تلعب تصرفات الموظفين والأطراف الثالثة وغيرهم من المستخدمين دوراً حاسماً في نجاح أو فشل برنامج أمن المعلومات الخاص بالمؤسسة. وفي بعض الأحيان يكون من الأسهل على المهاجم إغراء المستخدم بالنقر فوق رابط أو فتح مرفق بريد إلكتروني لتثبيت برامج ضارة من أجل الدخول إلى المؤسسة بدلاً من العثور على ثغرة في الشبكة للقيام بذلك بشكل مباشر. كما يمكن للمستخدمين أنفسهم، سواء عن قصد أو عن غير قصد، أن يتسببوا في وقوع حوادث نتيجة لسوء التعامل مع البيانات الحساسة، كإرسال بريد إلكتروني يحتوي على معلومات سرية إلى المستلم الخطأ، أو فقدان جهاز محمول، أو استخدام كلمات مرور ضعيفة. وبالتالي، لا يمكن لأي برنامج أمني أن يعالج المخاطر السيبرانية بشكل فعال دون معالجة نقاط الضعف المتعلقة بالعنصر البشري. يُعتبر تشرين الأول شهر التوعية الأمنية وهو مناسبة سنوية لتدريب وتثقيف المستخدمين حول الأمن السيبراني. روبودين مصدر موثوق لبرامج التوعية وشريك استراتيجي للمؤسسات لتحقيق أهداف برامجها الأمنية.
شهر التوعية الأمنية – مركز أمن الانترنت (CIS)
مركز أمن الانترنت (CIS) هو مؤسسة غير ربحية تسعى لتعزيز الأمن السيبراني عالمياً عبر وضع مجموعة من الضوابط والمعايير لمساعدة الأفراد والمؤسسات على تعزيز الحماية. ولأن العنصر البشري من أهم ركائز الأمن السيبراني فإن CIS يرى أنه من المهم أن تطور المؤسسة برنامج تدريبي قوي للتوعية الأمنية. لا ينبغي لبرنامج التدريب الفعّال للتوعية الأمنية أن يكون مقتصراً على جلسة تدريبية لمرة واحدة في السنة. في حين أن التدريب السنوي ضروري، يجب أن تكون هناك أيضاً رسائل أكثر تكراراً واستدامة حول الأمن. قد تتضمن ذلك رسائل توعية تكون مرتبطة بالأحداث والأخبار المحيطة بنا. من المفيد مثلاً في هذه الفترة أن تتضمن الرسائل لمحة عن مخاطر سلاسل التوريد. وكذلك أفضل ممارسات استخدام كلمة مرور قوية أو الانتباه لرسائل البريد الإلكتروني الضارة.
هناك العديد من الطرق التي يمكن استخدامها لتثقيف المستخدمين بشأن الأمن السيبراني. ويتنوع ذلك بين تدريب تقليدي (مدرب-متلقي في قاعة تدريب) أو التدريب عبر وسائل رقمية ترتبط بمصادر معرفة موثوقة مثل روبودين. ولا يتعارض هذان الخياران مع بعضهما البعض، ويمكن الاستفادة من مزيج من هذه الطرق. بالإضافة إلى ذلك، يمكن استخدام طرق مساعدة مثل الملصقات واللافتات ورسائل التذكير عبر البريد الإلكتروني لتذكير المستخدمين بمسؤولياتهم المتعلقة بأمن المعلومات. لكن لا يجب فرض قالب تدريب معين على جميع منظمات الأعمال. ولكن من واجب كل منظمة تخصيص الوقت والموارد لتطوير وتوفير تدريب أمني عالي الجودة لمستخدميها للدفاع عنها من بعض التهديدات الأكثر ضرراً وفق طبيعة عملها.
تقييم احتياجات المؤسسة
إن إنشاء برنامج للتوعية الأمنية من الصفر يتطلب الوقت والتخطيط. هناك بعض النقاط التي يجب مراعاتها كجمع المتطلبات، وطريقة تقديم التدريب، وما إذا كان ينبغي استخدام أدوات وموارد خارجية. بشكل عام، يتم تشجيع المؤسسات على إنشاء أو استخدام برامج تدريبية يتم تصميمها لصناعات وأدوار وموظفين محددين. إن جمع المتطلبات لتدريب التوعية الأمنية يمثل جواباً على سؤال بسيط وهو لماذا تحتاج المؤسسة للتدريب؟ قد تكون الإجابة أن المؤسسة ملزمة بذلك بموجب القانون أو ضوابط الامتثال . إن فهم متطلباتك يضمن أن المؤسسة تفي بالتزاماتها. ويمكنه كذلك أن يساعد الموظفين على الاستفادة من التدريب الذي يتلقونه. يمكن أن يشمل ذلك جعل التدريب ذا صلة مباشرة بعملهم.
كما يجب على المؤسسة في هذه المرحلة تحديد طريقة تقديم التدريب. يُعتبر التدريب الشخصي بشكل عام أكثر فعالية من التدريب عبر الانترنت، ولكن وجود مدرب في المؤسسة أو في قاعة محاضرات يمكن أن يكون مكلفاً أكثر. لذلك من الشائع أن تستعين الشركات بموظف من فريقها، ذي خبرة في الأمن السيبراني لتقديم التدريب.
غالباً ما يُنظر إلى التدريب عبر الانترنت على أنه طريقة فعالة من حيث الموارد لتقديم التدريب بطريقة رائعة للمؤسسة. ولكن نادراً ما يكون محتوى هذه البرامج التدريبية مفصلاً وفق احتياجات مؤسسة معينة نظراً لأن هذا المحتوى تم تطويره ليغطي طيف واسع من احتياجات العملاء عبر العالم. في بعض الأحيان يتم استخدام حل هجين، حيث يجب على الموظفين مشاهدة العروض التقديمية ولكنهم أيضاً يجب أن يكملوا اختباراً محدداً عبر الانترنت.
تطوير برنامج التوعية الأمنية
يساعد هذا الجزء من العملية المؤسسات على تطوير برنامج يلبي متطلبات التدريب الخاصة بالمؤسسة. يحدث هذا غالباً عن طريق شراء منتج جاهز أو تطوير التدريب داخلياً، أو مزيج من هذين النهجين. تتوفر العديد من برامج تدريب الوعي الأمني مجاناً عبر الانترنت، إلى جانب مقاطع الفيديو على YouTube مثلاً. يجب أيضاً اتخاذ القرارات مثل عدد مرات تقديم التدريب، ومتى سيكون التدريب مطلوباً. على أقل تقدير، يجب إجراء التدريب في بداية مرحلة التوظيف ثم سنوياً على الأقل. كما يجب تحديث محتوى برنامج تدريب الوعي الأمني عند تحديد تهديدات جديدة تؤثر على المؤسسة.
تعليم الموظفين في شهر التوعية الأمنية
في هذه المرحلة، يتم تقديم التدريب لجميع مستخدمي المؤسسة الذين لديهم إمكانية الوصول إلى أنظمة ومعلومات المؤسسة. يجب أن يتم ذلك وفقاً للسياسات الداخلية وأي متطلبات خارجية تم تحديدها مسبقاً. على سبيل المثال، إذا أوصى إطار عمل الأمن الذي تستخدمه المؤسسة بالتدريب السنوي على مواضيع محددة. يجب متابعة المستخدمين الذين يحضرون التدريب من قبل قسم تكنولوجيا المعلومات (IT) أو وحدة أعمال أخرى ذات صلة للتأكد من أن المستخدمين المطلوبين تلقوا التدريب وأن التزامات المؤسسة قد تم الوفاء بها.
يجب أن يفي محتوى التدريب بالمتطلبات التي تم تحديدها أثناء مرحلة التقييم. تقترح CIS مجموعة متنوعة من الموضوعات التي يجب على المؤسسة تدريب مستخدميها عليها، مثل المصادقة متعددة العوامل، وكيفية التعامل بشكل آمن مع البيانات، والإبلاغ عن مشكلات الأمن إلى الإدارة المختصة. بالإضافة إلى ذلك، يجب أن يتضمن التدريب أي معلومات ضرورية مطلوبة لاتخاذ قرارات بشأن أمن التكنولوجيا والتطبيقات المستخدمة في المؤسسة. يمكن أن يشمل ذلك أشياء مثل فهم طريقة عمل برنامج مكافحة البرامج الضارة المثبت على حاسب المستخدم. هناك أيضاً موضوعات مثل الأمن المادي (المكاني). وهذا يشمل السياسات والإجراءات المتعلقة بالوصول المادي بما في ذلك الدخول والخروج من المكتب، ومتطلبات الأمن المادي لغرف المخدمات.
التحقق من جودة التدريب
قد لا يكون المستخدمون متحمسين لحضور تدريب الأمن السيبراني بانتظام، ولكن غالباً ما تتأكد إدارة الموارد البشرية من حضور جميع المستخدمين المطلوبين للتدريب. بالإضافة إلى ذلك، يجب أن يكمل المستخدمون هذا التدريب في غضون إطار زمني محدد. تذهب بعض المؤسسات إلى حد التحقق من مصداقية المتدرب ومستوى الجهد الذي قدمه في التدريب وكذلك مقدار الفائدة المتوقعة منه. على سبيل المثال، قد ترغب بعض المؤسسات بإجراء اختبارات تصيد احتيالي دورية لمستخدميها. كما قد يتم تقديم تدريب قائم على السيناريو من وقت لآخر للسماح للمستخدمين بإظهار معرفتهم بالأمن السيبراني، بدلاً من مجرد الاستماع أو مشاهدة المحتوى بشكل سلبي.
بمجرد أن يكمل جميع المستخدمين المعنيين التدريب السنوي، يجب على المؤسسة بعد ذلك الشروع في تحديث مواد التدريب. هناك مجموعة متنوعة من الأسباب التي قد تجعل هذا الأمر ضرورياً، مثل تغيير سياسات المؤسسة من وقت لآخر. ويجب إعلام المستخدمين بهذه التغييرات. وسيحتاج المستخدمون إلى فهم مسؤولياتهم وكيفية التفاعل مع تلك التغييرات. وهناك سبب آخر قد يستدعي تحديث التدريب وهو التهديدات الجديدة والناشئة. فمن وقت لآخر، سيظهر نوع جديد من الهجمات أو فئة جديدة من الهجمات، مثل ما حدث خلال العقد الماضي مع برامج الفدية.
كلمة أخيرة
كما رأينا، يجب أن يتلقى المستخدمون في شهر التوعية الأمنية وعلى مدار العام تدريباً لمساعدتهم على مواجهة مخاطر الأمن السيبراني. كما يجب أن يتلقى جميع المستخدمين الجدد مثل هذا التدريب قبل منحهم حق الوصول إلى أصول المؤسسة. ولا بد أيضاً من تدريب المستخدمين على أفضل الممارسات للتعامل مع بيانات المؤسسة.