اعتاد قادة الأمن على الكليشيهات التي يرتديها الوقت لكونك الرجل فيها المركز الوطني للأمن السيبراني (NCSC) إرشادات حول إنشاء ثقافات أمنية الإنترنت الفعالة بين الأشخاص الذين يتم تكليفهم بالحماية في مكان العمل.
مع المستخدمين النهائيين ، الخطوط الأمامية في أي استراتيجية دفاع إلكترونية يجب من خلالها أن يمر الجهات الفاعلة بالتهديد ، المنظمات التي تعمل على تعزيزها شعور قوي بالأمان لقد ثبت أن ضمن الأعمال التجارية أكثر مرونة في الهجمات الإلكترونية ، وأفضل قدرة على الاستجابة والتعافي من أولئك الذين ينزلقون.
ومع ذلك ، فإن ثقافة الأمن هي مفهوم صعب لموردي الأمن التقنيين للبيع وقادة الأمن للتضمين في القوى العاملة الخاصة بهم ، فغالبًا ما تلعب الفكرة كمان ثانٍ للمنتجات والخدمات الأمنية.
يصف NCSC ثقافة الأمن السيبراني بأنها “الفهم الجماعي لما هو طبيعي وقيمة في مكان العمل فيما يتعلق بالأمن السيبراني … [setting] يحدد التوقعات حول السلوك والعلاقات ، والتأثير على قدرة الناس على التعاون والثقة والتعلم “.
وقال كبير مسؤولي التكنولوجيا في NCSC: “يجب على قادة الأعمال التعرف على الأمن السيبراني كأساس للنجاح ، وينبغي أن يبدأ هذا في اتخاذ إجراءات حاسمة لتضمين ثقافة أمنية قوية في جميع أنحاء منظماتهم.
“بدون ثقافة تجعل الأمن متاحًا ومرغوبًا وذات صلة بجميع الموظفين ، قد لا تتعرف المخاطر – مما يجعل الباب مفتوحًا للجهات الفاعلة الضارة لاستغلال تكنولوجيا وأنظمة المنظمة ، مع تأثير مدمر وطويل الأمد.
وقال وايهاوس: “تفاصيل إرشادات NCSC الأخيرة ستة مبادئ واضحة للمساعدة في التغلب على الحواجز التي تحول دون إنشاء ثقافة أمنية إلكترونية إيجابية ، تؤدي من القمة وتضمينها في كل مؤسسة”.
ستة مبادئ أساسية
NCSC لديه نشرت قائمة من ستة مبادئ أساسية أنه يعتقد أنه سيساعد قادة الأمن على إنشاء الظروف المثلى حيث يمكن أن تزدهر ثقافة الأمن التي تقدر السلوكيات الأمنية وتمكن الناس من الشعور بالأمان من التعامل معها.
وقالت إنها تأمل أن تساعد في بناء القوى العاملة التي تتسم بالأداء العالي والأمان عبر الإنترنت ، مشيرة بالطبع إلى أن جميع الشركات فريدة من نوعها إلى حد ما ، ولا يمكن لأي نهج واحد يناسب الجميع أن يغطي جميع القواعد.
بالترتيب ، مبادئ ثقافة الأمن السيبراني هي كما يلي:
- يجب أن يسعى قادة الإنترنت إلى تأطير الأمن كشيء يمكّن الشركة من تحقيق أهدافها الأساسية. يجب تشجيع الأشخاص على فهم مدى أهمية إبقاء الإنترنت في الحفاظ على تشغيله اليومي وبياناتهم المتاحة ، وكيف تساهم سلوكياتهم في ذلك. من المهم أيضًا محاولة تأطير سياسات وعمليات الأمان لأن الأشياء التي لا تمنع الأشخاص من أداء وظائفهم بشكل صحيح. يجب تعليم أولئك الذين يعملون في وظيفة الأمن أن يكونوا على دراية بكيفية قيامهم بذلك ، وتمكينهم من العمل على تقليل التأثيرات السلبية المحتملة ، على سبيل المثال ، المشكلات الناشئة عن منع الوصول إلى أداة طرف ثالث قام العمال الأساسيون بدمجها في سير عملهم ، دون الوقوف أولاً ، على سبيل المثال.
- يجب على قادة الإنترنت العمل على بناء السلامة والثقة والعمليات لتشجيع الانفتاح. هنا ، يبدو Good وكأنه خلق بيئة آمنة نفسياً حيث يشعر الناس بالراحة في الحديث عن الأمن السيبراني ، مع طرق سريعة ويمكن الوصول إليها لطرح الأسئلة أو مشاكل الإبلاغ. يجب أن تدير تحقيقات الحوادث ، عند الحاجة ، من منظور التعلم والتحسن ، وليس إلقاء اللوم ، ولا ينبغي معاقبة الأخطاء البريئة أبدًا.
- يجب على قادة الإنترنت العمل على تبني التغيير من أجل إدارة التهديدات الجديدة ، والاستفادة من الفرص لتحسين المرونة. المنظمات المرنة ، في قلوبها ، تكيفية ، وهذا ينطبق على الثقافات الأمنية ، والتي يجب أن تكون إيجابية حول التغيير ، ولكنها حذرة عند التسرع في إجراء تغييرات قد تثبت. يجب أن يشعر الأشخاص في الطرف المتلقي لسياسات أمنية جديدة بدعم في العمل من خلال تأثيرهم.
- يجب أن يحاول قادة الإنترنت ضمان المعايير الاجتماعية داخل أماكن العمل الخاصة بهم إلى تعزيز السلوكيات الآمنة. تتحدث العديد من الشركات عن لعبة جيدة ، ولكن عندما يتعلق الأمر بالدفع ، فإن القواعد غير المكتوبة حول ماهية الاختصارات على ما يرام ، وحيث أن فريق الأمن يغضون طرفًا ، وغالبًا ما يجعل وظيفة الأمن بلا جدوى. ببساطة أن يطلب من الناس عدم القيام بشيء سخيف ، مثل أخذ الملفات السرية إلى المنزل معهم على عصا USB ، ليس كافيًا ، ويحتاج القادة إلى وضع العمل للوصول إلى قلب القاعدة ومعالجة قيم الشركة الأساسية – في هذا المثال ، قد يكون هذا ضغوطًا لإنجاز العمل خارج الساعات أو في عطلات نهاية الأسبوع – مما يجعلها “مقبولة”.
- يجب على قادة الإنترنت تشجيع فرق القيادة الأوسع لمؤسساتهم على تحمل مسؤولية التأثير على أفعالهم على الثقافات الأمنية ، والاتفاق على أغراض مشتركة وتوصيلها وجعلها مركزية في اتخاذ القرارات. يجب أن يميل C-suite إلى تصميم سلوكيات آمنة والتأثير بشكل إيجابي على المعايير الاجتماعية للأعمال ، وأن يوضح السلوك الإشكالي الذي قد يعتبرهم عن غير قصد مقبولًا.
- أخيرًا ، يجب على قادة الإنترنت تقديم قواعد وإرشادات أمان يتم صيانتها جيدًا والتي يمكن الوصول إليها وسهلة الفهم. يجب اختبار القواعد للتأكد من أنها فعالة ، والمساهمة بشكل مفيد ، ويمكن استخدامها ، ويمكن الوصول إليها وشاملة ، وتتوافق مع أغراض الأعمال المشتركة. من المهم بشكل خاص تمكين الناس من فهم الفرق بين القواعد التي يجب اتباعها ومجرد الإرشادات التي تقدم المشورة. يجب البحث عن التعليقات باستمرار ودمجها في السياسات ، ويجب توصيل التغييرات على نطاق واسع مع المواد البالغة التي تم تفعيلها من حزم الركب أو إنترانت الشركة.
