5 أخطاء تحيل التوعية بمخاطر الأمن الإلكتروني إلى مضيعة للمال

البوابة العربية للأخبار التقنية 0 تعليق 0 ارسل طباعة تبليغ حذف

يرى أكثر من نصف الشركات أن موظفيها هم “الحلقة الأضعف” في منظومة الأمن الإلكتروني لديها، نظراً لأن أفعالهم قد تعرّض بيانات الشركة وأنظمتها للخطر، ما يدفع الشركات إلى الاستثمار بكثافة في تثقيف الموظفين وتوعيتهم بشأن المهارات الأساسية المتبعة في أمن تقنية المعلومات. وفي الواقع، يتوقع المحلّلون أن تنمو التدريب التوعوي على الأمن الإلكتروني لتصبح 10 مليارات دولار بحلول العام 2027.


بقلم: مكسيم فرولوف، نائب الرئيس للمبيعات العالمية –


على أن نقص الوعي بأمن تقنية المعلومات يظل واقعاً مثيراً للقلق، فقد أظهرت دراسة حديثة أجرتها كاسبرسكي لاب وB2B International أن 18% فقط من الموظفين في منطقة الشرق الأوسط وتركيا وإفريقيا “يَعُون وعياً تاماً السياسات واللوائح التنظيمية الأمنية المطبقة في مجال تقنية المعلومات بأماكن عملهم”. وتُبدي بعض الشركات، إزاء ذلك، تشكّكها حيال تدريب الموظفين على الأمن الإلكتروني؛ إذ يرى البعض أن الموظفين سوف يخطئون دائماً، سواء أدركوا التهديدات المحتملة أم لا… وهُم قد يتساءلون: “أوليس الإنفاق على دورات تدريبية لا تُعطي النتائج المرجوّة، هدراً للمال؟!”

لكن قد يتفاجأ البعض من أن الغرض الحقيقي من التدريب على التوعية الأمنية لا يكمُن فقط في رفع الوعي الأمني لدى الموظفين وتعريفهم بالأخطار والإجراءات التي عليهم اتّخاذها لتجنّبها، وإنما في “تغيير سلوك الموظفين” عند العمل أثناء الاتصال بالإنترنت.

واستناداً على أكثر من 20 عاماً من البحث في التهديدات الإلكترونية وتقديم خدمات الأمن الرقمي الرامية إلى الحدّ من “خطأ العامل البشري” في الأمن الإلكتروني، أدركنا أن ثمّة خمسة أخطاء تعليمية يمكن أن تقلّل من فعالية التدريب الأمني التوعوي.

موضوعات ذات صلة بما تقرأ الآن:

1- عدم فعالية التنسيق

قد تأتي الجهود المؤسسية في التعلّم والتطوير بأشكال وتنسيقات مختلفة؛ محاضرةٍ يلقيها أحد موظفي الشركة أو متحدث خارجي، أو دورة معتمدة تُقدّم على الحاسوب أو غير ذلك. لكن تنسيقاً ما تتخذه دورة تدريبية معينة في شركة ما قد لا ينفع بالضرورة شركة أخرى يناسبها تنسيق آخر، لذلك ينبغي للشركات تقديم الدورات التدريبية بتنسيق ثبتت فعاليته في تحقيق مهارات معينة.

في ممارستنا التي نتبعها في كاسبرسكي لاب، نرى في المحاضرة الصرفة المجرّدة شكلاً لا يناسب تقديم دورة تدريبية تهدف إلى تحسين مهارات الأمن الإلكتروني العملية لدى الموظفين، وإنما يمكن للشركات باستخدام تنسيق مُصمّم للتقديم عبر الإنترنت، الجمع بين توليفة ثرية من المحتوى المتنوع الذي يشمل الفيديو والنصّ والاختبارات، وإضافة عناصر الترفيه الكفيلة بتحويل درس تدريبي من كونه “التزاماً مملاً” إلى درس أكثر إمتاعاً وتفاعلاً، من شأنه أن يجعل دورة الأمن الإلكتروني أكثر جاذبية وإشراكاً للموظفين. وعلاوة على ذلك، تتيح الدورة التدريبية على الإنترنت للموظفين إحراز التقدّم المرجوّ كلٌّ وفق سرعته وقضاء المزيد من الوقت في المواضيع الأصعب إذا اقتضت الحاجة، من أجل ضمان فهمها على ما يُرام، وهو أمر مستحيل تقريباً عندما يحضر الموظفون محاضرات ذات نمط تقليدي.

  1. منح الجميع شهادة واحدة

ثمّة اعتقاد سائد بأن مسؤولية الأمن الإلكتروني للشركة تقع على عاتق جميع العاملين فيها، نظراً لأن تصرّفات أيّ شخص قد تؤثر في الأمن، حتى باتت فكرة تقديم التدريب الأمني التوعوي للجميع فكرة تغري الشركات، بهدف تحويل كل موظف إلى “مختصّ” في الأمن الإلكتروني، وجعل هذا الأمر إلزامياً للجميع، ضماناً لراحة البال.

لكن مع ذلك، فإن منهج الدورة التدريبية الأمنية التوعوية، التي ستكون مفيدة لبعض الموظفين، يعتمد على الأنظمة والمعلومات التي يمكنهم الوصول إليها. فتعليم الموظفين أشياء لا يتعاملون معها أبداً في عملهم يُعتبر إنفاقاً لا داعي له ولا طائل من ورائه. إذ يمكن القول ببساطة إن على الجميع معرفة كيفية تحديد مواقع الويب الخبيثة، مثلاً، كتلك التي تطلب تحديث البرمجيات، وذلك من أجل تجنّب خطر الهجمات الجماعية. وفي المقابل، ينبغي أن يُمنح الموظفون الذين يتمتعون بإمكانية الوصول إلى المعلومات الحساسة والأنظمة الحرجة دورات أكثر تقدماً وأن يكونوا قادرين على تمييز رسالة البريد الإلكتروني المزيفة من الأصلية، حتى تلك المعدّلة لتبدو كأنها رسالة شخصية مرسلة للموظف نفسه.

  1. تقديم معلومات زائدة

يتمّ في كثير من الأحيان تصميم التدريب الأمني التوعوي لتغطية جميع المسائل المهمة في وقت واحد، إلاّ أن هذا الشكل من أشكال التدريب لا يفيد في إحداث التغيير المنشود بسلوك الموظفين؛ فمن غير المحتمل أن يتم استيعاب جميع المعلومات المقدمة في التدريب، إذ يُعتقد أن البشر قادرون على تذكّر ما يصل إلى سبع وحدات فقط من المعلومات الجديدة في المرة الواحدة. وقد يعرف المرء من تجربته الخاصة أن من الصعب الإلمام بالكثير من الحقائق والقواعد دفعة واحدة.

إن أفضل وسيلة لتذكّر المحتوى تكمُن في إيصاله إلى المتلقي على شكل وحدات صغيرة يُستبعد معها حدوث الالتباس أو النسيان. فإذا كان الدرس التدريبي قصيراً ومخصّصاً لموضوع واحد ويقدّم عدداً معقولاً من المعلومات، فهو، بجانب أنه لن يستهلك الكثير من وقت العمل الثمين، سوف يمكّن الموظفين، على الأرجح، من تذكّر كيفية تعاملهم مع تهديد محدّد بعينه.

  1. الافتقار إلى التكرار

أحياناً ما يكون هناك محتوى جيد في الدورة التدريبية ولكن لا يتم حفظه وتذكره كما ينبغي، فقط بسبب الافتقار إلى التكرار، الذي يُعدّ حجر الزاوية في ترجمة الوعي إلى سلوكٍ مسؤول.

وغالباً ما يتلقّى محتوى دورات التدريب الأمني جمهورٌ ضجِر قد يستمع إلى مجموعة تعليمات مملة من دون وجود حافز لديه لتعلّمها وتذكّرها. لذلك ينبغي للشركات تنفيذ دورات تدريبية تسهّل على المتلقين تذكّر محتواها، مع تكرار التركيز على الجوانب الأكثر أهمية. فلتسليط الضوء، مثلاً، على أهمية كلمات المرور القوية، ينبغي إيراد هذا الموضوع وذكره عدّة مرات خلال درس حماية المعلومات الحساسة، ودرس وسائل التواصل الاجتماعي، ودرس البريد الإلكتروني، إلى آخر الدروس التي تشتمل عليها الدورة التدريبية.

 

5- إغفال ربط النظريات بالواقع

قد تبدو طريقة توعية الموظفين واضحة، وقد نعتقد أنها تتمثل في رفع الوعي وتعريف الموظفين بمجموعة القواعد والسياسات العامة المتعلقة بالأمن الإلكتروني، إلاّ أن هذه الاستراتيجية لن تُجدي نفعاً عندما يكون الهدف متمثلاً بتغيير السلوك إلى الأفضل.

ليست لدى أغلبية الموظفين خلفيات أمنية عامّة، أو حتى تقنية؛ وقد لا يدركون ما ينبغي فعله إذا قيل لهم ببساطة إن عليهم الحرص على تحديث تطبيقاتهم وتوخي الحذر عند فتح ملفات مرفقة مشبوهة، ما يشكّل حاجزاً من حواجز التواصل التي ينبغي من أجل التغلّب عليها تنفيذ محتوى تعليمي يعتمد على محاكاة المواقف المحتملة التي قد يواجِه بها الموظف التهديدات الإلكترونية، كالتعامل مع رسائل البريد الإلكتروني أو تصفح الإنترنت بحثاً عن موقع لتنزيل المسلسلات التلفزيونية المفضلة، على سبيل المثال.

ويمكن القول في ضوء ما تقدّم، إنه ينبغي للشركات، إذا ما أدارت إحراز النجاح في الأمن الإلكتروني، تدريب موظفيها عليه بطريقة لا تقتصر على تناول جميع المواضيع الأساسية، ولكن تمتدّ لجعلها سهلة الفهم والحفظ.

ويمكننا ضرب مثل بشركة من عملائنا، هي مجموعة “دوناو كيمي” المختصة في إنتاج الكيمياويات، والتي قدّمت تدريباً تقليدياً على شكل محاضرات في الأمن الإلكتروني لموظفيها، لكنها فشلت في تحفيز غير المختصين منهم بتقنية المعلومات على تغيير سلوكهم الأمني؛ إذ تغير الوضع تماماً عندما نفّذت الشركة تدريبنا الذي أوصينا به، والذي يتألف من تعليم تفاعلي وأمثلة محاكاة، فانخفض، على سبيل المثال، عدد النقرات على الروابط المتضمَّنة في هجمات التصيّد، التي تُعتبر ضمن أكبر ثلاثة أنواع من الهجمات المؤدية إلى فقدان البيانات، انخفاضاً ملموساً إلى أقل من اثنين بالمئة.

خلاصة القول إنه عندما يضطر الموظفون لقضاء ساعات من وقتهم في جلسات تدريبية مطولة تتناول موضوعاً لا يشكل جزءاً من مسؤولياتهم الوظيفية، فقد يصعب التأكد من استيعابهم للموضوع وحرصهم على الالتزام بالنصائح الواردة فيه. لكن، إذا لم يستغرق التدريب وقتاً طويلاً وكان سهل الفهم، فمن المرجّح تماماً أن يؤدي ذلك إلى تقليل الأخطاء وتعزيز مستوى الأمن الإلكتروني العام.

مكسيم فرولوف، نائب الرئيس للمبيعات العالمية لشركة كاسبرسكي لاب

أخبار ذات صلة

0 تعليق