أصبح العمل مع الموظفين المستقلين أمرًا روتينيًا للعديد من المديرين. يصعب حل جميع المهام داخل فريق العمل حتى في المؤسسات الكبرى، ناهيك عن الشركات الصغيرة، التي لا تستطيع في الغالب تحمل تكاليف توظيف موظف إضافي. لكن إشراك شخص غريب بسير العمل الرقمي يمكن أن يؤدي إلى مخاطر إلكترونية إضافية، لا سيما عندما تعمل مع شخص مباشرة بدون مكتب وسيط.
الأخطار في البريد الإلكتروني الوارد
يجب أن تبدأ في التفكير في التهديدات المحتملة عند البحث عن الموظف المستقل المناسب للوظيفة. من المستبعد أن تقوم بتوظيف شخص ما دون النظر إلى سيرته الذاتية. يمكن للموظف المستقل أن يرسل لك مستندًا أو أرشيفًا به مجموعة من الأعمال أو رابطًا إلى موقع جهة خارجية ومن المحتمل أن تضطر إلى اتباع الرابط أو فتح الملف. ولكن في الحقيقة قد تجد أي شيء تقريبًا داخل ذلك الملف أو الموقع.
دائمًا ما يكتشف الباحثون ثغرات أو نقاط ضعف في المتصفحات أو البرامج المكتبية. تمكن المهاجمون أكثر من مرة من السيطرة على أجهزة كمبيوتر الشركة عن طريق إدخال نصوص برمجية ضارة في مستند نصي أو عن طريق تضمين مجموعة ثغرات المتصفح في التعليمة البرمجية لموقع الويب. لكن في بعض الأحيان قد لا تكون هذه الحيل ضرورية. بعض الموظفين مستعدون للنقر على ملف استلموه دون النظر إلى الصيغة أو الامتداد وبدء تشغيل برنامج تنفيذي.
ضع في اعتبارك أن المهاجم يمكنه إظهار سيرة ذاتية عادية تمامًا لك في البداية (قد لا تكون أعمالًا خاصة) وإرسال ملف ضار لاحقًا كنتيجة لمهمة عمل استلمها. علاوة على ذلك، يمكن لأي شخص أن يتحكم في جهاز الكمبيوتر الخاص بالموظف المستقل أو صندوق بريده ويستخدمه لمهاجمة شركتك. في النهاية، لا أحد يعرف كيف تتم حماية أجهزته أو حسابه ولا يتحكم أمان تكنولوجيا المعلومات لديك في ما يحدث هناك. يجب ألا تعتبر الملفات المستلمة موثوقة حتى لو جاءت من شخص مستقل كنت تعمل معه لسنوات.
الإجراءات المضادة
إذا كنت بحاجة إلى العمل مع المستندات التي تم إنشاؤها خارج البنية الأساسية للشركة، فإن الحفاظ على السلامة الرقمية أمر في غاية الأهمية. يجب أن يكون جميع الموظفين على دراية بالتهديدات الإلكترونية ذات الصلة، لذلك يجدر رفع مستوى الوعي الأمني الخاص بالموظفين . بالإضافة إلى ذلك، يمكننا تقديم بعض النصائح العملية:
- ضع قواعد صارمة لإجراء تبادل المستندات وأبلغ الموظفين المستقلين بهذه القواعد، ولا تفتح الملفات إذا لم يلتزموا بهذه القواعد. أرشيف ذاتي الاستخراج؟ لا، شكرًا. أرشيف بكلمة مرور محددة بنفس الحرف؟ قد يكون هذا مطلوبًا فقط لتجاوز عوامل تصفية مكافحة البرامج الضارة للبريد الإلكتروني.
- قم بتخصيص جهاز كمبيوتر منفصل ومعزول عن بقية الشبكة، أو آلة افتراضية للعمل على الملفات من مصادر خارجية، أو على الأقل التحقق منها. بهذه الطريقة يمكنك تقليل أي ضرر محتمل بشكل كبير في حالة الإصابة.
- تأكد من تزويد جهاز الكمبيوتر هذا أو هذه الآلة الافتراضية بحل الأمان لمنع استغلال الثغرات الأمنية أو النقر فوق رابط يقود إلى موقع ويب ضار.
حقوق الوصول
لنفترض أنك وجدت الاختصاصي الخارجي المطلوب. للتعاون في مشروع ما، غالبًا ما يحصل الموظفون المستقلون على إمكانية الوصول إلى الأنظمة الرقمية للشركة: مثل منصات مشاركة الملفات وأنظمة إدارة المشاريع وخدمات المؤتمرات والمراسلين الداخليين والخدمات السحابية وما إلى ذلك. وهنا يجب عليك تجنب خطأين – لا تمنح الموظف المستقل حقوقًا مفرطة ولا تنس إلغاء الوصول بعد اكتمال العمل.
عندما يتعلق الأمر بمنح الحقوق، فمن الأفضل اتباع مبدأ أقل الامتيازات. يجب أن يكون لدى الموظف المستقل حق الوصول إلى تلك الموارد اللازمة للمشروع الحالي فقط. يمكن أن يشكل الوصول غير المحدود إلى تخزين الملفات أو حتى سجلات الدردشة مع الموظف المستقل تهديدًا. لا تقلل من شأن المعلومات المخزنة حتى في الخدمات المساعدة. وفقًا لتقارير وسائل الإعلام، بدء اختراق منصة تويتر في عام 2020 عندما تمكن المهاجمون من الوصول إلى الدردشة الداخلية للمؤسسة. وهناك تمكنوا من إقناع أحد موظفي الشركة لمنحهم إمكانية الوصول إلى عشرات الحسابات، باستخدام أساليب الهندسة الاجتماعية.
كما أن إلغاء حقوق الوصول بعد انتهاء المشروع ليس إجراءً شكليًا. نحن لا نقول بأن الموظف المستقل سيبدأ حتمًا باختراق نظام إدارة المشاريع لمؤسستك بعد انتهائه من مهام عمله. إن مجرد وجود حساب إضافي مع إمكانية الوصول إلى بيانات الشركة ليس بالأمر الجيد. ماذا لو قام الموظف المستقل بتعيين كلمة مرور ضعيفة أو أعاد استخدام كلمة المرور من حساباته الأخرى؟ في حالة حدوث تسرب، هناك نقطة ضعف إضافية في شبكة شركتك.
الإجراءات المضادة
أهم إجراء هو حذف أو إلغاء تنشيط حساب الموظف المستقل بعد انتهاء علاقة العمل. أو على الأقل قم بتغيير عنوان البريد الإلكتروني وكلمة المرور المرتبطين – قد يكون ذلك مطلوبًا في الأنظمة التي تحذف جميع البيانات المرتبطة بالحساب. بالإضافة إلى ذلك، نوصي بـ:
- الاحتفاظ بسجل مركزي لمن لديه حق الوصول إلى الخدمات. فمن ناحية، سيساعدك هذا على إلغاء جميع الحقوق بعد انتهاء المشروع. ومن ناحية أخرى، سيكون مفيدًا في حالة التحقيق في حادثة ما.
- مطالبة المتقاعدين بالحفاظ على نظافة رقمية جيدة واستخدام حلول الأمان (على الأقل الحلول المجانية) على الأجهزة التي يستخدمونها للاتصال بموارد الشركة.
- فرض المصادقة الثنائية في جميع الأنظمة السحابية حيثما أمكن ذلك.
- إنشاء بنية أساسية منفصلة لمشاريع وملفات الموظفين المستقلين والمتعاقدين من الباطن، إن أمكن ذلك.
- فحص جميع الملفات التي تم تحميلها على التخزين السحابي أو خادم الشركة بحثًا عن البرامج الضارة.