سؤال الخصوصية الذي يطرحه الجميع
عندما يطلب منك صاحب العمل تثبيت برنامج إدارة الأجهزة المحمولة (MDM) على هاتفك الشخصي، فإن أول سؤال يتبادر إلى ذهنك هو على الأرجح: "ما الذي يمكنهم رؤيته؟". إنه قلق منطقي تماماً، وللأسف، لا يحصل العديد من الموظفين أبداً على إجابة واضحة وصادقة. وغالباً ما تكون النتيجة هي القلق، والشائعات، والمقاومة غير الضرورية لـ برامج "إحضار جهازك الخاص" (BYOD) التي قد تعود بالنفع على الجميع.
ولا يساهم في تخفيف هذا الغموض حقيقة أن العديد من أقسام تقنية المعلومات نفسها لا تدرك تماماً التداعيات المتعلقة بالخصوصية في حلول إدارة الأجهزة المحمولة (MDM) الحديثة. فقد يقدمون إجابات غامضة، أو والأسوأ من ذلك، قد يبالغون في قدراتهم على المراقبة في محاولة لتشجيع ممارسات أمنية أفضل. وهذا النهج يأتي بنتائج عكسية، حيث يؤدي إلى انعدام الثقة ويجعل الموظفين مترددين في المشاركة في برامج إدارة الأجهزة المحمولة.
الحقيقة هي أن حلول إدارة الأجهزة المحمولة (MDM) الحديثة، وخاصة تلك التي تطبق ملفات تعريف العمل في Android Enterprise وإدارة الأجهزة الخاضعة للإشراف من Apple، مصممة مع اعتبار الخصوصية مبدأً أساسياً. حيث تخلق هذه التقنية حواجز تقنية قوية بين بياناتك الشخصية وما يمكن لصاحب العمل الوصول إليه. وفهم هذه الحدود ليس مفيداً فحسب، بل هو أمر ضروري لاتخاذ قرارات مدروسة بشأن تقنيات مكان العمل.
فهم تقنية عزل ملفات تعريف العمل (Containerization)
يكمن أساس حماية الخصوصية في أنظمة إدارة الأجهزة المحمولة (MDM) الحديثة في تقنية عزل البيانات (Containerization)، والتي يتم تنفيذها من خلال ما يطلق عليه Android "ملفات تعريف العمل" وما تحققه Apple من خلال إدارة الأجهزة الخاضعة للإشراف مع تسجيل المستخدم. فكر في الأمر على أنه إنشاء بيئتين منفصلتين تماماً على جهازك الواحد؛ واحدة لحياتك الشخصية وأخرى للعمل. وللحصول على شرح تقني مفصل حول كيفية عمل هذا العزل، راجع دليلنا حول آليات عزل البيانات في Android Enterprise.
هذا ليس مجرد فصل بصري عبر أيقونات تطبيقات أو مجلدات مختلفة؛ بل إن تقنية عزل البيانات (Containerization) تخلق عزلاً تقنياً حقيقياً على مستوى نظام التشغيل. فتطبيقاتك الشخصية، وبياناتك، وصورك، ورسائلك، وسجل التصفح الخاص بك، كلها توجد في حاوية منفصلة تماماً عن بيئة عملك. ولا يمكن لهذه الحاويات الوصول إلى بيانات بعضها البعض، كما أن حل إدارة الأجهزة المحمولة (MDM) الخاص بصاحب العمل يمكنه فقط رؤية وإدارة حاوية العمل.
عند تثبيت ملف تعريف العمل على نظام Android، ستلاحظ ظهور علامة حقيبة صغيرة بجانب تطبيقات العمل. يمكن لهذه التطبيقات فقط الوصول إلى البيانات الموجودة داخل حاوية العمل؛ فمث lتطبيق البريد الإلكتروني الخاص بالعمل لا يمكنه رؤية صورك الشخصية، ومحرر المستندات الخاص بالعمل لا يمكنه الوصول إلى ملفاتك الشخصية، كما أن متصفح العمل يحتفظ بإشارات مرجعية وسجل وتخزين كلمات مرور منفصل تماماً عن متصفحك الشخصي.
يتم فرض هذا الفصل بواسطة نظام تشغيل الجهاز نفسه، وليس فقط من خلال برنامج إدارة الأجهزة المحمولة (MDM). وحتى لو أراد صاحب العمل الوصول إلى بياناتك الشخصية (وهو ما لا يفعله أصحاب العمل المرموقون)، فإن البنية التقنية تمنع ذلك. حيث يعمل ملف تعريف العمل كما لو كان جهازاً منفصلاً تماماً، ولكنه يعمل على نفس الأجهزة المادية التي تعمل عليها بيئتك الشخصية.
ما يمكن لشركتك رؤيته
تعد الشفافية أمراً بالغ الأهمية لبناء الثقة، لذا دعونا نوضح تماماً ما هي المعلومات التي يمكن لصاحب العمل الوصول إليها عند تثبيت برنامج إدارة الأجهزة المحمولة (MDM) على جهازك الشخصي. تقتصر هذه الرؤية على المعلومات المتعلقة بمستوى الجهاز والأنشطة المرتبطة بالعمل فقط، ولا تشمل أي شيء من حاويتك الشخصية.
يمكن لصاحب العمل رؤية معلومات الجهاز الأساسية مثل طراز الجهاز، وإصدار نظام التشغيل، ومستوى تحديثات الأمان (security patch level)، والحالة العامة للجهاز. وتعد هذه المعلومات ضرورية لضمان أن الأجهزة المتصلة بشبكات الشركة تلبي معايير الأمان وتكون محمية ضد الثغرات الأمنية المعروفة. كما يمكنهم معرفة ما إذا كان الجهاز مشفراً وما إذا كانت ميزات الأمان الأساسية مثل قفل الشاشة مفعلة.
ضمن ملف تعريف العمل، يتمتع صاحب العمل برؤية وتحكم كاملين؛ حيث يمكنه رؤية تطبيقات العمل المثبتة، ومراقبة استخدامها، والوصول إلى البيانات المتعلقة بالعمل مثل رسائل البريد الإلكتروني والمستندات وسجل التصفح داخل تطبيقات العمل. كما يمكنه تتبع موقع الجهاز إذا كانت خدمات الموقع مفعلة لتطبيقات العمل، وإن كان هذا يتطلب عادةً موافقة صريحة من الموظف وإفصاحاً واضحاً في السياسات.
تكون أنشطة الشبكة المتعلقة بتطبيقات العمل مرئية أيضاً لصاحب العمل. فعندما تتصل تطبيقات العمل بخوادم الشركة أو الخدمات السحابية، يمكن مراقبة حركة البيانات وتسجيلها تماماً كما يحدث في الأجهزة المملوكة للشركة. ومع ذلك، تقتصر هذه المراقبة على أنشطة الشبكة المتعلقة بالعمل فقط؛ أما تصفحك الشخصي، واستخدامك لوسائل التواصل الاجتماعي، ومراسلاتك عبر التطبيقات الشخصية، فتظل خاصة تماماً.
ما يظل خاصاً تماماً
تظل حاويتك الشخصية خاصة تماماً ولا يمكن لنظام إدارة الأجهزة المحمولة (MDM) الخاص بصاحب العمل الوصول إليها. وهذا يعني أن صورك الشخصية، ورسائلك، وسجل التصفح الخاص بك، ونشاطك على وسائل التواصل الاجتماعي، وتطبيقاتك الشخصية، وأي بيانات مخزنة بواسطة التطبيقات الشخصية، لا يمكن لصاحب العمل رؤيتها أو الوصول إليها أو مراقبتها.
تتم حماية الاتصالات الشخصية بشكل كامل؛ فلا يمكن الوصول إلى رسائلك النصية، أو بريدك الإلكتروني الشخصي، أو الرسائل المباشرة على وسائل التواصل الاجتماعي، أو محادثات تطبيقات التعارف، أو أي اتصالات شخصية أخرى عبر نظام إدارة الأجهزة المحمولة (MDM). وحتى لو كنت تستخدم جهازك على شبكة الشركة، فإن الاتصالات الشخصية التي لا تتم عبر تطبيقات العمل تظل خاصة تماماً.
سجل تصفحك الشخصي، وعمليات البحث، وزيارات المواقع الإلكترونية التي تتم عبر المتصفحات الشخصية، كلها غير مرئية لصاحب العمل. كما تظل أنماط استخدام التطبيقات الشخصية، وأوقات تفقدك لوسائل التواصل الاجتماعي، والألعاب التي تلعبها، والمحتوى الترفيهي الذي تستهلكه، كلها خاصة تماماً. وتظل جهات اتصالك الشخصية، ومدخلات التقويم، والملاحظات، وأي بيانات شخصية أخرى موجودة في حاويتك الشخصية حيث لا يمكن الوصول إليها.
تستحق خصوصية الموقع اهتماماً خاصاً لأنها مصدر قلق شائع. وبينما قد يتمكن صاحب العمل من رؤية موقع الجهاز عندما تطلب تطبيقات العمل ذلك، فإن سجل مواقعك الشخصية والأماكن التي تزورها خارج أوقات العمل تظل خاصة. ولا يمكن لأنظمة إدارة الأجهزة المحمولة (MDM) الحديثة تتبع موقعك باستمرار عبر التطبيقات الشخصية أو خلال أوقاتك الخاصة، ما لم تمنح تلك الأذونات صراحةً لتطبيقات العمل.
الحدود التقنية التي تحميك
إن حماية الخصوصية في أنظمة إدارة الأجهزة المحمولة (MDM) الحديثة لا تعتمد على الوعود أو السياسات فحسب، بل يتم فرضها من خلال بنية تقنية تجعل من المستحيل على أصحاب العمل الوصول إلى البيانات الشخصية حتى لو أرادوا ذلك. وفهم هذه الحدود التقنية يساعد في توضيح سبب إمكانية ثقتك في الفصل بين بيئة العمل والبيئة الشخصية.
تستخدم ملفات تعريف العمل في Android Enterprise ميزة تسمى "عزل الملف الشخصي" (profile isolation)، والتي تنشئ مساحات مستخدم منفصلة داخل الجهاز نفسه. لكل مساحة نظام ملفات، وتخزين تطبيقات، وبيانات اعتماد أمنية خاصة بها. ويمنع نظام تشغيل Android التطبيقات الموجودة في ملف تعريف واحد من الوصول إلى البيانات الموجودة في ملف تعريف آخر، ولا يمكن تجاوز هذا القيد بواسطة برامج إدارة الأجهزة المحمولة (MDM) أو سياسات صاحب العمل.
يوفر التشفير طبقة حماية إضافية؛ حيث يتم تشفير البيانات الشخصية باستخدام مفاتيح منفصلة عن مفاتيح تشفير بيانات العمل. وحتى لو تمكن شخص ما من الوصول الفعلي إلى جهازك واستخدم أدوات متطورة لاستعادة البيانات، فلن يتمكن من الوصول إلى بياناتك الشخصية باستخدام بيانات اعتماد ملف تعريف العمل، والعكس صحيح.
يضمن عزل الشبكة بقاء حركة بيانات العمل وحركة البيانات الشخصية منفصلة حتى عند استخدام نفس اتصال الـ Wi-Fi. فقد تقوم تطبيقات العمل بتوجيه البيانات عبر شبكات VPN أو إعدادات شبكة خاصة تسمح بمراقبة حركة البيانات المتعلقة بالعمل، ولكن التطبيقات الشخصية تستخدم اتصالات شبكة قياسية تتجاوز أنظمة المراقبة الخاصة بالعمل هذه.
الضوابط المتاحة لك كموظف
توفر عمليات تنفيذ إدارة الأجهزة المحمولة (MDM) الحديثة للموظفين سيطرة كبيرة على خصوصيتهم ومدى تأثير سياسات إدارة العمل على استخدام أجهزتهم الشخصية. وتكمل هذه الضوابط ميزات تعزيز الكفاءة التشغيلية وتجربة المستخدم التي توفرها حلول MDM الحديثة. ويساعدك فهم هذه الضوابط على اتخاذ قرارات مدروسة بشأن المشاركة في برامج "إحضار جهازك الخاص" (BYOD)، ويضمن لك الحفاظ على الحدود المناسبة بين الاستخدام المهني والشخصي.
أنت من يتحكم في وقت تفعيل ملف تعريف العمل. ففي أجهزة Android، يمكنك إيقاف ملف تعريف العمل مؤقتاً عندما لا تكون في ساعات العمل، مما يؤدي إلى تعطيل جميع تطبيقات العمل وإيقاف أي عمليات مراقبة أو مزامنة بيانات متعلقة بالعمل. وعند إيقاف ملف تعريف العمل مؤقتاً، يكون الأمر كما لو أن بيئة العمل غير موجودة على جهازك. كما يمكنك أيضاً ضبط جداول زمنية لتوافر تطبيقات العمل، مما يؤدي إلى إيقاف وظائف العمل تلقائياً خارج ساعات الدوام الرسمي.
أنت من يحتفظ بالسيطرة على خدمات الموقع، ويمكنك اختيار تطبيقات العمل التي تملك حق الوصول إلى موقع جهازك، إن وجدت. وتتطلب معظم أنظمة إدارة الأجهزة المحمولة (MDM) موافقة صريحة لتتبع الموقع، ويمكنك سحب هذه الأذونات في أي وقت. وإذا كان صاحب العمل يتطلب الوصول إلى الموقع لوظائف عمل محددة، فيجب عليه توضيح سبب الضرورة وكيفية استخدام المعلومات بشكل جلي.
يمكنك إزالة ملف تعريف العمل بالكامل إذا غيرت وظيفتك أو لم تعد ترغب في المشاركة في برنامج "إحضار جهازك الخاص" (BYOD). حيث يؤدي حذف ملف تعريف العمل إلى مسح جميع البيانات والتطبيقات المتعلقة بالعمل، مع ترك بياناتك الشخصية دون أي تغيير. وهذا يمنحك سيطرة كاملة على مشاركتك في برامج إدارة الأجهزة المحمولة في مكان العمل.
كيف تضع Cerberus الخصوصية على رأس أولوياتها
Cerberus Enterprise مصممة مع اعتبار خصوصية الموظف مبدأً أساسياً وليس مجرد فكرة ثانوية. وتستفيد المنصة من أقوى حماية للخصوصية المتاحة في أطر عمل Android Enterprise وApple، مع توفير شفافية واضحة حول المعلومات التي يتم جمعها وكيفية استخدامها.
يركز نهج Cerberus على الحد الأدنى من جمع البيانات؛ أي جمع المعلومات الضرورية فقط لأغراض الأمان وإدارة الأجهزة. وهذا يعني جمع معلومات عن حالة الجهاز، والحالة الأمنية، وبيانات تطبيقات العمل، مع تجنب أي عمليات مراقبة أو تتبع غير ضرورية للأنشطة الشخصية. لقد صُممت المنصة لمساعدة أصحاب العمل على تأمين بياناتهم وأجهزتهم دون التطفل على خصوصية الموظفين.
توفر Cerberus رؤية واضحة حول البيانات التي يتم جمعها من خلال ميزات التقارير الشاملة والشفافية. حيث يمكن للموظفين معرفة المعلومات التي تتم مشاركتها مع صاحب العمل بالضبط، كما يمكن لأصحاب العمل شرح قدرات المراقبة الخاصة بهم للموظفين بسهولة. وتساعد هذه الشفافية في بناء الثقة اللازمة لنجاح برامج "إحضار جهازك الخاص" (BYOD).
تسهل المنصة أيضاً على الموظفين فهم إعدادات خصوصيتهم والتحكم بها. فإدارة ملف تعريف العمل بديهية، وتصاريح الموقع مشروحة بوضوح، والحد الفاصل بين بيئة العمل والبيئة الشخصية مرئي دائماً. وتؤمن Cerberus بأن الموظفين الذين يفهمون حماية خصوصيتهم هم الأكثر استعداداً لتقبل برامج التنقل في مكان العمل.
اتخاذ قرار مدروس
عندما تمتلك فهماً واضحاً لما يمكن لـ MDM رؤيته وما لا يمكنه رؤيته على جهازك الشخصي، ستكون في وضع أفضل بكثير لاتخاذ قرار مدروس بشأن المشاركة في برنامج إدارة الأجهزة المحمولة الخاص بصاحب العمل. ويكمن المفتاح في الموازنة بين فوائد الاتصال في مكان العمل وبين أي مخاوف تتعلق بالخصوصية قد تكون لديك.
فكر في الفوائد العملية للمشاركة في برنامج "إحضار جهازك الخاص" (BYOD). ستحصل على وصول سلس لبريد العمل والمستندات والتطبيقات من جهاز أنت معتاد بالفعل على استخدامه. لن تضطر لحمل هاتفين أو تعلم كيفية استخدام أجهزة غريبة توفرها الشركة. ويجد الكثير من الموظفين أن سهولة وجود وظائف العمل والمهام الشخصية في جهاز واحد تفوق المخاوف المتعلقة بالخصوصية، خاصة عندما تكون تلك المخاوف مبنية على مفاهيم خاطئة حول قدرات إدارة الأجهزة المحمولة (MDM).
إذا كانت لديك مخاوف محددة بشأن الخصوصية، فناقشها مع قسم تقنية المعلومات لديك. اطلب تفسيرات واضحة حول ماهية البيانات التي سيتم جمعها، وكيفية استخدامها، وما هي الضوابط التي ستكون متاحة لك لحماية خصوصيتك. ويجب أن يكون أصحاب العمل المرموقون قادرين على تقديم سياسات خصوصية مفصلة وإثبات الحماية التقنية التي تضمن بقاء بياناتك الشخصية خاصة.
تذكر أن المشاركة في برامج إدارة الأجهزة المحمولة (MDM) هي عادةً أمر طوعي بالنسبة للأجهزة الشخصية. إذا لم تكن مرتاحاً لأي جانب من جوانب هذا الترتيب، يمكنك عادةً اختيار بدائل أخرى مثل استخدام جهاز توفره الشركة أو الوصول إلى موارد العمل عبر بوابات الويب الآمنة. والأهم من ذلك هو اتخاذ قرارك بناءً على معلومات دقيقة بدلاً من الخوف أو سوء الفهم لما تفعله حلول إدارة الأجهزة المحمولة الحديثة في الواقع.






