مع نمو مشهد التهديدات، يتوسع الاستثمار في برامج التدريب والتوعية في مجال الأمن السيبراني بسرعة. والسبب بسيط – الحلقة الضعيفة في الأمن السيبراني هي الناس وكيفية تصرفاتهم. إنه تحد يعتقد العديد من الخبراء الآن أنه لا يمكن حله إلا من خلال تغيير الثقافة على مستوى المؤسسة.
تقول جينيفر سوليفان، مديرة ممارسة الإستراتيجية السيبرانية في شركة ديلويت، إن إعطاء الأولوية للأمن السيبراني وبناء ثقافة الأمن السيبراني على مستوى المؤسسة أمر ضروري. في عصر التطور التكنولوجي السريع، تشكل التهديدات السيبرانية مخاطر كبيرة على عمليات المؤسسات وسمعتها واستقرارها المالي. وقالت في مقابلة عبر البريد الإلكتروني: “إن تنمية ثقافة التعليم المستمر والوعي يمكّن كل موظف من تولي مسؤولية الأمن السيبراني، ودعم النمو المستدام والابتكار”. “من خلال إعطاء الأولوية للأمن السيبراني، يمكن تحويل نقاط الضعف المحتملة إلى نقاط قوة استراتيجية، مما يضمن ثقافة طويلة الأمد من المرونة والثقة داخل المنظمة وخارجها.”
ابدء
تتمثل الخطوة الأولى في إنشاء ثقافة الأمن السيبراني على مستوى المؤسسة في بناء سياسة شاملة تحدد ما يعتبر صوابًا وما هو خطأ. “يجب أن تكون هذه السياسة واضحة وموثقة جيدًا ويمكن الوصول إليها بسهولة من قبل الجميع في المنظمة”، كما ينصح إيريز تدمر، المدير التنفيذي للتكنولوجيا الميداني في شركة إدارة السياسات الأمنية Tufin، في مقابلة عبر الإنترنت. ويوضح أن السياسة يجب أن تحدد قواعد أمان الشبكة، مثل ضوابط الوصول ومعايير نقل البيانات، مما يضع الأساس للسلوكيات المتوقعة. “عندما تتوافق جميع فرق الأمن مع هذه المبادئ التوجيهية، فإن ذلك يعزز الشعور بالوحدة والمسؤولية الذي يصبح متأصلًا في ثقافة الشركة.”
تعزيز الملكية في وظائف الأمن السيبراني، توصي أماندا ساتروايت، المدير الإداري للمهمة السيبرانية والتمكين في Accenture Federal Services. يمكن تحقيق هذا الهدف بشكل أكثر فعالية من خلال تعيين الأدوار والمسؤوليات الأمنية عبر مختلف المستويات أو الفرق داخل المؤسسة، كما أشارت عبر البريد الإلكتروني. المكافآت والتقدير مهمة أيضًا. “كافئ الموظفين الذين يظهرون ممارسات قوية في مجال الأمن السيبراني والذين يأخذون الوقت الكافي للإبلاغ عن التهديدات المحتملة من خلال اليقظة.”
ينصح ساتروايت بجعل الأمن السيبراني عاملاً في الأداء السنوي لكل موظف. وتقول: “هذا يضمن أن الأفراد يفهمون بوضوح ما هو متوقع منهم شخصيًا”. “إن تحديد الحد الأدنى من أهداف الأداء الأمني لكل فرد يعزز ثقافة المساءلة والمسؤولية المشتركة.”
يتطلب التخطيط لثقافة الأمن السيبراني جهدًا مشتركًا بين المنظمات. يقول سوليفان إنه في حين أن CISO أو CSO يقود عادةً، إلا أنه يجب تحديد النغمة من الأعلى بمشاركة نشطة من مجلس الإدارة. “يجب على C-suite دمج الأمن السيبراني في استراتيجية الأعمال، ويجب على أصحاب المصلحة الرئيسيين من تكنولوجيا المعلومات والشؤون القانونية والموارد البشرية والتمويل والعمليات أن يتعاونوا لمعالجة مشهد التهديدات المتطور باستمرار.” وتضيف أن إشراك الموظفين على جميع المستويات من خلال التعليم المستمر سيضمن أن يصبح الأمن السيبراني مسؤولية الجميع.
بناء الثقافة
تبني Liberty Mutual Insurance ثقافة الأمن السيبراني الخاصة بها من خلال “Responsible Defenders”، وهي مبادرة توعية قائمة على الثقافة مصممة لتثقيف موظفي الشركة البالغ عددهم 45000 موظف حول العالم حول دورهم كحراس في الخطوط الأمامية ضد الهجمات الإلكترونية. تقول جيل أريسون بيركنز، مديرة الأمن السيبراني في شركة Liberty Mutual Insurance، في مقابلة عبر الإنترنت: “يهدف البرنامج إلى تثقيف الموظفين حول مسؤوليتهم في الحفاظ على أمان المعلومات الحساسة للعملاء والموظفين والشركة”. هدف البرنامج هو الحفاظ على مشاركة الموظفين على مدار العام من خلال تمارين الهندسة الاجتماعية وتكتيكات اللعب ومنشورات المدونات ومقاطع الفيديو والتدريب والأحداث عبر الإنترنت. “مع استمرار تطور مشهد التهديدات السيبرانية، نقوم بانتظام بتحديث وتعزيز التدريب والتعليم لدينا.”
تعمل Liberty Mutual أيضًا على تعزيز بيئة الأمن السيبراني من خلال نشر التمارين التي تستخدم رسائل البريد الإلكتروني التصيدية الحقيقية كنماذج. يتم إعطاء الموظفين الذين يفشلون في هذا التمرين تدريبًا في الوقت الفعلي يسلط الضوء على المكونات المشبوهة لرسائل البريد الإلكتروني المارقة. “نحن نقدم أيضًا “دليل الأصدقاء والعائلة عبر الإنترنت” للموظفين لمشاركته خارجيًا.” يقول أريسون بيركنز إن الدليل يقدم نصائح حول موضوعات مثل رسائل البريد الإلكتروني “التصيدية”، وإدارة كلمات المرور، وخصوصية وسائل التواصل الاجتماعي. “من خلال إشراك كل موظف بشكل فعال، بالإضافة إلى كبار القادة وشركاء الأعمال في جميع أنحاء الشركة، فإننا نزرع ثقافة يشعر فيها الجميع بالقدرة على حماية الشركة.”
الأفكار النهائية
يقول سوليفان إن الخطأ الكبير الذي ترتكبه العديد من المؤسسات هو التعامل مع الأمن السيبراني كمبادرة منفصلة منفصلة عن المهمة الأساسية للمنظمة. “يجب الاعتراف بالأمن السيبراني باعتباره ضرورة عمل بالغة الأهمية تتطلب اهتمامًا على مستوى مجلس الإدارة والإدارة التنفيذية والإشراف الاستراتيجي.”
يقول تدمر إن إنشاء ثقافة صحية لأمن الشبكات هي عملية مستمرة تتضمن التعلم المستمر والتكيف والتعاون بين الفرق. ويتطلب هذا مزيدًا من التفكير أكثر من مجرد وضع السياسات، بل يتعلق أيضًا بدمج الممارسات الأمنية في الإجراءات اليومية ومسارات العمل. ويقول: “إن التدريب المنتظم والتواصل المفتوح والمراقبة في الوقت الفعلي هي مكونات أساسية للحفاظ على الثقافة حية ومستجيبة لتهديدات الشبكة الناشئة”. “من خلال جعل أمن الشبكات مسؤولية مشتركة عبر المؤسسة، يمكن للشركات بناء وضع أمني مرن وقابل للتكيف.”
يقترح ساتروايت أن تسعى إلى الوضوح والانفتاح. وتشرح قائلة: “أحد أكبر الأخطاء في بناء ثقافة الأمن السيبراني هو اعتماد كلمات طنانة في الصناعة لا تلقى صدى لدى الموظفين”. استخدم المصطلحات المتوافقة مع الشركة في الحملات الداخلية التي تعزز أهمية تأمين مهمة الشركة. “تأكد من أن الرسائل واضحة ومفهومة على كل مستوى من مستويات المنظمة.”
