تواجه المؤسسات مشاكل متعددة تتعلق بالعنصر البشري. تتراوح هذه المشاكل بين نقص المهارات و الموظف الحانق و ترك العمل. لكن يركز روبودين في هذا المقال على العوامل البشرية في الأمن السيبراني كما يقترح نقل مسؤولية التوعية الأمنية للموظفين إلى إدارة الموارد البشرية.
من أهم هذه العوامل، التفاعل بين الإنسان والحاسوب ، والعوامل التنظيمية ، والبيئات الاجتماعية ، والوعي الأمني . في حين أن الأمن السيبراني يبدو و كأنه يركز فقط على أنظمة تكنولوجيا المعلومات و لكنه في الحقيقة يركز أيضاً على كيفية استخدام البشر لنظم المعلومات بطريق تؤدي إلى اتساع سطح التعرض للمخاطر السيبرانية .
يبدأ قادة الأمن في فهم أثر العوامل البشرية في الأمن السيبراني خلال العمليات أو التواصل بين الأفراد و يتعاونون مع إدارات الموارد البشرية لإنجاز المنظمة لأهدافها. بشكل عام، تشير النتائج إلى أن البشر كانوا الحلقة الأضعف في سلسلة أمن المعلومات. علاوة على ذلك ، لوحظت سلوكيات ضارة نشأت عن قصد أو عن جهل الأفراد ذاتهم، و أحياناً كان ظهور مثل هذه السلوكيات نتيجة جهل قادة المؤسسة و اضطراب علاقتهم مع الموظفين. لذلك ، يركز برنامج الأمن السيبراني على التعليم والتوعية و التواصل الفعال.
اليوم ، تواجه قيادة الأمن السيبراني تحديات هائلة في بيئة العمل. فقد تطورت نقاط ضعف الأمن السيبراني إلى تهديدات ناشئة للمؤسسات رغم إنفاق مليارات الدولارات حول العالم على أنظمة تكنولوجيا المعلومات وبرمجياتها.
العوامل البشرية في الأمن السيبراني – إدارة الأفراد
تشغل عملية إدارة الأفراد حيزاً كبيراً من وقت قادة الأعمال. حيث يعتبر نجاح هذه العملية مفتاح النجاح لأي منظمة أعمال.
تتكون العوامل البشرية من عناصر السلوكيات والأداء و التفاعل البشري مع الحواسب والأجهزة المحمولة والاستخدام غير المقبول لموارد تكنولوجيا المعلومات من قبل الموظفين و سرقة الأجهزة و المعلومات.
للأسف فإن بعض القادة ينظرون إلى انتهاكات الأمن السيبراني على أنها كارثة تكنولوجية معزولة دون الانتباه إلى تأثير العوامل البشرية في الأمن السيبراني و تقاطعها مع تلك الانتهاكات. تنسى الناس -أو تتناسى- أن قضايا الأمن تتطلب فهمًا للسلوك البشري.
اليوم، بات مطلوباً من الإدارات العليا أن تضع البشر دائماً في قلب العمليات اليومية و تقدم لهم التدريب و التوعية المناسبين لتحويلهم لمدافعين عن المؤسسة تجاه مخاطر أمن المعلومات. على العكس من ذلك، يُلاحظ أن العوامل البشرية هي السبب في معظم الحوادث السيبرانية وانتهاكات البيانات وهجمات البرمجيات الخبيثة.
الموارد البشرية على أهبة الاستعداد للأمن السيبراني
الحماية الأكثر فاعلية هي زيادة وعي الموظفين. وهنا يظهر دور قسم الموارد البشرية لتطبيق هذا الأمر. تعترف نسبة قليلة من قادة الأمن السيبراني أن هناك حاجة إلى الاستعانة بخبير في الموارد البشرية لمواجهة التهديدات الإلكترونية بنجاح. رغم أنه لاشيء محرج في مثل هذا الإقرار.
لا ينبغي أن يكون الأمر كذلك، بالتأكيد هناك خبراء تقنيون مسؤولون عن الأمن السيبراني على مستويات السيرفرات والأجهزة العادية والبرامج ولكن لا يمكن ضمان أمن الشركة من خلال التدابير التقنية فقط. هناك حاجة دائمة للتدابير أو الضوابط التنظيمية كالحاجة إلى تدريب الموظفين للتعرف على حيل مجرمي الإنترنت والتصدي لها. هذا هو المكان الذي يمكن أن تكون فيه خبرات ومهارات متخصصي الموارد البشرية في متناول اليد.
لماذا التدابير التقنية البحتة ليست كافية:
قد يقول البعض “هذا هو الهدف الأساسي لمتخصصي تكنولوجيا المعلومات” وهذا الأمر صحيح جزئياً، ربما يبذل قسم تكنولوجيا المعلومات أو قسم أمن المعلومات كل ما في وسعهم لتقليل مخاطر التعرض للهجمات أو تخفيف العواقب المحتملة. ومع ذلك، يمكن لخطأ بشري واحد فقط إبطال معظم جهودهم .ولهذا السبب يجب على جميع الموظفين مراعاة قضايا الأمن السيبراني.
يمكن لأي موظف عن غير قصد أن يضر بسمعة الشركة أو أن يتسبب بخسائر مالية غير مرغوبة. كل ما يحتاجه هذا الأمر هو فتح مرفق ضار أو تصديق شيء مخادع مثل “رسالة مزورة من المدير” تحثهم على تحويل الأموال إلى حساب غير مألوف.
في السنوات القليلة الماضي، اعتمد مجرمو الانترنت على أخطاء الموظفين وعدم وعيهم قبل كل شيء. فأصبح التصيد الاحتيالي الوسيلة الأكثر شيوعاً بالنسبة لهم للحصول على البيانات السرية. كما طور مجرمو الانترنت محاولاتهم لخداع الأشخاص و دفعهم للكشف عن المعلومات الحساسة باستخدام الهندسة الاجتماعية أو رسائل البريد الإلكتروني المخادعة أو مواقع الويب المزورة. في يومنا الحالي يعتمد أمن الشركة على كل الموظفين ويجب على الشركة إبلاغ كل فرد منهم بقواعد العمل الآمن.
الحاجة للمساعدة:
قد تحتاج أقسام أمن المعلومات إلى المساعدة في الجهود المبذولة لتثقيف الزملاء في العمل بعيداً عن دورهم التقني البحت. التعامل مع الناس عادةً لا يكون دوراً مركزياً في التوصيف الوظيفي للوظائف التقنية. مع ذلك، تبقى مهارة “تثقيف الموظفين الآخرين” مطلوبة بشدة منهم.
إذا كنت جيداً في ما تفعله فهذا لا يعني بالضرورة أنه يمكنك شرح كيفية القيام بذلك لأشخاص أخرين. و يظهر ذلك خصوصاً إذا كان هؤلاء الأشخاص غير تقنيين أو من اختصاص مختلف. ما يبدو واضحاً لخبير الأمن السيبراني قد لا يكون مألوفاً لمدير المبيعات على سبيل المثال. ولهذا السبب غالباً ما يصعب فهم تعليمات المتخصص ومحادثاته ولا تؤدي إلى النتائج المطلوبة.
بالإضافة إلى ذلك، لا تعد المحاضرة الشكل الأمثل للتعلم. كما تظهر التجارب فإن قلة فقط من الأشخاص يعالجون المعلومات المقدمة بهذه الطريقة. هذا الأمر يشبه التدريب على السلامة من الحرائق، قد يبدو أنه أمر حيوي و لكن معظم الناس يعتبرونه إجراءً شكلياً. حتى لو استمع أحدهم حقاً إلى المحاضر، فإنه في أفضل سيناريو ربما ينسى حوالي 70٪ مما قيل في غضون يومين. لذا من الأفضل دائماً الحصول على تدريب يتم إجراؤه بواسطة موظف الموارد البشرية الذي يعرف كيفية نقل المعلومات إلى الموظفين الأخرين بالطريقة الصحيحة.
ناهيك عن أن فرق أمن المعلومات تكاد تكون غارقة في أعباء التعامل مع المشكلات الروتينية المستمرة ككلمات السر المنسية و مئات الإشعارات القادمة من حلول الحماية المختلفة والتي قد يكون كل منها علامة أو دلالة على هجوم ما. وهذا يعني أنه لا توجد موارد كافية لدى فريق تكنولوجيا المعلومات للقيام بالمهام الإستراتيجية غير المألوفة مثل التدريب على الوعي الأمني.
شركتك بحاجة إلى بطل جديد:
لا شك في أنك قد فهمت الأمر الآن، لا غنى عن متخصصي الموارد البشرية في التصدي للتهديدات الإلكترونية. يعرف خبير الموارد البشرية كل مداخل وعموميات تدريب الشركات.
على الرغم من أن الموضوع ليس سهلاً، إلا أنك لست بحاجة إلى أن تكون خبيراً في الأمن السيبراني لترتيب التدريبات. في البداية يجب الاستعانة بالمختصين بهذا المجال لإعداد وتنظيم جميع المعلومات الضرورية. ومن ثم يمكن لمختص الموارد البشرية أن يدير هذه العملية.
يمكن أن تكون روبودين بمثابة مصدر إضافي للمعلومات يساعد أخصائي الموارد البشرية في التعرف على أحدث التهديدات السيبرانية والأساليب الحديثة للمهاجمين وطرق التصدي لها لتدريب الآخرين على الحماية من تلك التهديدات. نشرنا سابقاً العديد من المقالات الخاصة بالحماية والمشروحة بطريقة مبسطة وموجهة لغير التقنيين (للمستخدم العادي). كما نخطط أيضاً لنشر مواد إضافية يمكن أن تساعد الموارد البشرية على أن يكونوا أكثر إقناعاً أثناء تدريبهم بقية الموظفين على مواضيع الأمن السيبراني.
