أنظمة وأدوات إدارة التقنية

6 خطوات لإدارة كلمات المرور في منظمتك

كُتب بواسطة ياسر سليمان

مع كثرة المواقع والخدمات والأجهزة التي تتطلب إنشاء حساب خاص للمستخدم وما قد يتطلبه ذلك من تكوين وتذكر كلمات مرور مرة تلو الأخرى، يجد العديد من المستخدمين أن إعادة استخدام نفس كلمة المرور (والتي غالباً ما تكون ضعيفة وغير آمنة في الأساس) لأكثر من حساب هي الطريقة الأكثر راحة وسرعة. لكن في كثير من الأحيان، فإن الراحة هي عدو الأمن.

تتفاقم المشكلة في المنظمات وفرق العمل، حيث قد تظهر الحاجة أيضاً إلى مشاركة بعض كلمات المرور بين أفراد الفريق، فيكون الحل الأسهل والأسرع هو إنشاء مستند مشترك يحوي كلمات المرور المطلوب مشاركتها وحفظه في مكان ما. قد يحقق هذا الحل السهولة والسرعة، لكن ذلك غالباً ما يكون على حساب الأمن.

أحد الحلول البديلة والتي تحقق مستوى أعلى بكثير من الأمن دون التفريط كليةً بالسهولة والسرعة هو استخدام أحد أدوات إدارة كلمات المرور على مستوى المنظمة ككل.

قد يقول قائل أننا لم نواجه مشكلة من قبل مع طريقة مستند كلمات المرور المشتركة، أو ليس من المعقول وجود مخترقين يريدون الدخول على حسابات منظمة خيرية صغيرة كمنظمتنا، أو غير ذلك من الأعذار التي تستخدم لتجنب استخدام أدوات إدارة كلمات المرور على مستوى المنظمة. قد يكون العذر الأقوى والأكثر واقعية من بين هذه الأعذار هو وجود الكثير من خبراء وتقارير أمن المعلومات التي تقول أن هذه الأدوات نفسها يمكن أن تكون غير آمنة، حيث يتم من وقت لآخر اكتشاف ثغرات أمنية حتى في أشهر تلك البرامج.

صحيح أن أدوات إدارة كلمات المرور ليست آلية دفاع مثالية (وواقعياً، لا توجد أصلاً آلية دفاع مثالية)، لكن ما زال معظم خبراء أمن المعلومات متّفقين على أن استخدام مدير كلمات المرور لا تزال الوسيلة الأسلم في الوقت الحالي لتأمين حسابات المستخدمين. في عصرنا الحالي، يتوجب علينا استخدام العديد من كلمات المرور، ويجب أن تكون جميعها قوية وآمنة، مما يجعل مهمة تذكرها مستحيلة. مخاطر الحل البديل الكامن في إعادة استخدام كلمات المرور لأكثر من حساب أفدح من المخاطر المحتملة للثغرات الأمنية في برامج إدارة كلمات المرور.

إذاً، في حين أن بعض تلك الأعذار أعلاه قد تحتوي على جزء من الحقيقة، لكنها سرعان ما ستتلاشى حالما يشهد المستخدمون فوائد استخدام أدوات إدارة كلمات المرور من الأمن وتوفير الوقت، وخصوصاً عند استخدام هذه الأدوات على مستوى المنظمة ككل. نقدم لك هنا 6 خطوات لتطبيق إدارة كلمات المرور في منظمتك.

خطوة 1: اتخذ القرار

إذا لم تكن جزءً من فريق القيادة وأصحاب القرار في منظمتك، فسوف تحتاج إلى إقناع شخص منهم ليساعدك على دعم هذا المشروع. اعرف من سيكون هذا الشخص، وتأكد من أنهم سيقفون معك داعمين لتنفيذ هذا المشروع.

خطوة 2: اختر مدير كلمات المرور الملائم

يوجد العديد من برامج وأنظمة إدارة كلمات المرور التي تدعم استخدامها ضمن فرق عمل (على سبيل المثال لا الحصر: Dashlane، LastPass، 1Password، Passbolt). لكننا لسنا هنا بمعرض اقتراح أو تزكية برنامج أو نظام معين لإدارة كلمات المرور، فحتى خبراء أمن المعلومات لا يمكنهم الاتفاق على أي البرامج هو الأفضل. المهم هنا هو اختيار أداة معتبرة ومعروفة ولها تاريخ من الشفافية والسرعة في إصلاح وإغلاق الثغرات الأمنية.

تتنوع المزايا والخصائص والخدمات التي توفرها هذه البرامج، لذا من المهم أيضاً أن تعرف ما إذا كان لديك أي مزايا أو خصائص محددة لا بد أن تتوفر في الأداة المراد استخدامها، فبعض هذه المزايا قد لا توجد إلا في بعض البرامج دون غيرها. هذه هي بعض المزايا والخصائص التي قد تجدها قيّمة وضرورية:

  • قدرة مشرف النظام على:
    • تعيين سياسات أمان محددة لتلبية احتياجات المنظمة (على سبيل المثال، تحديد طول كلمة المرور وتفعيل الاستيثاق متعدد العوامل (multi-factor authentication).
    • السيطرة على حساب المستخدم وإزالة حق الوصول إلى كلمات المرور المشتركة عند مغادرته للمنظمة.
    • إعادة تعيين كلمة السر الرئيسية للمستخدم إذا لزم الأمر.
  • المجلدات المشتركة أو مجموعات الأمان لتسهيل إدارة من يمكنه الوصول إلى حسابات مشتركة محددة.
  • قدرة الموظفين على ربط حساب شخصي بحساب المنظمة لتحسين سير العمل، ولكن من دون مزج البيانات الشخصية مع بيانات المنظمة (لا تدري، بعد أن يرى الموظفون فوائد إدارة كلمات المرور في العمل، سيريدون على الأرجح البدء في إدارة حساباتهم الشخصية بنفس الطريقة!).

قد تكون الميزانية عاملاً آخر عليك أخذه في عين الاعتبار. تقدم العديد من الأدوات الأكثر شعبية إصدارات مجانية، لكن التطبيق السليم والمناسب في منظمتك قد يتطلب ترخيصاً مدفوعاً.

خطوة 3: ضع خطة للتنفيذ

بعد اختيار أداة إدارة كلمات المرور الملائمة، تتمثل الخطوة التالية في وضع خطة لإطلاق واستخدام هذه الأداة عبر منظمتك. هنا ستجد فائدة الشخص الذي حددته في الخطوة 1.

ستحتاج إلى خطة تنفيذ مفصّلة توثق عملية انضمام المستخدمين، وسياسات منظمة محددة لكيفية استخدام هذه الأداة، وخطة لنقل كل حسابات المستخدمين الموجودة مسبقاً إلى الأداة، وأخيراً خطة للتخلص من جميع كلمات السر القديمة والغير آمنة واستبدالها بكلمات مرور آمنة وفريدة.

سيساعدك اختبار وتجربة الأداة بنفسك بشكل كبير في وضع هذه الخطة. في حين يجب أن تجعل الخطة مفصلة وكاملة قدر الإمكان، لا تنسى أن هذه مسودة أولى، و غالباً ما سوف تتطلب تنقيحات وتعديلات جوهرية بعد تنفيذ الخطوة التالية.

اقرأ أيضاً:  التعهيد الخارجي في المنظمات الخيرية

خطوة 4: قم بتطبيق تجريبي مع فريق عمل صغير

ليس هناك طريقة أسرع ليتذمر زملائك في المنظمة بسبب نظام جديد من تطبيق سيئ التنفيذ. إذا زادت أداة جديدة من إجهادهم أو أعباء عملهم، فبمجرد أن تلتفت بعيداً سيتوقفون عن استخدامها ويعودون إلى استخدام ما يعرفونه.

لتجنب هذا الوضع المحتمل، اختر مجموعة صغيرة من الموظفين الموثوق بهم للمساعدة في اختبار خطتك قبل الإطلاق والتطبيق على مستوى المنظمة ككل. يمكن أن تساعدك هذه الخطوة على تحديد وإصلاح عدة جوانب قد تكون غير مكتملة أو سلسة في خطتك. كما يمكن لهذه الخطوة أن تخلق مجموعة ملتزمة من الموظفين “المُهتَدِين” الذين سيكون بمقدورهم مساعدتك في الإجابة على أسئلة الموظفين الآخرين وتدريبهم لاحقاً.

خطوة 5: أطلق المبادرة للمنظمة كلها

الآن بعد أن أصبح لديك خطة منقحة ومحسنة جنباً إلى جنب مع فريق صغير من الموظفين الحريصين على رؤية هذه الأداة الجديدة قيد التطبيق والاستخدام، فأنت جاهز للإطلاق الرسمي. من المؤكد أنه سيكون هنالك مطبات غير متوقعة في الطريق أمامك، ولكن طالما أن لديك الأشخاص المناسبين في صفك وأنك تأكدت من وضع الوقت الكافي لتدريب الجميع بشكل فعّال، لن يستغرق زملائك في المنظمة وقتاً طويلاً قبل رؤية فوائد الأداة الجديدة.

هنا سترى ثمرة كل العمل الذي قمت به حتى الآن، عندما يدرك المستخدمون أن عبء تذكر كلمات مرور لا تعد ولا تحصى قد رفع عنهم، وأن حساباتهم ستكون في الواقع أكثر أمناً بكثير.

خطوة 6: وفّر التدريب والتحسين المستمرَّين

في حين قد يبدو أن كل شيء قد أصبح آمناً وسهلاً ورائعاً بعد التطبيق، فإنه من الأهمية بمكان أن لا تصبح غير مبالٍ بالمخاطر التي لا تزال موجودة. سيكون لدى المستخدمين على أرض الواقع مستويات مختلفة من تبني المنهجيات والآليات الجديدة، ومنظمتك ككل آمنة بقدر وعي والتزام المستخدم الأقل أماناً فيها.

لمكافحة هذه المخاطر المحتملة، فإن معظم خدمات إدارة كلمات المرور توفر أدوات يمكنك استخدامها لمراقبة مدى أمان حساب كل مستخدم (مثل قوة كلمة المرور الرئيسية، وكلمات المرور المعاد استخدامها، واستخدام الاستيثاق متعدد العوامل (multi-factor authentication))، حتى تتمكن من تحديد ومتابعة المستخدمين الذين يبدو أنهم يتأخرون عن الركب.

ستحتاج أيضاً إلى تحديث السياسات ذات العلاقة حتى تتناسب مع أي احتياجات جديدة أو مخاطر أمنية يتم اكتشافها، وكذلك ستحتاج  إلى تقديم التدريب بشكل دوري لتجديد معلومات الموظفين. و لا تنسى أن تجعل هذا جزءًا من تدريب الموظفين لإبقائهم واعين ويقظين حول المخاطر الأمنية ذات الصلة مثل محاولات الاحتيال والتصيد.

 

عن الكاتب

ياسر سليمان

اترك تعليق