42% فقط من قادة الشركات الصغيرة والمتوسطة في السعودية مطمئنون إلى عجز الموظفين السابقين عن الوصول إلى البيانات المؤسسية الرقمية
أظهرت دراسة حديثة أجرتها كاسبرسكي حول سلوك الشركات الصغيرة والمتوسطة في المملكة العربية السعودية خلال أزمة الجائحة، أن إنهاء خدمات الموظفين قد ينطوي على أخطار إضافية للأمن الرقمي للشركات. لكن 42% فقط من قادة الشركات أعربوا عن اطمئنانهم إلى أن موظفيهم السابقين عاجزون عن الوصول إلى بيانات الشركة المخزنة في الخدمات السحابية، فيما أكّد 48% من القادة أن الموظفين السابقين لا يمكنهم استخدام الحسابات الرقمية المؤسسية.
وبينما مثّل استبقاء الموظفين أولوية قصوى لدى نصف الشركات خلال أزمة الجائحة، وفقًا للدراسات، وجدت العديد من الشركات أنها مضطرة إلى إنهاء خدمات بعض الموظفين من أجل تقليل التكاليف. واستطلعت كاسبرسكي آراء أكثر من 1,300 من قادة الأعمال في الشركات الصغيرة والمتوسطة لمعرفة الإجراءات التي اختاروها لاستدامة أعمالهم، والأخطار المرتبطة بالأمن الرقمي التي يمكن أن تجلبها إجراءات المتخذة لمكافحة تداعيات الأزمات.
وأظهرت الدراسة الاستطلاعية أن إنهاء خدمات الموظفين قد تعرّض سلامة البيانات والأصول المؤسسية لأخطار إضافية، نظرًا لأن ما يقرب من نصف المشاركين في الدراسة لم يؤكدوا عجز موظفيهم السابقين عن الوصول إلى الأصول الرقمية لشركاتهم. وأعرب قادة الأعمال عن تخوّفهم من سوء استخدام الموظفين السابقين للبيانات في وظائفهم الجديدة، ومن سعيهم للحصول على الأعمال لأنفسهم. وتشير نتائج الاستطلاع إلى أن معظم قادة الأعمال قلقون من إقدام الموظفين السابقين على مشاركة أصحاب العمل الجدد بيانات شركاتهم (66%) أو استخدام قواعد بيانات العملاء لإنشاء أعمالهم الخاصة (70%). وفي المجمل، اعتبر 30% فقط من المستطلعة آراؤهم أن خفض أعداد الموظفين إجراء ممكن اتخاذه لخفض التكاليف في حالة حدوث أزمة.
أين يمكن لقادة الأعمال الصغيرة والمتوسطة خفض التكاليف في حالة حدوث أزمة؟
وقال ألكسي فوفك رئيس أمن المعلومات لدى كاسبرسكي، إن الوصول غير المصرح به يمكن أن يصبح مشكلة كبيرة لأية شركة، مشيرًا إلى أنه قد يؤثر في قدراتها التنافسية إذا نُقلت بياناتها إلى منافسين أو تمّ بيعها أو حذفها، مؤكدًا أن هذه المشكلة تصبح أكثر تعقيدًا عندما يستخدم الموظفون بنشاط خدمات غير متعلقة بالشركة أو ما يُسمّى بالخدمات التقنية الظلية، التي لا تستخدمها أو تسيطر عليها أقسام تقنية المعلومات في الشركات. وأضاف: “إذا لم يتمّ التعامل مع هذه الخدمات بالشكل المناسب بعد إنهاء خدمات الموظف، فمن المرجّح أن تبقى إمكانية وصوله إلى المعلومات المتاحة عبر تلك التطبيقات قائمة”.
هذا، وتوصي كاسبرسكي باتباع التدابير التالية لضمان السيطرة على امتيازات الوصول غير الخاضعة للرقابة، والخدمات التقنية الظلية:
- التحكّم في عدد الأشخاص الذين يتمتعون بامتيازات الوصول إلى بيانات الشركة المهمة، ما يقلل من قدر البيانات المتاح للموظفين. ومن المرجح أن تحدث الانتهاكات في المؤسسات التي يستخدم فيها عدد موظفين أكبر من اللازم المعلومات السرية التي يمكن بيعها أو استغلالها.
- إعداد سياسة تحكم امتيازات الوصول إلى الأصول المؤسسية، وتشمل البريد الإلكتروني والمجلدات المشتركة ومشاركة المستندات عبر الإنترنت، مع ضمان التحديث المنتظم لهذه السياسة والحرص على إزالة امتيازات الوصول عن أي موظف يترك العمل. مع استخدام برنامج أمني وسيط لحماية الوصول إلى السحابة والمساعدة على إدارة نشاط الموظف ومراقبته ضمن الخدمات السحابية وفرض سياسات الأمن.
- إنشاء نسخ احتياطية منتظمة من البيانات الأساسية لضمان بقاء معلومات الشركة آمنة في حالات الطوارئ.
- تقديم إرشادات واضحة حول استخدام الخدمات والموارد الخارجية؛ إذ يجب أن يعرف الموظفون الأدوات التي يمكن استخدامها وتلك التي ينبغي عدم استخدامها، مع إيضاح الأسباب. وعند البدء في استخدام أي تطبيق جديد لأغراض العمل، يجب أن يكون هناك إجراءات اعتماد واضحة مع قسم تقنية المعلومات والأقسام الأخرى المعنية.
- تشجيع الموظفين على استخدام كلمات مرور قوية لجميع الخدمات الرقمية وتغيير كلمات المرور بانتظام.
- تذكير الموظفين بانتظام بأهمية اتباع قواعد الأمن الرقمي الأساسية المتعلقة بأمن الحسابات وإدارة كلمات المرور وأمن البريد الإلكتروني وتصفح الويب. وهناك برامج تدريب شاملة تُكسب الموظفين المعرفة اللازمة وتطبيقها في النواحي العملية.
- استخدام خدمات الأمن الرقمي التخصصية، مثل Kaspersky Endpoint Security Cloud، التي تتيح رؤية شاملة ومتعمقة على امتداد الخدمات السحابية.