أمن المعلومات: هل يمكننا تدريب الموّظفين على عدم ارتكاب الأخطاء؟

الوسائل والأدوات التقنية لا تكفي لحماية المصالح التجارية من مخاطر الفضاء الإلكتروني. فمن الممكن للغاية أن يتسبب شخص واحد في وضع جهود فريق الأمن المعلوماتي كله في مهب الريح. وعادةً ما يحدث هذا الأمر بطريقةٍ غير مُتَعَمَّدة، نظراً لقلة المعرفة بأسس أمن الفضاء الإلكتروني أو عدم الاكتراث لتهديداته أو عدم الانتباه الكافي لها. وهذا ما حدا بالعديد من الشركات (65% تقريباً وفقاً لما تفيد به بيانات كاسبرسكي) إلى أن تستثمر بالفعل في تدريب الموظفين على أمن الفضاء الإلكتروني.

ومن هنا برز عدد من المشكلات والتعقيدات. فالشخص الذي يقرر أن فريق العمل في حاجة إلى زيادة الوعي لا يكون بالضرورة المسؤول عن ترتيب الدورات التدريبية. وبينما يرى الشخص الأول مشكلةً واضحةً لا يفهم الآخر على وجه التحديد ما هو التدريب على أمن الفضاء الإلكتروني أو كيفية تدريب فريق العمل على ذلك أو حتى السبب الذي يدعوهم إلى حضور مثل هذا التدريب.

فهم المشكلة

فلْنتصورْ أنه قد عُهِد إليك بمهمة زيادة وعي الموظفين بأمن الفضاء الإلكتروني. أولاً، ماذا نعني بالوعي بأمن الفضاء الإلكتروني على وجه التحديد؟ ولتوضيح هذا الأمر، فقد عملت كاسبرسكي على مؤسسة لأبحاث السوق ذات صلة بالأعمال التجارية الدولية بين المنشآت التجارية وبعضها لجمع بيانات 5,000 شركة من جميع أنحاء العالم وفهم مشكلة الموظفين من الأفراد وتسببهم في بعض حوادث أمن الفضاء الإلكتروني. وقد خلصت -على وجه التلخيص- إلى ما يلي:

  1. 46% من الحوادث في العام الماضي التي أضر فيها موظفون بأمن الفضاء الإلكتروني الخاص بالشركة كان عن غير قصد أو عن جهل.
  2. أصيب 60% من الشركات بالبرمجيات الخبيثة، وقد أخبر 53% بأن الإصابة بهذه البرمجيات ما كانت لتحدث لولا المساعدة غير المقصودة من الموظفين، وألقى 36% باللوم على الهندسة الاجتماعية؛ أي تعمد شخص ما خداع الموظفين.
  3. وقد حققت الهجمات المستهدفة المتضمنة على الاحتيال والهندسة الاجتماعية نجاحاً يقدر بـ 28%.
  4. وفي 40% من الحالات، حاول الموظفون إخفاء هذه الحالات بعد حدوثها؛ الأمر الذي أدَّى بدوره إلى تضخيم الضرر وزيادة الخرق الأمني للشركات المتضررة.
  5. وقد كان لدى نصف المشاركين تقريباً شكوك حيال إفصاح موظفيهم -سهواً- عن معلومات شركاتهم عبر الهواتف المتحركة التي يحملونها معهم إلى مقر العمل.

تعليم الوعي بأمن الفضاء الإلكتروني

ويعد الجزء الخاص بـ”الكيف” من المعادلة أمراً غاية في الأهمية. ويتوفر العديد من الدورات التدريبية والمحاضرات وورش العمل. بيد أن التدريب يعني إنفاق المال والوقت، حيث يجب أن تكون واثقاً من حصولك على النتائج.

فعلى سبيل المثال، لنتناول مشكلة إخفاء الحادثة، ذلك أنه يمكنك جمع الموظفين وإخبارهم بأن الحوادث المعلن عنها فيما يتعلق بالأمن الإلكتروني مهمة للغاية. وربما سيعربون عن فهمهم – رغم بأنهم يبقون على الحوادث في طي الكتمان، على أمل التهرب من المسؤولية.

هناك منهجية جيدة تتمثل في فهم الدافع لديهم أولاً، ففي كثير من الأحيان، يتم إبلاغ الموظفين بالقواعد الصارمة من قبل مديريهم أو المسؤول عن أمن المعلومات، لكن لا أحد منهم يشرح القواعد بالفعل. وفي بعض الأحيان، تحتاج الإدارة والفريق المسؤول عن أمن المعلومات إلى التدريب أيضاً – التدريب على شرح القواعد.

معرفة ما يجب تعلمه

يتعين على الشركة أن تعمل بوصفها منظمة صحية لديها العديد من فرق العمل المنوط بها مسؤوليات ومهام مختلفة من أجل التصدي للتهديدات الإلكترونية المتطورة في الوقت الحالي. وهو ما يعني بصورة طبيعية ضرورة تعلم فرق العمل أشياء مختلفة. وعلاوة على ذلك، يجب أن تكون إدارة الشركة على دراية بالمخاطر وأن يكون لديها فهم كامل وشامل لتكاليفها المالية وأثرها المحتمل على سمعتها. هذا، وتحتاج الإدارة المتوسطة والفرق المعنية بأمن المعلومات إلى فهم واضح للتهديدات الظاهرة والقدرة على اتخاذ الإجراءات التي من شأنها زيادة المرونة الإلكترونية، فضلاً عن القدرة على التواصل بشكل ملائم مع معظم الموظفين. وفيما يتعلق بالمتخصصين، تأتي معرفتهم بشأن التهديدات في مرتبة أقل أهمية من مهاراتهم في تجنبها.

مقالات ذات صله

الرد

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

*