يتذكر الكثير من المستخدمين والشركات مدى أهمية الأمن الكمبيوتري على خلفية الاختراقات المستمرة وتسرب البيانات من المصارف. إذا قررت إنشاء مصرف على الإنترنت أو أية منظومة أخرى من طراز IT لا يكفي التفكير براحة العميل وإنما من المهم كذلك الحرص على الأمن. نحدث ما الذي يساعد على التوصل إلى ذلك.
في عام 2017 في نتيجة اختراق مكتب السجلات الائتمانية Equifax تمت سرقة بيانات حوالي نصف سكان الولايات المتحدة، وفي عام 2018 وقعت أحداث مماثلة ولو ليس بنفس الحجم 668 مرة (تمت سرقة حوالي 22,5 مليون تسجيل). في الوقت الراهن تخرج المصارف الصغيرة إلى الإنترنت بغية التواصل مع المستهلك بفعالية أكثر، ولكنها غالباً ما تفتقد التصور المطلوب للأمن وكذلك المحاضر الدقيقة لتصميم واستخدام المنظومات هذه.
في عام 2005 حدث في الولايات المتحدة أقل من 200 اختراق جاد، وفي عام 2017 وصل عددها إلى 1300. غالباً ما تعاني من هذه الأخطار الأعمال التجارية وقطاع الطب، ولكن صار يزداد عدد هذه الأحداث حتى في القطاع المالي ، ففي عام 2017 حدث 69 اختراق في المالية وخلال النصف الأول من عام 2018 فقط وقع 84 حادث من هذا النوع.
من أجل غرس المعرفة في مجال الأمن في المؤسسة المالية من المهم بذل الجهود لتعليم العاملين من كافة المستويات وكذلك المساهمين وشركاء الشركة واتخاذ التدابير الوقائية.
أنشئ البيئة النشطة وليس التفاعلية
لا داعي لانتظار حدوث اختراق كي تفكر بإنشاء منظومة مأمونة للأمن الكمبيوتري، هذه ليست مشكلة مؤقتة وإنما مهمة يومية ينبغي أن يأخذها على محمل الجد كل موظف المؤسسة. اتخاذ القرار كهذا خطوة أولى ومهمة جداً على درب إنشاء ثقافة الأمن الرقمي. تقترح إيميلي لاركين المتخصصة الرائدة في مجال أمن المعلومات في Sageworks البداية من الأعلى أي من رئاسة الشركة وأعضاء الإدارة.كتبت لاركين:
"من أجل جذب اهتمام هؤلاء الناس نضطر على رسم لهم صورة عواقب الحادث المحتمل، وأنا لا أتكلم عن التخويف وإنما فقط عن إدراك واقعية الخطر الذي قد يؤدي إلى أن الناس المسؤلون عن تطور الشركة ومؤشراتها المالية سيتعلمون شيئاً ما في هذا المجال".
لا ينحصر أمن المعلومات بنشاط فريق IT ولا تحل كل المشكلات بجدار الحريق. تفسر لاركين أن على الموظفين من كافة المستويات الإدراك كيف يمكن أن تكون العواقب المالية من الاختراق وأي خطر يمثل هذا على سمعة المؤسسة وإلى كم الشركة عرضة للمجرمين في الوقت الراهن.
تنسيق المواقف مع الموردين
إن حصول أية شركة على البرمجة خطوة هامة وليس فقط من الناحية المالية. يتوقع عملاء الشركة أنها ستحفظ بياناتهم في مكان آمن، وعلى الشركة سلك نفس النهج بخصوص شركائها.
تأكد من أن مورديك يلتزمون بنفس معايير الأمن الكمبيوتري التي تلتزمها أنت. تنصح الشركة الاستشارية McKinsey & Company إجراء المحادثات المستمرة مع الموردين التي لا بد في سيرها من تنسيق مستوى الأمن اللازم لحماية معلومات العملاء. في أثناء هذه المناقشات ينبغي وضع خطط دقيقة لاستعادة البيانات والتعويض عن الضرر وكذلك تحديد بأية طريقة بالذات تستخدم بياناتك في شركة الطرف الثالث.
تعتبر المصارف نوعاً من المؤسسات المحمية أكثر من غيرها ولكن هذا يتعلق بالمسؤولية الجادة عن المخالفات في هذا المجال. لذا من المهم اختيار الموردين المأمونين الذين لن يعرضوا ثقة عملائك للخطر ولن يعيقوا الالتزام بكل التدابير المطلوبة بموجب القانون.
تعليم الموظفين والعملاء
التعليم هو عملياً حماية مجانية من الهجومات الإلكترونية، فالناس غالباً ما يمكنهم أن يقعوا فريسة المجرمين لعدم المعرفة فقط. يهاجم القراصنة المصارف باستمرار بما في ذلك بطريقة التصيد على شكل رسائل إلكترونية مزورة أو حتى مواقع مزورة بأكملها.
بغية إعداد الموظفين لمحاولات التصيد بصورة أفضل تقترح لاركين إجراء تعليم التصيد في المؤسسة. من أجل ذلك توجد أدوات جاهزة تسمح على إرسال رسائل التصيد ومراقبة أولئك الذين يفتحونها ويحملون مرفقاتها ويتبعون الروابط. يجوز بفضل التعليم كهذا إدراج وضع خطة رد الفعل على الاختراق حتى يبلغ الموظفون الذين لاحظوا فعلاً مثيراً للشك عن ذلك فوراً.
قد يموه المجرم رسائله أمام المستهلكين بأنها رسائل من مصرفك. هل يتمكن المستلمون التفريق بين رسائلك الإلكترونية والزائفة منها؟ يجوز نشر المواد التي تساعد العملاء على الكشف عن محاولات التصيد في موقع الشركة ومن المستحسن تعداد الطرائق الأكثر انتشاراً التي يستخدمها المجرمون. النهج كهذا لن يخفض من احتمال الهجوم الناجح فحسب بل وسيرفع من ثقة العملاء.
تصميم المنظومة الكاملة للإعلام عن الأمن الكمبيوتري مهمة صعبة، ومن المهم أن يسعى كل إنسان نحو حماية بيانات الشركة وعملائها حين يأتي إلى مكان عمله. ينبغي أن تفهم المؤسسات المالية أن بلوغ هذا الهدف يحتاج إلى نهج مرن ولا يعني دوماً شراء أكبر قدر ممكن من البرمجيات، ففي الغالب إخبار الموظفين عن تلك المشكلات وتعليمهم استخدام الطرق المتقدمة وإجراء التدابير الوقائية أهم بكثير من ذلك.