ما هي الثقة الصفرية؟

انعدام الثقة هو نموذج أمني لتكنولوجيا المعلومات يتطلب من كل مستخدم وجهاز محتمل الاتصال التحقق بدقة من هويته سواء كانوا داخل أو خارج محيط الشركة.

أصبح مبدأ الثقة الصفرية الموجّه - "لا يثق أبدًا، تحقق دائمًا" - ممارسة أساسية لتأمين الشبكات السحابية المعقدة والمتنوعة اليوم. قبل فترة ليست بالقصيرة، يمكنك غلق الباب الأمامي لشركتك، واثقة من أن جميع معلوماتك القيمة آمنة داخل تلك الجدران. ثم جاء على طول أجهزة الكمبيوتر المحمولة والأقراص وعصي الذاكرة - وكل مرة في كثير من الأحيان سوف تسمع قصة عن شخص يترك أسرار الدولة على متن قطار في مكان ما. اليوم، تتوفر بيانات شركتك يُحتمل أن يكون هناك اتصال في أي مكان. ومع الارتفاع غير المسبوق في القوى العاملة البعيدة والموزعة، فإن “أي مكان” يمكن أن يكون حرفياً “في أي مكان على الكرة الأرضية”.

هذه الأيام، أفضل الحلول البرمجية التي تعمل جميعها في السحابة - لتقول لا شيء من ملايين الأجهزة والأصول المتصلة في شبكات إنترنت الأشياء الصناعية في العالم. وفي حين أن التطبيقات السحابية ليست عادة أقل أمانًا من التطبيقات الموضعية - عكس ذلك تمامًا، في الواقع - هناك مخاطر جديدة في عالم اليوم المتصل. واتسعت التقنيات الرقمية والسحابية ما يسميه خبراء الأمن بسطح الهجوم لكل مؤسسة.

تم تصميم بروتوكولات الأمن الإلكتروني التقليدية على فكرة مرور المستخدمين بالأمن عند الباب الأمامي الافتراضي للشركة ومن ثم تشغيل المكان بمجرد دخولهم. وبعبارة أخرى، تم تطويرها في عالم ما قبل السحابة. ولكن الآن هناك المزيد من نقاط الوصول - الهاتف الشخصي للموظف أو طابعة إنترنت الأشياء يمكن أن تكون بوابة محتملة - وكان على الشركات أن تصدع استراتيجياتها الأمنية. مع وقوع الهجمات الإلكترونية في مستوى قياسي، يجب أن يكون أمن الشبكة في وضع الأولوية على رأس قائمة مهامك. يتطلب تطبيق انعدام الثقة الالتزام والتعاون على مستوى شركتك بالكامل.

الثقة الصفرية: التعريف والإستراتيجية

كان جون كيندرفاغ يعمل كمحلل في فورستر ريسيرش في عام 2010 - في وقت كانت فيه التطبيقات السحابية وأجهزة إنترنت الأشياء تبدأ ارتفاعها السريع. واعترف كيندرفاغ عن حق بالحساسية والقيمة الهائلة للبيانات والملكية الفكرية الموجودة في نظم فورستر. واستجابة لهذا الخطر المتزايد، صاغ مصطلح الثقة الصفرية وقاد تطوير العديد من مبادئها الأساسية.

يمكن تعريف الثقة الصفرية على أنها نموذج أمان تكنولوجيا المعلومات الذي يتطلب من كل مستخدم وجهاز محتمل الاتصال للتحقق بدقة من هويته سواء كانوا داخل أو خارج محيط الشركة. تعتمد بنية الثقة الصفرية (ZTA) على مجموعة من العمليات والبروتوكولات بالإضافة إلى الحلول والأدوات الرقمية المخصصة لتحقيق النجاح.

الوصول إلى شبكة الثقة الصفرية (ZTNA) هو تطبيق بنية الثقة الصفرية التي تعرفها جارتنر بأنها إنشاء "حد وصول منطقي قائم على الهوية والسياق حول تطبيق أو مجموعة من التطبيقات." وهذا يزيل هذه التطبيقات من العرض العام ويسمح فقط بالمستخدمين الذين تم التحقق منهم والذين يلتزمون بسياسات الوصول المحددة مسبقًا.

ولكن في الواقع، تبدأ الثقة الصفرية كتحول ثقافي داخل منظمتك. نحن نميل إلى التفكير في الأمن الإلكتروني من حيث الجهات الفاعلة السيئة التي تسعى عمدا لإحداث ضرر، ولكن للأسف، غالبا ما يكون الجهل بدلا من الحاقد الذي يؤدي إلى المخاطرة والخسارة. في الواقع، يظهر تقرير حديث زيادة بنسبة 48% في هجمات البريد الإلكتروني في النصف الأول فقط من عام 2022، حيث تم استدراج الموظفين إلى كشط أو الكشف عن التفاصيل نتيجة التصيد. وهذا يوضح السبب في أن التعليم والمشاركة الثقافية عنصر حاسم للغاية في عدم تنفيذ الثقة.

لماذا مبادئ الثقة الصفرية ضرورية للغاية الآن؟

ليس هناك شك في أن الهجمات الإلكترونية في ازدياد. وفي عام 2022، أجريت دراسة استقصائية رئيسية شملت 200 1 منظمة كبيرة في 14 قطاعا مختلفا و 16 بلدا. وعلى الرغم من إعطاء الأولوية للأمن السيبراني، اعترف العديد من المجيبين بعدم كفاية الأمن. في الواقع، أظهرت النتائج ارتفاعاً مفزعاً بنسبة 20.5% في عدد الاختراقات المادية في الأشهر بين 2020 و2021.

فيما يلي بعض التحديات الأمنية الأخرى التي تواجهها الشركات اليوم:

جدران الحماية القديمة. وتعتمد العديد من الشركات بشكل مفرط على جدران الحماية التي تسبق انتشار الاتصال السحابي. شبكات VPNs هي مساعدة مساعدة قابلة للتطبيق لزيادة الجدران النارية، ولكنها ليست حلاً فعالاً طويل الأمد بسبب نطاقها المحدود وميلها إلى إبطاء أداء تطبيقات الأعمال، مما يؤثر بدوره على إنتاجية الموظفين.
تعقيد التحقق. البرمجيات اللاأدرية للجهاز رائعة للمستخدمين ولكنها تضيف طبقة معقدة لبروتوكولات الأمان. وحتى عندما يكون لدى المستخدمين هواتف للشركة وأجهزة كمبيوتر محمولة، فإنهم لا يكونون آمنين إلا كبروتوكولات التحقق والأمن المعمول بها لحمايتهم.
أجهزة الطرف الثالث. مع الوباء، تم إرسال القوى العاملة بأكملها للعمل من المنزل—تقريبا بين عشية وضحاها. ولم يكن أمام العديد من الشركات خيار سوى السماح للموظفين باستخدام حواسيبهم وأجهزتهم الخاصة. في كثير من الحالات، تم تأسيس الحلول الأمنية للحفاظ على تشغيل الأعمال والأضواء. ولكن بالنسبة للعديد من الشركات لم تفك بعد هذه التدابير المؤقتة وتنفذ المزيد من تدابير الثقة الصفرية المقاومة للرصاص لعمالها عن بعد.
تطبيقات غير مصرح بها. استخدام تطبيقات الأعمال SaaS يسير على مسار تصاعدي ثابت. ولسوء الحظ، فإن العديد من فرق تكنولوجيا المعلومات ممدودة رقيقة، مما يؤدي في كثير من الأحيان إلى لجوء المستخدمين إلى شراء تطبيقاتهم الخاصة واستخدامها داخل شبكة الشركة، دون إبلاغ فرق تكنولوجيا المعلومات الخاصة بهم. ليست هذه التطبيقات فقط خاضعة لممارسات الثقة الصفرية الصارمة، ولكنها ربما تجاوزت أيضًا إجراءات الأمان تمامًا.

الشخص الذي يقوم بالتمرير خلال البيانات على الجهاز المتنقل

اتصال إنترنت الأشياء. يمكن أن يكون جهاز إنترنت الأشياء الصناعي بسيطًا مثل المروحة أو آلة اللحام. ولأن هذه الأجهزة لا تعتبر “حاسوباً” من أي نوع، يمكن للمستخدمين أن ينسوا بسهولة أنهم نقطة وصول محتملة إلى شبكة الشركة. تضع بنية الثقة الصفرية عمليات الأتمتة والعمليات في مكانها الذي يضمن الأمان لجميع نقاط النهاية والآلات وأصول إنترنت الأشياء.
بوابات عبر كل القنوات. لا يعتبر الموظفون هم الوحيدون في سحابة الأعمال لديك. على نحو متزايد، نشهد الأجهزة المتصلة مثل الرفوف الذكية في المتاجر، و"الدفع في أي مكان" تطبيقات الهاتف المحمول. أي من هذه البوابات متعددة القنوات تمثل مخاطرة. تساعد الثقة الصفرية على تأمين تلك المخاطر دون أي إزعاج أو تأخير لا مبرر له لعملائك.
تحديات أمان تخطيط موارد المؤسسة. في السنوات الماضية، كانت أنظمة تخطيط موارد المؤسسة تقتصر على بعض مهام التخطيط والتمويل ولديها مجموعة محدودة من المستخدمين داخل الأعمال. ومع ذلك، فإن أفضل أنظمة تخطيط موارد المؤسسة على الشبكة السحابية اليوم تعتمد على الذكاء الاصطناعي والتحليلات المتقدمة وقواعد البيانات القوية والقابلة للتطوير. ولديها القدرة على الاندماج مع التطبيقات والأنظمة المتباينة في جميع قطاعات الأعمال، ويتم الاستفادة منها بشكل متزايد لتحسين وتبسيط كل مجال تشغيلي. أنظمة تخطيط موارد المؤسسة الحديثة لديها أنظمة أمنية متقدمة بنيت في ولكن مثل أي نظام، لديها نقاط ضعف التي لا تزيد إلا مع نطاق أوسع وسهولة الوصول. تساعد مبادئ الثقة الصفرية، عند تطبيقها على أمان تخطيط موارد المؤسسة على الشبكة السحابية القوي، في حماية شركتك في كل مرحلة.

كيف تعمل الثقة الصفرية؟

تجمع الثقة الصفرية بين مجموعة من التقنيات والبروتوكولات مثل المصادقة متعددة العوامل وحلول أمان نقطة النهاية والأدوات القائمة على السحابة لمراقبة والتحقق من مجموعة متنوعة من السمات والهويات - من المستخدمين إلى نقاط النهاية. كما تتطلب الثقة الصفرية تشفير البيانات ورسائل البريد الإلكتروني وأحمال العمل لضمان أمنها. وبشكل أساسي، بروتوكولات الثقة الصفرية:

التحكم في الوصول إلى الشبكة والحد منه من أي شخص، في أي مكان، من خلال أي جهاز أو أصل
التحقق من أي مستخدم أو أصل يمكنه الوصول إلى أي مستوى من مستويات الشبكة
تسجيل جميع زيارات الشبكة وفحصها في الوقت الفعلي

يستخدم نموذج أمن الثقة الصفرية سياسة الحاجة إلى المعرفة. وهذا يعني بشكل أساسي أنه لا يمكن للمستخدمين سوى الوصول إلى البيانات والتطبيقات التي يحتاجون إليها للقيام بمهامهم. ومرة أخرى، فإن التكنولوجيا هي السيف ذو الحدين في السباق من أجل أمن إلكتروني أفضل. مع تحسن الحلول الرقمية والاتصال، فإنها تخلق سطح هجوم أكبر، لذلك مطلوب تقنيات أمان أفضل وأسرع لمواكبة. ولا يقتصر الأمر على الاستمرار فحسب، بل يتسبب أيضًا في الحد الأدنى من الإزعاج والتعطيل للمستخدم. وهذا يتطلب سياسات أمنية مرنة وديناميكية للغاية، مدعومة بمعلومات سياقية وأقصى قدر من نقاط البيانات المتاحة - وفي الوقت الفعلي. من هذا الشخص؟ أين هم؟ ما الذي يحاولون الوصول إليه؟ لماذا يحتاجون إلى ذلك الوصول؟ أي جهاز أو نقطة نهاية واردة؟

مزايا حلول الثقة الصفرية

وفي أخطر ما لديهم، يمكن أن تكون خروقات البيانات كارثية. إن البيانات الخاصة لعملائك على المحك كما هي أمورك المالية وممتلكاتك الفكرية وبالطبع سمعتك الطيبة. ومثل التأمين، يمكن للاستثمارات الأمنية أن تبدو وكأنها مصاريف كبيرة… حتى تحتاج إليها. ومن ثم تبدو وكأنها سعر صغير يجب دفعه لحماية أعمالك.

وتشمل بعض الفوائد العديدة لحلول الثقة الصفرية ما يلي:

حماية القوى العاملة الهجينة والنائية. لقد ناقشنا كيف قام العمال عن بعد والأجهزة الشخصية برفع لعبة الأمن السيبراني. ولكن ليس فقط شركتك المعرّضة للخطر. يمكن أن يستهدف المجرمون الإلكترونيون موظفيك شخصيًا لذا من المهم ضمان وضع تدابير صارمة للحد من مخاطرهم ومخاطرك.
دعم المرونة ونماذج الأعمال الجديدة. للمنافسة وإدارة الاضطرابات، يجب أن تكون الشركات قادرة على تركيز نماذج الأعمال الجديدة واستكشافها. وهذا يعني تطبيقات وبرامج وأصول متصلة جديدة لإدماج الموظفين الجدد. وضمان الأمن في ظل هذه الظروف مهمة شاقة إذا ما تم التعامل معها يدويا. ولحسن الحظ، يمكن لأفضل أدوات برامج الثقة الصفرية تسريع الأمور مع الأتمتة الذكية والحلول القابلة للتخصيص التي تضمن اتخاذ جميع الخطوات الحاسمة.
تخفيض مصاريف موارد تكنولوجيا المعلومات. اسأل أي متخصص في تكنولوجيا المعلومات عن مقدار الوقت الذي يقضونه في المهام الأمنية اليدوية - ربما تكون الإجابة "كثيرة". وبينما تنقل الشركات أنظمتها المؤسسية الأساسية إلى الشبكة السحابية، يمكن أتمتة التصحيحات والتحديثات الأمنية وتنفيذها في الخلفية. ينطبق هذا على بروتوكولات أمن الثقة الصفرية أيضًا. من المستخدمين إلى نقاط النهاية، يمكن أتمتة العديد من مهام التشفير والتحقق الأساسية المرتبطة بالثقة الصفرية وجدولتها.
توفير مخزون دقيق. تتطلب مبادئ الثقة الصفرية من الشركة الاحتفاظ بمخزون دقيق لجميع الأصول والمستخدمين والأجهزة والتطبيقات والموارد المتصلة. باستخدام الحلول المناسبة، يمكن تعيين تحديثات المخزون للتحديث تلقائيًا، مما يضمن الدقة في الوقت الفعلي. وفي حالة محاولة الإخلال، فإن هذه أداة تحقيق لا تقدر بثمن. وعلاوة على ذلك، غالبًا ما يكون لدى الشركات ملايين من الأصول المربوطة، لذا فإن المخزون الدقيق يعد منفعة مالية أيضًا.
تقديم تجربة مستخدم أفضل. ويمكن أن تكون عمليات التحقق التقليدية بطيئة وصعبة الإدارة. وأدى ذلك إلى محاولة المستخدمين إما الالتفاف على بروتوكولات الأمان، أو حتى تجنب استخدام الأدوات والتطبيقات الأساسية بسبب صعوبة استخدامهم. يتم بناء أفضل حلول الثقة الصفرية لتكون غير متطفلة ومتجاوبة، مما يخفف الموظفين من متاعب اختراع (ثم نسيان) كلمات المرور، وعمليات التحقق البطيئة الاستجابة.

أفضل ممارسات انعدام الثقة: بدء الاستخدام

هناك عدة مهام ستحتاج إليها بمجرد بدء تحويل الثقة الصفرية الخاص بك. ويتضمن ذلك فهرسة أصولك وتحديد المقاطع داخل منظمتك وتصنيف بياناتك للحصول على تحول أكثر سلاسة.

تبدأ الثقة الصفرية بالالتزام ويمكن أن تساعدك الخطوات التالية على التدحرج:

المفوَّض. فريق تكنولوجيا المعلومات الخاص بك مشغول للغاية بالفعل. فكر في جلب أو تعيين متخصص مخصص لإدارة تغيير الأمن السيبراني يمكنه مساعدتك في الحد من المخاطر وتحديد فرص التحسين ووضع خريطة طريق قابلة للتطبيق.
تواصل. دعونا نواجه ذلك، لن يشعر موظفوك بالغضب على الفور من خلال أخبار عن إجراءات أمنية أكثر صرامة. مع استثمارك في أمان أفضل، يجب عليك أيضًا الاستثمار في المزيد من التفاعل مع المراسلة والتواصل حول هذا التحول. هناك الكثير من الأمثلة الواقعية على مخاطر الجريمة السيبرانية. ساعد فرقك على فهم أنه ليس فقط مجموعة C-suite التي تصاب بخرق البيانات - فهي تكلف الوظائف وتؤثر على الأفراد وتهدد بقاء الشركة.
تدقيق. العمل مع أخصائي الأمن، ووضع قائمة مرجعية للمخاطر الأمنية وتدقيق كل مجال من مجالات العمل. يمكنك تقسيم الوحدات المنفصلة والتواصل مع المتخصصين في الموضوعات عبر فريقك. فهم يعرفون أفضل من أي شخص حيث نقاط الضعف والضعف في مناطقهم - لا سيما في العمليات العالمية المعقدة مثل سلاسل التوريد واللوجستيات.
تحديد أفضلية. حدد الأهمية النسبية لكل عمليات ومهام الأعمال لديك وأهميتها، وقم بتعيين تصنيف. تحديد التقييم المستند إلى الأدوار لمن يحتاج بشكل حرج إلى الوصول إلى الأشياء ومن أقل من ذلك. وسيساعد هذا التحديد الأولي للأولويات أيضًا على إعدادك للتقسيم الصغير الذي يعد مكونًا أساسيًا لعدم الثقة - مما يمنع الحركة الجانبية وما يصاحبها من تعرض لاختراقات البيانات.

في عالم اليوم من الملهاة واللغة المتأنية، قد تبدو الثقة الصفرية لموظفيك مثل مصطلح ساخر إلى حد ما. لذا، اخرج أمام ذلك عندما تقدم الثقة الصفرية إلى فرقك. أخبرهم في البداية أن هذا لا يعني بأي حال أنك لا تثق بهم. مجرمي الإنترنت هم الذين لا يجب أن يثقوا بهم - لأنهم يستطيعون جعل الأشياء تبدو كأنها شيء ليسوا كذلك. يمكنهم التسلل من خلال الثغرات الأكثر دقة وبمجرد دخولهم، فإنهم لا يهتمون بمن يتضررون.

/content/sapcom/countries/ar_sa/fragments/insights/article-details

location

sidebar

/content/sapcom/countries/ar_sa/fragments/insights/article-read-more