يشير مسرح الأمن إلى التدابير الأمنية واضحة للغاية تخلق وهمًا لزيادة السلامة ولكن لا تتوقف عن التهديدات. غالبًا ما يستخدم المصطلح بشكل مستخف لوصف الممارسات الأمنية السطحية التي لا تفعل ذلك تقليل المخاطر. ببساطة ، مسرح الأمن هو كل شيء عن المظاهر ، وليس النتائج.
غالبًا ما يتم استخدام مسرح الأمن كتدبير StopGAP بعد أزمة لتزويد الناس بشعور من السلامة المتزايدة حتى يمكن تنفيذ حلول أمنية أكثر فعالية. المشكلة هي أن مسرح الأمن يتطلب رؤية عالية ، والاهتمام هذا النوع من السيطرة على الأمن يتطلب يمكن أن يجعل الناس يفكرون فجوات أمنية يتم معالجتها. وفي الوقت نفسه ، و نقاط الضعف أدى ذلك إلى الأزمة لا تزال مكشوفة.
بروس شنير ومسرح الأمن
على المدى مسرح الأمن ينسب إلى بروس شنير، وهو تقني أمريكي معروف وأخصائي أمن الكمبيوتر. في كتابه 2003 ، ما وراء الخوف، قدم شنير أمثلة على تدابير أمنية واضحة للغاية مصممة لجعل الناس يشعرون بأمان ومحالين إليهم باسم “مسرح أمني”. لقد كتب: “من المهم أن نفهم مسرح الأمن على ما هو عليه ، ولكن ليس لتقليل قيمته. مسرح الأمن يخيف المهاجمين الغبيين وأولئك الذين لا يريدون المخاطرة”.
لم يمض وقت طويل قبل العبارة مسرح الأمن أصبح موضوعًا شائعًا في الصحافة ، وأصبح المصطلح مرتبطًا ارتباطًا وثيقًا بأمن المطار في الولايات المتحدة ، وغالبًا ما أبرزت وسائل الإعلام عدم فعالية وكالة أمن النقل معينة التدابير الأمنية ونادراً ما أقر – إن وجدت – قيمتها المحتملة كرادع.
لفترة من الوقت ، بدا أن شنير قد نسي أيضًا أن مسرح الأمن له أي قيمة. في عام 2009 ، كتب مقالًا بعنوان “ما وراء مسرح الأمن“وذكّر القراء بأن التدابير الأمنية” غير مرئية إلى حد كبير “ومسرح الأمن” يستهلك الموارد التي يمكن إنفاقها بشكل أفضل في مكان آخر. “
في الآونة الأخيرة ، اقترح شنير أن مسرح الأمن يقوده أ يسمى المفهوم في الاقتصاد عدم تناسق المعلومات. وضع ذلك في سياق الأمن السيبرانيقال شنير إن هذا يعني أن “الأشخاص الذين لا يفهمون الأمن يمكن أن يطمئنهم بالتدابير التجميلية أو النفسية”. وقال أيضًا: “في بعض الأحيان يكون هذا الطمأنينة مهمًا” واستخدمت أنظمة سوار الرضع في المستشفيات لتوضيح وجهة نظره.
يعد عمل شنير مهمًا لأن كتبه ومقالاته ومشاركاته في المدونات ساعدت محترفي تكنولوجيا المعلومات على إدراك أن الأمن ليس مجرد مصدر قلق تقني ، ولكنه يحتوي أيضًا على جوانب نفسية وسياسية واقتصادية لا ينبغي تجاهلها. إن إقرار شنير بأن مسرح الأمان يمكن أن يكون له قيمة في بعض السيناريوهات – طالما أنه لا يحل محل الضوابط القابلة للقياس أو استهلاك الموارد غير المتناسبة – ساعد أيضًا في تشجيع تقدير أكبر لاستراتيجيات الدفاع الطبقات فيه.
أمثلة على مسرح الأمن
فيما يلي بعض الأمثلة الكلاسيكية للمسرح الأمني فيه:
يمكن أن يبدو أن كل من هذه الأمثلة يحسن الأمن للوهلة الأولى ، ولكن في الواقع ، فهي مجرد خلع الملابس. على سبيل المثال ، أ ممثل التهديد يمكن بسهولة اتباع شخص معتمد من خلال باب يتم التحكم فيه عن الوصول لتجنب كشك نظام إدارة الزوار. أو الموظف المطلوب من تغيير كلمة مروره كل شهر قد يتغذى والبدء في كتابة كلمات المرور الخاصة بهم لتسهيل الحياة.
ومع ذلك ، من المهم الاعتراف بأن مسرح الأمن ليس سيئًا بطبيعته. على الرغم من أنه لا يمكن قياس فعاليتها أو التحقق من صحتها بسهولة ، إلا أنه يمكن أن يكون استخدامه مفيدًا عند استخدامه بالاقتران مع عناصر التحكم في الأمان القابلة للقياس ومعاملته كمكون إضافي لـ a الدفاع في العمق الاستراتيجية.
مسرح الأمن في الأمن السيبراني
في الأمن السيبراني ، يمكن أيضًا الإشارة إلى مسرح الأمن الأمن الأداء أو الأمن القائم على الأداء. لا يزال كلا المصطلحين يصفان التدابير الأمنية المرئية للغاية التي يتم تنفيذها بشكل أساسي للعرض ، ولكن باستخدام الكلمة أداء بدلاً من مسرح يؤكد على النية وراء العمل بدلاً من المسرحية.
يمكن القول إن الامتثال التنظيمي هو أحد أكثر الساحات وضوحًا للمسرح الأمني في الأمن السيبراني. لوائح مثل لائحة حماية البيانات العامة و قانون قابلية التأمين الصحي والمساءلة يطلب من المنظمات إثبات أن لديها مناسبًا الضوابط الأمنية في مكان. لسوء الحظ ، نظرًا لأن الامتثال غالبًا ما يتم فرضه من خلال قوائم المراجعة والتقارير ، فقد تركز بعض المؤسسات أكثر على ما يبدو جيدًا على الورق بدلاً من ما يقلل من المخاطر.
في الحياة الحقيقية ، يمكن أن يكون لهذا عواقب وخيمة. على سبيل المثال ، قد يمرر مقدم التأمين بمراجعة الامتثال من خلال توثيقها سياسات التحكم في الوصول و برنامج مكافحة الفيروسات في مكانه ولكن لا يزال يعاني من تخصص خرق البيانات إذا تم تكوين هذه الضوابط بشكل سيئ أو عفا عليها الزمن أو لم يتم مراقبتها بنشاط.
علم النفس وراء مسرح الأمن
بينما يمكن قياس عمليات الأمان تحليل المخاطر و نمذجة التهديد، مسرح الأمن متجذر في علم النفس ولا يمكن قياسه بشكل شخصي إلا. إنه يعطي الأولوية لتصور الناس للواقع على أمل أن ما يرونه هو ما يؤمنون به.
غالبًا ما يستجيب الناس عاطفياً للتهديدات المتصورة ، حتى عندما تكون تلك المخاوف غير متناسبة مع المخاطرة. التعرض لوسائل الإعلام ، والخبرة الشخصية و التحيزات المعرفية يمكن أن تشكل التهديدات التي تبدو أكثر إلحاحًا ، بغض النظر عن احتمالها الإحصائي. على سبيل المثال ، قد يكون المدير المالي الذي يعمل لدى شركة الرعاية الصحية أكثر خوفًا من ذلك فدية الهجمات بعد قراءة قصة إخبارية رفيعة المستوى ، حتى لو تواجه مؤسستهم خطرًا أكبر من هجمات إنكار الخدمة.
يمكن أن تكون حواجز الأمن البصري فعالة بشكل مدهش في جعل الناس يشعرون بالأمان ، مما يساعد على توضيح سبب بقاء مسرح الأمن أداة مفيدة. في بعض الحالات ، يمكن أن تخدم الآثار النفسية غرضًا مفيدًا من خلال تهدئة القلق العام أو تقليل انتشار الذعر. ومع ذلك ، فإن هذا الإحساس الخاطئ بالأمان يمكن أن يؤدي إلى نتائج عكسية ويؤدي إلى الرضا عن النفس ، وتقليل اليقظة وزيادة الضعف في التهديدات.
يعد فهم الديناميات النفسية وراء مسرح الأمن ضروريًا لتخصيص الموارد وموازنة الطمأنينة مع الحماية الفعالة القائمة على الأدلة.
تأثير مسرح الأمن
كما أشار بروس شنير ، فإن بعض التدابير التي تشكل مسرح أمنية للمنظمة قد يكون لها فائدة طفيفة للأمن. لكن ، في النهاية ، هم أكثر حول جعل الأفراد يشعرون بتحسن. مسرح الأمن يدور حول خلق وهم السلامة وتعزيز إحساس زائف بالحماية.
يوفر معظم مسرح الأمن القليل – وفي بعض الحالات ، لا ، قد تمر الحماية من التهديدات ، وعلامات التحذير الخطيرة دون أن يلاحظها أحد وتبقى دون معالجة حتى فوات الأوان. هذا يمكن أن يعرض المنظمات لخطر العديد من أنواعها الهجمات الإلكترونية والعواقب اللاحقة ، مثل الخسائر المالية ، وتآكل ثقة العملاء والغرامات التنظيمية.
يمكن للمنظمات التي تركز الكثير على مسرح الأمن أن تصرف انتباهها عن العمل اللازم: تنفيذ الدفاعات الأمنية الكافية لمنع الهجمات الإلكترونية وتخفيف تأثيرها. قد يصبحون راضين ويفترضون أن تدابيرهم الحالية توفر حماية كافية وأن الدفاعات الأقوى ليست مطلوبة. مثل هذا الجهل يمكن أن يخلق بقع عمياء خطيرة ، ويترك نقاط الضعف الحرجة دون معالجة وزيادة خطر أن تكون الهجمات الإلكترونية ناجحة.
يمكن أن يضيع مسرح الأمن موارد المؤسسات – كل من الأشخاص والمال. عندما يتم استخدام الكثير من الموارد في POMP والعرض ، يمكن أن تقلل من الموارد المتاحة لمبادرات الأمن الأخرى التي يمكن أن تعزز المؤسسة الموقف الأمني.
كيفية تحديد مسرح الأمن
يتطلب تحديد مسرح الأمن الشكوك والتركيز على النتائج بدلاً من الأنشطة وفهم مشهد التهديد للمنظمة. بمعنى آخر ، فهذا يعني السؤال: هل يقلل هذا الأمن حقًا من المخاطر ضد التهديدات المحتملة ، أم أنه يبدو فقط؟
طريقة واحدة للحصول على إجابة على هذا السؤال هي محاولة قياس التأثير. إذا كان لا يمكن قياس فعالية التحكم الأمني ولا يوجد دليل نوعي على تأثيره ، فهذا هو العلم الأحمر.
اختبارات الاختراق يمكن أيضًا استخدامها للتخلص من مسرح الأمن. يمكن لاختبارات القلم محاكاة الهجمات في العالم الحقيقي على أنظمة أو شبكات أو تطبيقات المؤسسة. إذا لم يصدر عنصر التحكم الأمني تنبيهًا أثناء محاكاة خرق ، فقد يكون ذلك لأن التحكم هو مجرد مسرح أمني.
تعزيز مؤسستك الأمن السيبراني من خلال تبني أفضل الممارسات لحماية البنية التحتية الخاصة بك وضمان الانتعاش السريع بعد خرق. أيضا ، تعرف على الاختلافات بين اختبار القلم ومسح الضعف ولماذا كلاهما مهم للأمن السيبراني الواسع ، وكذلك أساطير الأمن السيبراني التي تعرض الشركات للخطر.
