يبدو الأمر واضحًا، ولكن لا يمكن أن يكون وضع الأمن السيبراني للمؤسسة مجزأً. في حين أن المؤسسة قد تتعامل مع بعض المستخدمين بشكل مختلف عن الآخرين، وفي حين أنها قد تحتاج إلى حماية إضافية للمستخدمين الأكثر خطورة، يجب أن يأخذ برنامج الأمن في الحسبان كل مستخدم.
يمكن أن تصبح تلبية هذه الحاجة أكثر تعقيداً مع توسع المؤسسات، حيث يجب على قادة تكنولوجيا المعلومات تقييم تكلفة حلول المصادقة متعددة العوامل (MFA) إلى جانب سلوك المستخدم أثناء إنشاء إطار عمل قوي للأمن السيبراني.
بالنسبة للعديد من المؤسسات، تميل الأجهزة المحمولة إلى أن تكون حلاً وسطاً عملياً يوازن بين الأمان والتكلفة والراحة. الأجهزة المحمولة منتشرة في كل مكان وسهلة الاستخدام لتلبية متطلبات المصادقة متعددة العوامل (MFA): 73% من المستخدمين يعتقدون أن الهواتف الذكية هي الوسيلة الأكثر ملاءمة لتحقيق المصادقة متعددة الأطراف.
على الرغم من أن المصادقة القائمة على تطبيقات الأجهزة المحمولة قد تكون جيدة في إنشاء برنامج أمان على مستوى المؤسسة وموازنة التكاليف، إلا أنها ليست حلاً سحرياً يصلح للجميع طوال الوقت. تختلف تكلفة المصادقة متعددة العوامل باختلاف نوع الحل واستراتيجية التنفيذ.
تفضيلات المستخدم وقدراته
في بعض الحالات، قد لا يتمكن بعض المستخدمين من استخدام الأجهزة المحمولة أو الاعتماد على الاتصال المحمول للمصادقة (فكر في غرفة التصنيع النظيفة). وفي حالات أخرى، قد لا يكون الموظفون مرتاحين لتثبيت التطبيقات التي تفرضها الشركة على أجهزتهم الشخصية للوفاء بمتطلبات الأمان.
الرموز المميزة للأجهزة
نرى المؤسسات تنشر نوعين من الحلول لمصادقة هؤلاء المستخدمين. الأول هو مصادقة الأجهزة باستخدام رموز المرور لمرة واحدة (OTPs). مصادقة الأجهزة مثل DS100 هي المعيار الذهبي في المصادقة: فهي تساعد المؤسسات على العمل بدون كلمة مرور من خلال توحيد مزايا التشفير لبروتوكولات FIDO2 ومزايا الأمان لمرة واحدة لمرة واحدة.
أما الحل الثاني فهو المصادقة التقليدية لمرة واحدة مثل المصادقة القائمة على الرسائل النصية القصيرة (التي ترسل كلمات مرور لمرة واحدة لمرة واحدة مباشرةً إلى الأجهزة الشخصية للمستخدمين) ومصادقة الصوت لمرة واحدة لمرة واحدة لمرة واحدة.
رسوم الصيانة والدعم
يمكن أن تضيف رسوم الصيانة والدعم أيضًا إلى التكلفة الإجمالية بمرور الوقت، خاصةً بالنسبة لحلول المصادقة الآلية عبر الأجهزة المحمولة. غالبًا ما تتضمن هذه التكاليف التحديثات المستمرة لتطبيقات الأجهزة المحمولة، وضمان التوافق مع أحدث أنظمة التشغيل، ومعالجة الثغرات الأمنية الخاصة بمنصات الأجهزة المحمولة. قد يتقاضى البائعون أيضًا رسومًا مقابل الحفاظ على خدمات إشعارات موثوقة أو استكشاف المشكلات الخاصة بالأجهزة أو توفير الدعم للمستخدمين الذين لديهم أجهزة محمولة متنوعة. بالإضافة إلى ذلك، قد تحتاج المؤسسات إلى الاستثمار في تدريب المستخدمين للتعامل مع تحديثات تطبيقات الأجهزة المحمولة وضمان التكامل السلس مع نظام تكنولوجيا المعلومات الخاص بها. وبمرور الوقت، يمكن أن تؤثر هذه العوامل بشكل كبير على التكلفة الإجمالية لملكية تطبيقات المصادقة المصادقة المتنقلة على الأجهزة المحمولة.
هناك ثغرات أمنية معروفة في الرسائل النصية القصيرة والصوتية لمرة واحدة فقط: فالرسائل النصية القصيرة لمرة واحدة غير مشفرة وهي عرضة لانقطاع الشبكة، وتبديل بطاقة SIM، والهندسة الاجتماعية، وهجمات SS7 وهجمات الرجل في الوسط. توصي RSA بأن تنتقل المؤسسات إلى مصادقة أقوى بدون كلمة مرور على المدى الطويل.
ومع ذلك، لا تزال العديد من المؤسسات تعتمد على هذه الأساليب لأنها:
- دعم مجموعات متنوعة من المستخدمين بمستويات متفاوتة من الوصول والمخاطر.
- غالبًا ما تكون أكثر خيارات MFA ميسورة التكلفة للشركات الصغيرة أو البيئات المحددة.
المعهد الوطني الأمريكي للمعايير والتكنولوجيا (المعهد الوطني للمعايير والتكنولوجيا والابتكار) قالت ذلك عندما كتبت أنه يجب على الوكالات أن توازن بين "الجوانب العملية للتطبيقات الحالية واحتياجات المستقبل"، وأن الاستفادة من "الرسائل النصية القصيرة إلى الهاتف المحمول كعامل ثانٍ اليوم أقل فعالية من بعض الأساليب الأخرى - ولكنها أكثر فعالية من عامل واحد".
لا توجد طريقة واحدة صحيحة لتحقيق التوازن بين الحاجة إلى حساب جميع المستخدمين وتعزيز الأمن السيبراني والتحكم في التكاليف. تحتاج المؤسسات إلى تقييم كل عامل من هذه العوامل من تلقاء نفسها واختيار الحلول بناءً على ملف المخاطر الفريد الخاص بها ومواردها ومستخدميها وأهدافها.
فيما يلي خطوات عملية للتحكم في تكلفة المصادقة متعددة العوامل:
- الاستفادة من الأجهزة الموجودة مثل الهواتف المحمولة لتقليل الاستثمار في الأجهزة.
- اختر حلول MFA القابلة للتطوير التي تنمو مع مؤسستك.
- استخدم الإصدارات التجريبية أو التجريبية المجانية لتقييم الحلول قبل الالتزام باستثمار طويل الأجل.
على الرغم من عدم وجود طريقة صحيحة، إلا أن هناك طريقة خاطئة واحدة على الأقل: لا ينبغي للمؤسسات أن تسمح للبائعين بإملاء حلولها الأمنية. إن تحقيق التوازن بين هذه العوامل صعب بما فيه الكفاية في حد ذاته: يتفاقم الأمر عندما يفرض البائعون مواعيد نهائية أو يزيلون قدرات لا تزال تلبي احتياجات مهمة رغم عدم كمالها.
