محتوى هذا المنشور هو مسؤولية المؤلف فقط. لا تتبنى AT&T أو تؤيد أيًا من وجهات النظر أو المواقف أو المعلومات التي يقدمها المؤلف في هذه المقالة.
ليس من غير المألوف في عالم الشركات اليوم أن ترى مسوقًا مبدعًا يطلق حملات توعية أمنية جذابة، ويوجه الشركة بأكملها نحو ممارسات قوية للسلامة عبر الإنترنت. وفي أماكن أخرى، تعمل مراجعات الوظائف بشكل متزايد على تقييم مدى جودة أداء الموظفين على جبهة الأمن السيبراني. التحول في التركيز واضح. لقد أدركت المنظمات أن الأدوات التقنية المتطورة ليست الحل النهائي. الناس هم نقطة الضعف في الواقع، كشف باحثون من جامعة ستانفورد عن ذلك تقريبًا 88% من خروقات البيانات ناجمة عن أخطاء الموظفين.
ناهيك عن أننا لاحظنا اتجاهًا متزايدًا للهجمات التي تتجنب التكنولوجيا وتركز بدلاً من ذلك على الأشخاص. الاستراتيجية تثبت فعاليتها. حوادث برامج الفدية البارزة، مثل تلك التي تؤثر على خط الأنابيب الاستعماري, جي بي اس للأغذية، و كاسيا، سيطرت على العناوين الرئيسية. نظرًا لأن دفاعاتنا القائمة على التكنولوجيا أصبحت أكثر تقدمًا، تتكيف الجهات الفاعلة الخبيثة، وتبحث دائمًا عن أسهل نقطة دخول. سعيًا لتحقيق الكفاءة وتقليل الجهد، غالبًا ما يجد هؤلاء المهاجمون الإلكترونيون أن الموظفين هم الأهداف الأكثر جاذبية.
لذا، فإن تدريب الجميع على اكتساب وعي أفضل حول الأمن السيبراني ليس مجرد فكرة جيدة؛ إنه أمر لا بد منه. بناءً على كل هذا، لدينا بعض التوصيات حول ما يحتاج القادة إلى معرفته والأسئلة الذكية التي يجب أن يأخذوها في الاعتبار في اجتماعهم الكبير القادم.
خمسة أشياء يحتاج القادة إلى معرفتها حول ثقافة الأمن السيبراني
- فهم الثقافة الأمنية
إن الغموض الذي يحيط بمصطلح “الثقافة الأمنية” ينبع في كثير من الأحيان من مشكلة أساسية: وهي كثرة استخدامه دون تعريف واضح. وهذا النقص في الوضوح يمهد الطريق لتفسيرات وافتراضات متنوعة. ومن خلال هذا العمل، نهدف إلى توضيح المفهوم. توصف الثقافة الأمنية بأنها المعتقدات والتقاليد والسلوكيات الجماعية لمجموعة ما والتي تشكل موقفها الأمني.
- لماذا تعتبر الثقافة الأمنية مهمة؟
في بعض الأحيان، يتبنى الموظفون عادات أمنية سيئة، إما بشكل مستقل أو بسبب عدم وجود التوجيه المناسب من المنظمة. قد يكون التعامل مع هذه العادات أمرًا صعبًا. ومع ذلك، فإن إنشاء ثقافة أمنية قوية يمكن أن يغير سلوكياتهم، مما يمكّن المؤسسة من حماية سمعتها وعلامتها التجارية ورفاهيتها المالية.
- كيف تبدو الثقافة الأمنية الجيدة؟
لنفترض أن الموظف، أليكس، يتلقى رسالة بريد إلكتروني من أحد البنوك مليئة بالأخطاء المطبعية وتتضمن رابطًا مشبوهًا. وفي مكان عمل يفتقر إلى الثقافة الأمنية، يعتقد أليكس أن “هذا أمر غريب. سأضعه جانبًا في الوقت الحالي”. ومع ذلك، في شركة تتمتع بثقافة أمنية قوية، يكون رد فعل Alex الفوري هو: “قد يكون هذا خطيرًا. أحتاج إلى إبلاغ قسم تكنولوجيا المعلومات.” مثل هذا الإجراء الفوري يمنح الفريق التقني تحذيرًا مبكرًا، مما يسمح له بالتصرف قبل حدوث المزيد من الضرر.
لا يتعلق الأمر بتحويل كل موظف إلى متخصص في الأمن السيبراني؛ بل يتعلق الأمر بضمان تصرف كل فرد بمسؤولية، وتجسيد صفات “بطل الأمن”.
- إعطاء الأولوية للقيم والمواقف والمعتقدات على القواعد والسياسات
غالبًا ما تفاجئ التهديدات السيبرانية المؤسسات لأن جزءًا كبيرًا من القوى العاملة لديها ليس على دراية كافية أو مستعدة لمواجهة هذه المخاطر. يأمل القادة أن تتصرف فرقهم بمسؤولية، مثل قفل جهاز كمبيوتر غير مراقب أو الإبلاغ عن رسائل البريد الإلكتروني المشبوهة. ومع ذلك، فإن مجرد تنظيم دورات تدريبية أو تدريبات على التصيد الاحتيالي ليس هو الحل الكامل. إن القيم والمواقف والمعتقدات الأساسية المتعلقة بالأمن هي التي تدفع حقًا إلى اتخاذ إجراءات آمنة. إن الثقافة الأمنية الحقيقية، المرتكزة على المسؤولية والثقة المشتركة، تتفوق على السياسات المستقلة أو الحلول التقنية من حيث الفعالية.
- تمنح ثقافة الأمن السيبراني مؤسستك ميزة تنافسية
عندما يتعامل الموظفون مع البيانات والأنظمة المهمة يوميًا، فإنهم يلعبون دورًا رئيسيًا في الحفاظ على الأمان. إنه أكثر من مجرد إيقاف التهديدات؛ إجراءاتهم الدقيقة تجعل العمل أكثر موثوقية. هذا التركيز القوي على الأمن السيبراني يمكن أن يجعل مؤسستك متميزة وتصبح الخيار الأفضل للعملاء الذين يقدرون السلامة.
سبعة أسئلة يجب على القادة طرحها
يجب على القادة اتباع نهج أولي لتضمين ثقافة الأمن السيبراني. إن تقييم عمق وفعالية مثل هذه الثقافة يتطلب تفكيرًا نقديًا ذاتيًا. وللمساعدة في هذا المسعى، فكر في هذه الأسئلة المحورية السبعة:
1. هل يعتبر الأمن السيبراني أولوية على كافة المستويات؟
يجب أن يكون الأمن السيبراني مهمًا على كل مستوى من مستويات المنظمة. لدى اتحاد الأمن السيبراني في معهد ماساتشوستس للتكنولوجيا سلون نموذج نضج الذي يتحدث عن أربع مراحل مختلفة من الوعي بالأمن السيبراني للمؤسسات. في المرحلة العليا، يعلم الجميع أن الأمن السيبراني هو جزء من وظيفتهم اليومية. في المقابل، في مرحلة البداية، يعرف الأشخاص فقط أن بعض الأدوات التي يستخدمونها تأتي مع ميزات الأمان.
2. ما هو عدد المرات التي يتم فيها تدريب الموظفين على أفضل ممارسات الأمن السيبراني؟
الأمن السيبراني ليس درسًا لمرة واحدة؛ إنها عملية مستمرة. في حين أن العديد من الشركات قد توفر جلسة تدريبية أولية، فمن الضروري إبقاء الجميع على اطلاع دائم بالتهديدات المتطورة باستمرار. أفضل الممارسات ليست مجرد تذكيرهم بل إشراكهم. يمكن أن تساعد الجلسات المنتظمة، كل 4-6 أشهر، باستخدام الأساليب التفاعلية مثل الأمثلة ومقاطع الفيديو، في الاحتفاظ بالمعلومات وضمان تنفيذها في مهامهم اليومية. ففي نهاية المطاف، كلما كان الموظفون أكثر اطلاعاً، كلما أصبحت الجبهة الأمنية للمنظمة أقوى.
3. ما هي الآليات المعمول بها للإبلاغ عن الحوادث الأمنية ومعالجتها؟
لكي تتفاعل أي منظمة بسرعة مع التهديدات الأمنية، يجب أن يكون هناك نظام واضح لاكتشاف هذه المخاطر ومشاركتها. يجب أن يكون كل عضو في الفريق على دراية بعلامات التهديدات الأمنية المحتملة وأن يعرف بالضبط كيفية الإبلاغ عنها. والأمر الذي لا يقل أهمية هو استجابة الشركة – حيث ينبغي أن تكون هناك عملية راسخة لمعالجة هذه الحوادث والتخفيف من حدتها.
4. كيف نشجع العقلية الأمنية الاستباقية بين الموظفين؟
إن مفتاح الأمن القوي لا يكمن في الاستجابة للتهديدات فحسب، بل في توقعها. ومن خلال رعاية النهج الاستباقي للأمن بين الموظفين، فإنهم لن يقوموا برد فعل فقط؛ سيكونون جاهزين. بل إنها قد توقف المخاطر المحتملة قبل أن تصبح مشكلات حقيقية. يضمن هذا النهج الاستباقي أن يكون الفريق دائمًا متقدمًا بخطوة، ويحمي أصول الشركة وسمعتها.
5. هل نقوم بقياس فعالية مبادرات الثقافة الأمنية لدينا؟
بدون مقاييس وتقييمات منتظمة، سيكون من الصعب تحديد ما إذا كانت المبادرات الأمنية تحقق تأثيرًا أم لا. يمكن أن تتراوح المقاييس من تتبع تكرار الحادث ومعدلات إكمال التدريب إلى مراقبة معدلات نجاح محاكاة التصيد الاحتيالي والوقت المستغرق للرد على التهديدات. يوفر التقييم المنتظم لمثل هذه المقاييس صورة واضحة عن الوضع الأمني للمؤسسة، مما يضمن بقاءها مرنة في مواجهة التهديدات المتطورة.
6. كيف نتعامل مع العنصر البشري في الأمن السيبراني؟
يمكن تحديث الآلات وتصحيحها، لكن تعديل السلوك البشري أكثر تعقيدًا. إن الاعتراف بالبشر كحلقة ضعيفة محتملة يعني التعامل بشكل مباشر مع عاداتهم اليومية عبر الإنترنت، وتكرار التدريب، ومستويات الوعي. قد تتراوح الحلول من أدوات التحليل السلوكي التي تكتشف الإجراءات غير العادية إلى جلسات التدريب العملي المنتظمة التي تحاكي التهديدات السيبرانية في العالم الحقيقي.
7. هل يقدم قادتنا ومديرونا التنفيذيون المثال الصحيح؟
يلقي سلوك القيادة والتزامها بالأمن السيبراني بظلال كبيرة على المنظمة. عندما يدعم كبار القادة الممارسات الآمنة ويؤكدون عليها بشكل فعال، فإن ذلك يعزز التأثير المضاعف، مما يؤدي إلى تنمية الشعور الجماعي بالمسؤولية.
على العكس من ذلك، إذا بدت هذه الشخصيات الرئيسية مهملة أو غير صارمة تجاه تدابير الأمن السيبراني، فقد ترسل عن غير قصد رسالة مفادها أن هذه الاحتياطات ثانوية أو اختيارية. إن موقف القيادة من الأمن السيبراني لا يحدد القيم والمبادئ الحالية للمنظمة فحسب، بل يمهد الطريق أيضًا لاتخاذ القرارات والاستجابات المستقبلية.
يتمتع القادة بمكانة حاسمة من الثقة والمسؤولية في تشكيل ثقافة الأمن السيبراني للمنظمة. إن كل لحظة تأخير في معالجة المخاوف المتعلقة بالثقافة يمكن أن تكون مكلفة. ومن خلال طرح هذه الأسئلة في المقدمة خلال مناقشات القيادة، يمكنهم وضع المنظمة على مسار آمن.
