Caisec”23: الاعتماد على كلمات المرور للتأمين وحدة لا يكفي

ناقشت جلسة حماية الأصول السحابية الرقيمة  خلال فعاليات اليوم الثاني لمؤتمر أمن المعلومات والامن السيبراني Caisec”23  ،ونظمته ميركوري كومينيكيشنز وأدارها أكرم حامد مهندس الأمن السيبراني بشركة سيسكو

في البداية قال محمود مجدي، كبير مهندسي النظم المعلوماتية بشركة Verto Wave إن هناك ضرورة للتحرك السريع في ظل انخفاض التكلفة التي أدت لزيادة المشاركة على الحوسبة السحابية بدلاً من شراء سيرفرات داخلية .

ومن جانبه قال ديفيد بروكس، رئيس الأنظمة السحابية بشركة Liquid C2  إنه خلال السنوات القليلة الماضية تم تثقيف مسئولي الأمن، وتعد السحابات الرقمية آمنة من أجل مزيد من المشاركة الفعالة، ويتعلق الأمر بتصحيح الوصول إلى المعلومات، وهناك بعض الأشياء المهمة لتحقيق الأمن الكامل وهي عملية معقدة للغاية حتى يتسنى الوصول للهدف.

وأضاف أن الأمن السيبراني رحلة مستمرة ولا تتوقف عند حد معين والسحابة الرقمية تمنح الفرصة لإيجاد شريك على تواصل مستمر وتحديث مستمر لكافة معايير وآليات الأمن والتأمين الكامل للبيانات والمعلومات على السحابة الرقمية.

ومن جهته قال هيثم علواني ، المدير الفني لتقنية المعلومات والحوسبة السحابية بشركة إي فاينانس  أنه لابد أولاً من حصر كل الإمكانيات الاستثمارية ومنح أوزان مختلفة لأهمية البيانات وحجمها وبناء على تلك الأوزان يتم وضع نموذج تأميني لكل عميل ولكل مجموعة من البيانات والمعلومات.

وأكد أنه يجب أن تضع المؤسسات في حسبانها أن الهجمات قد تأتي من أي جهة وفي أي وقت، ومن هنا يجب الاهتمام بسياسات وعمليات الدخول إلى المعلومات بحيث لا يتم الاعتماد فقط على كلمات المرور للدخول إلى النظام، ولابد من استخدام معايير كلمة المرور وتحديد مدة صلاحيتها وكذلك لابد من تضييق الصلاحيات لكل مستخدم على حدة.

ولفت إلى أهمية الرصد الدوري للتأكد من قوة النظام ولتحقيق ذلك في الوضع الحالي لابد من مراعاة تطور الذكاء الاصطناعي حيث يستطيع الـ AI منفرداً بمعالجة الكثير من نقاط الضعف والتعامل مع التهديدات بشكل مباشر ولحظي، كما أنه لابد من عمل مراجعات دورية، وأشار إلى ضرورة نظر المؤسسات في توافق معاييرها القانونية بحفظ بياناتها داخل سحابات رقمية في دول أجنبية وما إذا كان القانون يسمح بذلك من عدمه.

ومن ناحية أخرى تحدث أشرف عصمت خليل، كبير مهندسي الحلول في هواوي الشرق الأوسط وآسيا الوسطى عن ضرورة وجود استراتيجية واضحة لأي خطة والتي لابد من أن تنظر أولاً إلى طبيعة الجهة التي يتم خدمتها لأنه من خلال ذلك سوف يتم تحديد طبيعة تدفق البيانات وحجمها ومدى أهميتها.

وأضاف أن هواوي تعمل على تقديم خدمات السحابة منذ 15 عاماً، وأولاً يتم النظر لسياسات الدول والأطر القانونية المنظمة لمنطقة العمل، ثانياً يجب النظر إلى ما يسمى “السيكور باي ديزاين”، وثالثاً الاهتمام الكامل بالهوية.

ولفت إلى أن أحد أهم مشاكل ” Zero-Trust” هي عدم الاستمرارية، ومن الطبيعي في السحابات الرقمية أن يكون هناك أكثر من أداة للحماية، كما أنه لابد من مداومة الاختبار واكتشاف الفجوات الأمنية باستمرار لأنه لا يوجد أحد آمن بنسبة 100%.

وأكد على ضرورة استثمار المؤسسات في دعم كفاءة فريق العمل، حيث إنه في اليابان قبل أسبوعين تم تسريب معلومات 2.5 مليون عميل.