الشرق الأوسط – سميرة القطان

كشف استطلاع حديث أجرته شركة كاسبرسكي بعنوان «الأمن السيبراني في بيئة العمل: وعي الموظفين وسلوكهم» أن 45% من الموظفين المتخصصين العاملين في السعودية يرون أن سياسات الأمن السيبراني في شركاتهم إما مبالغ فيها أو لا تتناسب بالكامل مع احتياجاتهم. في المقابل، أشار 8.5% إلى أن مؤسساتهم تفتقر إلى هذه السياسات أو أنهم ليسوا على دراية بها. وهذا يشير إلى فجوة بين سياسات الأمن السيبراني المؤسسية ومدى التزام الموظفين بها؛ مما يبرز الأخطار المرتبطة باستخدام تكنولوجيا معلومات الظل (Shadow IT) والأجهزة غير المُدارة داخل بيئة العمل.

يشير مصطلح تكنولوجيا معلومات الظل إلى استخدام الموظفين حلول تقنية سواء كانت برمجيات، أو أجهزة، أو خدمات دون موافقة، أو رقابة من قسم تكنولوجيا المعلومات داخل الشركة، وهذا السلوك يزيد تعرّض المؤسسات إلى أخطار أمنية. ومع أن الموظفين يلجؤون إلى هذه الممارسات بهدف تعزيز إنتاجيتهم، فقد تؤدي إلى ظهور ثغرات أمنية يصعب على فرق تقنية المعلومات كشفها ومتابعتها. وقد ساهم انتشار بيئات العمل الهجينة، وتزايد الاعتماد على الحلول السحابية وأدوات الذكاء الاصطناعي، في زيادة هذه الظاهرة. وفي حال غياب الرقابة الأمنية الصارمة، تصبح المؤسسات أكثر عرضة لهجمات الفدية، وتسرب البيانات، والعقوبات التنظيمية.

وأفاد 19% من المشاركين في الاستطلاع بعدم وجود سياسات تنظّم استخدام الأجهزة غير التابعة للشركة داخل مؤسساتهم. في المقابل، كما أقرّ 42% من الموظفين بإمكانية استخدام أجهزتهم الخاصة للوصول إلى معلومات العمل، بشرط وجود حد أدنى من الحماية السيبرانية، حتى وإن كانت عبر برامج مخصصة للاستخدام الشخصي لا المؤسسي. ومن ناحية أخرى، أشار 20% إلى أن استخدام الأجهزة الشخصية مسموح به بعد خضوعها لفحوصات أمنية مشددة من قسم تكنولوجيا المعلومات، فيما أوضح 19% أن الأجهزة الوحيدة المسموح باستخدامها للعمل هي تلك التي يوفرها قسم تكنولوجيا المعلومات.

وفيما يتعلق بصلاحيات تثبيت البرامج على أجهزة الشركة دون موافقة قسم تكنولوجيا المعلومات، فإن الوضع بدى إيجابياً بنحو ملحوظ؛ إذ أشار 42% من الموظفين المشاركين في الاستطلاع إلى أن مهمة تثبيت البرامج مقتصرة فقط على خبراء تكنولوجيا المعلومات، وأوضحت 38% من الشركات أن هذه المهمة تقتصر على الإدارة العليا أو مستخدمين محددين. في المقابل، ذكر 9% أن بإمكان الموظفين تثبيت برامج وافق عليها قسم تكنولوجيا المعلومات سابقاً. وأفاد 11% بأن جميع الموظفين في الشركات التي يعملون فيها لديهم حرية تثبيت أي برنامج دون الحاجة إلى موافقة قسم تكنولوجيا المعلومات.

ومع ذلك، أقرّ 25% من المهنيين المتخصصين الذين شملهم الاستطلاع بأنهم قاموا خلال العام الماضي بتثبيت برامج على أجهزة العمل دون إشراف من قسم تكنولوجيا المعلومات؛ مما يعكس استمرار التحدي المرتبط بتكنولوجيا معلومات الظل التي تزيد من تعرّض المؤسسات للثغرات الأمنية، والمخاطر المتعلقة بالامتثال، واختراقات البيانات.

وصرّح توفيق درباس، المدير العام لمنطقة الشرق الأوسط وتركيا وإفريقيا في كاسبرسكي، قائلاً: “أصبحت تكنولوجيا معلومات الظل تُمثل خطراً تشغيلياً رئيسياً في بيئة العمل. فعند قيام موظف واحد من كل خمسة موظفين بتثبيت برامج دون إشراف قسم تكنولوجيا المعلومات، فإن ذلك يُعدّ مؤشراً على وجود فجوة في السياسات الأمنية. ومع أن معظم الشركات تمتلك بالفعل نهجاً أمنياً فإن فهم الموظفين لهذا النهج وتفاعلهم معه يظل عاملاً حاسماً لتعزيز الأمان. لذلك، يجب على المؤسسات الابتعاد عن القيود الصارمة، والاعتماد بدلاً من ذلك على استراتيجيات أمن سيبراني ذكية تتمحور حول المستخدم، وتجمع بين الحلول التقنية ورفع مستوى الوعي والاستخدام المسؤول.”

لمساعدة المؤسسات في تقوية منظومة الحماية لديها، توصي كاسبرسكي باتخاذ الإجراءات التالية:

• إجراء مسح شامل لاستخدامات تكنولوجيا معلومات الظل، للكشف عن جميع البرمجيات، والخدمات السحابية، والأجهزة الشخصية غير مصرّح لها بالوصول إلى البيانات الخاصة بالعمل.
• اعتماد حلول قوية للمراقبة والأمن السيبراني، مثل حل Kaspersky Next المزود بتقنيات «الكشف والاستجابة الموسّعة» (XDR)، و«اكتشاف نقطة النهاية والاستجابة لها» (EDR)، للحصول على رؤية دقيقة حول استخدام التطبيقات غير المصرّح بها وأنماط عمل الأجهزة.
• في حال السماح للموظفين باستخدام أجهزتهم الخاصة، يجب تحديد حد أدنى واضح من المتطلبات الأمنية، وفرض الالتزام بتطبيقها عبر حلول مثل «إدارة الأجهزة المحمولة» (MDM) أو إدارة نقاط النهاية.
• تعزيز سياسات الأمن السيبراني الموجهة للموظفين ببرامج تدريبية توضح الأخطار الواقعية وسبل تفاديها، ويمكن أن تساهم منصة Kaspersky Automated Security Awareness Platform في تحقيق ذلك.

كما يقدم خبراء كاسبرسكي مجموعة من التوصيات للموظفين تشمل ما يلي:

• احرص على فهم سياسات الأمن السيبراني الخاصة بالشركة، واطلب التوضيح في حال وجود أي لبس.
• اقتصر على استخدام التطبيقات المعتمدة من قسم تكنولوجيا المعلومات، واطلب الصلاحيات اللازمة للوصول إلى الموارد التقنية عند الحاجة.
• استخدم الأجهزة المعتمدة للعمل فقط، وإذا كان استخدام الأجهزة الشخصية مسموحاً، فتحقق من أنها تستوفي معايير الأمان وتتضمن برامج حماية مناسبة.
• احفظ ملفات العمل وشاركها عبر المنصات المعتمدة رسمياً فقط.

*أجرت وكالة Toluna للأبحاث هذا الاستطلاع في عام 2025 بطلب من شركة كاسبرسكي. وتضمنت العينة الخاصة بالدراسة 2800 مقابلة أُجريت عبر الإنترنت مع موظفين وأصحاب شركات يستخدمون الحواسيب في العمل، في سبع دول تشمل: تركيا، وجنوب إفريقيا، وكينيا، وباكستان، ومصر، والمملكة العربية السعودية، والإمارات العربية المتحدة.

نبذة عن كاسبرسكي:

تأسست كاسبرسكي عام 1997، وهي شركة عالمية متخصصة في مجال الأمن السيبراني والخصوصية الرقمية. وفرت الشركة حلول الحماية لأكثر من مليار جهاز من التهديدات السيبرانية الناشئة والهجمات الموجهة، وتتطور خبرة الشركة العميقة دوماً في مجال معلومات التهديدات والأمن، وهي توظف خبرتها لتقديم حلول وخدمات مبتكرة لحماية الأفراد، والشركات، والبنية التحتية الحيوية، والحكومات، حول العالم. وتقدم محفظة الحلول الأمنية الشاملة للشركة حماية رائدة لحياة رقمية على الأجهزة الشخصية، وتوفر منتجات وخدمات أمنية مخصصة للشركات، وحلول المناعة السيبرانية لمكافحة التهديدات الرقمية المعقدة والمتطورة. تقدم الشركة خدماتها لملايين الأفراد ونحو 200,000 عميل من الشركات، وتساعدهم في حماية المعلومات المهمة لديهم.