إن تحقيق التوازن بين المساءلة والتعلم في سياق الأمن السيبراني يحتاج إلى تغيير الطريقة التي نفكر بها في المساءلة. المطلوب هو توافق التعلم مع تطوير الوعي من خلال التدريب الأمني و أثر ذلك على الوضع الأمني الكلي للمؤسسة. من المهم أن يشعر الناس بالقدرة على الإبلاغ عن المشكلات دون خوف ، خاصة عندما يعتقدون أنهم على خطأ. يرتبط إبلاغ الموظفين عن أخطائهم ارتباطاً جوهرياً بولائهم للمؤسسة و رغبتهم بمساعدتها دون القلق من التعرض للعقاب.
غالباً مايكون لدى المسؤولين عن حوكمة الأمن وعي وفهم محدودان لما تعنيه ممارسته في عالم حقيقي من العمليات التشغيلية اليومية. في هذه الحالات يجب أن يكون هناك إدراك أنه ربما لا يوجد صواب أو خطأ مطلقين. و لكن قد تؤدي العمليات غير المنفذة جيداً لخرق الأمني. إذا كانت هذه هي الحالة ، فيجب معالجتها بتروي. يحتاج الشخص المخطئ للدعم و ليس للعقاب و إلا فإنه سيخفي خطأه.
يفضل أن يكون في المؤسسة فريق مستقل للتعامل مع تقارير الخرق الأمني حتى لا يضطر الأشخاص إلى المرور مديرهم المباشر أثناء الإبلاغ. سيؤدي ذلك إلى تقليل الانتهاكات و يحمي الموظفين من القلق بشأن ما سيحدث ، وبالتالي ، تؤدي إلى مزيد من الانفتاح و تبني الثقافة الأمنية للشركة.
الوعي و التدريب الأمني
وفقاً لـLance Whitney غالباً ما يوصف التدريب الأمني بأنه أحد أفضل الطرق لمكافحة هجمات التصيد والبرامج الضارة والمخاطر الأمنية الأخرى. لكن مجرد تدريب الأشخاص بشكل دوري على استخدام محتوى عام لن يساعدهم أو يساعد مؤسستك على تقليل مخاطر التهديدات الأمنية.
ليست الفكرة أن موظفيك لن يقعوا ضحية لهذه الأنواع من التهديدات إذا فهموا فقط كيفية اكتشافها لكن نوع التدريب الأمني المقدم لموظفيك يُحدث فرقاً كبيراً فيما إذا كانت جهودك فعالة بالمجمل أم لا. نظراً لأن الوعي الأمني والتعليم يمثلان عاملًا مهماً في هذا المجال فيجب وضع مجموعة من المعايير لقياس تحسن الثقافة الأمنيةومنها:
- مدى اعتراف الموظفين بمسؤولياتهم الأمنية كمستخدمين للمعلومات.
- جودة و تكرار التدريب الأمني للموظفين و مدى اتساق التدريب مع سياسات الشركة.
- مدى اكتساب موظفي الأمن لمهارات جديدة في مجالهم.
يشير تقرير حديث من مزود أمان البريد الإلكتروني Egress إلى عيوب التدريب العام المصمم ببساطة لتلبية بعض علامات الاختيار. ويقدم التقرير بعض النصائح حول كيفية تحسين الوعي الأمني والتدريب. لنفكر بما يلي: كم مرة تقوم الشركات بتدريب الموظفين على أفضل الممارسات الأمنية؟
في أحد الاستطلاعات ، قال 98٪ من قادة تكنولوجيا المعلومات إنهم يجرون على الأقل شكلاً من أشكال التدريب الأمني. أفاد أكثر من نصفهم أنهم يقدمونه عدة مرات في السنة ، بينما يقدمه أكثر من الثلث كل شهر. قال جميع الأشخاص الذين شملهم الاستطلاع تقريباً أنهم يعتقدون أن التدريب الأمني يمكن أن يؤدي إلى تغييرات إيجابية طويلة الأجل من موظفيهم.
ومع ذلك ، أقر 84٪ من قادة الأمن الذين شملهم الاستطلاع بأنهم كانوا ضحايا لهجمات تصيد احتيالي ناجحة خلال الأشهر الـ 12 الماضية. تستمر هذه الانتهاكات في جزء كبير منها بسبب السلوك البشري. يقع الموظفون ضحايا رسائل البريد الإلكتروني المخادعة ، ويتسببون في فقد البيانات بسبب الأخطاء ، ويخالفون قواعد معينة مثل إرسال معلومات العمل بالبريد الإلكتروني إلى الحسابات الشخصية. الخلاصة هي أن تقديم تدريب أمني عام لم يكن فعالًا في تقليل الحوادث الأمنية.
جعل التدريب الأمني أكثر فعالية
لمساعدتك على تحسين قيمة وتأثير تدريبك على الأمان ، فالمطلوب قياس النتيجة بدلاً من النشاط . أنت بحاجة إلى قياس النتائج الحقيقية للتدريب الأمني الخاص بك وليس مجرد النظر إلى مشاركة الموظفين على أنها إحصائية. ضع في اعتبارك سلوكيات الموظفين التي ترغب في رؤيتها تتغير نتيجة للتدريب ، ثم حدد ما إذا كانت قد تغيرت بالفعل. تتضمن هذه السلوكيات التصنيف الصحيح لرسائل البريد الإلكتروني الحساسة التي تحتاج لتشفير ، واتباع التحذيرات الأمنية ، وعدم الوقوع في فخ رسائل البريد الإلكتروني المخادعة وتجنب الأخطاء البشرية العامة. يمكن قياس كل ذلك لتحديد ما إذا كان تدريبك له تأثير إيجابي حقاً.
تخصيص التدريب للأفراد بدلاً من تقديم نفس التدريب العام لجميع الموظفين ،
خصص تدريبك للأفراد بناءً على التاريخ والاحتياجات والدور الوظيفي وعوامل أخرى. قد تبدأ باستخدام استبيانات الأمان لقياس مستوى المخاطر بين مختلف الموظفين. بعد ذلك ، ضع في اعتبارك الدور الوظيفي للموظف ومستوى الأقدمية لتحديد مدى احتمالية استهدافهم بالهجمات الإلكترونية.بعد ذلك ، أبدأ بتقييم مخاطر قيام الموظف عن طريق الخطأ أو عن قصد بالتسبب في حادث أمني على البيانات السرية أو الأنظمة الحساسة. علاوة على ذلك ، انظر إلى السلوك السابق للموظف لمعرفة ما إذا كان يقع ضحية لرسائل التصيد الاحتيالي الإلكترونية وعدد مرات وقوعه ، وسلوكه في تصفح مواقع الويب الضارة ، والفشل في إجراءات اختيار كلمة المرور وانتهاك إرشادات الأمان الخاصة بالمؤسسة.
يمكنك بعد ذلك تقديم التدريب الأمني المناسب بناءً على هذه العوامل.اجمع بين تدريبك الأمني و اقتناص الدروس القابلة للتعلم لحظة حدوثها. من المؤكد أن التدريب الأمني المنتظم والرسمي يحتل مكانة حيوية. ولكن ، ضع في اعتبارك دعم ذلك من خلال التدخلات أو التنبيهات في الوقت الفعلي في الوقت الذي يكون فيه الموظف على وشك تنفيذ إجراء محفوف بالمخاطر. يمكن باستخدام أدوات أمان ذكية أن تنبه الموظف خلال محاولته الرد على رسالة تصيد إحتيالي عبر البريد الإلكتروني حيث يمكنك عرض إشارة لتنبيه الموظف إلى المخاطر.
في رسالة بريد إلكتروني واردة ، يمكن أن يحذر البانر من احتمالية الاستيلاء على الحساب أو انتحال الهوية. في رسالة بريد إلكتروني صادرة ، قد يحذر البانر المستخدم إذا كان على وشك إرسال الرسالة إلى العنوان الخطأ أو إرفاق ملف غير صحيح. لا يمكن لهذه الأنواع من التدخلات إيقاف الخروقات الأمنية قبل حدوثها فحسب ، بل تساعد في تعليم الأشخاص سبب الإبلاغ عن إجراء معين.
لا يوجد شكل نهائي لعمليات التدريب الأمني فهي انعكاس للتهديدات التي تأخذ طبيعة متسارعة و متجددة كل لحظة. نعتبر روبودين شريكاً لكم في عمليات التدريب تلك. إن المحتوى الرصين و الموثوق الذي يتضمنه روبودين يساعد الموظفين في تطوير وعيهم الأمني عبر التعليم أو التعلم الذاتي.