نصائح كيفية منع الجرائم الإلكترونية للشركات الصغيرة والاحتيال

Advertisements

نصائح كيفية منع الجرائم الإلكترونية للشركات الصغيرة والاحتيال

 

لا يخفى على أحد أن كل الأعمال التجارية يجب أن تكون حذرة من الاحتيال والجرائم الإلكترونية ، بغض النظر عن حجمها أو صغرها وما هي الصناعة التي تشارك فيها. في الواقع

يخبرنا تقرير Symantec أن 43 بالمائة من الهجمات الإلكترونية التي تؤثر على الأعمال التجارية في جميع أنحاء العالم تستهدف في الواقع المؤسسات الصغيرة .

 

من الواضح أن أيام عبور الأصابع والأمل في ألا يحدث لك ذلك قد ولت. يحتاج أصحاب الأعمال إلى اتخاذ خطوات وقائية لوقف الخسائر الناتجة عن الاحتيال والجرائم الإلكترونية. لحسن الحظ ، هناك عدد من الإجراءات التي يمكنك اتخاذها لتأمين عملك ،

 

في هذا الدليل ، نناقش بعض المخاطر الرئيسية التي تواجه الشركات الصغيرة ونقدم توصيات لتأمين مؤسستك.

 

أنواع الجرائم الإلكترونية التي تؤثر على الشركات الصغيرة

تواجه الشركات الصغيرة العديد من المخاطر نفسها التي تواجهها المؤسسات الكبيرة. فيما يلي بعض أهم أنواع الاحتيال والجرائم الإلكترونية التي يجب أن تكون على دراية بها:

التصيد
برامج الفدية
أنواع أخرى من البرامج الضارة
هجمات DDoS
خروقات البيانات
الاحتيال في الحسابات الدائنة
الاحتيال في الائتمان
عمليات رد المبالغ المدفوعة
أنواع الاحتيال الأخرى
هجمات رجل في الوسط
الرسائل الخادعة للدعم الفني
السرقة الجسدية أو الهجمات

دعونا نلقي نظرة على كل من هؤلاء لمعرفة المخاطر:

 

التصيد

تستخدم مخططات التصيد الاحتيالي الهندسة الاجتماعية لإقناع الضحايا بتنفيذ نوع من الإجراءات أو تسليم المعلومات. قد يكون الاتصال عبر البريد الإلكتروني أو الرسائل النصية أو رسائل الوسائط الاجتماعية أو الهاتف. عادةً ما يتظاهر المحتال كشخص آخر ، على سبيل المثال ، ممثل شركة مرتبطة بالشركة أو موظف داخلي. غالبًا ما تكون هجمات التصيد الاحتيالي ضد الشركات هي هجمات “التصيد بالرمح”.

 

الاحتيال على الرئيس التنفيذي هو نوع من مخططات التصيد الاحتيالي حيث يتظاهر المهاجم بأنه مسؤول تنفيذي رفيع المستوى ، غالبًا لإقناع موظف بإرسال مبلغ كبير من المال. هناك أيضًا صيد الحيتان ، وهو نوع آخر من التصيد الذي يستهدف المديرين التنفيذيين أنفسهم. في بعض الحالات ، يكون المهاجمون قادرين على اختطاف حسابات بريد إلكتروني أصلية ، وهو أسلوب يسمى تسوية البريد الإلكتروني للأعمال (BEC).

 

يمكن أن يتم تنفيذ مخططات التصيد بعدد من الطرق المختلفة ، ولكنها عادة ما تتضمن المهاجم الذي يحاول جمع معلومات شخصية أو مالية أو إقناع الضحية بتسليم المال. على سبيل المثال ، قد ينتهي الأمر بالموظف في موقع تصيد حيث يقوم بإدخال بيانات اعتماد تسجيل الدخول إلى الحساب. أو يمكن خداعهم لتسليم تفاصيل العملاء (العديد من خروقات البيانات تنبع من هجمات التصيد) أو الأسرار التجارية أو المعلومات المالية للشركة. في حالات أخرى ، سيتم توجيه الموظفين لإرسال الأموال إلى حساب تبين أنه احتيالي.

 

وجدت Symantec أن المؤسسات الصغيرة تتلقى رسائل بريد إلكتروني ضارة بأكثر من ضعف معدل تلقي الشركات الكبيرة رسائل مماثلة.

 

برامج الفدية

برامج الفدية هي نوع من البرامج الضارة. يعمل عادةً عن طريق تشفير الملفات أو المجلدات واحتجازها كرهائن حتى يتم دفع فدية. عادةً ، سيرى الضحايا رسالة منبثقة على شاشتهم توضح ما حدث وحجم الرسوم وكيفية دفعها (غالبًا بالعملة المشفرة).

 

إحصائيات برامج الفدية.

تمثل الشركات الصغيرة والمتوسطة الحجم 62 بالمائة من هجمات برامج الفدية الضارة. ويخبرنا تقرير Datto أن برامج الفدية هي أكبر تهديد للبرامج الضارة للشركات الصغيرة والمتوسطة. يقول واحد من كل خمسة إنهم تعرضوا لهجوم برمجيات الفدية.

 

أنواع أخرى من البرامج الضارة

يمكن أن تشكل أنواع البرامج الضارة الأخرى مثل أحصنة طروادة والفيروسات وبرامج التجسس خطرًا على عملك أيضًا. يمكن أن تدخل البرامج الضارة إلى الأنظمة عبر مجموعة متنوعة من الوسائل بما في ذلك رسائل البريد الإلكتروني الضارة أو الإعلانات الضارة (الإعلانات الخبيثة) أو الأجهزة مثل القرص المصاب أو محرك الإبهام.

 

هجمات DDoS

في هجوم رفض الخدمة (DoS) ، تغمر أنظمة المؤسسة (الشبكات أو الخوادم) بحركة المرور. والنتيجة هي استنفاد النطاق الترددي والموارد وأن النظام غير قادر على التعامل مع الطلبات العادية (المشروعة). يتضمن هجوم رفض الخدمة الموزع (DDoS) العديد من الأجهزة المخترقة – شبكة الروبوتات – التي تجمع بين القوى للتغلب على النظام المستهدف.

 

خروقات البيانات

يحدث خرق البيانات عندما يضع شخص ما يديه على معلومات كان يجب أن تكون آمنة. هناك مجموعة واسعة من أسباب خروقات البيانات ، بما في ذلك التصيد الاحتيالي والقرصنة والتهيئة الخاطئة وإساءة استخدام الامتيازات. يخبرنا تقرير صادر عن شركة Verizon أن 30 بالمائة من الانتهاكات تشمل جهات فاعلة داخلية.

 

وفقًا لشركة Verizon ، فإن أكثر من ربع (28 بالمائة) من خروقات البيانات تؤثر على الشركات الصغيرة. علاوة على ذلك ، تؤدي انتهاكات البيانات إلى ارتفاع التكاليف لكل موظف للشركات الأصغر مقارنة بالمؤسسات الكبيرة. تخسر الشركات الصغيرة عادةً 3533 دولارًا لكل موظف بينما تخسر الشركات الكبيرة 204 دولارات لكل موظف.

 

يمكن أن يكون لانتهاكات البيانات آثار خطيرة على المدى القصير والطويل على الشركات مثل الدخل المفقود والغرامات والسمعة التالفة.

 

الاحتيال في الحسابات الدائنة

عمليات الخداع المتعلقة بحسابات الدفع هي تلك التي تتضمن مدفوعات صادرة للشركة. هناك العديد من أنواع الاحتيال الداخلي والخارجي للحسابات الدائنة ، بما في ذلك مخططات الفوترة (مثل الفواتير الزائفة أو البائعين المزيفين) ، والاحتيال في كشوف المرتبات ، والاحتيال على الشيكات ، والاحتيال الآلي للمقاصة (ACH) ، والمصروفات

 

 

وجد أحد التقارير أن 14 بالمائة من عمليات الاحتيال المهني تشمل إدارات حسابات الدفع. تستمر حالات الاحتيال في المتوسط ​​لمدة 14 شهرًا وتؤدي إلى خسارة متوسطة قدرها 8300 دولار شهريًا. يمكن أن تستمر العديد من هذه المخططات سنوات دون أن يلاحظها أحد.

 

وفقًا للتقرير ، من المرجح أن تكون المؤسسات الصغيرة أهدافًا للاحتيال في الفواتير وكشوف المرتبات بمقدار الضعف مقارنة بالشركات الكبرى. هم أكثر عرضة أربع مرات للمشاركة في الشيكات والعبث في الدفع.

 

أنواع الاحتيال حسب حجم العمل.

المصدر: ACFE

الاحتيال في الائتمان

نوع آخر من الاحتيال يؤثر على كل من الأفراد والشركات هو الاحتيال الائتماني. هذا هو المكان الذي يستخدم فيه المحتال الوضع الائتماني لشخص أو شركة للتقدم بطلب للحصول على بطاقات الائتمان أو للحصول على قروض. غالبًا ما تظل هذه الأنواع من المخططات غير مكتشفة لسنوات. هذا شكل من أشكال سرقة الهوية وهو شائع للأسف. تخسر الشركات الأمريكية المليارات بسبب الاحتيال وسرقة الهوية كل عام.

 

عمليات رد المبالغ المدفوعة

يحدث رد المبالغ المدفوعة عندما يتصل العميل بالمصرف الذي يتعامل معه لاسترداد المبلغ المدفوع. غالبًا ما يكون هذا على حساب التاجر وفي كثير من الحالات ، لا يتم إرجاع المنتج. غالبًا ما تكون عمليات رد المبالغ المدفوعة مشروعة ، على سبيل المثال ، إذا أرسل التاجر المنتج الخاطئ أو المعيب لكنه رفض اتخاذ أي إجراء.

 

ومع ذلك ، غالبًا ما يتم إساءة استخدام عمليات رد المبالغ المدفوعة. يحدث هذا في حالة عدم وجود مشكلة في العنصر (أو الخدمة) ولكن العميل يطلب رد المبالغ المدفوعة ويحتفظ بالعنصر. حالات أخرى تشمل بطاقات الائتمان المسروقة. يرى Allen Watson من Spy Guy هذا الموقف كثيرًا حيث يتم استخدام بطاقة ائتمان مسروقة لشراء البضائع. يقوم حامل البطاقة الأصلي بعد ذلك بتقديم طلب شرعي لاسترداد المبالغ المدفوعة ولكن التاجر غالبًا ما يكون هو الشخص الذي يخسر.

 

أنواع الاحتيال الأخرى

بينما يغطي الاحتيال في الحسابات الدائنة العديد من أنواع الاحتيال الأكثر شيوعًا التي تؤثر على الشركات الصغيرة ، إلا أن هناك الكثير من المخططات الأخرى التي يجب البحث عنها. وتشمل هذه مخططات العملات المزيفة ، وعمليات الخداع المرتجعة ، وتعويضات العمال ، والاحتيال الإلكتروني ، والاحتيال على بطاقات الخصم والائتمان ، والاحتيال على الحساب الجديد ، والمزيد.

 

هجمات Man-in-the-Middle (MitM)

يتضمن هجوم MitM مهاجمًا يتنصت على اتصالات المنظمة. الهدف عادة هو سرقة البيانات أو محاولة تصفيتها أو تغييرها. على سبيل المثال ، يمكن استخدام هجوم MitM لسرقة معلومات تسجيل الدخول أو البيانات الشخصية أو المالية أو التجسس على الضحايا أو البيانات الفاسدة أو إعادة توجيه الأموال.

 

عادة ما تتضمن هجمات MitM متسللًا يعترض حركة مرور شبكة نشاط تجاري. قد يعرضون للخطر موجه wi-fi للمكتب أو اتصالات VPN للموظفين ، على سبيل المثال.

 

الرسائل الخادعة للدعم الفني

غالبًا ما تستهدف مخططات الدعم الفني الأفراد ولكنها يمكن أن تؤثر على الأعمال أيضًا. في هذا المخطط ، سيتظاهر المحتال بأنه فني كمبيوتر ، عادةً عبر الهاتف. سيستخدمون أساليب الهندسة الاجتماعية لإقناع الضحية (موظف شركة) بتسليم معلومات الشركة أو السماح بالتحكم عن بعد في كمبيوتر الشركة أو أي جهاز آخر.

 

السرقة الجسدية أو الهجمات

بالطبع ، السرقة الجسدية دائمًا ما تكون مخاطرة. في هذه الأيام ، يمكننا الاحتفاظ بقيمة معلومات الشركة على محرك أقراص محمول ، مما يجعل من السهل للغاية أن تقع هذه البيانات في الأيدي الخطأ.

قد يكون للمجرمين مصلحة في سرقة مجموعة من الأجهزة مثل أجهزة الكمبيوتر أو الأقراص أو أقراص USB أو محركات الأقراص الثابتة أو غيرها من الأجهزة التي قد تحتوي على معلومات حساسة. قد يحاولون حتى الوصول الفعلي إلى جهاز لتثبيت برامج ضارة مثل برامج التجسس.

 

قد تستهدف الهجمات الجسدية الأخرى مركبات الشركة ، على سبيل المثال ، لتثبيت جهاز تتبع GPS.

 

كيفية منع الاحتيال والأنواع الأخرى من الجرائم الإلكترونية

بعد القراءة عن التهديدات ، قد تكون قلقًا جدًا. ومع ذلك ، هناك الكثير من الخطوات التي يمكنك اتخاذها لتأمين عملك. هناك الكثير من أدوات الخصوصية والأمان المتاحة لمساعدة الشركات الصغيرة ، مع خيارات تناسب مجموعة واسعة من الميزانيات.

فيما يلي بعض الطرق التي يمكنك من خلالها المساعدة في حماية عملك من الجرائم الإلكترونية:

استثمر في الموظفين والتدريب
تدرب على نظافة كلمات المرور بشكل جيد
استخدم جدار حماية قويًا وبرامج مكافحة فيروسات
استخدم VPN
حافظ على تحديث البرنامج
اتخاذ تدابير لمكافحة الغش
قم بإجراء اختبارات الاختراق
تشفير البريد الإلكتروني والرسائل
تنفيذ HTTPS
نسخ إحتياطي للبيانات
استخدم إدارة الجهاز المحمول
ضع في اعتبارك سطح مكتب افتراضي مستضاف
تنفيذ أدوات التحكم في الوصول إلى الشبكة
استخدم برنامج منع فقدان البيانات
تشديد الأمن المادي
ضع في اعتبارك التأمين الإلكتروني

أدناه سوف ندرس كل من هذه بمزيد من التفصيل:

 

1. الاستثمار في الموظفين والتدريب

من أهم الخطوات التي يجب اتخاذها لتأمين عملك خلق ثقافة للوعي الأمني. يمكن أن تؤدي الأخطاء مثل التهيئة الخاطئة للبرامج أو الوقوع في مخططات التصيد الاحتيالي إلى خسائر فادحة. يعد تثقيف الموظفين حول الأمن من أهم أولويات الوقاية من الجرائم الإلكترونية. وهذا يعني وجود البروتوكولات المناسبة والتأكد من تدريب الموظفين بشكل صحيح. قد يعني ذلك أيضًا تعيين موظفين إضافيين لديهم خبرة في الأمن السيبراني لقيادة المبادرات.

 

تحتاج أيضًا إلى التأكد من شعور الموظفين بالراحة عند تقديم المعلومات ذات الصلة.

 

تتضمن الجرائم الإلكترونية ، بما في ذلك العديد من خروقات البيانات وحالات الاحتيال ، إجراءات مقصودة من قبل جهات فاعلة داخلية. وتخبرنا مجلة هارفارد بيزنس ريفيو أن الموظفين هم الأفضل في مكافحة الاحتيال. من المهم تعزيز ثقافة يشعر فيها المبلغون عن المخالفات بالأمان. يمكنك حتى التفكير في حماية الوظائف والمكافآت للموظفين الذين يقدمون المعلومات.

 

تُظهر الإحصائيات الواردة في تقرير ACFE قيمة تدريب الموظفين وسبل إعداد التقارير. تم الكشف عن 43 في المائة من المخططات نتيجة إكرامية ، نصفها جاء من الموظفين. في 33 بالمائة من الحالات ، استخدم المبلغون عن المخالفات بريدًا إلكترونيًا أو خطًا هاتفيًا ساخنًا. كان الموظفون الحاصلون على تدريب على الوعي بالاحتيال أكثر عرضة لإرسال النصائح عبر آلية إبلاغ رسمية.

 

احصائيات المبلغين عن المخالفات ACFE.

 

يمكن تجنب بعض الجرائم الإلكترونية الداخلية من خلال تحسين عملية التوظيف. تأكد من إجراء فحوصات الخلفية (بما في ذلك تدقيق وسائل التواصل الاجتماعي) على جميع الموظفين المحتملين وفكر في طلب تقرير ائتماني ليتم تشغيله على التعيينات الجديدة.

 

2. تدرب على نظافة كلمات المرور بشكل جيد

يعد استخدام كلمات مرور قوية أمرًا حيويًا للأفراد والشركات على حدٍ سواء. من المهم أن يستخدم الموظفون كلمة مرور مختلفة قوية وفريدة لكل حساب. يمكن لأصحاب الأعمال تشجيع استخدام كلمات مرور قوية من خلال تزويد الموظفين بمدير كلمات مرور مثل Dashlane أو LastPass. ستخزن هذه كلمات المرور بأمان وتعبئتها تلقائيًا بحيث يتعين على المستخدم فقط تذكر كلمة مرور رئيسية واحدة.

 

لمزيد من الأمان للحساب ، يمكنك استخدام المصادقة الثنائية (2FA) أو التحقق من خطوتين (2SV) حيثما كان ذلك متاحًا. تضيف هذه خطوة إضافية إلى عملية تسجيل الدخول ، على سبيل المثال ، رسالة نصية قصيرة أو رمز بريد إلكتروني أو مصادقة بيومترية أو مفتاح USB (مثل YubiKey).

 

المجالات الأخرى التي قد تحتاج إلى الاهتمام هي حسابات وسائل التواصل الاجتماعي وأدوات التعاون عبر الإنترنت. يتم استخدام هذه المنصات بشكل متزايد لأداء واجبات العمل ، ولكن يمكن استخدامها أيضًا في الأنشطة الشخصية. من المهم أن يكون الموظفون واضحين بشأن ممارسات الخصوصية والأمان التي يجب عليهم الحفاظ عليها على أي نظام أساسي يستخدم لمهام العمل أو لمناقشة أنشطة العمل. على سبيل المثال ، قد يلزم تعديل إعدادات الخصوصية على الأنظمة الأساسية الاجتماعية وقد يكون من المستحسن إنشاء حسابات منفصلة للأنشطة الشخصية وأنشطة العمل.

 

3. استخدام جدار حماية قوي وبرامج مكافحة فيروسات

يوفر جدار الحماية طبقة دفاع أولية لأنظمتك من خلال مراقبة حركة المرور المتدفقة داخل وخارج المنافذ. برامج جدران الحماية هي تلك التي عادةً ما تكون مضمنة في نظام تشغيل الجهاز بينما قد توجد جدران حماية الأجهزة في جهاز التوجيه الخاص بك. إذا كنت تعتمد على هذه ، فمن المهم التأكد من تمكينها.

 

إذا لم يكن لديك جدار حماية مدمج أو كنت تريد حماية إضافية ، فهناك جدران حماية متاحة لجهات خارجية. تتراوح هذه الأسعار مع الكثير من الخيارات المجانية والمدفوعة المتاحة.

 

سيوفر برنامج مكافحة الفيروسات القوي طبقة أخرى من الدفاع وعادة ما يستحق الدفع مقابل ذلك. سيكتشف برنامج مكافحة الفيروسات التهديدات المعروفة وقد يكون قادرًا على إزالتها من نظامك. مرة أخرى ، هناك الكثير من أدوات مكافحة الفيروسات عالية الجودة المتاحة.

 

4. استخدم VPN

يمكن أن تلعب VPN دورًا مهمًا في الحفاظ على أمان شبكتك من خلال حماية البيانات أثناء النقل. تقوم VPN بتشفير جميع المعلومات التي تنتقل من وإلى شبكتك مما يساعد على حمايتها من المتلصصين.

 

يمكن لشبكات VPN تمكين الموظفين من الوصول الآمن إلى الإنترنت وأيضًا الاتصال بخادم الشركة للوصول بأمان إلى موارد الشركة مثل المجلدات والتطبيقات المشتركة.

 

هناك عدد من الخيارات لشبكات VPN للأعمال ، مع الإعداد الأمثل اعتمادًا على مواردك وهيكل عملك. حتى أن هناك أدوات مجانية متاحة ، مثل OpenVPN ، لذلك مع المعرفة الصحيحة ، يمكن أن يكون إعداد واحد رخيصًا.

 

تقوم معظم الشركات الكبيرة بتشغيل VPN الخاصة بها. ومع ذلك ، تفتقر معظم الشركات الصغيرة إلى الخبرة والموارد في مجال تكنولوجيا المعلومات لجعل هذا خيارًا فعالاً وسيكون من الأفضل التسجيل مع مزود VPN للأعمال. يمكنك التحقق من قائمتنا لأفضل شبكات VPN للشركات الصغيرة للحصول على معلومات حول أفضل مزودي الخدمة.

 

محيط 81

يعد Perimeter 81 خيارًا قويًا لشبكة VPN للأعمال.

قد تختار الشركات التي لديها مواقع متعددة شبكة VPN من موقع إلى موقع. يتوفر برنامج مفتوح المصدر لإعداد هذه البرامج ، ولكن مرة أخرى ، يمكن أن تكون معقدة للغاية. يُعد مقدمو الخدمات مثل Palo Alto و Cisco خيارات شائعة للحلول المدفوعة ولكن يمكن أن تكون باهظة الثمن.

 

5. حافظ على البرنامج محدثًا

يعد تحديث البرامج أمرًا بالغ الأهمية للأمان. يمكن للمجرمين الإلكترونيين استغلال الثغرات الأمنية في البرامج الذين يستخدمونها للوصول إلى الأنظمة أو تثبيت البرامج الضارة. تتضمن التحديثات عادةً تصحيحات للعيوب المعروفة ، لذا من المهم أن تثبتها بعد إصدارها بفترة وجيزة.

 

90 في المائة من تطبيقات الويب عرضة لهجمات المتسللين ، لكن 80 في المائة من الهجمات تستخدم ثغرات تبلغ عامين أو أكثر ، لذا فإن تثبيت التحديثات يمكن أن يقلل المخاطر بشكل كبير.

 

6. وضع تدابير لمكافحة الغش

غالبًا ما يكون من الصعب جدًا اكتشاف النشاط الاحتيالي. يحتاج أصحاب الأعمال والموظفون إلى تعلم العلامات التي يجب البحث عنها للكشف عن المعلومات الداخلية والاحتيال الخارجي. قد يكون من الصعب بشكل خاص اكتشاف سرقة الموظفين ، ولكن العلامات الشائعة التي تشير إلى حدوث احتيال في الحسابات المستحقة الدفع تشمل الشيكات المفقودة والموظفين الذين يتدفقون فجأة بالنقود.

 

لا يمكن أن يساعد وجود السياسات والعمليات الصحيحة في الكشف عن الاحتيال فحسب ، بل يمنعه أيضًا من الحدوث في المقام الأول. بعض الاقتراحات هي:

 

مراقبة الشيكات المسروقة

تأكد من التحقق من البائعين الجدد وتغييرات المعلومات
إجراء عمليات تدقيق داخلية وخارجية غير مقررة
استخدم تقنية الكشف عن الاحتيال الآلي
استخدام برامج مراقبة الموظفين

اطلب من أكثر من موظف التعامل مع المهام الحساسة مثل تفاصيل الفاتورة وكشوف المرتبات والودائع وتسوية البيانات

تدريب الموظفين على اكتشاف رسائل البريد الإلكتروني والرسائل الضارة التي قد تكون جزءًا من مخططات الاحتيال
ضع تنبيه احتيال في تقرير الائتمان التجاري الخاص بك

تحقق من عمليات رد المبالغ المدفوعة وفكر في استخدام برنامج إدارة عمليات رد المبالغ المدفوعة
ستعتمد الاستراتيجيات التي تنفذها على حجم وطبيعة عملك وكيف يتم التعامل مع المهام الفردية عادة. مرة أخرى ، تعد ثقافة الوعي والطريق الآمن لتقارير الموظفين أمرًا بالغ الأهمية.

 

7. إجراء اختبارات الاختراق

من الجيد دائمًا أن يكون لديك معيار يوضح لك المجالات الرئيسية التي يمكن من خلالها تحسين ممارساتك الأمنية. يقيم اختبار الاختراق تطبيقاتك وأنظمتك وشبكتك ليخبرك بالضبط أين تكمن عيوب الأمان لديك. سيخبرك الاختبار المستمر بعد ذلك بمدى تحسنك وما الذي لا تزال بحاجة إلى العمل عليه.

 

هناك عدة طرق يمكنك اتباعها لإجراء اختبار الاختراق. إذا كان لديك أفراد أمن معلومات داخليون ، فيجب أن يكونوا قادرين على إعداد أدوات الاختبار لك. ستستفيد معظم الشركات من استخدام أطراف ثالثة لاختبار الاختراق. يقدم البعض عمليات محاكاة واختبارات مفاجئة مستمرة حتى تتمكن من مراقبة تعرضك باستمرار لتهديدات مثل التصيد الاحتيالي والبرامج الضارة وغير ذلك. سيقدم الكثيرون برامج تدريب للموظفين مصممة وفقًا لنتائج الاختبار.

 

عادة لا يكون اختبار الاختراق رخيصًا ، ولكن هناك حلول تناسب مجموعة من الميزانيات.

 

8. تشفير البريد الإلكتروني والرسائل

إذا كنت قلقًا بشأن اعتراض الرسائل ، فقد ترغب في النظر في طرق مختلفة لتشفير البريد الإلكتروني. هناك عدد قليل من الخيارات المتاحة تتراوح من عملاء البريد الإلكتروني المستندة إلى الويب سهل الاستخدام مثل Hushmail إلى إعدادات التشفير الأكثر تعقيدًا التي تتضمن أزواج المفاتيح والشهادات.

 

 

إذا كان الموظفون أو العملاء يميلون إلى التواصل عبر تطبيقات المراسلة ، ففكر في التطبيقات الأكثر أمانًا وما إذا كانت إعداداتهم تُستخدم بشكل مناسب. على سبيل المثال ، يقدم Telegram التشفير من طرف إلى طرف كخيار ، لكن Signal يستخدمه افتراضيًا.

 

من المهم مواكبة آخر التغييرات في سياسات الخصوصية لهذه التطبيقات أيضًا. على سبيل المثال ، تتغير سياسة خصوصية WhatsApp فيما يتعلق باتصالات الأعمال ، لذلك قد يؤثر ذلك في قرارك بشأن أفضل تطبيق مراسلة يمكنك استخدامه.

 

9. تنفيذ HTTPS

تقوم العديد من الشركات بإعداد موقع ويب دون التفكير في الأمان مرة أخرى. يؤدي تطبيق HTTPS على موقعك إلى حماية المعلومات التي يتم إرسالها بين مواقعك وزوارها ، مما قد يساعد في منع هجمات MitM والتطفل من قِبل مزودي خدمة الإنترنت. كما يشير للعملاء إلى أنك تقدر الأمان وخصوصية البيانات.

يتضمن إعداد HTTPS الحصول على شهادة SSL ؛ هذا يبدو معقدًا بعض الشيء لكن العملية برمتها في الواقع بسيطة للغاية.

 

10. بيانات النسخ الاحتياطي

هل لديك نسخة واحدة فقط من بياناتك؟ إذا تم تخزين جميع بيانات عملك على جهاز كمبيوتر أو محرك أقراص ثابت ، فهناك دائمًا خطر محوها أو تلفها أو فقدها أو سرقتها أو تلفها جسديًا ، على سبيل المثال ، بسبب فيضان أو حريق.

 

كإجراء وقائي ، من الجيد أن يكون لديك نسختان على الأقل من جميع البيانات المهمة. النسخ الاحتياطية المنتظمة هي أفضل طريقة للقيام بذلك. يمكنك اختيار استخدام نظام نسخ احتياطي سحابي أو قد تفضل النسخ الاحتياطية للأجهزة. فقط تذكر أنه إذا اخترت الخيار الأخير ، فيجب تخزين النسخ الاحتياطية في مكان منفصل عن الأصل. بهذه الطريقة ، إذا تعرض أحدهما للسرقة أو التلف ، فمن غير المرجح أن يتعرض الآخر أيضًا.

 

تحظى الأنظمة السحابية بشعبية متزايدة لأنها تجعل من السهل إعداد النسخ الاحتياطية التلقائية والحفاظ على أمان معلوماتك. لا يتعين على خدمات النسخ الاحتياطي أن تكسر البنك ، على الرغم من أن الأدوات المجانية تمامًا تميل إلى توفير مساحة تخزين محدودة للغاية.

 

تقوم معظم خدمات التخزين والنسخ الاحتياطي السحابي بتشفير معلوماتك افتراضيًا ، ولكن قد تكون أكثر حذرًا بشأن ملفات أو مجلدات معينة. في هذه الحالة ، يمكنك إضافة طبقة أخرى من التشفير مع خدمة مثل nCrypted Cloud أو Encrypto.

 

تشفير الصفحة الرئيسية.

 

11. استخدام إدارة الجهاز المحمول

أصبحت إدارة الأجهزة المحمولة (MDM) موضوعًا ساخنًا بشكل متزايد ، خاصة أثناء الوباء عندما كان العديد من الموظفين يعملون عن بُعد. يمكّنك MDM من إدارة الأجهزة بشكل فعال عن بعد.

قد تتضمن ميزات أدوات MDM ما يلي:

 

أدوات التتبع والقفل والمسح
لوحة تحكم لأجهزة المراقبة
عرض مفصل للتطبيقات المثبتة
جهاز التحكم عن بعد لاستكشاف الأخطاء وإصلاحها
السياسة والتقييد على التكوين والإدارة
نشر التطبيقات والتحديثات الجديدة
ستعتمد الوظيفة الدقيقة على الأداة التي تختارها ، لذا من المفيد مقارنة مقدمي الخدمة المختلفين بعناية قبل تحديد الخيار المناسب لاحتياجاتك.

 

12. ضع في اعتبارك سطح مكتب افتراضي مستضاف

هناك أداة أخرى يمكنك استخدامها لحماية أنظمتك من مخاطر معينة وهي Hosted Virtual Desktop (HVD) مثل Amazon WorkSpaces (AWS). يُطلق عليه أيضًا سطح المكتب كخدمة (DaaS) أو سطح المكتب المستضاف الافتراضي (VHD) ، يضع HVD سطح مكتب الكمبيوتر (بما في ذلك نظام التشغيل والتطبيقات الأخرى) في السحابة ، مما يتيح الوصول من أي مكان.

 

هذا له فوائد عملية من حيث أنك لست مضطرًا إلى تثبيت البرامج على العديد من الأجهزة ويمكن مشاركة الموارد بسهولة بين الموظفين. إنه مفيد بشكل خاص من منظور الأمان لأنه يتجنب التهديدات على مستوى الجهاز ، مثل المخاطر المتعلقة باتصالات wifi ومحركات الأقراص ومنافذ USB والكاميرات.

 

13. تنفيذ أدوات التحكم في الوصول إلى الشبكة

يعد التحكم في الوصول جزءًا مهمًا من أمان الشبكة ، ولكن من الصعب إدارته. أحد الأساليب الشائعة هو الامتياز الأقل ، حيث يتمكن الموظفون من الوصول إلى الحد الأدنى من المعلومات والأدوات التي يحتاجونها لأداء واجباتهم.

 

هذا مهم بشكل خاص عندما يكون لديك موظفين في برنامج إحضار جهازك الخاص (BYOD) أو العمل عن بعد. يمكن أن تساعدك أدوات التحكم في الوصول إلى الشبكة (NAC) في التحكم في من يمكنه الوصول إلى ماذا. حتى أنها تمكّنك من تحديد المكان والوقت الذي يمكن للموظفين فيه الوصول إلى تطبيقات أو بيانات محددة.

 

14. استخدم برنامج منع فقدان البيانات

لا يمكن تجنب الخطأ البشري ، ولكن يمكنك التخفيف من تأثير الأخطاء على عملك. يمكّنك برنامج منع فقدان البيانات (DLP) من تطبيق القواعد على البيانات حتى لا يتمكن الموظفون من مشاركتها ، عن طريق الخطأ أو عن قصد. على سبيل المثال ، يمكنك تطبيق عوامل التصفية لمنع الموظفين من إرسال بريد إلكتروني يحتوي على كلمة رئيسية معينة أو منع مشاركة ملفات معينة.

 

15. تشديد الأمن المادي

للأمن الرقمي أهمية كبيرة ، ولكن عليك أيضًا التأكد من أنك لا تدع الأمان المادي ينزلق. يمكن أن تؤدي الأجهزة المفقودة أو المسروقة أو التالفة إلى حدوث مشكلات كبيرة للشركة.

 

يعد تشفير القرص بالكامل فكرة جيدة لحماية المعلومات المخزنة على جهاز فعلي ، وهو مهم بشكل خاص لأجهزة الكمبيوتر المحمولة التي يمكن استخدامها في الأماكن العامة والتي تتم سرقتها بسهولة. يمكنك أيضًا استخدام الأقفال المادية لمنع أي شخص من تمرير الكمبيوتر المحمول أو الجهاز اللوحي في المقام الأول. على سبيل المثال ، تقدم Kensington مجموعة من الحلول لأنواع أجهزة متعددة.

 

أقفال كينسينجتون.

 

شيء آخر يمكنك القيام به لتأمين الأجهزة في حالة الضياع أو السرقة هو تمكين برنامج المسح عن بُعد. على سبيل المثال ، يمكن لمستخدمي iOS تمكين Find My iPhone ويمكن لمستخدمي Android تثبيت Find My Device.

 

يمكن أن تساعدك هذه الأدوات في تحديد موقع الجهاز المفقود أو المسروق وتمكنك من قفل الجهاز أو مسحه عن بُعد. يحتوي MacOS على خيار تطبيق مشابه ويمكنك العثور على أدوات المسح عن بُعد لأجهزة الكمبيوتر التي تعمل بنظام Windows. توفر العديد من أدوات MDM المذكورة أعلاه هذه الإمكانات أيضًا.

 

يجب عليك أيضًا الإبلاغ عن أي أجهزة مفقودة أو مسروقة للشرطة. عادة ما تكون هناك فرصة ضئيلة لاستعادتها ، لكنها أفضل من عدم وجود فرصة على الإطلاق. بالإضافة إلى أنك ستحتاج على الأرجح إلى الإبلاغ عن الفقد أو السرقة لأغراض التأمين.

 

16. النظر في التأمين الإلكتروني

بالحديث عن التأمين ، هل لديك تأمين إلكتروني مدرج في تغطيتك؟ كان هذا موجودًا منذ بعض الوقت ، ولكن في أعقاب الاختراقات الجماعية للبيانات وهجمات برامج الفدية باهظة الثمن ، أصبح من الشائع جدًا بالنسبة لمقدمي خدمات التأمين تجميعها مع حزم تأمين الأعمال.

 

عادةً ما يغطيك التأمين على الإنترنت ضد الأضرار المالية التي تسببها أشياء مثل الفيروسات والبرامج الضارة الأخرى وفقدان البيانات والسرقة وتلف الشبكة. من الناحية المثالية

يجب على الشركات تقييم مخاطرها من أنواع مختلفة من الهجمات وأن يكون لديها بوليصة تأمين إلكتروني مصممة خصيصًا لتلك المخاطر. لاحظ أنك لست مضطرًا للذهاب مع نفس المزود الذي يتعامل مع تأمين العمل القياسي الخاص بك ويجب عليك التسوق ومقارنة العروض المختلفة.