تسليط الضوء على تقنية معلومات الظل

تخيل الموقف التالي. أنت تعمل مع وكالة تساعدك في إنشاء مجموعة من الكتيبات التي ستحضرها إلى معرض تجاري. تحتاج الطابعة إلى الملفات غداً، لكن الرابط الذي أعطيته للوكالة إلى منطقة التحميل الآمنة الخاصة بك لا يعمل. يقترح المصمم أن تقوم بتنزيل تطبيق يسهل مشاركة الملفات الكبيرة. بسبب الضغط من الإدارة، تقوم بتحميل التطبيق لأنك بالتأكيد يجب الوفاء بالموعد النهائي للطباعة

هل يبدو مألوفاً؟ إذا لم يكن من الصعب تخيل هذا الموقف، فذلك لأنه يحدث طوال الوقت في الشركات في كل مكان. على الرغم من أن معظم الناس نادراً ما يعترفون بتجاوز قسم تكنولوجيا المعلومات في شركاتهم وتثبيت البرمجيات الخبيثة، إلا أنهم يفعلون ذلك. إحصائيًا 82% من الخروقات تنطوي على عنصر بشري. وتلعب الأخطاء مثل تنزيل البرامج الخطرة أو النقر على روابط التصيد الاحتيالي أو الخطأ البشري البسيط دوراً رئيسياً في حوادث الأمن السيبراني والاختراقات.

الأمر المخادع هو أنه في كثير من الأحيان، لا يحدث أي شيء عندما ينحرف الموظفون. فالبرنامج الذي استخدمته لمشاركة تلك الكتيبات هو برنامج شرعي، ويقوم البائع بطباعة الضمانات، ولا تقوم بإدخال مخاطر جديدة، ولا يتغير شيء. لا تقلق.

ولكن في أحيان أخرى، لا يكون الموظفون محظوظين جداً. تم تعيينهم ظل تكنولوجيا المعلومات, فإن أي أجهزة أو برمجيات غير مدعومة من قبل قسم تكنولوجيا المعلومات في الشركة يمكن أن تشكل خطراً أمنياً.

كل ما يتطلبه الأمر هو تنزيل برنامج واحد مليء بالبرمجيات الخبيثة أو الوصول إلى تطبيق SaaS واحد مع ضعف الأمن السحابي لإصابة الأنظمة الحساسة. ومع ذلك، حتى مع وجود هذه الفرص الدائمة للمخاطر، فإن معظم المؤسسات لا تأخذ تكنولوجيا المعلومات في الاعتبار عند وضع استراتيجياتها الأمنية.

للتخفيف من المخاطر، من المهم التفكير في سبب لجوء الموظفين إلى تكنولوجيا المعلومات الظل في المقام الأول. غالبًا ما تسد تكنولوجيا المعلومات الظل الثغرات التي لا تعالجها الأجهزة أو البرامج المعتمدة من تكنولوجيا المعلومات أو لا تقوم بعملها بشكل جيد. أو في بعض الأحيان يلجأ الناس إلى حلول مخصصة لأن الحصول على الموافقة على أي شيء يستغرق وقتًا طويلاً لدرجة أنهم لا يكلفون أنفسهم عناء ذلك. من وجهة نظر الموظف، من الأسهل كثيرًا تحميل بعض البرامج وتجنب الصراخ في وجه الموظف لتفويت الموعد النهائي بدلاً من الجدال مع الروتين أو الجدال مع تكنولوجيا المعلومات حول المشتريات والميزانيات.

إذا كان الموظفون مجبرين على إيجاد حلولهم الخاصة لمشاكل تكنولوجيا المعلومات، فهذا يشير إلى وجود مشكلة أكبر من أي تطبيق أو مورد فردي لتكنولوجيا المعلومات في الظل. وبدلاً من ذلك، فإن ذلك يشير إلى وجود خلل في التواصل بين قسم تكنولوجيا المعلومات والفرق الأخرى داخل المؤسسة.

لا ينبغي أن يكون قسم تكنولوجيا المعلومات هو العدو. يجب على المديرين التحقيق في الاختناقات وتشجيع التواصل بين أقسام تكنولوجيا المعلومات والمستخدمين. وعلى المستوى التنفيذي، يجب أيضًا أن يكون تثقيف المستخدمين بشأن المخاطر المرتبطة بتكنولوجيا المعلومات في الظل أولوية. بالنسبة للمستخدمين، يجب أن يكون الحصول على الأدوات اللازمة للقيام بوظائفهم بسلاسة حتى لا يشعروا بأنهم مضطرون لإيجاد حلول بديلة. تذكّر دائماً القول المأثور: أفضل حماية هي تلك التي سيستخدمها الناس. تتغير التكنولوجيا بسرعة، ويجب على المؤسسات أيضًا وضع إجراءات لتبسيط عملية إجراء المراجعات الأمنية وتوفير حلول تقنية جديدة بسرعة.

إن فهم من لديه حق الوصول إلى ماذا أمر بالغ الأهمية، لذلك تحتاج المؤسسات إلى التأكد من وجود حوكمة في مكانها الصحيح. يبدأ الأمان بالهوية، ومع المصادقة الحديثة والخيارات الحديثة وخيارات كلمة المرور، يجب أن يكون إثبات هويتك دون أي متاعب. يجب أن تتمحور حلول الهوية حول أفضل الممارسات الأمنية مثل معايير FIDO2، والمصادقة القائمة على المخاطر، والرؤى الذكية في الوقت الحقيقي التي تخفف من المخاطر باستمرار.

لا ينبغي أن يتطلب إكمال طلبات الوصول الروتينية دائماً مشاركة تكنولوجيا المعلومات، كما أن إمكانات الخدمة الذاتية وتسجيل الدخول الأحادي تمكّن المستخدمين من العمل دون انقطاع. من ناحية تكنولوجيا المعلومات، يحتاج المسؤولون أيضاً إلى حلول سلسة تتضمن أدوات حوكمة الهوية والإدارة.

توفر بنية الحوكمة ودورة الحياة الخاصة بنا لحوكمة الوصول إلى البيانات رؤية على مستوى المؤسسة بحيث يمكنك معرفة من يمتلك بيانات المؤسسة، ومن لديه حق الوصول إلى موارد البيانات، وكيف حصلوا على حق الوصول، وما إذا كان ينبغي أن يكون لديهم حق الوصول عبر مشاركات الملفات. تُنشئ عملية الاعتماد المؤتمتة مراجعات قابلة للتنفيذ تتسم بالبساطة والبديهية والفعالية لمستخدمي الأعمال لتوفير أدلة لفرق التدقيق.

ليست كل التهديدات خارجية، وتحتاج فرق تكنولوجيا المعلومات إلى إيجاد طرق جديدة لضمان تأمين الوصول وضمان الامتثال مع الاستمرار في دعم الاحتياجات التقنية للمستخدمين. من خلال تبسيط عمليات تكنولوجيا المعلومات، وتثقيف المستخدمين، وتبني حوكمة الهوية والوصول، يمكن للمؤسسات تقليل مخاطر تكنولوجيا المعلومات في الظل.