الوصول إلى أمان البيانات

تعتمد العديد من الشركات الآن بشكل كامل على البيانات المخزنة على خوادم شبكاتها، وأجهزة الكمبيوتر الشخصية، وأجهزة الكمبيوتر المحمولة، والأجهزة المحمولة، ومزودي خدمات الحوسبة السحابية. ومن المرجح أن تحتوي بعض هذه البيانات على معلومات شخصية و/أو معلومات سرية خاصة بالشركة.

نتناول هنا بعض المسائل التي يجب مراعاتها عند مراجعة أمن أنظمة الحاسوب فيما يتعلق بضوابط الوصول. يحدد النظام العام لحماية البيانات (GDPR) مبدأ الأمان، الذي ينص على ضرورة اتخاذ "تدابير تقنية وتنظيمية مناسبة" عند معالجة البيانات الشخصية بشكل آمن. ويتكرر هذا المبدأ أيضًا في المبدأ السادس من قانون حماية البيانات لعام 2018، الذي يُعزز النظام العام لحماية البيانات وينص كذلك على "ضرورة معالجة البيانات الشخصية بطريقة آمنة".

ولهذا السبب، فإن منع الوصول غير المصرح به أو العرضي إلى البيانات الشخصية التي تقوم بمعالجتها يُعد خطوة مهمة نحو الامتثال.

أمن الوصول

تساهم ضوابط الوصول الجيدة إلى أجهزة الكمبيوتر والشبكة في تقليل مخاطر سرقة البيانات أو إساءة استخدامها.

يمكن تقسيم ضوابط الوصول إلى مجالين رئيسيين:

• الوصول المادي – الضوابط المتعلقة بمن يمكنه دخول المبنى ومن يمكنه الوصول إلى البيانات الشخصية
• الوصول المنطقي – ضوابط لضمان حصول الموظفين فقط على إمكانية الوصول إلى البرامج والبيانات والأجهزة المناسبة اللازمة لأداء دورهم المحدد.

الوصول المادي

إلى جانب وجود ضوابط الوصول المادية مثل الأقفال وأجهزة الإنذار وإضاءة الأمن وكاميرات المراقبة، هناك اعتبارات أخرى، مثل كيفية التحكم في الوصول إلى المباني.

لا ينبغي السماح للزوار بالتجول إلا تحت إشراف صارم.

تأكد من عدم إمكانية رؤية شاشات الكمبيوتر من الخارج.

استخدم سياسات الشبكة لضمان قفل محطات العمل و/أو الأجهزة المحمولة عندما تكون غير مراقبة أو غير مستخدمة.

تأكد من إمكانية تعطيل الجهاز المحمول عن بُعد في حالة فقدانه.

نظراً لصغر حجم الأجهزة المحمولة، فإنها تُعتبر عناصر عالية الخطورة، لذا يجب تشفير البيانات الحساسة دائماً، ويجب التحكم في الوصول إلى الخدمة عبر رقم تعريف شخصي أو كلمة مرور.

قد يكون من الضروري تعطيل أو تقييد الوصول إلى أجهزة USB وأجهزة القراءة والكتابة الضوئية.

قد يكون من الضروري حظر منافذ الشبكة عبر خوادم Radius، أو أجهزة الشبكة الأخرى، لمنع توصيل المعدات غير المصرح بها بالشبكة عبر كابل.

وأخيراً، يجب التخلص من المعلومات الموجودة على النسخ الورقية بطريقة آمنة.

الوصول المنطقي

ينبغي استخدام تقنيات الوصول المنطقي لضمان عدم حصول الموظفين على صلاحيات وصول أكثر مما هو ضروري لأداء دورهم.

ينبغي تشفير البيانات الحساسة والتحكم في الوصول إلى هذه البيانات من خلال أمن الشبكة وقوائم التحكم في الوصول وملفات تعريف المستخدمين.

قد يلزم أيضًا تقييد الوصول إلى تطبيقات معينة ومجلدات معينة على أساس كل مستخدم على حدة.

وأخيرًا، قد يكون من الضروري تقييد أجهزة معينة على أجهزة معينة، إما عن طريق سياسة المجموعة في نظام التشغيل ويندوز، أو تطبيق إدارة تابع لجهة خارجية.

كلمات المرور

تُعد سياسة كلمات المرور التي تتكون من اسم المستخدم وكلمة المرور ممارسة جيدة.

تساعد هذه الإجراءات في تحديد المستخدم على الشبكة وتمكين تعيين الأذونات المناسبة.

تدقيق الوصول

على الرغم من أن تسجيل البيانات ومراقبتها (والتغييرات التي تطرأ عليها) ليس شرطًا قانونيًا بموجب اللائحة العامة لحماية البيانات، إلا أنه سيساهم بشكل كبير في دعم الامتثال للمادة 32 من اللائحة العامة لحماية البيانات.

ستتيح لك عملية تدقيق معالجة البيانات مراجعة البيانات والإبلاغ عنها وإثباتها:

• من قام بالوصول إلى البيانات ومتى
• عدد مرات الوصول إلى البيانات وما إذا كان هذا القدر من الوصول مناسبًا
• في حالة فقدان البيانات عن طريق الخطأ، راجع التغييرات التي تم إجراؤها ومن قام بها.

على الرغم من أن كلاً من اللائحة العامة لحماية البيانات (GDPR) وقانون حماية البيانات لعام 2018 لا يحددان الإجراءات الدقيقة التي تحتاج إلى اتخاذها، إلا أنه ينبغي عليك التفكير في استخدام حل تقني مناسب لاحتياجاتك واحتياجات البيانات التي تقوم بمعالجتها.

معلومات الاتصال

البريد الإلكتروني: info@facadecreations.co.uk

ت: +44 (0) 116 289 3343