هوية رقمية آمنة: كيف توازن المؤسسات العربية بين أحدث التقنيات واللوائح الصارمة؟

6 دقيقة
هوية رقمية آمنة: كيف توازن المؤسسات العربية بين أحدث التقنيات واللوائح الصارمة؟
حقوق الصورة: Shutterstock.com/Kanr2425

إذا كنت على وشك إجراء معاملة مالية حساسة عبر تطبيق هاتفك، وطلب منك خطوة تحقق إضافية لا تظهر عادة قد تشعر بالانزعاج للحظة، لكن في الحقيقة هذا الإجراء هو خط الدفاع الأخير الذي يحميك من الاحتيال، وهو ما يمثل جوهر التوثيق الآمن المستند إلى اللوائح والأنظمة، والذي يوازن بين راحة المستخدم وأمنه، فكيف أصبحت حمايتنا الرقمية أكثر ذكاء وقوة، وكيف يمكن للمؤسسات توفير تطبيقات توثيق آمنة تحمي بيانات المستخدمين وتلتزم باللوائح الصارمة دون التضحية براحة المستخدم؟

كيف يبدو مشهد تقنيات الأمان الرقمي اليوم؟

في الوقت الحالي، يمكننا القول إن عصر كلمات المرور قد بدأ بالاختفاء، حيث تعد المصادقة متعددة العناصر التي تتطلب عاملي تحقق مستقلين أو أكثر المعيار لتأمين الحسابات من خلال:

  • شيء تعرفه: مثل كلمات المرور أو أرقام التعريف الشخصية.
  • شيء تملكه: مثل جهاز محمول أو رمز مميز.
  • شيء يخصك: مثل بصمات الأصابع أو التعرف على الوجه.

من خلال دمج هذه العوامل، تقلل المصادقة متعددة العوامل المخاطر بشكل كبير، فحتى في حالة سرقة كلمة المرور لا يزال المهاجم بحاجة إلى العامل الثاني. وتدعم هذا التوجه الدراسات العالمية، فوفقاً لدراسات حديثة منها دراسة لشركة غارتنر سيكون أكثر من 50% من القوى العاملة وأكثر من 20% من معاملات المصادقة بدون كلمة مرور في السنوات القادمة.

كما يقود كبار مزودي التكنولوجيا هذا التوجه بالفعل، إذ تدعم شركات مايكروسوفت وجوجل وآبل تكنولوجيا مفاتيح المرور التي تتيح للمستخدم تسجيل الدخول دون كتابة كلمة مرور، حيث غالباً ما تستفيد هذه الأساليب من بروتوكولات موحدة لضمان التوافق والحماية القوية.

على الرغم من أن العديد من المؤسسات لا تزال تستخدم منهجية كلمة المرور لمرة واحدة كعامل ثانوي اليوم، لكن الجهات التنظيمية تحث على تحديثها. على سبيل المثال، بدأ مصرف الإمارات العربية المتحدة المركزي بإلزام جميع البنوك بالتخلص تدريجياً من كلمة المرور لمرة واحدة، واستخدام المصادقة القائمة على المخاطر مثل المقاييس البيومترية أو الرموز الآمنة بحلول نهاية شهر مارس من العام القادم.

كما تظهر ابتكارات متطورة مثل المصادقة التكيفية التي تستخدم الذكاء الاصطناعي وتحليل المخاطر لمنح تسجيل الدخول تلقائياً في الحالات منخفضة المخاطر، ولكنها تعزز عملية التحقق مثل طلب عامل إضافي عند اكتشاف سلوك غير طبيعي.

على سبيل المثال، قد يتعرف النظام إلى تسجيل الدخول من جهاز عادي على أنه منخفض المخاطر، ولكنه يتطلب بصمة إصبع إذا كان الوصول من موقع غير مألوف، وتشير دراسة حديثة إلى أن هذه الأساليب المدعومة بالذكاء الاصطناعي يمكن أن تقلل بشكل كبير عمليات الاحتيال بنسبة تصل إلى أكثر من 90%، مع تحسين تجربة المستخدم وتقليل النتائج الإيجابية الخاطئة بنسبة 50-60%.

ما هو الفرق بين الأمن والامتثال؟ وكيف يجري تطبيقهما؟

بالنسبة لقادة التكنولوجيا، ينبغي التمييز بوضوح بين الأمن والامتثال، ففي حين يذكر هذان المفهومان غالباً في السياق نفسه، إلا أنهما غير قابلين للتبادل؛ فالأمن هو ممارسة استباقية مستمرة لإدارة المخاطر بشكل نشط وبناء طبقات من الدفاع لحماية الأصول الرقمية من الوصول غير المصرح به أو التعطيل أو التلف.

على النقيض من ذلك، يعد الامتثال ممارسة تفاعلية لتلبية متطلبات طرف ثالث لأسباب قانونية أو تجارية، ويمكن اعتباره قائمة مرجعية وإن كانت ضرورية إلا أنها لا تضمن الحماية من خرق البيانات، ويتطلب النهج الاستراتيجي لدمجهما معاً منظوراً دقيقاً يدرك العلاقة الحاسمة بين الاثنين: فالأمان الجيد غالباً ما يفضي إلى الامتثال، لكن الامتثال وحده لا يضمن أماناً جيداً.

وهذا يتطلب فلسفة "الأمان من خلال التصميم" التي تدمج ضوابط وقائية في عملية التطوير منذ البداية بدلاً من محاولة إضافتها كفكرة لاحقة، ما يضمن أن التطبيق النهائي ليس فقط جاهزاً للتدقيق ولكنه أيضاً مرن في مواجهة مشهد التهديدات المتطور، ما يحول الامتثال من التزام مرهق إلى نتيجة طبيعية لبرنامج أمني قوي.

اقرأ أيضاً: دليل الحكومة الرقمية لحماية البيانات الحساسة من الهجمات السيبرانية

5 من أبرز أدوات التوثيق الآمن والمتوافقة مع اللوائح

يعد ضمان الأمن القوي والامتثال الصارم للأنظمة أمراً بالغ الأهمية، إذ يتطلب مشهد التهديدات السيبرانية الحديثة أدوات مصادقة متقدمة تتجاوز مجرد كلمات المرور البسيطة، وتطبيق معايير الامتثال الرئيسية التي تساعد هذه الأدوات على تلبيتها، ومن أبرزها:

1. أداة مايكروسوفت إنترا آي دي Microsoft Entra ID

خدمة إدارة الهوية والوصول، موثوقة وقائمة على السحابة ومثالية للمؤسسات التي تستخدم خدمات شركة مايكروسوفت.

  • ميزات: توفر تدابير أمان تكيفية والمصادقة دون كلمة مرور وسياسات مشروطة تقيد الوصول بناءً على مخاطر المستخدم والجهاز والموقع.
  • الامتثال: تعمل بسلاسة مع خدمة مايكروسوفت 365 وتساعد المؤسسات على تلبية معايير الصناعة من خلال ميزات مثل إدارة الهوية المتميزة.

2. أداة أوكتا أدابتيف إم إف أيه Okta Adaptive MFA

جيدة في إدارة الهوية والوصول تتكامل مع آلاف التطبيقات.

3. أداة سيسكو دو سكيوريتي Cisco Duo Security

أداة سهلة الاستخدام وقوية تؤمن مجموعة واسعة من التطبيقات والخدمات.

  • الأمان: تعمل على مبادئ استراتيجية الثقة الصفرية وتوفر ضوابط سياسات دقيقة ومسارات تدقيق شاملة.
  • الامتثال: تشتهر بحماية مركزية قوية ومناسبة للبيئات التنظيمية.

4. أداة بينغ آيدينتيتي Ping Identity

منصة إدارة الهوية والوصول على مستوى المؤسسات، قابلة للتوسع بشكل كبير وتدعم نماذج الأمان الحديثة.

  • الأمان: توفر مصادقة تكيفية قائمة على المخاطر وخيارات متعددة بدون كلمة مرور، بما في ذلك المقاييس الحيوية.
  • الامتثال: صمم نهجه الشامل لتلبية متطلبات الأمان والامتثال المعقدة للمؤسسات

5. أداة آي بي إم سكيوريتي فيرفاي IBM Security Verify

تستخدم الذكاء الاصطناعي والتعلم الآلي للمصادقة السياقية القائمة على المخاطر.

  • الأمان: تحسب درجات المخاطر بناءً على سلوك المستخدم وخصائص الجهاز، مع تعديل الأمان ديناميكياً، وتدعم المصادقة بدون كلمة مرور والمصادقة بالمقاييس الحيوية.
  • الامتثال: تساعد الشركات على تلبية المتطلبات التنظيمية الشائعة.

اقرأ أيضاً: هل فريقك مستعد للهجمات السيبرانية؟ أساسيات الأمن الرقمي لكل مدير

الإطار التنظيمي في الدول العربية لحماية البيانات والخصوصية الرقمية

يتجه المشهد العالمي لخصوصية البيانات نحو أطر شاملة قائمة على المبادئ تمنح الأفراد سيطرة أكبر على بياناتهم الشخصية، هذه المبادئ التي أصبح الاتحاد الأوروبي رائداً فيها، أصبحت تعتمد وتكيف الآن في أنحاء العالم كافة، بما في ذلك في الدول العربية.

وتشمل المبادئ الرئيسية ما يلي:

- تقييد الغرض: لا يجوز جمع البيانات الشخصية واستخدامها إلا لغرض محدد وصريح ومشروع بموافقة المستخدم.

- تقليل البيانات: ينبغي للمؤسسات جمع الحد الأدنى من البيانات اللازمة ومعالجته لتحقيق الغرض المقصود.

- المشروعية والإنصاف والشفافية: ينبغي أن تعالج البيانات على أساس قانوني ويجب على المؤسسات أن تكون شفافة بشأن كيفية جمعها واستخدامها البيانات الشخصية.

- الموافقة الصريحة: ضرورة وجود موافقة واضحة وصريحة من المستخدم الذي يجب أن يكون قادراً على سحب هذه الموافقة في أي وقت.

اقرأ أيضاً: كيف يستخدم قراصنة الإنترنت الهندسة الاجتماعية لخداع الموظفين؟

وقد برزت دولة الإمارات العربية المتحدة بسرعة كدولة رائدة في إرساء إطار عمل متين للهوية الرقمية وحماية البيانات، من خلال اللوائح والأطر القانونية التي تم تشريعها على فترات مختلفة، من ضمنها القانون الاتحادي لحماية البيانات الشخصية لعام 2021 الذي يسري على معالجة البيانات الشخصية لأي شخص مقيم أو يمارس أعمالاً تجارية في الدولة، بغض النظر عن قطاع عمل المؤسسة.

ومن المبادئ الأساسية للقانون اشتراط الحصول على موافقة محددة والتي يجب أن تمنح من خلال إجراء واضح، كما ينص القانون على عدم الاحتفاظ بالبيانات الشخصية بعد استيفاء الغرض من المعالجة إلا إذا كانت البيانات مجهولة المصدر، بالإضافة إلى ذلك يلزم القانون بتعيين مسؤول عن حماية البيانات للمؤسسات التي تعالج كمية كبيرة من البيانات الشخصية الحساسة أو تشارك في أنشطة تشكل خطراً كبيراً على سرية البيانات والخصوصية.

كما تعمل المملكة العربية السعودية على إرساء إطار قانوني متين لحماية البيانات الشخصية وتعزيز الثقة الرقمية، من خلال قانون حماية البيانات الشخصية الذي يضم مجموعة شاملة من الأحكام القانونية المصممة لحماية خصوصية الأفراد وتعزيز الثقة في المعاملات الإلكترونية والحد من ممارسات معالجة البيانات الضارة.

اقرأ أيضاً: ما هو الفرق بين كلمات المرور ومفاتيح المرور؟ وأيهما أفضل لأمانك؟

كيفية الموازنة بين راحة المستخدم ومتطلبات الأمان والتنظيم الصارمة

يمثل تحقيق التوازن بين الأمان وراحة المستخدم تحدياً معقداً، ففي كثير من الأحيان تتسبب الإجراءات الأمنية الصارمة مثل ضرورة استخدام كلمات المرور المعقدة في إزعاج المستخدمين، ما قد يدفعهم إلى سلوكيات خطيرة مثل إعادة استخدامها أو تدوينها، وبالتالي تقويض الأمان. في المقابل تعد الأنظمة السهلة جداً عرضة للتهديدات الإلكترونية.

لتحقيق هذا التوازن، يمكن للمؤسسات اتباع مجموعة من الاستراتيجيات من ضمنها:

1- الأمن القائم على المخاطر: يركز هذا النهج على تطبيق إجراءات أمنية مختلفة حسب مستوى الخطر. على سبيل المثال، يتطلب تصفح موقع بسيط تسجيل دخول عادي، بينما تتطلب المعاملات الحساسة مثل تحويل الأموال مصادقة متعددة العوامل.

2- أساليب مصادقة سلسة: لجعل الأمان أكثر سهولة، يمكن الاعتماد على تقنيات حديثة مثل:

  • البيانات الحيوية: مثل بصمات الأصابع والتعرف إلى الوجه التي توفر وصولاً آمناً وسريعاً.
  • تسجيل الدخول الموحد: يتيح للمستخدمين الوصول إلى تطبيقات متعددة ببيانات اعتماد واحدة.
  • المصادقة دون كلمة مرور: التي تستخدم روابط أو إشعارات للتحقق بدلاً من كلمات المرور.
  • المصادقة التكيفية: التي تضمن تجربة مستخدم سلسة في الأوقات العادية، وتزيد إجراءات التحقق عند اكتشاف سلوك غير طبيعي.

3- تصميم ميزات أمان سهلة الاستخدام: ينبغي أن تكون تعليمات الأمان واضحة ومبسطة، فبدلاً من رسالة: "كلمة المرور غير صحيحة"، الغامضة يمكن توفير تلميحات مفيدة مثل: "يجب أن تحتوي كلمة المرور على رقم ورمز".

4- تثقيف المستخدمين: فهم المستخدمين سبب الإجراءات الأمنية يزيد تقبلهم لها، إذ يمكن للمؤسسات تنظيم حملات توعية تشرح أهمية الأمان في حماية بياناتهم الخاصة.

فشلت أنظمة الأمان التقليدية المعتمدة على كلمات المرور في مواجهة التهديدات المتطورة. لذا أصبح التحول إلى أساليب أكثر متانة مثل المصادقة متعددة العوامل أمراً حتمياً، وتؤدي الأطر التنظيمية في الدول العربية دوراً رئيسياً في تسريع هذا التحول، ما يدفع المؤسسات إلى تبني حلول أمان حديثة متوافقة مع المعايير العالمية.

المحتوى محمي