كيف تؤمّن العمل عن بُعد والعمل الهجين؟

لتأمين العمل عن بُعد والعمل الهجين، ابدأ بالأساسيات. استخدم المصادقة متعددة العوامل، أو MFA، أي خطوة ثانية لتسجيل الدخول إلى جانب كلمة المرور. حافظ على تحديث أجهزة اللابتوب والهواتف، واحمِ بيانات الأعمال، وتأكد من أن الجميع يعرف قواعد العمل من المنزل، وعلى الطريق، وفي المكتب.

الأمان الجيد للعمل عن بُعد لا يعتمد على البرمجيات فقط. بل يعتمد أيضًا على الإجراءات. تحتاج إلى قواعد وصول واضحة، وطريقة آمنة لمشاركة الملفات، وخطة لأجهزة ضائعة، وشخص مسؤول عن التأكد من تنفيذ التحديثات والنسخ الاحتياطي وحسابات المستخدم بالطريقة الصحيحة.

بالنسبة للعديد من الشركات الصغيرة، تكون الإجابة العملية هي العمل مع مزود خدمات مُدارة، أو MSP. الـ MSP هي شركة خارجية تساعد في إدارة ودعم تكنولوجيا الأعمال بشكل مستمر. إذا كنت تقارن بين الخيارات، يمكن أن يساعدك NodeBridge IT في العثور على مزود IT مُدار مستقل مناسبًا لحجمك وميزانيتك واحتياجاتك.

عندما يعمل الناس في أماكن مختلفة، تصبح أجزاء عمل شركتك أكثر تنقّلًا. قد يستخدم الموظفون أجهزة لابتوب مكتبية في منازلهم، أو يتصلون عبر إنترنت المنزل، أو يطبعون مستندات خارج المكتب، أو يسجلون الدخول من هواتف شخصية. هذا لا يعني أن العمل عن بُعد غير آمن بحد ذاته، لكنه يعني أنك تحتاج إلى قدر أكبر من الاتساق.

غالبًا ما تواجه الشركات الصغيرة أولًا مشكلات بسيطة. موظف سابق ما زال لديه وصول إلى البريد الإلكتروني. جهاز لابتوب ضاع في سيارة. يتم حفظ الملفات في ثلاث مواقع مختلفة. يتم تخطي تحديثات البرامج لأن لا أحد يمتلك مسؤولية تنفيذ المهمة. هذه مخاطر عمل وليست مجرد مشكلات تقنية.

كما أن العمل عن بُعد والعمل الهجين يؤثران على ثقة العملاء والامتثال. تختلف المتطلبات حسب الصناعة والولاية. إذا كانت شركتك تتعامل مع معلومات صحية أو مدفوعات أو قانونية أو مالية أو غيرها من المعلومات الحساسة، فقد تحتاج إلى ضوابط أقوى، وسياسات موثقة، وسجل واضح يحدد من يمكنه الوصول إلى ماذا.

إعداد العمل عن بُعد الجيد يكون بسيطًا بما يكفي ليَتبعه الموظفون، وفي الوقت نفسه منظمًا بما يكفي ليتولى المزود دعمه. يستخدم كل عامل أجهزة معتمدة، وتطبيقات معتمدة، وطرقًا معتمدة للوصول إلى بيانات الأعمال. تكون عمليات تسجيل الدخول محمية عبر MFA. تتلقى الأجهزة تحديثات وبرمجيات أمنية بشكل منتظم. ويتم إلغاء صلاحيات الوصول بسرعة عند مغادرة أي شخص.

تُفصل الإعدادات الجيدة أيضًا النشاط الشخصي والنشاط الخاص بالأعمال قدر الإمكان. تبقى ملفات الشركة في أنظمة سحابية معتمدة من الشركة، وليس على محركات USB عشوائية أو حسابات بريد إلكتروني شخصية. وإذا ضاع لابتوب أو هاتف، تعرف الشركة ما البيانات الموجودة عليه وما الخطوات التالية التي يجب اتخاذها.

لا يَعِد أي مزود صادق بتوقفٍ معدوم عن العمل أو بشبكة لا يمكن اختراقها. الهدف الحقيقي هو تقليل المخاطر القابلة للتجنب، واكتشاف المشكلات في وقت أبكر، والقدرة على الاستجابة والاستعادة بطريقة منظمة عند حدوث مشكلة.

ابدأ بالهوية وإدارة الوصول. استخدم كلمات مرور قوية وMFA، وقائمة واضحة بمن يجب أن يحصل على وصول إلى كل نظام. راجع تلك القائمة بانتظام. لا تدع الحسابات المشتركة تصبح ممارسة معتادة إن كان بالإمكان تجنبها.

بعد ذلك تأتي إدارة الأجهزة. يجب تتبُّع كل لابتوب سطح مكتب وهاتف أعمال. الـ Endpoint هو أي جهاز يتصل بأنظمة شركتك، مثل لابتوب أو سطح مكتب أو هاتف أو جهاز لوحي. يعني الترقيع (Patching) تثبيت البرامج وتحديثات الأمان حتى يتم إصلاح المشكلات المعروفة. إذا لم يكن هناك من يتأكد من حدوث عملية الترقيع، ستزداد مخاطرك بسرعة.

غالبًا ما تستخدم العديد من الشركات أدوات تُسمى EDR وRMM. تشير EDR إلى اكتشاف نقاط النهاية والاستجابة لها (endpoint detection and response). وهي برمجيات تراقب الأجهزة بحثًا عن نشاط مشبوه وتساعد في التحقيق بالمشكلات. أما RMM فتعني المراقبة والإدارة عن بُعد (remote monitoring and management). وهي برمجيات تساعد المزود على تتبع صحة الأجهزة، وتطبيق التحديثات، والتعامل مع مهام الدعم الروتينية.

تُعد النسخ الاحتياطية مهمة أيضًا، خاصةً للفرق العاملة عن بُعد التي تستخدم تطبيقات سحابية وأجهزة محلية. نهج النسخ الاحتياطي 3-2-1 يعني الاحتفاظ بـ 3 نسخ من البيانات المهمة، على نوعين مختلفين من التخزين، مع الاحتفاظ بنسخة واحدة خارج الموقع. يعتمد الإعداد الصحيح على طريقة عمل شركتك، ومكان وجود بياناتك، ومدى السرعة التي تحتاج بها إلى استعادة الملفات الرئيسية.

التكنولوجيا تساعد، لكن الناس يحتاجون إلى قواعد واضحة. يجب أن يعرف فريقك ما هي الأجهزة المعتمدة، وكيف يُبلّغ عن لابتوب ضائع، وأين توجد ملفات الأعمال، وماذا يفعل إذا بدا تنبيه تسجيل الدخول أو البريد الإلكتروني مشبوهًا. تُعد سياسة قصيرة وسهلة الاستخدام أفضل من وثيقة طويلة لا يقرأها أحد.

لا يلزم أن يكون التدريب دراميًا أو متكررًا باستمرار. يجب أن يكون عمليًا. اشرح للموظفين كيفية استخدام MFA، وكيف يكتشفون محاولات التصيد الشائعة، وكيف يتجنبون حفظ ملفات الأعمال في حسابات شخصية، ومتى يطلبون المساعدة. كرر الأساسيات كثيرًا.

كما يجب أن تعرف من يملك اتخاذ القرارات. إذا كانت شركتك صغيرة جدًا بحيث لا تناسب قائد تقنية معلومات بدوام كامل، فقد تقدم بعض شركات الـ MSP دعم vCIO. تعني vCIO مدير تقنية معلومات افتراضي (virtual Chief Information Officer). وهو مستشار استراتيجي يعمل بدوام جزئي يساعد في التخطيط والميزانية والأولويات وقرارات التكنولوجيا.

إذا لم تكن متأكدًا مما تحتاجه، ابدأ بجرد بسيط. اكتب أسماء الموظفين، والأجهزة، والتطبيقات، ومواقع الملفات، والأماكن التي يعمل منها الناس. ثم اسأل ماذا سيحدث إذا ضاع جهاز، أو غادر موظف فجأة، أو اضطررت إلى استعادة ملف أساسي. عادةً تُظهر تلك الإجابات أين توجد الفجوات.

عندما تتحدث مع مزودين، اطلب شرحًا بلغة بسيطة. اسأل كيف يتعاملون مع تحديثات الأجهزة، وتغييرات الحسابات للموظفين الجدد والذين يغادرون، وفحوصات النسخ الاحتياطي، وتدريب الموظفين، وخطوات الاستجابة للحوادث الشائعة. إذا ذكروا اتفاقية مستوى الخدمة، أو SLA، فهذا يعني القواعد المكتوبة لأزمنة الاستجابة وتغطية الدعم. تأكد أن هذه المصطلحات تناسب ساعات عملك وطريقة عملك.

إذا كانت لدى شركتك متطلبات امتثال، فاسأل مباشرة. تشير HIPAA إلى قواعد الخصوصية والأمان الصحية الفيدرالية التي تنطبق على بعض المنظمات والشركاء المتعلقة بالرعاية الصحية. عادةً ما تعني PCI معيار أمان بيانات صناعة بطاقات الدفع للشركات التي تتعامل مع مدفوعات البطاقات. وSOC 2 هو إطار تقارير تستخدمه العديد من الجهات لإظهار كيفية إدارتها للأمن والضوابط ذات الصلة. تختلف المتطلبات حسب الصناعة والولاية، لذلك ينبغي أن يشرح المزود المناسب ما الذي ينطبق وما الذي لا ينطبق.

إذا رغبت في مساعدة لتصفّح الخيارات، راجع المزيد من الإجابات المبسطة في مكتبة الموارد، وتعرّف على كيفية تنظيم خدمات تقنية المعلومات المُدارة عادةً في صفحة الخدمات، أو احصل على مطابقة مع مزود مستقل. NodeBridge IT خدمة مطابقة مجانية. نحن لا ندير ولا نراقب ولا نؤمن ولا نُصلح ولا نصل إلى أنظمتك.