أخطاء الأمن السيبراني التي ما زالت شركتك ترتكبها

كما أوضحت الانتهاكات الأخيرة والغرامات الرئيسية ذات الصلة التي فرضتها هيئة الأوراق المالية والبورصات، فإن الأمن السيبراني ليس شيئًا يمكن للمستشارين الماليين والمحاسبين تحمله لمعالجته مرة واحدة في نشرة السياسة، وعدم إعادة النظر فيه أبدًا.

في الواقع ، تستمر الخروقات في الحدوث وتستمر الأخطاء في الحدوث بسبب عدم الالتزام بسياسات الأمن السيبراني للشركات وبسبب نقص الرقابة وإنفاذ تلك السياسات. أصبح هذا أكثر صحة خلال العام الماضي أو نحو ذلك حيث قامت الشركات بتحويل العمليات والتطبيقات إلى البيئات القائمة على السحابة. لا يزال قطاع الخدمات المالية بعيدًا عن أن يصبح آمنًا عبر الإنترنت.

أعذر من أنذر. فيما يلي أكثر أخطاء الأمن السيبراني شيوعًا التي لا يزال يرتكبها المستشارون والمحاسبون.

 

سوء فهم السحابة

لا تزال المبالغة في تقدير الحماية التي توفرها تطبيقات السحابة والبرامج كخدمة (SaaS) خطأ رئيسيًا. توفر السحابة عمومًا أمانًا للبيانات والمستندات المخزنة بداخلها، ولكنها ليست حلاً للأمن السيبراني.

عند استخدام المعلومات خارج السحابة، لا توجد ضمانات يجب أن تهتم شركات المحاسبة بكيفية ومتى وأين يتم الوصول إلى المستندات والتطبيقات -بغض النظر عن مكان تخزينها. يمكن أن تعرض المعلومات التي يتم الوصول إليها وتنزيلها واستخدامها على أجهزة غير آمنة وغير مشفرة الشركة لقضايا الأمن السيبراني. 

 

وعي منخفض بالأمن السيبراني

تقوم الشركات الأخرى التي ترتكب أخطاء فادحة وهي افتراض أن الموظفين على اطلاع دائم على ماهية التهديدات السيبرانية وكيفية حماية الشركة منها. ما لم تعمل الشركات بنشاط لخلق ثقافة توعية بالأمن السيبراني، فلن يكون هذا هو الحال أبدًا. تتطور التهديدات الأمنية باستمرار مع زيادة تعقيد الجهات الفاعلة السيئة.

يمكن لمالك الشركة رفع مستوى الوعي بالأمن السيبراني في ثقافتهم الحالية من خلال تقديم القدوة من خلال التذكيرات اللفظية والمكتوبة والإلكترونية المستمرة. توفير وقت في اجتماعات الفريق لمعالجة هذه القضايا والنظر في جلب مستشارين خارجيين من مجموعات مثل Infosec أو KnowBe4 لتقديم إحاطات أو تدريب أو تحديثات في بعض الأحيان.

 

تطبيق متساهل للسياسات الأمنية

كما أوضحت لجنة الأوراق المالية والبورصات مع عقوباتها وغرامات جماعية بقيمة 750 ألف دولار ضد خدمات Cetera وCambridge وKMS المالية، فإن الأمن السيبراني لا يتعلق فقط بوضع سياسة شاملة، بل يتعلق بتطبيقها بدقة. عندما تسمح شركة ما بالوصول إلى البيانات باستخدام أي جهاز أو تطبيق غير آمن وغير محمي، فإنها تعرض نفسها لقضايا الأمن السيبراني الحقيقية.

على سبيل المثال، قد يكون لدى RIA نظام بريد إلكتروني مشفر ومحمي بكلمة مرور. ولكن بمجرد مزامنة البريد الإلكتروني للشركة مع جهاز غير محمي، يصبح البريد الإلكتروني غير آمن ومن المحتمل أن تتعرض الشركة بأكملها للبرامج الضارة وفيروسات التصيد الاحتيالي.

يجب أن تفكر الشركات اليوم في الأنظمة الأساسية الآمنة لإدارة الهوية التي تقلل الحاجة إلى كلمات المرور عن طريق استخدام تسجيل الدخول الأحادي مع المصادقة متعددة العوامل (MFA). في الواقع، يجب أن تكون حماية MFA وحماية الجهاز النهائي غير قابلة للتفاوض، لا سيما في بيئات العمل عن بُعد حيث يمكن للمستخدمين الوصول إلى بيانات الشركة والعميل من خلال الأجهزة الشخصية.

يحتاج مالكو الشركات إلى إبقاء إدارة الأمن السيبراني في المقدمة من خلال سؤال أنفسهم باستمرار، "أين البيانات؟" تذكر أن المشكلة لا تتعلق غالبًا بتخزين البيانات أو البريد الإلكتروني داخل الشركة. يمكن أن تحدث المخاطر المتزايدة عندما تترك المعلومات البيئة الآمنة وينتهي بها الأمر على أجهزة شخصية غير محمية، مثل أجهزة الكمبيوتر المحمولة والأجهزة اللوحية والهواتف المحمولة -وكلها عرضة لانتهاكات البيانات وهجمات الأمن السيبراني.

 

تتجاوز خدمة العملاء أمان العميل

من الطبيعي أن ترغب في مساعدة العملاء في الطلبات التي يبدو أنها تستحق استجابة فورية. لكن خدمة العملاء الممتازة تتضمن أيضًا سياسات تتحقق من صحة هذه الطلبات لضمان شرعيتها.

يجب أن يكون لدى المستشارين إجراءات للتحقق من صحة طلبات البريد الإلكتروني والهاتف للتحويلات البرقية ولتحديد هوية العملاء. على سبيل المثال، يمكن توجيه العميل الذي نسى تسجيل الدخول إلى حسابه لإعادة تسجيل نفسه والإجابة على أسئلة الأمان الخاصة به بدلاً من إعطائه مطالبة بكلمة مرور أو معلومات شخصية أخرى عبر الهاتف.

 

تفويض الأمن السيبراني / الإشراف على تكنولوجيا المعلومات للموظفين

هناك الكثير على المحك للاستمرار في تفويض الأمن السيبراني والإشراف على تكنولوجيا المعلومات بالكامل إلى الموظف الذي يعتبر خبير التكنولوجيا الافتراضي للشركة. تتزايد تعقيد تهديدات الأمن السيبراني، وتتطور البيئة التنظيمية أيضًا. في النهاية، تقع على عاتق صاحب العمل مسؤولية عندما يحدث خطأ ما.

يعمل وضع الضوابط والتوازنات على حماية مالك الشركة، فضلاً عن مراقبة كيفية تنفيذ سياسات وإجراءات تكنولوجيا المعلومات. يحتاج مالكو شركات المحاسبة أيضًا إلى معرفة وتوثيق من يقوم بتسجيل الدخول إلى ماذا ومتى وأين في حالة حدوث خرق للأمن السيبراني.

 

التقليل من ميزانية الأمن السيبراني

تتطلب إدارة الأمن السيبراني التزامًا بالوقت والموارد. لسوء الحظ، فإن العديد من المستشارين والمحاسبين يقصرون عند وضع الميزانية لذلك، مما يزيد من تعرض شركتهم لخرق محتمل. يحتاج مالكو الشركات إلى اعتبار الأمن السيبراني جزءًا من ميزانية إدارة المخاطر الأكبر لشركاتهم وكاستثمار في حماية العلامة التجارية وتجنب التكاليف. بالنسبة لأولئك الذين لديهم بعض الإجراءات الأمنية المعمول بها بالفعل، فإن القاعدة الأساسية الجيدة هي النظر في ميزانية تكنولوجيا المعلومات السنوية الخاصة بهم وإضافة 25٪ إضافية لحماية الأمن السيبراني، بالإضافة إلى التدريب المستمر وإدارة السياسات.

 

قراءة 572 مرات آخر تعديل في الأربعاء, 06 أكتوبر 2021 20:43

الموضوعات ذات الصلة

سجل الدخول لتتمكن من التعليق

 

في المحاسبين العرب، نتجاوز الأرقام لتقديم آخر الأخبار والتحليلات والمواد العلمية وفرص العمل للمحاسبين في الوطن العربي، وتعزيز مجتمع مستنير ومشارك في قطاع المحاسبة والمراجعة والضرائب.

النشرة البريدية

إشترك في قوائمنا البريدية ليصلك كل جديد و لتكون على إطلاع بكل جديد في عالم المحاسبة

X

محظور

جميع النصوص و الصور محمية بحقوق الملكية الفكرية و لا نسمح بالنسخ الغير مرخص

We use cookies to improve our website. By continuing to use this website, you are giving consent to cookies being used. More details…