يمثل النموذج Open Systems Interconnection (OSI)إطار عمل مفيد من لمتخصصي تكنولوجيا المعلومات عندما يتعلق الأمر بحماية الشبكة واستكشاف أخطاءها ومعالجتها. يتكون OSI من سبع طبقات. ولكن تمت إضافة الطبقة الثامنة افتراضياً للتأكيد على أهمية العامل البشري في الأمن السيبراني . يبقى البشر ثغرة أمنية محتملة عندما يتعلق الأمر بحماية المعلومات الحساسة. الطبقة 8 تشمل جوانب مثل وعي المستخدم والتدريب والسياسات والإجراءات والالتزام بها. حتى مع وجود دفاعات تقنية قوية في طبقات OSI السبعة، فلا يزال من الممكن اختراقها أمنياً بسبب الأخطاء البشرية. من المهم أن تركز المنظمات على هذه الطبقة من خلال تنفيذ برامج توعية أمنية شاملة ، وإجراء دورات تدريبية منتظمة للموظفين على جميع المستويات ، ووضع سياسات وإرشادات أمنية واضحة ، وتعزيز ثقافة الوعي الأمني. من خلال معالجة الطبقة 8 بشكل فعال ، يمكن للمؤسسات التخفيف من المخاطر المرتبطة بهجمات الهندسة الاجتماعية وتعزيز مرونتها الإلكترونية الشاملة بشكل كبير.
مع تقدم التكنولوجيا لم يفقد المستخدمين النهائيين End users أهميتهم بل حافظوا على تأثيرهم الكبير وتهديدهم لسلامة الشبكات التي يستخدمونها. سواء كان ذلك من خلال تنزيل فيروس أو استخدام بيانات اعتماد مخترقة أو خطأ بشري بسيط – يشكل مستخدمو الشبكة في الواقع تهديداً أمنياً كبيراً لا يبدو أنه في طور التناقص.
تدريب و توعية الموظف
على عكس ما يعتقد البعض، فإن الخطأ البشري و ليس مجرمو الانترنت هو أحد الأسباب الرئيسية لخرق البيانات. الأخطاء البسيطة التي يرتكبها الموظفون – مثل الحذف العرضي للملفات أو تدمير البيانات أو تنزيل البرامج الضارة – يمكن أن تكلف الأعمال مبالغ ضخمة كل عام. في السنوات الأخيرة، يمكن للتدريب على توعية الموظفين منع هذه الحوادث مقابل أجور شهرية بسيطة عبر الاشتراك بالخدمات المدارة.
عادة ما تستعين إدارات تكنولوجيا المعلومات بمقدمي الخدمات المدارة (MSPs) أو بمصادر خارجية لمساعدتها في مستويات نموذج OSI. لكن ذلك التعاون الذي لا يشمل عادة موظفي الشركة يمتد اليوم ليغطي هذا الموضوع. تعمل الخدمات المدارة على معالجة المشاكل المتعلقة بتكنولوجيا الأعمال. يشمل ذلك و لا يقتصر على: الصيانة الروتينية،التصحيح التلقائي و المراقبة الاستباقية. و مؤخراً أضيف لحزمة الأعمال تلك مهام التدريب وتوعية الموظفين مما يجعل العمل أكثر كفاءة وأماناً ومواكبة لمتطلبات الأعمال و تسارعها.
من المهم تسجيل كل موظف في جلسات تدريبية منتظمة للتوعية الإلكترونية لتقليل المخاطر السيبرانية المرتبطة بالخطأ البشري. قد يبدو ذلك ومضيعة للوقت ، لكنه عكس ذلك حقاً. يحتاج التدريب الفعال للتوعية الأمنية إلى أن يكون موجزاً ويتم إجراؤه بشكل متكرر. لهذا السبب يتم استخدام مقاطع فيديو بمدة 10 دقائق فقط بحيث ويمكن لكل فريق المشاركة في الجلسات وفقاً لجدولهم الخاص. ولاحتبار مخرجات هذا التدريب تقوم فريق أمن المعلومات بإنشاء وإرسال رسائل بريد إلكتروني وهمية للتصيد وإرسالها بانتظام إلى مستخدميها الداخليين لاختبار مستوى معرفتهم.
دعم تكنولوجيا المعلومات
خلال فترة الإغلاق المرتبطة بـ COVID-19 ، عملت الشركات وفق نموذج هجين مع عدد قليل من الموظفين في المكتب والأغلبية يعملون من المنزل. في هذه البيئة ، كان توفير الدعم عن بُعد لفرق العمل أمراً جوهرياً. ساعدت فرق دعم تكنولوجيا المعلومات في استكشاف المشكلات وحلها بسرعة وأمان أكبر. استفاد عملاء الخدمات المدارة من توفر دعم تكنولوجيا المعلومات على مدار 24 ساعة طوال أيام الأسبوع ، تواجدت الفرق بشكل مستدام للحفاظ على الطبقة الثامنة في نموذج OSI وهي أكثر الطبقات أهمية و صعوبة.
العامل البشري في الأمن السيبراني
لإنشاء ثقافة الأمن السيبراني ، يجب أولاً تحديد الحالة المرغوبة أو الشكل الذي ستبدو عليه هذه الثقافة. بدل الوقوع في شعور زائف بالراحة لفكرة أن أدوات التحكم التقنية وحدها يمكنها أن تحافظ على سلامتك. تتجاوز الهجمات السيبرانية المتقدمة جدران الحماية التقليدية وآليات الوقاية بسهولة. من هنا تأتي أهمية البشر كخط حماية أخير.
بدعم ثقافة الأمن السيبراني في المؤسسة نتأكد من أن المستخدمين يأخذون الأمن السيبراني بعين الاعتبار مهما كان دورهم الوظيفي أو مستوى استخدامهم لعالم تكنولوجيا المعلومات. ينطبق ذلك على كل المفاصل. فكل شخص في العمل يلعب دوراً أساسياً في حماية الشركة وبياناتها الحساسة. لذلك، من الضروري تثقيف موظفيك حول كيفية استخدام الإنترنت بأمان في العمل والمنزل ، وتذكيرهم باستمرار بأهمية حماية معلومات المؤسسة و معلوماتهم الشخصية.
أهمية العامل البشري في الأمن السيبراني
يمكن تطوير ثقافة الأمن السيبراني وتعزيزها عبر أربع خطوات رئيسية بدعم من المستويات العليا في المؤسسة:
- تضمين الأمن السيبراني في جميع العمليات التجارية بدلاً من قصره على وظيفة واحدة.
- تشجيع التعاون بين مختلف الإدارات ومجالات العمل.
- تعزيز المسؤولية المشتركة.
- تمكين الموظفين من التعلم والتطوير.
كما حدد الخبراء بعض النصائح لمساعدة المؤسسات على تحسين ثقافة الأمن السيبراني ومنها:
- تثقيف الموظفين حول كيفية ارتباط نقاط الأمن السيبراني بقدرة المؤسسة على تحقيق أهداف أعمالها لتجنب غرامات عدم الامتثال أو انقطاع الأعمال وتضرر سمعة العلامة التجارية.
- تشكيل فريق من الداعمين لبرنامج التوعية الأمنية يضم مؤيدين من جميع أنحاء المنظمة ، وليس فقط فريق الأمن السيبراني.
- تعزيز قدرة الموظفين على حماية البيانات داخل المنظمة.
طرق لتحسين ثقافة الأمن السيبراني:
يعني تطوير ثقافة الأمن السيبراني إنشاء عقلية أمنية على مستوى الشركة ، حيث تصبح ممارسات الأمن السيبراني الجيدة جزءاً من الحمض النووي DNA للمؤسسة وجزء من عملها اليومي. لتحقيق ذلك ، تشمل بعض أفضل الممارسات ما يلي:
- الاستفادة من دعم الإدارة التنفيذية C-suite لتعزيز النظافة السيبرانية الجيدة من أعلى إلى أسفل
- شرح الأولويات للناس و وضعهم في صميم السياسات الأمنية
- جعل تدريب التوعية الأمنية ممتعاً ومجزياً
- الاستثمار في أدوات الأمان المناسبة
- وجود خطة إحلال للـ CISO
- بناء مركز للأمن السيبراني SOC
- العمل على إستراتيجية الثقة الصفرية
كلمة أخيرة
غالباً ما يستخدم مصطلح الطبقة الثامنة بشكل سيء من قبل بعض متخصصي تكنولوجيا المعلومات للإشارة إلى افتقار الموظفين للوعي وثقافة الأمن السيبراني العامة . بينما تستمر المنظمات في شراء وتطبيق الضوابط الفنية ، لم يتم عمل الكثير للتركيز على الجانب البشري من الأمن السيبراني. اليوم ، لا يقل تأمين الأصول البشرية – الطبقة 8 – أهمية عن تأمين الطبقات من 1 إلى 7.
