يعرض نظام إشارات المرور التقليدية التي يستخدمها كبار موظفي أمن المعلومات (CISOs) للإبلاغ عن مخاطر الإنترنت إلى المجالس علامات الإجهاد. بعد مقابلة أكثر من 10 CISO في جميع أنحاء أوروبا ، الباحث الدكتوراه جوليت باري من الجامعة المفتوحة في هولندا ، كشفت عن الأدلة: التحيزات المعرفية المتأصلة في كيفية تفسير المجالس التي يبدو أن مخاطر العنبر تخلق فجوة خطرة بين ما تقرير CISOs وما يفهمه المجالس.
“فكر في الأمر مثل القيادة” ، قال باري ، الذي يركز أبحاثه التواصل بين CISO واللوحات. “كلنا نعرف ماذا نفعل مع إشارات المرور الخضراء والأحمر ، ولكن العنبر؟ بعض السائقين يتسارعون ، والآخرون الفرامل. هذا الغموض في العنبر هو بالضبط ما يحدث في قاعات مجلس الإدارة عندما يمثل CISOs مخاطر الأمن السيبراني.”
عواقب هذا السوء تفسير شديد. عندما يتم اتخاذ القرارات بناءً على التشوهات المعرفية ، يمكن أن يؤدي ذلك إلى عواقب وخيمة ، حسبما حذر بار. حدد بحثه سبعة تحيزات إدراكية تقوض بشكل منهجي اتخاذ القرارات الأمن السيبراني على مستوى اللوحة ، مع نتائج مدمرة محتملة للمؤسسات.
النهج التفاعلي في التمويل
ولعل أكثر النتيجة ضررًا من أبحاث Barre هي ما اعترف به CISO بصراحة: “الأخبار السيئة هي أخبار جيدة. عندما يتم تنفيذ هجوم حرجة على منافس ، فإن أعضاء مجلس الإدارة على استعداد مع حقيبة من المال.
هذا النهج التفاعلي لتمويل الأمن السيبراني يخلق دورة مفرغة. تكافح CISOS من أجل تأمين موارد كافية للتدابير الوقائية ، في حين تظل المجالس مقتنعة منظماتها محمية بشكل كافٍ حتى تتعرض الإضرابات الكبرى. بحلول ذلك الوقت ، يتم الضرر.
تنبع المشكلة من كيفية توصيل المخاطر المصنفة عن العنبر وتفسيرها. في التقارير التقليدية لحركة المرور ، تشير الأخضر إلى انخفاض المخاطر ، يشير Red إلى إجراء فوري مطلوب ، ولكن يوجد العنبر في منطقة رمادية يفسرها أصحاب المصلحة المختلفين بشكل مختلف تمامًا.
وقال باري: “قد تميل CISO إلى أن يكون العنبر أقرب إلى اللون الأخضر – فهي متفائلة نسبيًا بشأن إدارة المخاطر”. “لكن عضو مجلس الإدارة قد يكون أكثر تشاؤماً ، حيث ينظر إلى نفس المخاطر العنبر على أنه قريب من اللون الأحمر. هذا الاختلال الأساسي في إدراك المخاطر – ما نسميه تحيز الغموض – يخلق فجوة هائلة في كيفية فهم التهديدات السيبرانية ومعالجتها.”
سبعة تحيزات تقوض القرارات الإلكترونية
حددت أبحاث Barre سبعة تحيزات معرفية محددة تؤثر على حوكمة الأمن السيبراني: تحيز التفاؤل ، تحيز التشاؤم ، تحيز الرعي ، تحيز التأكيد ، تحيز الغموض ، تحيز الثقة المفرطة ، تحيز الوقف.
يؤدي تحيز التفاؤل إلى التقليل من احتمال وجود نتائج سلبية ، في حين أن تحيز التشاؤم يمكن أن يتسبب في رؤية أعضاء مجلس الإدارة على أن المواقف أسوأ مما هي عليه. يخلق المجموعة ما يسميه Barre “سيناريوهات اتخاذ القرارات الكارثية”.
يثبت تحيز الرعي خطيرًا بشكل خاص في أماكن الإدارة. وأضاف باري: “إذا كان هناك سابقين يجلسون كعضو في مجلس الإدارة ، فقد يفكر مخرجون آخرون:” يعتقد هذا الشخص أننا يجب أن نذهب إلى هذا الاتجاه ، لذلك يجب أن نكون على صواب ، دعونا نتبع “. “الناس يؤجلون الخبرة المتصورة دون تقييم نقدي.”
يمتد هذا السلوك إلى ما وراء الاجتماعات الفردية. غالبًا ما تتخذ المجالس قرارات الأمن السيبراني بناءً على ما تفعله المنظمات المنافسة ، بدلاً من ملفات تعريف المخاطر الخاصة بها.
وقال بار: “إنهم يرون منافسًا يتحرك بشكل صحيح ، لذلك يتحركون بشكل صحيح أيضًا ، دون النظر في ما إذا كان هذا مناسبًا لمنظمتهم”.
تأكيد التحيز يركز هذه المشاكل. أعضاء مجلس الإدارة الذين رأوا الهجمات الفدية تم تثبيت في وسائل الإعلام على هذه التهديدات المحددة ، مما دفع CISO إلى معالجة المخاطر التي تتماشى مع مفاهيمها المسبقة بدلاً من نقاط الضعف الفعلية الأكثر إلحاحًا.
وفي الوقت نفسه ، يقود تحيز الإفراط في الثقة أعضاء مجلس الإدارة إلى المبالغة في تقديرهم لمخاطر الإنترنت ، خاصة عندما يتلقون معلومات جديدة مثل تقارير التدقيق الأمني ، مما يخلق إحساسًا كاذبًا بالأمان. ويتجلى تحيز الوقف عندما تقاوم المجالس تغيير الأنظمة الحالية.
وقال باري: “قد يوصي CISO باستبدال أداة عفا عليها الزمن ، لكن أعضاء مجلس الإدارة ، وخاصة كبار السن ، سيقولون ،” هذا النظام جيد بما فيه الكفاية “ببساطة لأنهم معتادون عليها”. “إنه شكل من أشكال مقاومة التغيير التي تجعل المنظمات ضعيفة.”
وهم العنبر
تكمن القضية الأساسية في الطبيعة الأساسية للعنبر ، حيث تُصدرها ، على أنها “وهم”. على عكس المستشفيات ، حيث يبقى المرضى إما أو يعودون إلى المنزل دون أي أرض وسط ، حافظت الإبلاغ عن الأمن السيبراني على هذه الفئة المتوسطة الإشكالية التي لا تخدم CISO أو المجالس بشكل فعال.
قال بار: “العنبر ليس نقطة عمل بشكل أساسي”. “يصبح مكان لوقوف السيارات لكل من اللوحات و CISO. عندما يكون لديك وقت محدود في اجتماعات مجلس الإدارة ومخاطر متعددة للمناقشة ، هناك ميل إلى دفع المخاطر الحمراء نحو العنبر لخلق المزيد من الوقت للمناقشة. لكن هذا يخلق غموضًا خطيرًا.”
يكشف البحث أن الفجوة في إنشاء وتفسير المخاطر هائلة. عندما يتم تقديم سيناريو الأمن السيبراني نفسه لأصحاب المصلحة المختلفين ، قد تصنف CISOS على أنه أحمر بينما يرى أعضاء مجلس الإدارة أنه أخضر ، أو العكس. هذا الانفصال الأساسي في تقييم المخاطر يقوض عملية إدارة الأمن السيبراني بأكمله.
وفقًا لـ Barre ، سيكون من المفيد التحقيق فيما إذا كانت المسافة الزمنية تؤثر على تصور المخاطر. وقال: “إذا كنت تناقش تهديدًا للأمن السيبراني الذي قد يؤثر على العمليات الأسبوع المقبل ، فقد يميل أعضاء مجلس الإدارة إلى أن يكونوا أكثر تشاؤماً وأكثر حذراً”. “ولكن إذا تم إسقاط نفس التهديد لعدة أشهر قادمة ، فقد يصبحون أكثر تفاؤلاً وأقل قلقًا.”
التحديث الإبلاغ المطلوب
إذن ، ما هو الحل؟ تستكشف الأبحاث المستمرة لـ Barre ما إذا كان يمكن إنقاذ التقارير التقليدية لضوء المرور أو يحتاج إلى استبدال كامل.
وقال “يمكنك العيش في منزل لمدة 20 عامًا دون أن تتحرك ، لكن يمكنك التجديد”. “السؤال هو ما إذا كان العنبر يحتاج إلى” نشرة معلومات المريض “مثل الأدوية ، وشرح بالضبط ما يعنيه وما هي الإجراءات المطلوبة ، أو ما إذا كنا بحاجة إلى التخلص من العنبر بالكامل.”
القياس الصيدلاني متعمد. عندما يصف الأطباء الدواء ، فإنهم يقدمون إرشادات مفصلة حول الجرعة والتوقيت والآثار الجانبية المحتملة. تفتقر الإبلاغ عن الأمن السيبراني حاليًا إلى هذه الخصوصية ، مما يترك لوحات لتفسير المخاطر بناءً على تحيزاتها الخاصة وفهمها المحدود.
تتجاوز بعض منظمات الموثوق العالي بالفعل ترميز الألوان البسيط ، وتنفيذ لوحات المعلومات المتطورة وأدوات تقييم المخاطر التي تحركها الذكاء الاصطناعي. ومع ذلك ، لا تزال منطقة العنبر الرمادية تستمر بغض النظر عن تعقيد نظام الإبلاغ.
مع تشريع أوروبي جديد ، مثل NIS2 ، مما يجعل أعضاء مجلس الإدارة مسؤولين شخصياً عن حالات فشل الأمن السيبراني ، لم تكن المخاطر أعلى. يشير البحث إلى أن مجرد إدراك هذه التحيزات المعرفية يمكن أن يكون الخطوة الأولى نحو اتخاذ قرار أفضل.
وقال بار: “إذا كان بإمكان أعضاء مجلس الإدارة و CISO تحديد عندما يؤثر تحيز التفاؤل ، أو الرعي أو تحيز التأكيد على مناقشاتهم ، فيمكنهم محاسبة بعضهم البعض واتخاذ قرارات أكثر عقلانية”.
سيختبر بحثه التجريبي ، الذي يجري حاليًا ، ما إذا كانت طرق العرض المختلفة يمكن أن تقلل من تفسيرات سوء التفسيرات التي تعتمد على التحيز لمخاطر الأمن السيبراني. الهدف من ذلك هو تطوير أدوات عملية تعمل على تحسين التواصل بين CISO واللوحات.
رسالة Barre إلى المجالس الحالية هي Stark: “آمل أن يدرك أعضاء مجلس الإدارة أن Green ، Amber ، Red لا يغطي النطاق الكامل للمخاطر. لا يمكنهم فقط إيقاف مشكلات العنبر ويفترضون أنهم معالجة”.
بالنسبة إلى CISO ، يشير البحث إلى أن التعرف على تحيزات مجلس الإدارة ومعالجته بنشاط لا يقل أهمية عن تدابير الأمن التقنية. وخلص باري إلى أن “التشوهات النفسية موجودة في كل عملية صنع القرار”. “المفتاح هو الحفاظ على بعضها البعض حادة والاعتراف عندما تؤثر هذه التحيزات على قرارات الأمن السيبراني الحرجة.”
مع استمرار التهديدات الإلكترونية في التطور وتكثيف الضغط التنظيمي ، لم تعد المنظمات قادرة على تحمل ترف الإبلاغ عن المخاطر الغامضة. قد يحتاج نظام إشارات المرور ، الذي كان بمثابة حجر الزاوية في حوكمة الأمن السيبراني لسنوات ، إلى تحديث أمني.
