بـ 7 خطوات.. هكذا تستعد لأي اختراق أمني يستهدف بيانات عملاء شركتك
لا يعتقد معظم محترفي تكنولوجيا المعلومات، حتى مع وجود درجة عالية من الخبرة التقنية، أن بيئات تكنولوجيا المعلومات الخاصة بهم ستعاني من اختراق أو مشكلة تسريب بيانات، وهم يعتقدون أن المتطفلين لن يعثروا عليهم مطلقًا، وأن البرامج الضارة التي يستخدمها مستخدمو المواقع على مواقع الويب المبهمة لن تتخطى حماية نقطة النهاية، وأنهم آمنون من الفدية أيضًا، بعد كل شيء، إنها لعبة أرقام، والجميع يعرف أنهم سوف يواجهون تلك المشكلة عاجلا أم آجلا.
الحقيقة تقول إن 7 من كل 10 مؤسسات تعرضت لهجوم إلكتروني أو اختراق أو وصول إلى بياناتها، وأنه يجب عليك أن تكون مستعدا بدلا من تأجيل هذا الموضوع حتى تحدث الكارثة ويكون الأوان قد فات.
وفي هذا المقال سنتطرق إلى كيفية الاستعداد للاختراق الأمني الذي يستهدف بيانات عملاء شركتك أو المستخدمين بطريقة عملية ومن خلال خطوات قابلة للتطبيق.
-
تشفير جميع البيانات
حتى إذا كنت غير ملزم قانونًا باستخدام التشفير، فافعل ذلك على أي حال؛ لأن اتخاذ هذه الخطوة الإضافية يعني أن لديك ألم أقل بشكل كبير عندما يحدث خرق لأنه لا يزال بإمكانك تلبية متطلبات حماية البيانات. ويمكنك القيام بذلك لأنك لن تقلق بشأن مسؤولية فقدان البيانات، بالإضافة إلى ذلك اعتمادًا على شريحة السوق الخاصة بك، قد تتجنب أيضًا غرامات كبيرة أو حتى التعرض للسجن أو عقوبات أو حتى خسارة ثقة الناس بك.
-
توزيع البيانات الخاصة بك
لا تضع بيضك كله في سلة واحدة تنطبق على سلامة البيانات أيضًا، استنادًا إلى نوع البيانات التي تقوم بحمايتها، قد يعني هذا تشغيل بيئة سحابة مختلطة، أو استخدام تخزين ذي طبقات باستخدام خدمة تخزين سحابي على مستوى الشركات، أو الاحتفاظ بالبيانات على خوادم مختلفة يمكن الوصول إليها من بيئة افتراضية.
تذكر أن الأجهزة الافتراضية (VMs) قد تكون عرضة للهجوم إذا كان المهاجم متطوراً بشكل معقول، لا يمكن أن تكون هذه الأجهزة ضعيفة فحسب، بل قد تكون كذلك بطرق لا تتوفر بها بنية تحتية مادية، والعكس صحيح.
-
كن حذرًا بشأن إدارة الوصول
لا يمكن أن تكون شبكتك بأكملها مفتوحة للجميع ولا يمكن أن تكون بياناتك متاحة للجميع، سواء كان ذلك ببساطة عن طريق استخدام كلمات مرور المستخدم أو (أفضل بكثير) باستخدام منصة إدارة هوية متطورة، يجب تقييد الوصول إلى واتاحة ذلك بشكل محدود فقط للأشخاص الذين تتطلب وظيفتهم الوصول، وهذا يشمل الجميع من المدير التنفيذي إلى قسم تكنولوجيا المعلومات، وإذا احتاج قسم تكنولوجيا المعلومات إلى الوصول إلى منطقة محمية، فيجب منح إذن الوصول على أساس ما هو مطلوب.
-
قسم شبكتك
يرتبط ذلك بالنقطة الأخيرة لأن استخدام أدوات إدارة الشبكة الخاصة بك لإغلاق جدران الحماية أو أجهزة التوجيه الداخلية يعني أنه يمكن برمجتها للسماح لمستخدمين معينين فقط بتمرير حركة المرور؛ يتم حظر جميع الآخرين، بالإضافة إلى التحكم في وصول المستخدم المصرح به، وهذا يحد أيضًا من أي وصول غير مصرح به إلى جزء فقط من الشبكة.
إذا كنت قد اتبعت الخطوة الأولى، فعندئذ حتى لو تمكن المخترقون من الوصول إلى بياناتك، فسيجدونها مشفرة وغير مفيدة، إذا قمت بتخطي الخطوة الأولى وتركت البيانات الخاصة بك غير مشفرة، وقمت بتقسيم الشبكة فحينها إذا نجح القراصنة في الوصول إلى بياناتك سيجدونها مجزأة وليس لها فائدة.
-
لا تستخدم نفس مفتاح التشفير لكل شيء
التجارب تؤكد أن الكثير من محترفي تكنولوجيا المعلومات لا يزالون يقعون في هذا الفخ، لا تريد مفتاحًا مسروقًا أو متصدعًا لتوفير الوصول إلى جميع بياناتك، هذا يشبه إلى حد كبير عدم استخدام كلمة المرور نفسها لمختلف الخدمات والتطبيقات التي تستخدمها، ولهذا من الأفضل أن لا تستخدم نفس مفتاح التشفير لكل شيء.
-
قم بعمل نسخ احتياطي لكل شيء
جعلت خدمات النسخ الاحتياطي للسحابة التجارية هذا الأمر أسهل من أي وقت مضى في تاريخ تقنية المعلومات، لذلك استفد من مزاياها واستخدمها.
قم بعملية النسخ الاحتياطي، ويفضل أن يكون ذلك لأكثر من موقع أو حتى باستخدام أكثر من خدمة نسخ احتياطي. يجب أن يكون أحد المواقع في السحابة وعلى الخوادم، بعيدًا عن موقعك الأساسي كما هو ممكن.
هذا هو السبب في أن البيانات يمكن أن تكون متاحة لسيناريو التعافي من الكوارث (DR) بالإضافة إلى حالات النسخ الاحتياطي النموذجية الخاصة بك، ولكن حتى إذا كانت البرامج الضارة موجودة على نظامك، فيجب أن تتمكن خدمة النسخ الاحتياطي من العثور عليها وإزالتها.
-
قائمة الاستعداد لحدوث اختراق
يجب أن تنشئ قائمة خاصة بالخطوات والموارد المتاحة لمواجهة الكوارث الأمنية، تبدأ بالتطبيقات التي تراقب والتي يمكنها أن تخبرك على هاتفك بحدوث نشاط غير معتاد، وتحديد المسؤولين أيضا الذين يمكنهم التوصل بنفس الإشعارات.
إلى جانب الخطوات المختلفة التي يجب القيام بها في هذه الحالة والخبراء والموارد المتاحة لمواجهة هذه الحالات بالطبع.
