سياسة الوصول عن بعد و تطويرها باستخدام ISO 27001

في عصر تكنولوجيا المعلومات القائمة على البيانات ، أصبحت إدارة وتأمين بياناتك / معلوماتك الجزء الأكثر تكاملاً في إدارة أعمالك. في المقالة أدناه ، سنأخذك عبر أفضل الممارسات التي يجب مراعاتها في سياسة الوصول عن بُعد المتوافقة مع ISO 27001 والتنفيذ الفعال لعناصر التحكم في أمن المعلومات.

سياسة الوصول عن بعد هي وثيقة مصممة لحماية شبكة الشركة من الوصول إليها خارجيًا. يساعد المؤسسات على تأمين بيانات الشركة والإشراف على المستخدمين الذين يقومون بتسجيل الدخول من مواقع غير آمنة مثل شبكاتهم المنزلية.

ما هي سياسة الوصول عن بعد؟
سياسة الوصول عن بعد هي وثيقة مصممة لحماية شبكة الشركة من الوصول الخارجي. هذا ملف مكتوب يحتوي على إرشادات للاتصال بشبكة الشركة من خارج المكتب.
يساعد المؤسسات على تأمين بيانات الشركة والإشراف على المستخدمين الذين يقومون بتسجيل الدخول من مواقع غير آمنة مثل شبكاتهم المنزلية.

التحديات التي تواجه ضوابط سياسة الوصول عن بعد
أصبح العمل عن بُعد ، أثناء العمل في رحلة عمل أو من منزلك ، شائعًا ومقبولًا على نطاق واسع من قبل الشركات الدولية بسبب العديد من عوامل توفير التكاليف والمرونة. يعد الوصول إلى البنية التحتية لتكنولوجيا المعلومات الخاصة بك عبر طرق مختلفة للوصول عن بُعد أمرًا جيدًا مثل الأشخاص الذين يجلسون فعليًا في شبكتك المتصلة ويصلون إلى البنية التحتية لتكنولوجيا المعلومات الخاصة بك.
تشير دراسة أجراها أحد مزودي خدمات مكاتب الخدمات في سويسرا إلى أن 70٪ من الأشخاص على مستوى العالم يعملون عن بُعد مرة واحدة على الأقل في الأسبوع ، وبالتالي فإن العمل عن بُعد أصبح أكثر شيوعًا من أي وقت مضى.
من خلال تنفيذ سياسة التحكم في العمل عن بعد ودعم التدابير الأمنية ذات الصلة ، يمكن تأمين وحماية المعلومات التي يتم الوصول إليها أو معالجتها أو تخزينها في مواقع العمل عن بُعد.

ما يجب مراعاته في سياسة الوصول عن بُعد ISO 27001 الخاصة بك

يجب أن يكون لدى أي كيان أو منظمة تسمح بالعمل عن بُعد سياسة وخطة تشغيلية وإجراء ينص على أن الشروط والقيود تتماشى مع القانون المعمول به والمسموح به. إليك ما يجب مراعاته في سياسة الوصول عن بُعد ISO 27001:

 يعد الأمن المادي لموقع العمل عن بُعد ، بما في ذلك المبنى والبيئة المحيطة به ، أول قضية واضحة للغاية يجب النظر فيها.
 لا ينبغي للمستخدمين أبدًا مشاركة معلومات تسجيل الدخول أو كلمة مرور البريد الإلكتروني الخاصة بهم مع أي شخص ، ولا حتى أفراد العائلة.
 يجب أن يتأكد المستخدمون أيضًا من عدم انتهاك أي من سياسات المؤسسة ، وعدم القيام بأي أنشطة غير قانونية ، وعدم استخدام الوصول لمصالح تجارية خارجية أثناء الوصول إلى شبكة الأعمال عن بُعد.
 كجزء من تكوين جهازك ، يجب تعطيل الوصول عن بعد غير المصرح به والاتصالات.
 تعريف المصنف وحساسيته وتصنيفه وضرورة الوصول إلى البيانات الداخلية أو النظام يجب أن يكون له ما يبرره.
 يجب تشفير البيانات المنقولة أثناء اتصال الوصول عن بعد ، ويجب أن يكون الوصول مصرحًا به من خلال مصادقة متعددة العوامل. يجب أن يمنع أيضًا تخزين ومعالجة البيانات التي يتم الوصول إليها.
 يجب أن تكون قدرات مستخدمي الوصول عن بعد محدودة من خلال السماح فقط بعمليات معينة للمستخدمين ، ويجب أن تكون هناك سياسة لإزالة السلطة والوصول ، إلى جانب إعادة المعدات عند إنهاء أنشطة العمل عن بعد أو لم تعد مطلوبة.
 يجب تسجيل كل اتصال من أجل الحفاظ على إمكانية التتبع في حالة وقوع حادث. يجب الاهتمام بالوصول غير المصرح به إلى هذه السجلات. يعزز التسجيل المضاد للتلاعب بجدار الحماية وأجهزة VPN من موثوقية مسار التدقيق.
 يعد عدم وجود نفق مقسم من أفضل الممارسات ، نظرًا لأن المستخدمين يتجاوزون مستوى الأمان على مستوى البوابة الذي قد يكون موجودًا داخل البنية التحتية للشركة.
 يجب أن تكون سياسة القبول والرفض في جدار الحماية جيدة التخطيط والتكوين.
 يجب تكوين وضع تشغيل جدار الحماية على أنه ذو حالة وليس عديم الحالة ، من أجل الحصول على السجلات الكاملة.

ما الغرض من سياسة الوصول عن بُعد ISO 27001؟

يعد الوصول عن بُعد إلى شبكة البنية التحتية لتكنولوجيا المعلومات الخاصة بشركتك أمرًا ضروريًا لتشغيل أعمالك وإنتاجية وحدة العمل. هناك مخاطر خارجية يجب التخفيف من حدتها بأفضل ما لديك من خلال تصميم سياسة وصول آمنة وتنفيذ ضوابط امتثال ISO. الغرض من سياسة الوصول عن بُعد ISO 27001 هو تحديد وتوضيح القواعد والمتطلبات للوصول إلى شبكة الشركة. يجب تحديد القواعد للتخلص من التعرض المحتمل بسبب الاستخدام غير المصرح به ، والذي قد يتسبب في فقدان البيانات الحساسة للشركة والملكية الفكرية ، وانبعاث الصورة العامة ، والتنازل عن الموارد. فيما يلي المبادئ التوجيهية لتحديد القواعد لإزالة التعرض المحتمل بسبب الاستخدام غير المصرح به:

 يجب تأمين الوصول عن بُعد والتحكم فيه بشكل صارم من خلال التشفير باستخدام جدران الحماية وشبكات 2FA الافتراضية الخاصة (VPN).
 إذا تم تطبيق سياسة إحضار جهازك الخاص (BYOD) من قبل الشركة ، فيجب أن يفي الجهاز المضيف بالمتطلبات على النحو المحدد في سياسة تكوين البرامج والأجهزة الخاصة بالشركة وتلك الخاصة بالمعدات المملوكة للمؤسسة للوصول عن بُعد.
 يجب تصحيح المضيفات المستخدمة للاتصال بشبكة الشركة بالكامل وتحديثها / دفعها باستخدام أحدث توقيع لمكافحة الفيروسات / البرامج الضارة.
 يجب تجنب Split VPN إذا سمحت السياسة بذلك ؛ على سبيل المثال ، يجب على المستخدمين الذين يتمتعون بامتيازات الوصول عن بُعد التأكد من أن أجهزتهم الشخصية أو التي توفرها مؤسستهم والمتصلة عن بُعد بشبكة الشركة ، لن تكون متصلة بشبكة أخرى في نفس الوقت.
 يجب أن يكون المستخدم مسؤولاً مسؤولية كاملة عن ضمان عدم انتهاك أي من سياسات المنظمة ، وأنه لا يقوم بأنشطة غير قانونية ، ولا يستخدم الوصول لمصالح تجارية خارجية أثناء الوصول إلى شبكة الشركة عن بُعد.
 تأكد من أن أكثر من جهاز تم توصيفه في وضع High Availability (HA) يمنعك من الاعتماد على نقطة فشل واحدة في الوصول عن بعد لشبكتك.

لماذا VPN؟ هل هو آمن؟

من أجل الوصول عن بُعد إلى الشبكة الداخلية الخاصة لشركتك من مضيفك ، يمكنك استخدام اتصالات الشبكة الافتراضية الخاصة (VPN). تقوم الشبكات الافتراضية الخاصة بنقل البيانات المنقولة بين المستخدم البعيد وشبكة الشركة بأمان ، للتأكد من أن البيانات والملفات التي ترسلها لا يمكن الوصول إليها إلا من قبل الطرفين.
على الرغم من أن الشبكات الافتراضية الخاصة مصممة للوصول بشكل آمن إلى شبكة مؤسستك باستخدام التشفير ، إلا أنه يجب اتباع إجراءات المصادقة الأخرى وأفضل الممارسات لتأمين نقل بياناتك بشكل أفضل. يعد الأمان المحسن ، والنفق من موقع إلى موقع ، وقيود الجلسة ، والمصادقة متعددة العوامل بعضًا من مزايا VPN.

تجنب المخاطر مع الضوابط الأمنية

منح موظفيك إمكانية العمل من أي مكان له مزايا لا تعد ولا تحصى ، ولكن يجب اتخاذ تدابير الحذر. هذا هو السبب في ضرورة تفسير الوصول عن بُعد إلى شبكة المؤسسة على أنه خطر ، وبالتالي هناك حاجة إلى وجود ضوابط مناسبة لها. لذلك ، يجب السماح به فقط في الحالات التي تتطلب ذلك ومع وجود ضوابط أمنية مناسبة تتطلبها ISO 27001.