كيف يمكن لرؤساء تقنية المعلومات تعزيز الوعي الأمني المستند إلى الهوية
هذه المقالة جزء من إصدار خاص لـ VB. اقرأ السلسلة الكاملة هنا: أجندة CIO: خارطة طريق 2023 لقادة تكنولوجيا المعلومات.
من أكثر التحديات المستمرة التي يواجهها مدراء المعلومات تحفيز الموظفين ليكونوا أكثر اتساقًا في تأمين أجهزتهم وأجهزة الكمبيوتر المحمولة والهواتف والأجهزة اللوحية الخاصة بالشركة. نظرًا لأن كلمات المرور تثبت بشكل متزايد أنها غير كافية في حماية حسابات وموارد المؤسسة ، فإن الرؤساء التنفيذيين للمعلومات يقومون بتتبع تسجيل الدخول الفردي السريع (SSO) والمصادقة متعددة العوامل (MFA) والوصول التكيفي والمصادقة بدون كلمة مرور لتأمين الحسابات والشبكات. لقد وجدوا أن الابتكار يبيع الوعي الأمني بشكل أكثر فعالية من مجرد طلب الامتثال.
ومع ذلك ، فإن زيادة الوعي الأمني عبر المؤسسة مهمة شاقة. يخبر مدراء أمن المعلومات VentureBeat أن تحقيق معدل اعتماد قوي على أسلوب العائالت المتعددة MFA هو المفتاح للاحتفاظ بميزانيات الأمان الخالية من الثقة وتنميتها. تعتبر واحدة من أسرع المكاسب التي يمكن أن يحصل عليها رئيس قسم المعلومات و CISO للدفاع ، ثم زيادة ميزانياتهم.
يخبر مدراء المعلومات أيضًا VentureBeat أن زيادة الوعي الأمني بتقنيات وأدوات إدارة الهوية المتقدمة – بما في ذلك SSO و MFA والقياسات الحيوية ومجموعة متنوعة من تقنيات المصادقة بدون كلمة مرور التي جربوها – تحرز تقدمًا. الهدف هو حماية كل نقطة نهاية وهوية عبر شبكة الشركة ، مع التركيز على العاملين الهجين الذين يستخدمون أجهزتهم الخاصة.
بناء الوعي الأمني مع انعدام الثقة
لا يستطيع مدراء المعلومات وفرق تكنولوجيا المعلومات الخاصة بهم قضاء الكثير من الوقت في نشر وإدارة أنظمة إدارة هوية معقدة متعددة مع سجلات تتبع غير متسقة. حاولت فرق تكنولوجيا المعلومات والأمن على مدار سنوات زيادة معدل اعتماد أنظمة التحقق من الهوية وكلمة المرور القديمة وصعبة الاستخدام ، ولكنها لم تنجح بعد.
حدث
قمة أمنية ذكية عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
مع المزيد من التمويل لمبادرات انعدام الثقة ودعم ميزانية التدريب والتطوير ، يطلق مدراء تقنية المعلومات حملات توعية تركز على فوائد أمان الثقة الصفرية للموظفين على المستويين الشخصي والمهني.
يساعد إظهار كيف أن هوياتهم هي محيط الأمان الجديد. أحد الموضوعات الأولى التي يغطيها مدراء المعلومات في برامج التوعية الأمنية الخاصة بهم هو مدى أهمية الحصول على أمان انعدام الثقة على المستوى الشخصي. يؤكد التدريب على حقيقة أن المهاجمين يريدون سرقة الهويات الشخصية لأكبر عدد ممكن من الموظفين والاحتيال عليهم على المستوى الشخصي.
تجمع تقنيات MFA و SSO الأكثر فاعلية بين ما أنت عليه (المقاييس الحيوية) ، أو ما تفعله (القياسات الحيوية السلوكية) ، أو عوامل ما لديك (الرمز المميز) مع مصادقة ما تعرفه (كلمة المرور أو رمز PIN) الروتين. إن تثقيف الموظفين حول حماية هوياتهم باستخدام تقنيات المصادقة التي تتضمن هذه العوامل الثلاثة يتوافق مع انعدام الثقة وفرض الوصول الأقل امتيازًا على أي جهاز. تعد MFA و SSO أكثر أشكال الأمان المستند إلى الهوية انتشارًا في التطبيقات الداخلية وتطبيقات SaaS.
كيف يحصل مدراء المعلومات على النتائج
مع قيام غالبية المؤسسات بتنفيذها أو التخطيط لتنفيذها ، أصبح أسلوب العائالت المتعددة MFA منتشرًا عبر المؤسسات. يخبر مدراء تقنية المعلومات VentureBeat أن البرامج التجريبية تحتاج إلى مكاسب سريعة لتحقيق النمو داخليًا وأن مشاركة التقدم أمر أساسي للحفاظ على مشاركة جميع الموظفين. نصائحهم بشأن أفضل الممارسات:
اجعل المديرين التنفيذيين من المستوى C في الطيارين في وقت مبكر ، حيث يلاحق المهاجمون حساباتهم الأولى
يعد وجود مدراء تنفيذيين على مستوى C يشاركون في البرنامج التجريبي الأولي أمرًا بالغ الأهمية. لا تزال هجمات رش أوراق الاعتماد وحشوها والتصيد الاحتيالي وغيرها من الهجمات القائمة على الهندسة الاجتماعية ناجحة في خداع الإدارة العليا لمشاركة بيانات اعتماد الوصول المميزة أو توفير الوصول إلى أنظمة وخوادم الشركة.
يعتبر المدراء التنفيذيون من المستوى C في أدوار الإيرادات والمحاسبة ونجاح العملاء الحاسمة أمرًا بالغ الأهمية ، حيث تستهدف هجمات التصيد الاحتيالي وصيد الحيتان هذه المجموعة بشكل متزايد. وجد تقرير حالة التأهب الأمني لعام 2023 الصادر عن Ivanti أن المديرين التنفيذيين من المستوى C هم على الأقل أربع مرات أكثر عرضة لوقوع ضحايا التصيد الاحتيالي مقارنة بالموظفين الآخرين. وقع ما يقرب من واحد من كل ثلاثة رؤساء تنفيذيين وأعضاء من الإدارة العليا ضحية لعمليات التصيد الاحتيالي ، إما عن طريق النقر على نفس الرابط أو إرسال الأموال.
وجدت دراسة Ivanti أيضًا أن المديرين التنفيذيين من المستوى C هم الأكثر عرضة للاستمرار في استخدام كلمات المرور لسنوات ، مما يؤدي إلى مخاطر أمنية.
قالت كارين إس إيفانز ، المديرة الإدارية لمعهد الجاهزية الإلكترونية: “نعلم أنه يمكن إيقاف جميع هجمات اختراق الحسابات تقريبًا بشكل مباشر ، فقط باستخدام MFA”. إنها طريقة مجربة وفعالة لإحباط الجهات الفاعلة السيئة. علينا جميعًا – الحكومات ، والمنظمات غير الربحية ، والصناعة – بذل المزيد من الجهد لإيصال قيمة أسلوب العائالت المتعددة MFA لأصحاب الأعمال الصغيرة والمتوسطة الحجم. “
صمم أسلوب MFA و SSO في أفضل تدفقات عمل UX
هناك درس رئيسي آخر تم تعلمه في تحسين الوعي الأمني المستند إلى الهوية وهو تصميم أسلوب العائالت المتعددة MFA و SSO في عملية أخرى لتحسين تجربة المستخدم الإجمالية. يعد الحصول على جلسة MFA أو SSO واحدة فقط لجميع أنظمة المؤسسة أمرًا بالغ الأهمية. تتعطل MFA على الأجهزة المحمولة لأن تجربة المستخدم معقدة ، ولا تلتزم تطبيقات المصادقة والأمان على الأجهزة المحمولة بمعايير تصميم متسقة.
بناء أسلوب العائالت المتعددة MFA في عمليات سير عمل مبسطة لتسجيل الدخول إلى نقطة النهاية
نهج مبتكر لزيادة الوعي بالأمن السيبراني المستند إلى الهوية هو بناء أسلوب العائالت المتعددة MFA في تسلسل تسجيل دخول أي نقطة نهاية. يجب أن يشترك CISOs مع مدراء تقنية المعلومات لجعل هذه العملية شفافة قدر الإمكان.
يقدم تقرير Forrester ، The Future of Endpoint Management ، رؤى واقتراحات قيمة حول كيفية تعاون مدراء المعلومات ومديري المعلومات لتحسين أسلوب العائالت المتعددة MFA وأمن نقطة النهاية. قال مؤلف التقرير أندرو هيويت لـ VentureBeat: “أفضل مكان للبدء هو دائمًا تطبيق أسلوب العائالت المتعددة MFA. يمكن أن يقطع هذا شوطًا طويلاً نحو ضمان أمان بيانات المؤسسة. من هناك ، يتم تسجيل الأجهزة والحفاظ على معيار امتثال قوي مع أداة UEM “.
ابحث عن طرق جديدة لتقليل تأثير MFA و SSO والإعلان عنها داخليًا
ينصح مدراء المعلومات بأنهم قد انتقلوا إلى دعم USB والرموز المميزة اللاسلكية لأنها تقدم تجارب مستخدم أفضل أثناء جلسات تسجيل الدخول إلى MFA من الأنظمة القديمة التي تتطلب رموزًا للأجهزة لإنشاء كلمة مرور لمستخدم واحد. إن الانتقال إلى طرق الهاتف كرمز أصبح الآن مطلبًا لدعم القوى العاملة الهجينة ، كما يقول CISOs لـ VentureBeat.
إظهار المكاسب الأمنية ، بما في ذلك معدلات الاقتحام والقتل
يتمثل الدرس الهام المستفاد من تجارب مدراء المعلومات في إظهار هذه التقنيات للموظفين وتقديم تحديثات مستمرة بنشاط. يجب أن يشترك مدراء تقنية المعلومات ومسؤولو أمن المعلومات مع بعضهم البعض وعقد غداء وتعلم بانتظام ومشاركة “معدل القتل” (عدد عمليات الاقتحام والهجمات التي توقفوا عن استخدام مزيج من تقنيات MFA و SSO).
يتيح استخدام بيانات القياس عن بُعد عبر الشبكة الهجينة للمستخدمين عن بُعد للفريق معرفة وقت شن هجوم منسق عبر أسطح تهديد متعددة في وقت واحد. يمكنهم تحديد عدد الاقتحامات التي أوقفوها وعلى أي حسابات. في كثير من الأحيان ، مجموعات نشاط الهجوم حول المديرين التنفيذيين على مستوى C وتقاريرهم الفورية حيث يتطلع المهاجمون إلى سرقة بيانات اعتماد الوصول المميزة التي يمكنهم استخدامها لتسجيل الدخول إلى أنظمة المؤسسة على الفور.
أصبحت أدوات إدارة الوصول التكيفي ظاهرة في الشركات غير الملتزمة بالمتطلبات التنظيمية
يقول مدراء المعلومات ومدراء المعلومات لـ VentureBeat أن إدارة الوصول التكيفي هي مكسب للقوى العاملة المختلطة التي تجد أنظمة MFA القديمة مرهقة وتستغرق وقتًا طويلاً. إن تقديم مفهوم الوصول التكيفي إلى قوة عاملة موزعة عالميًا يحظى باهتمام متزايد ويزيد من الوعي بالحاجة إلى زيادة الوعي القائم على الهوية.
تتضمن حلول الوصول التكيفية الشائعة الوصول المشروط في Microsoft Azure AD Premium. ما يجعل مناهج الوصول التكيفي جذابة للقوى العاملة المختلطة هو كيف تنظر التكنولوجيا في قاعدة عريضة من البيانات السياقية لتحديد مدى مصداقية الجلسة. إنه يخفف من الحاجة إلى استخدام كلمات المرور و MFA من خلال استخدام تسجيل المخاطر في الوقت الفعلي لكل جلسة بدلاً من ذلك.
المصادقة بدون كلمة مرور هي ابتكار لاحتياجات الأمان القائمة على الهوية
تحتاج الفرق المختلطة إلى نهج قائم على الثقة الصفرية للمصادقة بدون كلمة مرور للبقاء آمنًا. الهدف هو التأكد من أن المهاجمين لا يستطيعون الاقتحام في حسابات كبار المديرين التنفيذيين وسرقة بيانات اعتماد الوصول الخاصة بهم.
يبدأ إيقاف إساءة استخدام الوصول المميز من خلال تصميم نظام مصادقة بدون كلمة مرور يكون بديهيًا للغاية بحيث لا يشعر المستخدمون بالإحباط من استخدامه مع توفير مصادقة تكيفية على أي جهاز محمول. يشير نهج Ivanti Zero Sign-On (ZSO) إلى الجمع بين المصادقة بدون كلمة مرور وعدم الثقة في النظام الأساسي الموحد لإدارة نقطة النهاية (UEM) إلى كيفية استجابة البائعين. يستخدم القياسات الحيوية ، بما في ذلك معرف الوجه من Apple ، كعامل مصادقة ثانوي للوصول إلى الحسابات والبيانات والأنظمة الشخصية والمشتركة للشركات.
Ivanti ZSO هو أحد مكونات نظام Ivanti Access الأساسي الذي يستبدل كلمات المرور بالأجهزة المحمولة باعتبارها هوية المستخدم والعامل الأساسي للمصادقة. يلغي ZSO الحاجة إلى كلمات المرور باستخدام بروتوكولات مصادقة FIDO2 القوية. يخبر مدراء تقنية المعلومات VentureBeat أن Ivanti ZSO يعد فوزًا من حيث وعي المستخدم واعتماده لأنه يمكن تأمين أي جهاز ، سواء تم إدارته مركزيًا أم لا.
يتضمن موفرو المصادقة الإضافية بدون كلمة مرور Microsoft Azure Active Directory (Azure AD) و OneLogin Workforce Identity و Thales SafeNet Trusted Access و Windows Hello للأعمال.
القيادة بحلول جديدة ومبتكرة لاكتساب مشاركة ذهنية
تساعد أساليب الأمان الجديدة والمبتكرة المستندة إلى الهوية الموظفين على المشاركة في مبادرات الأمان الجديدة. كيف تنظر في بيع فوائد إدارة الوصول التكيفية أو المصادقة بدون كلمة مرور مقارنة بإجبار الموظفين على ساعات من التدريب عبر الإنترنت يغطي فوائد حل مضى عليه عقود.
انتقل إلى الجوانب المثيرة للأمن المستند إلى الهوية دون استخدام الخوف من سرقة الهوية كمحفز. بدلاً من ذلك ، فإنه يركز على كيف يمكن للابتكارات في الأدوات القائمة على الهوية أن تخدمهم بشكل أفضل من خلال تأمين هوياتهم الشخصية والمهنية. الابتكار – لا يتطلب التعلم عبر الإنترنت لنظام تم استخدامه بالفعل لسنوات – هو الحل.
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
اكتشاف المزيد من إشراق التقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.