تزدهر الإنسانية بتعدد الثقافات و تنوعها. ينتمي كل منا إلى ثقافة أو ثقافات متعددة. تساهم الثقافة في تكوين شخصياتنا و تؤثر على سلوكياتنا و طرق استجابتنا للأحداث و تفاعلنا مع المحيط. يمكننا أن نحصي عدداً كبيراً من الثقافات حول العالم وذلك اعتماداً على تعريفنا لكلمة “ثقافة”. إذا كنت تعمل في مجال أمن المعلومات ، فمن المحتمل أنك واجهت مراراً أثر الثقافة على عملك. و حاولت بناء ثقافة أمن المعلومات التي تحاول من خلالها توحيد رؤية الموظفين لمفهوم الأمن بغض النظر عن ثقافاتهم المتمايزة.
أهمية ثقافة أمن المعلومات
بشكل عام، يمكننا تعريف ثقافة الشركة على أنها الطريقة التي يتصرف بها الأشخاص في شركتك. وكيف يشعرون تجاه ما يواجههم من مشاكل. و كذلك المواقف والأساليب التي تنعكس على شركتك ، سواء تم ذلك عن قصد أو عن غير قصد. يمكن أن تؤثر ثقافة الشركة على أداء الموظفين و جودة عملهم. و يمكن أن ينعكس ذلك أيضاً على الأرباح و الموقف التنافسي في السوق.
تساعد ثقافة أمن المعلومات الأشخاص في المؤسسة على التصرف بطرق تسهل قدرتك على مواجهة الهجمات الإلكترونية
و تساعدك في حماية الأصول المعلوماتية الهامة.
لا نتحدث هنا عن أبطال يتصدون لهجمات و لكن عن أفراد لديهم روح المبادرة و مدركين لأهمية أدوراهم الفردية و سلوكياتهم في حماية المؤسسة و تعزيز موقفها الأمني. هؤلاء الأفراد يتعاونون مع فريق أمن المعلومات لتطبيق أفضل الممارسات و الخبرات في هذا المجال لأن أفضل الضوابط الأمنية تصبح عديمة الفائدة إذا تم تجاهلها. كمدير أمن معلومات لا أجد صعوبة في شرح ما أريد لمديري فنحن نتشارك ذات المعرفة بطريقة ما. لكن المشكلة تبدأ عند محاولة تسويق أفكار و سياسات أمن المعلومات لدى المستخدمين من الأقسام المختلفة.
لنفترض أن شخصاً في المؤسسة تعرض لمحاولة تصيد احتيالي فأخبر زملاءه عما حدث معه ليأخذوا حذرهم و يطوروا معرفتهم. للوهلة الأولى، قد يبدو ما فعله جيداً و يعكس تشارك بالمعرفة. لكن ثقافة أمن المعلومات تتطلب منه الإبلاغ عن هذه الحادثة عبر نظام الإبلاغ الداخلي الخاص بحوادث أمن المعلومات. طبعاً مع الانتباه أنه من المفيد له و للمؤسسة أيضاً ثقافة المشاركة مع الزملاء لكن ذلك لا ينبغي أن يكون بديلاً للإجراءات الأمنية (الإبلاغ). كما أن ثقافة أمن معلومات توفر للمؤسسة مرونة عالية في مواجهة الهجمات. مع العلم أن جزءاً كبيراً من هذه الثقافة قد لا يمر من طريق مسؤولي الأمن.
إنشاء ثقافة أمنية قوية
كما هو الحال مع جميع الأعمال التي يجب عليك القيام بها للحفاظ على أمان شركتك ، فإن بناء ثقافة أمنية قوية والحفاظ عليها ليس مشروعاً يوضع على الورق ثم يتم تناسيه مع مرور الوقت. و لكنه يشبه عملية الزراعة حيث لا تنتهي مهمتك بوضع الغرسة في التراب و لكنك تحتاج لسقايتها و متابعتها حتى تكبر و تثمر.
و كذلك فإن عملية بناء ثقافة أمن المعلومات هي عمل مستمر يحتاج لمعالجة و متابعة يومية. إنه شيء ترعاه على مدى السنين و إذا أهملته سيموت. و كما نعلم فإن الثقافة الأمنية القوية لا تقف عند حدود تكنولوجيا المعلومات و لكنها تشمل كل شخص من قاعدة هرم الشركة إلى القمة. كل شخص في شركتك له صلة بالأمن السيبراني بطريقة أو بأخرى. يستخدم موظفوك و المتعاقدين معك شبكة الكمبيوتر ، سواء كانوا في مكان عمل الشركة أو العمل من المنزل.
و كذلك يقوم حراس الأمن وموظفي الاستقبال بمراقبة الوصول الفيزيائي إلى مباني الشركة حيث يمكن لخطأ منهم أن يؤدي إلى وصول شخص معادي أو مخرب إلى أجهزة الكمبيوتر في المكاتب. يمكن لعامل ينفذ صيانة للكهرباء أن يؤثر على مركز البيانات و يعطل خدمات الشركة إذا استطاع اختراق نظام الأمن الفيزيائي و تواجد في مكان لا ينبغي عليه التواجد فيه أو وصل إلى موارد ليس من حقه الوصول إليها بسبب تجاهل أو تخاذل أو فشل موظفين و مستخدمين لم يتشربوا الثقافة الأمنية بالمستوى المطلوب.
التدريب لبناء ثقافة أمن المعلومات
كما أسلفنا، يمكن أن للأشخاص و الأجهزة أن تؤثر على الأمني بطريقة إيجابية أو سلبية. تبدأ ثقافة الأمان القوية عندما يفهم الجميع
كيف يمكنهم التأثير على أمنك و يلتزمون يتحمل المسؤولية عن ذلك. بعدها، تحتاج إلى تعزيز الوعي الأمني. كما هو الأمر مع كل أنواع التدريب فإن التدريب الأمني ليس شيئاً ينفذ مرة واحدة فقط. يحتاج الناس في مؤسستك بشكل متكرر التدريب الأمني والتذكير بالعادات الأمنية المناسبة.
من أهم الأشياء التي يمكنك القيام بها هو تدريب العاملين لديك على مواجهة محاولات الهندسة الاجتماعية. اشرح لهم ما هو التصيد الاحتيالي والطرق المختلفة التي يمكن أن تظهر من خلال المكالمات الهاتفية والرسائل النصية ، رسائل البريد الإلكتروني وصفحات الويب ومنشورات الوسائط الاجتماعية. علمهم أن المهاجمين الإلكترونيين يمكن أن يتظاهروا بأنهم شخص أو شركة يثقون بها.
إن دور البشر هو الأهم في أي عملية أمن معلومات. قد تحتوي مخدمات البريد الإلكتروني على برنامج مكافحة فيروسات قوي
يمسح جميع مرفقات البريد الإلكتروني التي تمر عبر النظام بحثاً عن برامج ضارة. ومع ذلك ، لا يوجد برنامج مكافحة فيروسات قوي بما يكفي ليمنع جميع مرفقات البريد الإلكتروني الضارة من الوصول للمؤسسة. لكن هذه المرفقات إذا انتهت في صندوق بريد مستخدم واعي فسوف يتم الإبلاغ معها و احتواء ضررها. أما إذا وصلت لمستخدم لم يتلق ثقافة أمنية بشكل جيد فقد تتحول لكارثة.
حتى موظفي تكنولوجيا المعلومات يجب عليهم توخي الحذر بشأن من يمنحونه الوصول وإلى ماذا. هناك الكثير من الدروس المختلفة كل يوم التي يجب تعلمها ودمجها بالثقافة الأمنية للمؤسسة لتحسين وضعها الأمني بطريقة مستدامة. يصب كل ذلك في الوعي الأمني و هو حجر الأساس لثقافتك الأمنية.
التوعية الأمنية – خط الدفاع الأهم
من المهم أن ألا يتحول تدريب أمن المعلومات لمجرد جلسة نظرية حول مفاهيم قياسية لا يمكن للمتلقين إدراك كيفية تشبيكها مع واقعهم العملي في المؤسسة. و إنما يفترض أن يتعلموا من خلالها طرق الحماية بذات الشغف الذي يتعلمون فيه فنون الدفاع عن النفس لحماية أحبائهم من المجرمين المتسكعين في الشوارع.
يجب أن يركز تدريب التوعية الأمنية على بناء مدافعين وليس فقط أشخاص تنتهي مهمتم عند الإبلاغ عن الحوادث. إذا لم يوفر التدريب آليات محفزة على الانخراط في عملية أمن المعلومات فكل تدريب هو مجرد مضيعة للوقت.
لكن كيف يمكنك تحفيز المتدربين على الانخراط؟ هل يكون ذلك بالمكافأت المادية أم بشهادات التقدير العينية؟
يقترح البعض مزيجاً من النقود و التقدير. يعتقد روبودين أن ثقافة أمن المعلومات ستتعزز في المؤسسة إذا تم اعتماد حزمة من مبلغ بسيط من المال و شهادة تقدير كمكافأة لأي موظف يبرهن بالدليل العملي على امتلاكه وعياً أمنياً متقدماً و حرصاً على مصالح مؤسسته. أو أن تقدم هذه المكافأة للمتدربين الثلاثة الأوائل في برنامج تدريب أمن المعلومات في الشركة. سيكون ذلك حافزاً كبيراً للناس. و إذا تأفف المدير المالي من فكرة التحفيز المادي و اعتبرها هدراً للمال فأخبره أن كلفة خرق البيانات تتجاوز بأضعاف مضاعفة كلفة المكافآت التحفيزية.
ما هي الثقافة الأمنية الجيدة؟
المؤسسة التي لديها ثقافة أمن جيدة هي مكان الذي يتخذ فيه الأشخاص القرارات الصحيحة عندما يتعلق الأمر بالأمن. ويكونون كذلك على دراية بمشهد التهديدات. ويعرفون العلامات الحمراء red flags التي يجب التنبه لها. و كذلك قنوات الإبلاغ عن جميع الأنشطة المشبوهة ، و يفهمون دورهم في الأمن السيبراني كخط دفاع مهم.
