكة شركتك والدفاع عنها من الأجهزة الخارجية التي تحاول إنشاء نقاط دخول للهجوم. تتضمن هذه الأدوات عادةً مجموعة من إمكانيات مكافحة الفيروسات وجدار الحماية وإدارة الأجهزة المحمولة (MDM) (المزيد حول هذا لاحقًا). من خلال استخدام إحدى هذه الأدوات ، سيتم تنبيه فريق التكنولوجيا المخصص (على افتراض أن لديك واحدة) للتهديدات إذا ومتى ظهرت.

وقال أدريان ليفيو أرسين ، كبير محللي التهديدات الإلكترونية في "حتى لو كنت شركة صغيرة ، فيجب تأمين كل نقطة نهاية بواسطة برنامج الأمان حيث يوجد الكثير من التهديدات التي يمكن أن تشل عملك وبيانات عميلك". بيتدفندر. "من الفدية إلى البرامج الخبيثة في تدوين المفاتيح والتهديدات المتقدمة التي تهدف إلى استخدام شركتك كبوابة إلى عملائك ، إذا كنت مزود خدمة ، فليس من المستحسن وجود برامج أمنية فحسب بل إلزامي."

2. هل نساند بياناتنا؟

إذا تم اختراق شركتك أو إذا تعطل مكتبك بسبب إعصار ، فإن الحصول على نسخة احتياطية من أحدث البيانات الخاصة بك سوف يساعدك على العودة إلى العمل مع الحد الأدنى من المشكلات المستندة إلى البيانات. ستضمن النسخة الاحتياطية السحابية لمعلوماتك أنه بعد إعادة إنشاء مادية قصيرة ، يمكن لشركتك أن تعمل وتعمل مرة أخرى. إذا لم تقم بنسخ نسخة احتياطية من بياناتك أبدًا ، فأنت تبدأ عملك من الأساس. أيضًا ، تتيح لك نُسخ البيانات الاحتياطية ، جنبًا إلى جنب مع برنامج حماية نقطة النهاية ، اكتشاف التهديدات فور حدوثها ، وطردها من شبكتك ، ثم إعادة شبكتك إلى حالتها الأحدث والأكثر أمانًا.

هناك طرق بسيطة لإجراء نسخ احتياطي لبياناتك ، بما في ذلك إعداد نسخ احتياطية تلقائية باستخدام برنامج الاسترداد بعد عطل فادح (DR) ونسخ ملفات النظام إلى مناطق أخرى (في حالة وجود مشكلة جغرافية). بغض النظر عن الذي تختاره ، من الضروري أن تبدأ النسخ الاحتياطي فورًا.

وقال أرسين "النسخ الاحتياطي والتكرار أمران حيويان لاستمرارية العمل لأن أي خسائر أو اضطرابات قد تعني الخروج من العمل أو التعرض للإعاقة الشديدة لفترة طويلة". "Ransomware هو مثال مثالي لما يمكن أن يحدث إذا لم يكن لديك نُسخ احتياطية. ولكن أيضًا عامل في أن الأجهزة يفشل في بعض الأحيان ، ومن غير المستحسن وجود نسخة واحدة من الأصول الهامة الخاصة بك."

3. هل نقوم بتشفير بياناتنا؟

سيساعدك أيضًا معظم موردي برامج حماية نقطة النهاية على تشفير بياناتك أثناء تحركها داخل شبكتك ، حيث إنها تترك شبكتك ، كما أنها لم تمسها على خوادمك. يحول التشفير بشكل أساسي البيانات المنسقة للنص العادي إلى تنسيق نص مشفر ، وهو اختلاط غير قابل للتجزئة لتسلسل نص عادي صحيح لبياناتك. عن طريق إدخال مفتاح إلغاء التشفير ، يتم إلغاء تشفير بياناتك وإرسالها إلى تنسيقها العادي. لذلك ، إذا قام أي شخص بالتسلل إلى نظامك وسرقة بياناتك ، فسوف يرى الإصدار المشفر بدلاً من إصدار النص العادي.

الحذر رغم ذلك: يمكن أن تحدث الهجمات في مراحل مختلفة من عملية نقل البيانات. يمكن أن يحدث ذلك عندما يتم إرسال البيانات من الخادم إلى وجهتها. يمكن أن تحدث الهجمات أثناء وجود البيانات في الخوادم الخاصة بك ويمكن أن تحدث الاختراقات أثناء نقل البيانات من جهاز إلى آخر داخل الشبكة نفسها. عند التحدث إلى مزود خدمات حماية نقطة النهاية ، تأكد من أنك تسأل عما إذا كان بإمكانهم مساعدتك في تشفير البيانات أثناء النقل وفي الراحة.

وقال أرسين "يجب تشفير كلا النوعين من البيانات ، خاصة إذا كنت تعمل بمعلومات حساسة وخاصة عن عملائك". "يمكن تسييل كل جزء من المعلومات بواسطة مجرمي الإنترنت ، والحفاظ على جميع المعلومات المشفرة لا يجعل عملهم أكثر صعوبة فحسب ، بل وأيضًا مزيد من القلق لديك".

4. هل نستخدم التخزين السحابي الذكي؟

معظم الشركات هذه الأيام ، وخاصة الشركات الصغيرة والمتوسطة الحجم ، لديها على الأقل بعض مخازن البيانات في السحابة. موفري التخزين السحابي من فئة رجال الأعمال وفيرة والقيمة التي يقدمونها من حيث التكلفة الإجمالية للتخزين بالإضافة إلى إمكانات الخدمة المدارة ببساطة لا يمكن التغلب عليها في معظم الحالات عن طريق حلول التخزين في الموقع ، والتي لا تميل فقط إلى أن تكون أكثر تكلفة ، ولكن الملكية أيضا.

ومع ذلك ، أثناء إنشاء إعداد أساسي على خدمات مثل Dropbox Business أو حتى Amazon S3 يمكن أن يكون بسيطًا نسبيًا ، إلا أن الاستفادة الكاملة من ميزات أمان البيانات الخاصة بهم يمكن أن تقدم منحنى تعليمي تمامًا. ولكن هذا منحنى ستحتاج بالتأكيد إلى موظفي تكنولوجيا المعلومات لديك لتناول الطعام ، حيث يمكن لهؤلاء مقدمي الخدمة حتى منح الشركات الصغيرة إمكانية الوصول إلى إمكانات الأمان المتقدمة للتخزين التي يتعين عليهم إنفاق المزيد من المال من أجل تنفيذها في الموقع.

على سبيل المثال ، ناقشنا تشفير البيانات في وقت سابق ، ولكن على الرغم من أن الغالبية العظمى من موفري الخدمات السحابية لديهم القدرة على تشفير البيانات المخزنة على خدماتهم ، فليس كلهم ​​يفعلون ذلك افتراضيًا. بالإضافة إلى ذلك ، لا يقوم كل منهم أيضًا بتشفير البيانات أثناء نقلها بينها وبين خادم التطبيقات الآخر أو أجهزة المستخدمين. تحتاج هذه الإعدادات إلى التحقيق فيها وتمكينها ومراقبتها بواسطة تقنية المعلومات.

هناك أيضًا المزيد من الميزات المتقدمة التي تتطلب بعض العمل للتنفيذ ، ولكن يمكن أن يكون لها فوائد طويلة الأجل. واحد هو تصنيف البيانات. هذا مصطلح شامل للعديد من التقنيات التي يمكن لمزودي خدمات التخزين السماح لعملائها باستخدامها من أجل تنظيم بياناتهم في فئات ذات صلة بأعمالهم الخاصة. هذا لا يسهل العثور عليه ومعالجته فحسب ، بل يمكن أيضًا الحفاظ عليه أكثر أمانًا لأن بعض هذه الخدمات يمكنها تعيين حماية على مستوى الملفات لتصنيفات معينة. في بعض الحالات ، يمكن أن تتبع هذه الحماية الملف الموجود حتى بعد أن تترك خوادم موفر التخزين السحابي وتنتقل إلى جهاز أو خادم شخص ما خارج مؤسسة العميل ، مثل عميل أو شريك.

عند استخدامها بهذه الطريقة ، يمكن أن تمارس البيانات المصنفة السيطرة ليس فقط على من يمكنه الوصول إلى الملف ، ولكن أيضًا على ما يُسمح له بالقيام به - سواء كان ذلك للقراءة أو الطباعة أو التعديل أو المشاركة مع الآخرين. يتيح لك ذلك الحفاظ على معلومات معينة أكثر أمانًا مع الحفاظ على القدرة على مشاركتها خارج شركتك.

5. هل لدينا جدار حماية؟

أنت لا تملك منزلاً بدون باب أمامي ، أليس كذلك؟ ثم لماذا تقوم بتشغيل شبكة بدون جدار حماية؟ يتيح لك جدار الحماية الخاص بك منع حركة المرور غير المرغوب فيها من الدخول إلى شبكة شركتك. هذا يعني أنك ستكون قادرًا على الحفاظ على شبكة داخلية خاصة دون تعريض جميع بيانات شركتك لخادم الويب العام الذي يتم تشغيل عملك عليه.

وقال آرسين: "تعد جدران الحماية رائعة لإبعاد المتطفلين الذين يريدون إما فحص الشبكة أو البحث عن الخدمات والمنافذ المفتوحة التي يمكن استغلالها للوصول عن بُعد". "باستخدام جدران الحماية ، يمكنك أيضًا تعيين قواعد تتعلق بعناوين IP التي يمكنها الوصول إلى الموارد المختلفة أو مراقبة حركة المرور الواردة والصادرة."

ولكن على غرار دراسة عروض مزودي خدمة التخزين السحابي ، من الجيد أيضًا التأكد من فهم الإمكانات الكاملة لجدار الحماية لديك. أصبحت هذه الأجهزة أكثر تطوراً ، بما في ذلك الأجهزة التي تأتي كجزء من شبكة Wi-Fi للأعمال التجارية الصغيرة أو جهاز توجيه الشبكة الخاصة الافتراضية (VPN). على سبيل المثال ، على الرغم من أنك قد تكون قد قمت بتمكين جدار الحماية الأساسي لشبكتك كجزء من الإعداد الأولي لجهاز التوجيه الخاص بك ، فمن المحتمل أن تكون لديك أيضًا القدرة على تمكين جدار حماية تطبيق ويب ، والذي يمكن أن يوفر حماية محددة للبيانات المرسلة من خلال التطبيقات التي تدعم الويب.

خيار آخر هو التحقيق في خدمة جدار الحماية المدارة. كما يوحي الاسم ، هذا هو ببساطة جدار حماية يديره مزود الخدمة لك على أساس الاشتراك. الجانب العلوي هو أنه يمكنك بسهولة تمكين ميزات أكثر تقدماً لأن الخبراء يتعاملون مع إدارة جدار الحماية. هذا يعني أيضًا أنك ستكون واثقًا من أن جدار الحماية الخاص بك سيحتوي دائمًا على أحدث تحديثات الحماية والإصلاحات والبرامج المثبتة. تتضمن الجوانب السلبية المحتملة أنك على الأرجح تشارك جدار الحماية الخاص بك مع عملاء آخرين وأيضًا في هذا التكوين ، سيتم توجيه كل حركة مرور الويب عبر هذا الطرف الثالث قبل الوصول إلى الإنترنت أو المستخدمين. قد يكون ذلك بمثابة عنق الزجاجة إذا لم يكن الموفر ماهرًا في إدارة تدفق حركة المرور ، لذلك يجب عليك اختبار ما إذا كان عملك يتطلب حدًا أدنى أساسيًا لأداء الويب لتطبيقات معينة.

6. what لدينا إجراءات الوصول عن بعد؟

في هذه الأيام ، من المحتمل أن يكون لدى كل مؤسسة ، بغض النظر عن صغر حجمها ، سفر الموظفين أو العملاء أو غيرهم من الموظفين الذين يحتاجون إلى الوصول إلى موارد الشركة عن بُعد. اجلس مع موظفي تكنولوجيا المعلومات لديك واكتشف بالضبط ما هي العملية لمثل هذه الاتصالات. هل هي عملية قابلة للتكرار ، نفس الشيء بالنسبة لأي شخص ؛ أو هل اعتاد أشخاص مختلفون على الوصول إلى مواردك بطرق مختلفة؟ إذا كان الأخير ، فهذه مشكلة.

الوصول عن بعد يجب أن يكون هو نفسه بالتأكيد للجميع. هذا يعني أنه يجب على موظفي تكنولوجيا المعلومات التركيز ليس فقط على ما يحدث على جانبهم من جدار الحماية بمجرد حدوث طلب تسجيل الدخول ، ولكن أيضًا على ما يجب أن يحدث على الجانب الآخر من جدار الحماية لجعل هذا الطلب شرعيًا. يجب فحص العملاء عن بُعد للتأكد من أن الأجهزة يتم تحديثها بشكل صحيح وحمايتها باستخدام برنامج حماية نقطة النهاية في درجة رجال الأعمال. يجب أن يتم تسجيل الدخول باستخدام VPN ويجب أن تدار جميع هذه الطلبات عبر نظام إدارة الهوية. كل من هذه التدابير لديها إصدارات منخفضة التكلفة المتاحة التي ينبغي تنفيذها بسهولة حتى من قبل الشركات الصغيرة مع موارد أقل من تكنولوجيا المعلومات.

7. ما هي سياسة الجهاز على مستوى الشركة؟

تسمح سياسات إحضار الجهاز الخاص بك (BYOD) للموظفين باختيار الأجهزة والبرامج التي سيتم تشغيلها أثناء إجراء العمليات التجارية. على الرغم من أن هذه السياسات توفر المرونة للموظفين (وفورات في التكاليف للشركات التي لم تعد بحاجة لشراء أجهزة للعاملين الجدد) ، فهناك العديد من المخاطر المرتبطة بخطط BYOD. في الجزء العلوي من القائمة: كيف يمكنك تأمين البيانات المخزنة على هذه الأجهزة إذا كنت لا تختار البرنامج وتبني بروتوكول الوصول الأمني؟

وقال أرسين "تعتمد معظم الشركات الصغيرة غالبًا على BYOD لكن عادةً لا توجد لديها سياسة أمنية مطبقة". "ولتحقيق هذه الغاية ، يوصى أيضًا بالحد من الوصول إلى المعلومات الهامة التي يتم الوصول إليها بواسطة الأجهزة التي يجلبها الموظفون ، إما عن طريق فصل الشبكات أو عن طريق تطبيق سياسات الوصول ، وكذلك إدارة الأجهزة المحمولة. بما أن الأجهزة المحمولة تستخدم أيضًا للوصول إلى رسائل البريد الإلكتروني والبيانات الداخلية ، من المهم إما إدارتها بحل مخصص أو السماح لهم فقط بالوصول إلى البيانات غير الهامة."

يمنحك برنامج MDM القدرة على المسح عن بُعد والقفل عن بُعد والتثبيت الجغرافي وتخصيص كل جهاز وفقًا لاحتياجاتك المحددة. إذا فقد الموظفون الأجهزة ، أو تم اختراق الأجهزة ، أو إذا كانت الأجهزة قادرة على الوصول إلى بيانات الشركة أكثر مما تريد ، فستكون قادرًا على إجراء تعديلات باستخدام حل MDM الخاص بك دون لمس الأجهزة الفعلية.