تتضمن حماية الشركات من تهديدات الأمن السيبراني العديد من العمليات والضوابط التقنية. ولكن هناك أمر مهم آخر وهو “العنصر البشري” والذي يعتبر أكبر نقطة ضعف في أي نظام. إليك بعض النصائح حول بناء ثقافة أمن سيبراني ايجابية والاستفادة منها بأفضل شكل ضمن الشركات والأعمال.
حماية العنصر البشري
غالباً ما يُنظر إلى البشر على أنهم العنصر الأضعف في أي حل أمني. بغض النظر عن الضوابط المادية أو المنطقية المستخدمة، يمكن للبشر اكتشاف طرق لتجنبها أو التحايل عليها أو تقويضها أو تعطيلها. وبالتالي، من المهم مراعاة الطبيعة البشرية للمستخدمين عند تصميم ونشر حلول الأمان لبيئتك. لفهم حوكمة الأمان وتطبيقها، يجب عليك معالجة الحلقة الأضعف المحتملة في سلسلة الأمان الخاصة بك – الأشخاص. ومع ذلك، يمكن أن يصبح العنصر البشري أحد أهم الأصول الأمنية عندما يتم تدريبهم وتحفيزهم بشكل صحيح لحماية ليس فقط أنفسهم ولكن أمن المؤسسة. من المهم عدم التعامل مع الموظفين باعتبارهم مشكلة يجب حلها، ولكن كأشخاص يمكن أن يصبحوا شركاء قيمين في مسعى أمني.
تحدث القضايا والمشكلات والتنازلات المتعلقة بالبشر في جميع مراحل تطوير حل الأمان. وذلك لأن البشر يشاركون في تطوير أي حل ونشره وإدارته المستمرة. لذلك، يجب عليك تقييم تأثير المستخدمين والمصممين والمبرمجين والمطورين والمديرين والبائعين والمستشارين والمنفذين على العملية.
بناء عادات أمنية ايجابية
حدد العادات والإجراءات الخاصة بالحماية والأمن السيبراني والتي تريد من موظفيك اتباعها، ممكن أن تشمل على الأمور التالية:
- الإبلاغ بسرعة عن الرسائل التي قد تكون محاولات للتصيد الاحتيالي
- رفع تقرير بالحوادث عندما لا تعمل أنظمتهم أو أجهزتهم بالشكل المتوقع
- استخدام كلمات سر قوية وفريدة من نوعها لكل حساب من حساباتهم
- تحديث أجهزتهم بشكل فوري عند توفر التحديثات
لتسهيل الأمر على الموظفين ليتمكنوا من اتباع هذه الإجراءات يجب أن يكون لديك معلومات وعمليات وتعليمات واضحة وسهلة التنفيذ وقد يتطلب الأمر أيضاً وجود أدوات لمساعدة الموظفين على اتخاذ هذه الإجراءات، ومنها:
- تفعيل الإشعارات التحذيرية لرسائل البريد الالكتروني الخارجية والتي تطالب الأشخاص بالتحقق من مصدر الرسالة إذا لم يتفاعلوا مع عنوان البريد الإلكتروني الخارجي هذا من قبل.
- تحديد رقم هاتف أو عنوان بريد إلكتروني أو أداة واحدة يسهل استخدامها للاتصال بفريق الدعم الخاص بتكنولوجيا المعلومات.
- توفير تطبيق لإدارة لكلمات السر سهل الاستخدام ويمكنه إنشاء كلمات سر فريدة وطويلة وتخزينها بشكل آمن.
برنامج التوعية الأمنية
بمجرد أن تتوفر لديك الأدوات والعمليات الصحيحة، من المهم أن تتأكد من أن موظفيك يعرفون ما هي هذه الأدوات وكيفية استخدامها وسبب أهميتهم. قد يكون من المفيد أيضاً ، لتعزيز وعي العنصر البشري ، أن يكون لديك برنامج منتظم للتذكير والعروض التوضيحية والشروحات الخاص بهذه الأدوات والعمليات. يجب العمل على تحديد وعرض القيم والأمور المتعلقة بالأمن السيبراني في مكان يمكن للفريق بأكمله رؤيتها. بالتأكيد سوف تعتمد هذه الأمور على نوع عملك التجاري ولكن على سبيل المثال
إذا كنت تعمل في مجال تكنولوجيا المعلومات فقد تتمحور قيم الأمن السيبراني حول الأمور التالية:
- الأمان في التصميم أثناء التخطيط المبكر لبرنامجك
- عدم نشر أي ميزة جديدة تحوي على مشكلة في الحماية عالية الخطورة
- وضع خصوصية عملائك وبياناتهم في المقام الأول
- إذا كنت تعمل في مجال الخدمات، فقد تركز قيم الأمان الخاصة بك على:
- الحفاظ على بيانات العملاء بشكل آمن وسري
- إعطاء الأولوية لتأمين أجهزتك وأنظمتك التي تخزن بيانات العملاء للتأكد من أن البيانات ستبقى آمنة
العنصر البشري وقيم الأمن السيبراني
ومن المهم أخذ القيم الخاصة بالأمن السيبراني في عملية التوظيف بالإضافة إلى أن هذه القيم يجب أن يتم التأكد من استمراريتها بشكل منتظم ويجب أن تكون أيضاً جزءاً من سياسة الأمن السيبراني الخاصة بك. لا يكفي أن تمتلك وتحدد الأدوات والعمليات والقيم فقط، لتحويل ثقافة الأمن السيبراني يجب إظهار القيم والإجراءات التي تريد أن يتخذها الأشخاص، لا سيما من قبل أولئك الذين يشغلون مناصب إدارية أو قيادية.
يجب على أصحاب الأعمال والقادة إلى أن يكونوا قدوة يحتذى بها وهذا يعني عدم التناقض مع قيم الأمن السيبراني التي حددتها للمؤسسة والمشاركة علناً في إجراءات الأمان الإيجابية. إذا كان قائدك أو مديرك يقوم بعرض تقديمي من جهاز الحاسب المحمول الخاص به وظهر له إشعار لتذكيره بأن الوقت قد حان للقيام بعملية التحديثات الأمنية فمن غير المناسب ان يأجل هذا التنبيه لأسبوع آخر، يرسل هذا الفعل رسالة مفادها أن القيادة والإدارة لا يأخذان الأمن على محمل الجد ويدل من ذلك يجب أن يقول: سأطبق عملية التحديث مباشرةً بعد هذا العرض التقديمي وأرجو منكم التأكد من تطبيق التحديثات في أجهزتكم الخاصة عند العودة إلى مكاتبكم.
الحزم لفرض القيم
لا ينبغي استخدام نقل موظف ،يسبب مشاكل أمنية، إلى قسم مختلف كحل بديل عن فصله. ضع في اعتبارك ركائز أمن المعلومات والفائدة التي تعود على المؤسسة. إذا لم يكن الشخص مقبولاً كموظف في قسم واحد، فهل من الواقعي أن نفترض أنه سيكون مقبولاً في قسم آخر؟ بدلاً من إطالة أمد المشكلة وتأجيل الحل، فإن الخيار الأفضل هو إنهاء خدمة الموظف المسبب للمشاكل، خاصة إذا لم يوفر التدريب والتوجيه المباشر حلاً.
كلمة أخيرة
يجب أن ندرك أن العنصر البشري هو أكبر ثغرة في نظام، مهما كانت أنظمة الحماية قوية والأنظمة محدثة ولا تحوي على ثغرات ما يزال أمام المهاجم فرصة للوصول إلى شبكة الشركة من خلال اختراق أحد الموظفين وهذا الأمر يتم من خلال سيناريوهات مختلفة من هجمات الهندسة الاجتماعية أو طرق الخداع والتحايل الأخرى، لذا من المهم أن نولي أهمية لتدريب الموظفين ونشر ثقافة الوعي الأمني ونشر ثقافة الامن السيبراني لتكون جزءاً من ثقافة الشركة. اتباعك للنصائح السابقة يساعد على رفع مستوى الحماية المطبقة في شركتك كما يساعد على الحد من التهديدات الأمنية والتقليل من احتمالية نجاح الهجمات المحتملة.
