إذا استاء المستخدمون أو خافوا أو تجاهلوا السياسات المتعلقة باستخدام موارد الشركة ، فقد يكون الوقت قد حان لاتباع نهج مختلف يحفز وليس يعاقب. في عالم ما قبل الهواتف الذكية ووسائل التواصل الاجتماعي وأماكن العمل المختلطة ، كانت كتابة و تنفيذ سياسة الاستخدام المقبول أسهل بكثير. في هذه الأيام ، زادت الأمور تعقيداً.
يمكن أن يتم العمل من أي مكان تقريباً. وعلى أي عدد من الأجهزة. يمكن للموظف أن يقبل وظيفة ثم لا تطأ قدمه المكتب أبداً. يمكن أن يعمل من المنزل أو من الفندق على جهاز الكمبيوتر المحمول الشخصي الخاص به. يشارك معكم روبودين هذا المقال من CSO الذي يعرض للأسباب التي تجعل سياسة الاستخدام المقبول ، أو AUP ، أكثر أهمية من أي وقت مضى. كما يشرح أهميتها في حماية المؤسسة ، وحماية الموظفين أيضاً.
ما هي سياسة الاستخدام المقبول؟
من منظور تكنولوجيا المعلومات ، تحدد هذه السياسة الاستخدام المقبول لبيانات الشركة والأجهزة والشبكات. في مكان العمل الهجين، يجب أن تتضمن هذه السياسة أيضاً شروطاً و قواعداً للعمل على الأجهزة الشخصية أو الشبكات المنزلية. ويجب أن يشمل الضيوف و الموظفين في الوظائف و المتعاقدين وغيرهم ممن يستخدمون أنظمة وشبكات الشركة.
تبدو بعض هذه الشروط والأحكام واضحة (مثل عدم استخدام جهاز كمبيوتر محمول صادر عن الشركة لنشر الـ SPAM). مع ذلك، فلا يزال من المهم أن يوقع الموظفون على السياسة حتى يكونوا على دراية بالقواعد – وعواقب انتهاكها .في شوارعنا، لدينا حدود للسرعة ، لكن الناس ما زالوا يسرعون.
يعرف الناس أن الأمن السيبراني مهم لكنهم لا يفعلون ما تريدهم المؤسسة أن يفعلوه بهذا الخصوص. قد يعود ذلك لأنهم لا ينظرون إلى الأمن السيبراني على أنه مسؤوليتهم الشخصية. ومع ذلك ، فإن عدداً كبيراً من خروقات البيانات ناتجة عن خطأ بشري ، مثل النقر على ارتباط ضار. تكمن المشكلة في أن العديد من AUPs مكتوبة بلغة فنية ، تحتوي على عبارات “لا يجب عليك”. أو أن فريق الأمن طبع نسخة من سياسة وجدها على الانترنت. ولكن هناك نهج فعال أكثر بكثير لوضع السياسات وإنفاذها.
بنى الكثير من مسؤولي الأمن السيبراني كل خبرتهم الوظيفية في بيئة الأمن ذاتها. لذلك فإنهم قد لا يدركون الاختلافات بينهم و بين الأشخاص الغير تقنيين. و بالتالي فمن المهم إشراك الخبراء الذين لديهم معرفة في الاقتصاد السلوكي وإدارة التغيير في تصميم هذه السياسة. يجب أن تستفيد من هذه الخبرات أثناء كتابة سياساتك إذا كنت تتطلع حقاً إلى تغيير مفهوم الأمان وإعادة بنائه.
الحاجة للتكيف
تحدد سياسة الاستخدام المقبول عادةً قواعد حول سياسات أمان تكنولوجيا المعلومات ، مثل كلمات المرور وإجراءات المصادقة واستخدام شبكة Wi-Fi العامة. يمكن استخدامها أيضاً لوضع معايير السلوك على مواقع التواصل الاجتماعي. مع هذه المستجدات، برزت الحاجة إلى إعادة تقييم هذه السياسات الأن. في السنوات الماضية ، كان تطبيق سياسة الاستخدام المقبول أسهل عندما كانت مقيدة بمكان العمل. في الوقت الحاضر ، يعمل العديد من الموظفين عن بُعد. وربما يعملون من بلد آخر (بعلم صاحب العمل أو بدونه). ويمكن أن يكون لذلك تداعيات أمنية وامتثال وضرائب و غيره. لذلك فالشركات بحاجة إلى التكيف مع الواقع الجديد لكيفية عمل الناس.
تحتاج لأن تكون بحجم و طريقة إدارة Elon Musk لتجبر موظفيك على العودة إلى المكتب، و قد لا تنجح في ذلك أو قد تنجح لفترة قصيرة. وتحتاج الشركات إلى طريقة للتعامل مع الفروقات بين أسباب عمل موظفيها عن بُعد كما تحتاج إلى ضمان بقاء سياساتها فعالة في عالم متغير. إضافة لذلك، من المهم أن تستمر المؤسسة في تعلم المخاطر التي تواجهها و بالتالي تعديل السياسات و الضوابط و تقييم المخاطر وفقاً لذلك.
تطوير سياسة الاستخدام المقبول
يجب أن تكون سياسة الاستخدام المقبول قابلة للتدقيق والتنفيذ. لكن يبقى من الصعب الموازنة بين وظيفتي هذه السياسة و هم حماية الموظفين و حماية الشركة. أما من حيث اللغة المستخدمة في السياسة فمن المهم أن تكون مفهومة بالنسبة لأشخاص غير تقنيين و ليس فقط على مستوى التقنيين أو مختصي الأمن السيبراني. و ربما يعتبر أحد معوقات امتلاك المؤسسة سياسة الاستخدام المقبول متكاملة أن مدير أمن المعلومات أو كبير مسؤولي أمن المعلومات يكتب هذه السياسة أو يفوض كتابتها إلى شخص ما في فريقه دون أن يتواصل مع المستخدمين النهائيين المعنيين بتطبيق هذه السياسة ليتأكد من أنه فعلاً على الطريق الصحيح.
أما برامج الأمان الأكثر نضجاً فلديها قنوات تواصل لتلقي التعليقات ولديها شراكات أوثق مع الموارد البشرية والوظائف الأخرى في المؤسسة. لكن العديد من الشركات لا تزال تركز على التكنولوجيا والعمليات بدلاً من الأشخاص الذين يؤثرون عليها.
يجب أن تكون سياسة الاستخدام المقبول واضحة وموجزة وسهلة الفهم و خالية من الألغاز التقنية أو القانونية. لكن الحصول على موافقة الموظف يتطلب كذلك أن تكون لغتها محترمة ومنتقاة بعناية. و يرى الخبراء أن اللغة المحترمة هي التي تمنع السياسات من أن تبدو وكأنها صراخ أباء على أطفالهم. على سبيل المثال ، بدلاً من استخدام عبارة “يجب أن تحصل على إذن الرئيس التنفيذي قبل استعارة جهاز كمبيوتر محمول” ، يمكنك أن تقول “أجهزة الكمبيوتر المحمولة متاحة للاستعارة بإذن من الرئيس التنفيذي”. على العكس من ذلك، إن استخدامك لما يشبه الصراخ في لغة سياساتك لن يجلب لك إلا التجاهل و ربما الرفض المبطن و مقاومة تطبيق السياسة.
فرض السياسات
لا تستحق سياسة الاستخدام المقبول (AUP) الورق المطبوع عليها إذا لم تكن قابلة للتنفيذ. لكن مسؤولي الأمن السيبراني ليسوا مديري موارد بشرية. إنهم -بالنسبة للموظفين- ليسوا مرهوبي الجانب. بالمقابل فإن مسؤولي الأمن الذي يقتضي دورهم الوظيفي كتابة سياسات و مراقبة انضباط الموظفين و امتثالهم لتلك السياسات قد لا يكونون أيضاً مرتاحين لهذا الدور .هم أساساً قد وقعوا على العمل في أمن المعلومات ، وليس في ضبط الموظفين.
يتمتع الفريق الأمني بالخبرة في الموضوع لتحديد ما يشكل مخالفة للسياسة. كما يوضح مستوى مخاطر تلك المخالفة. يتراوح ذلك بين مخالفة بسيطة إلى مخالفة يستحق مرتكبها الطرد. ولكن ، يجب أن يأتي الإجراء التأديبي من قسم الموارد البشرية ، الذي لديه بالفعل عمليات مطبقة لمثل هذه الأمور.
قسم الموارد البشرية (اليوم) ليس قسم الموارد البشرية الذي كان على أيام أبائنا. الآن يُعتبر فريق الموارد البشرية مسؤولاً عن تنفيذ السياسات بكل أشكالها و تصنيفاتها. و بالتالي لن يستثنوا من ذلك سياسات أمن المعلومات أو سياسة الاستخدام المقبول لمجرد أنها تبدو لهم سياسة فنية. بل أنهم حتى مطالبون بفرض هذه السياسة. لذلك من المهم تدريب الموارد البشرية بشكل صحيح في مجال الأمن. كما يمكنهم أيضاً الإشراف على الامتثال للخصوصية ، لذلك يوصي الخبراء موظفي الموارد البشرية بالخضوع لتدريب على التوعية بالأمان والخصوصية. ويوصي أيضاً بأن يكونوا حاضرين في اجتماعات فريق أمن المعلومات حول مواضيع السياسات لأنهم بحاجة إلى فهم ما يفعلونه. بينما يجب أن تكون هناك أسنان لسياسة ما ، إلا أن هناك طريقة أخرى لتطبيق السياسة. تتمثل تلك الطريقة في تحفيز السلوك الجيد بدلاً من انتظار وقوع الخطأ و من ثم إيقاع العقوبة بمنتهكي القواعد.
الاحتكاك الرقمي
يتناسب استجابة الموظفين لمتطلبات فريق الأمن طرداً مع شعورهم بالمسؤولية فيما يتعلق بالأمن السيبراني و تأثيره على الأعمال. و لتعزيز هذه الشعور فقد صممت الشركات الكبرى و منها Gartner أطر عمل تساعد على ترسيخ الشعور بالمسؤولية. كما تساعد المستخدمين على اتخاذ قرارات مستنيرة بشأن المخاطر حتى في غياب قادة الأمن أو إدارة المخاطر.
و على الجانب الآخر من هذه المعادلة تتم مساعدة المستخدمين على اتباع القواعد عن طريق تقليل الاحتكاك الرقمي. على سبيل المثال ، عندما يتعلق الأمر بكلمات المرور ، فإن مستوى عالٍ من الاحتكاك الرقمي يتطلب من المستخدمين تغيير كلمات المرور الخاصة بهم كل ستة أشهر. في حين أن مستوى منخفض من الاحتكاك الرقمي سيؤدي إلى إلغاء كلمات المرور تماماً والانتقال إلى الوسائل البيومترية كالبصمة أو قزحية العين.
تلعب التكنولوجيا دوراً هاماً هنا. يمكن من خلال استخدام التعلم الآلي والذكاء الاصطناعي تحسين آلية اتخاذ القرارات وتوفير تدريب حول ما يجب أو لا ينبغي للمستخدمين فعله في موقف معين. نرى بشكل متزايد أن المؤسسات الأكثر تطوراً تنقل سياسة الاستخدام المقبول الخاصة بها إلى فريق الدعم الفني Helpdesk الأكثر قرباً من المستخدمين. أو أنها تسلم نسخاً مخصصة منها إلى المستخدمين بناءً على دورهم في مشروع معين.
بالمحصلة، عندما تحدث إحدى المؤسسات أو تطور سياسة الاستخدام المقبول الخاصة بها ، يجب ألا يكون التركيز فقط على ما لا ينبغي للموظفين القيام به ، ولكن على ما يمكن للمؤسسة ككل القيام به لخلق ثقافة الأمان. هناك فرق بين اتباع القواعد المتعلقة بالأمن وبين تبني ثقافة الأمن في المنظمة. إنه الفرق بين الضبط المرتبط بقوة مسيطرة خارجية و بين الانضباط المرتبط بإحساس ذاتي بالمسؤولية و الولاء.
