ما مدى تأمين بيانات شركتك خارج مكتبك؟ تدخل اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ هذا الشهر، مما يُؤثر على أي مؤسسة في جميع أنحاء العالم تجمع أو تُعالج البيانات الشخصية لسكان الاتحاد الأوروبي. وفي هذا المقال ينصحك خبراء الامتثال اللائحة العامة لحماية البيانات (GDPR) بشأن طريقة حماية شركتك
إذا كانت شركتك تعتمد على مَن يعملون عن بُعد، فأنت تعرف بلا شك مدى أهمية التأكُّد من عدم إساءة استخدام البيانات أو فقدها أو اختلاسها. ومع ذلك، ومع بدء العمل باللائحة العامة لحماية البيانات (GDPR) هذا الشهر (مايو 2018)، فإنه من المهم أيضًا ضمان التزامك بالمتطلبات الصارمة لهذه اللائحة – وإما التعرُّض لضرر مالي كبير أو الإضرار بسمعتك. إذًا كيف يمكنك حماية البيانات أثناء التنقُّل مع الاحتفاظ بمزايا القوى العاملة المرنة دون نقصان؟
1. تثقيف موظفيك
وفق ما يرد في اللائحة العامة لحماية البيانات (GDPR)، فإن شركتك تُعد "مالك المعلومات"، ويعد موظفوك العاملون عن بُعد "معالجي المعلومات". ويقول جون سلوتر، المدير العام لشركة Data Comply: "يعني ذلك أنهم يتحملون دورًا للاضطلاع بمهمة الحفاظ على أمن بيانات شركتك يُعادل دورك." (1) ويُضيف: "يجب أن يصبح الامتثال للائحة العامة لحماية البيانات (GDPR) أولويةً عند أداء وظائفهم اليومية، لا سيما عندما يعملون عن بُعد." "تُعد الإرشادات الواضحة بشأن استخدام شبكات آمنة أمرًا شديد الأهمية، لذا يجب تحديد السجلات وإبلاغ العاملين بشأن السجلات التي يقتصر التعامُل معها على بيئة آمنة." إنه ينصح الشركات بتدريب الموظفين وتكرار تدريبهم ومراجعة أداءهم بشكل منتظم لضمان فهمهم لهذه القضايا وتواصل أداء أعمالهم وفق أحدث المعلومات.
يجب على الشركات كذلك أن تهتم بتذكير الموظفين بأن شبكة WiFi العامة ليست آمنة بأي حال من الأحوال. ويقول آندي كايز، كبير موظفي التكنولوجيا لدى شركة Redscan المتخصصة في كشف المخاطر والتصدي لها: "ونظرًا لضرورة ألا يُجري الفرد التعاملات البنكية من خلال شبكة عامة، يجب كذلك ألا يستخدم مستندات العمل السرية." (2). "يجب تشجيع العاملين على استخدام نقاط وصول شبكة WiFi آمنة فقط، أو الاتصال بشبكة الشركة عبر الاتصال بشبكة ظاهرية خاصة (VPN) آمنة. ويحسُن كذلك الاتصال بالإنترنت عبر شبكة 4G (أو جهاز دونجل)، مما يمنح الموظفين اتصالاً جيدًا وآمنًا بمزود الخدمة."
2. حماية جميع الأشياء بكلمة مرور
من المرجح أن تحظى اللائحة العامة لحماية البيانات (GDPR) بالقدرة على فرض غرامات تصل إلى أربعة في المائة من المبيعات الإجمالية العالمية للشركة في حالة حدوث خروقات خطيرة للبيانات. يظهر الاستثناء الوحيد إذا أمكنك إثبات أن البيانات مُشفّرة بالشكل المُناسب.
يذكر أندريه هانجانو، مؤلف مجموعة وثائق اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي: "ليس ثمة شيء اسمه أمن مضمون – حتى وكالة ناسا تعرضت للاختراق." (3) "لكن تُساعد كلمات المرور القوية وحلول التشفير الملائمة في الحفاظ على أمن بياناتك الشخصية بعيدًا عن المستخدمين غير المصرَّح لهم."
تتمتع معظم الشركات ببرمجيات في مواقعها تُمكنها من تشفير أقراص البيانات وأي ملفات محفوظة عليها، ولكن لا ينطبق ذلك تلقائيًا على الأجهزة البعيدة. يُوصي هانجانو بتوفير برمجيات التشفير اللازمة لأجهزة الكمبيوتر المحمولة والهواتف وأجهزة الكمبيوتر المكتبية الشخصية – فكل ما يحتاجه المستخدم بعد ذلك يتمثل في رقم تعريف شخصي أو كلمة مرور ليتمكن من الوصول إلى البيانات وفك شفرتها لتحويلها إلى نموذج قابل للقراءة. يجب أن يعتاد جميع العاملين على حماية كل شيء بكلمة مرور.
3. الحفاظ على خلو الأجهزة من مُسببات الخروقات
تستطيع الفيروسات وهجمات البرامج الضارة جمع البيانات وتتبُّعها، مما يعني أنها تندرج أيضًا تحت معايير اللائحة العامة لحماية البيانات (GDPR). يقول نايجل توزر، مدير تسويق خدمات شركة Commvault في أوروبا والشرق الأوسط وإفريقيا: "نظرًا لصعوبة حماية البيانات من البرمجيات الخبيثة، ترى معظم الشركات أن الأمر لا يتعلق باحتمالية التعرُّض لهجوم، ولكن يتعلق بتوقيت حدوث ذلك." (4) ويوصي بالتأكُّد من حماية أجهزة موظفيك بأحدث أنظمة التشغيل وبرمجيات مكافحة الفيروسات.
ويُضيف آندي كايز: "يُعد العنصر البشري دائمًا الحلقة الأضعف في الوضع الأمني للمؤسسة، وقد تنتج عواقب وخيمة إذا نقر موظف واحد فوق رابط خبيث أو فشل في تحديث نظام التشغيل لديه." "لذلك فمن الأهمية بمكان زيادة الوعي بمخاطر الأمن السيبراني من خلال التدريب المنتظم للموظفين، لا سيما العاملين عن بُعد الذين قد يتمكنون من الوصول إلى بيانات وخدمات الشركة من خلال العديد من الأجهزة والمواقع والشبكات."
يلزم الشركات أيضًا أن تنظر بعين الاعتبار إلى إجراء جلسات عادية مع قسم تكنولوجيا المعلومات حيث يجلب الموظفون أجهزتهم المحمولة لتخضع لفحوصات وتحديثات وترقيات أمنية منتظمة.
هل تتمتع مؤسستك بإستراتيجية للحفاظ على أمن البيانات بمجرد مغادرتها المكتب؟
4. تذكر الأمن المرئي
تذكر أورلاغ كيلي، محامية والمدير التنفيذي لأخصائيي التدريب والاستشارات في مؤسسة Briefed GDPR : "في عالمنا هذا المتطور تقنيًا، يسهُل أن ننسى أنه لا تزال هناك طرق متدنية التقنية تُمكِّن الأشخاص من سرقة بيانات شركتك"
ففي تجربة أجرتها شركة 3M، تمكّن مخترق مُتخفٍ من الحصول على معلومات حسّاسة من خلال "استراق النظر" فقط (بالنظر إلى شاشة شخص ما) في 88% من التجارب (6).
وتذكر كيللي: "يجب تشجيع الموظفين على الانتباه لمَن يمكنهم استراق النظر لأجهزتهم أثناء عملهم خارج المكتب." يمكنك التفكير في إصدار أجهزة تصفية خاصة بالخصوصية ترتبط بالشاشة وتمنع المشاهدات الجانبية من أولئك الذين يسترقون نظرات خاطفة.
5. فهم قيود الخدمات السحابية
وفقًا لدراسة معهد بونيمون (Ponemon Institute)، فإن 44 في المائة من بيانات الشركات المُخزّنة في البيئات السحابية لا تخضع لإدارة أو تحكُّم إدارة تكنولوجيا المعلومات. ونتيجةً لذلك، تكشف الدراسة أيضًا أن استخدام الخدمات السحابية يمكن أن يزيد احتمالية اختراق بيانات تُقدَّر قيمتها بمبلغ 20 مليون دولار إلى ثلاثة أضعاف (7).
ويُشير نايجل توزر: "إن اختيار مزود الخدمات السحابية المناسب أمر مهم للغاية." "عليك أن تعرف بالضبط كيفية التعامُل مع خرق البيانات، حيث يتحمل كلا الجانبين التزامات. إذا بقيت جميع البيانات لدى الاتحاد الأوروبي، فيجب أن يضمن مزود الخدمات السحابية الخاص بك الحفاظ عليها بطريقة تتوافق مع متطلباتك القانونية. يلزمُك كذلك التحقُّق من أن أي بيانات تخرج من الاتحاد الأوروبي تتمتع بالحماية الكافية فيما يتعلق باللائحة العامة لحماية البيانات (GDPR)"
يشير توزر إلى أنه عندما يتعلق الأمر باللائحة العامة لحماية البيانات (GDPR)، في حين كون مُزوّد الخدمات السحابية هو معالج البيانات، فإن عملك يتركز في المُراقبة. "[ويعني ذلك] أنك تتحمل مسؤولية التحقُّق من بيانات اعتماد مُقدم الخدمة والتأكُّد من تقديم ضمانات كافية لتنفيذ تدابير الحماية الفنية والمؤسسية المناسبة التي تلتزم باللوائح الجديدة الخاصة بالاتحاد الأوروبي."
6. احترم خصوصية موظفيك
وكما يقول جورج هاريس، استشاري اللائحة العامة لحماية البيانات (GDPR) لدى شركة DMPC Ltd: إذا كنت تستخدم حاليًا أدوات أو تقنيات لمراقبة إنتاجية الموظفين العاملين عن بُعد، فستحتاج إلى النظر بعين الاعتبار في كيفية مواءمة نواياك الحسنة مع الحاجة لحماية خصوصيتهم. (8) ويُضيف: "يصعُب تبرير [مراقبة موظفيك] في سيناريو عمل قياسي ومُعتبر."
وبموجب معيار اللائحة العامة لحماية البيانات (GDPR)، فإنه يصعُب مراقبة أجهزة الموظف (من خلال تقنية راصد لوحة المفاتيح أو تقنية تتبُّع الماوس) دون انتهاك حقه المتعلق بالخصوصية. ووفقًا لهيئة GDPR Article 29 Working Party: "قد يكون للتقنيات التي ترصد الاتصالات […] تأثير سلبي على الحقوق الأساسية للعاملين فيما يتعلق بحق تنظيم وإعداد اجتماعات العاملين والتواصل بسرية (بما في ذلك الحق في طلب المعلومات) ( 9)."
7. وجود خطة عمل للتصدي لعمليات اختراق البيانات
يقول جيمس ووكر، المدير العام لشركة Jaw Consulting UK التي تتخصص في الأمن السيبراني وحماية البيانات والخصوصية : "قد يتضمن خرق البيانات أي شيء بدءًا من هجوم ضار يؤثر على جهاز كمبيوتر محمول لشخصٍ ما، وصولاً إلى موظف يترك هاتف عمله في القطار، وآخر يُرسل سجلات عبر البريد الإلكتروني إلى مجموعة عن طريق الخطأ باستخدام خاصية "cc" في البريد الإلكتروني بدلاً من خاصية "bcc" (10).
في حين يميل تفكيرك الغريزي المبدئي إلى البدء في إجراءات السيطرة على الأضرار، فإنه بموجب اللائحة العامة لحماية البيانات، تعظُم ضرورة القيام بذلك. يذكر ووكر:"لدى أي مؤسسة 72 ساعة لإخطار كلٍ من الأفراد المتضررين والسلطة الرقابية المعنية بحدوث اختراق للبيانات، ويشمل ذلك تحليلاً للعواقب المُحتملة لهذا الخرق، ودراسة التدابير المتخذة أو المُقتَرحة لتخفيف الآثار السلبية لهذا الخرق."
أتذكر تلك الغرامات البالغة أربعة في المئة المذكورة سابقًا؟ إنها تُمثل ما قد تخسره إذا فشلت في الالتزام باللوائح. ويقول واكر: "تتمتع يإعفاء من إجراءات الإخطار التفصيلية هذه إذا تمكّنت من إثبات أن الخرق لا يُحتمل أن يؤدي إلى وقوع ضرر على حقوق وحريات الأشخاص الطبيعيين." "إثبات أنك قمت بتشفير البيانات بشكل صحيح سيُحدث تأثيرًا كبيرًا وقد يُسقط متطلبات كثيرة بما فيها الإبلاغ عن حوادث مثل اختراق البيانات."
المصادر:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
