إحداث نقلة نوعية في ثقافة الأمن الإلكتروني

لتحديد أفضل سبل إحباط الهجمات الإلكترونية، من الضروري فهم عقلية مرتكبي هذه الجرائم والأساليب التي يلجأون إليها. وتبقى الحقيقة الواضحة والتي لا نختلف عليها، أن المهاجمين يفضلون اعتماد الطرق التي يواجهون فيها أقل قدر من المقاومة.

فالقراصنة الإلكترونيون يدركون جيداً أنهم قادرون على اكتساب معلومات قيمة من خلال أساليب الهندسة الاجتماعية وغيرها من الأساليب غير المعقدة ليحدثوا نفس التأثير والمكاسب الناتجة عن تطوير فيروسات وبرمجيات معقدة أو أكثر.

ويمكن للشركة بناء حصن أمني منيع لمواجهة الهجمات الإلكترونية، يشابه في قوته قلعة «فورت نوكس» حيث يخزن احتياطي الذهب الأميركي، ومع ذلك قد يكون دون فائدة إذا ما لم يكن هناك قوى عاملة على درجة عالية من الكفاءة والوعي لحماية نظم الشركة.

بقلم هادي جعفراوي، المدير الإداري لدى شركة كوالِس الشرق الأوسط

إنّ غرس ثقافة الأمن الإلكتروني الشاملة من الألف إلى الياء ومن أبسط المبادئ إلى أكثرها تعقيداً هي الخطوة الأولى لإذكاء وعي الموظفين ومعرفتهم حول القضايا الأمنية ومساعدتهم في التعرف على تأثير أفعالهم المباشر على مستوى المخاطر التي تتربص بالشركة. ويجب وضع سياسات واضحة للموظفين، ليتمكنوا من استيعاب خطورة التعامل مع البيانات المهمة والحساسة.

كما يجب تدريب الموظفين وتعزيز معرفتهم حول بعض الأنشطة الأمنية الأساسية مثل استخدام كلمة مرور صعبة وأساليب مصادقة قوية ومعالجة الثغرات الأمنية في البرامج وتجنب الوقوع ضحية للهجمات الخبيثة. ومن خلال فهم هذه المبادئ الأساسية بشكل جيد والالتزام بها، سيكون الموظفون مؤهلين لحماية أصول الشركة ومنع محاولات سرقة الملكية الفكرية وتسلل برامج الفدية وغيرها.

كيف يمكن للشركات تحديد مبادئ أفضل الممارسات فيما يتعلق بمسألة تحصين الأمن الإلكتروني؟ بدايةً، يجب بناء ثقافة قائمة على أساس الثقة لا الترصد والمراقبة. ويجب توعية الموظفين بأن الأمن الإلكتروني يعتبر من الجهود الشمولية والأساسية في الشركة، ولا تتم إدارته فقط من خلال الأفراد العاملين بقسم تكنولوجيا المعلومات. ولنضمن تعزيز شعور الموظف بأنه محل ثقة، ينبغي على الشركات تخفيف بعض الممارسات مثل الكاميرات ومراقبة البريد الإلكتروني عند حدوث خروقات أمنية.

وعوضاً عن ذلك، على الشركة تقبّل الحادثة والتعامل معها كفرصة لتحسين كفاءة العمل واعتماد أفضل الممارسات في المستقبل. وينصح بالحفاظ على طابع غير رسمي في التعامل مع هذه المسألة وإتاحة الفرصة للموظفين للتواصل مع زملائهم بشكل مباشر عند ملاحظة أي سلوك يعرض الأمن الإلكتروني للخطر عوضاً عن تشجيعهم للإبلاغ عن بعضهم البعض.

وتكمن الخطوة الثانية في تغيير نظرة الموظفين إلى مفهوم الأمن بأسره، وعدم اعتباره قيداً أو عبئاً عليهم بل ميّزة مشتركة تساعد الشركة في تحقيق وعودها للعملاء. إضافة إلى ذلك، يجب تطوير محتوى تدريبي قوي يترك أثراً كبيراً وفعالاً على سلوك الموظفين فيما يتعلق بالأمن الإلكتروني، بل ويجعلهم يفتخرون بقدرتهم ودورهم في اتباع أفضل الممارسات. ويجب أن توضح الشركة للموظفين أنه من خلال حماية بيانات وأصول الشركة بشكل فعال، ستنجح الشركة في تعزيز مكانتها بالنسبة للعملاء باعتبارها موضع ثقة في مسألة التعامل مع بياناتهم على النحو الأمثل.

ويجب ألا ننسى أن الثقافة الأمنية السليمة لا تتوقف عند حدود الشركة فحسب، سواء كانت مادية أو افتراضية. فمن الضروري أيضاً مراعاة سلوك الموظفين الأمني بعد انتهاء الدوام الرسمي تماماً كما هو الحال في مكان العمل. كذلك يجب دراسة الطرق التي تساعد في إشراك جميع الأطراف، بمن فيهم أولئك الذين كثيراً ما يتم تجاهلهم مثل الموظفين الإداريين والعاملين في قسم الخدمات، من أجل بناء رؤية شاملة لمبدأ “التصرف بالشكل الصحيح”.

كن واضحاً بشأن كل ما يتعلق بالسلوكيات وتصرفات الموظفين المرتبطة بمعلومات الشركة المتوفرة على جهازك وأجهزتهم والتي تؤثر بشكل مباشر على قدرة الشركة في ضمان أمن المعلومات القيمة داخل حدودها المادية أو الافتراضية.

وفي ظل التغيرات المستمرة التي يتعرض لها قطاع الأمن الإلكتروني، لا يوجد حدود للمعرفة، فهناك دوماً ما يمكن تعلمه في هذا المجال ويعتبر تثقيف الموظفين من العوامل الأساسية كي تكون القوى العاملة عيناً ساهرة لحماية أصول الشركة ومواجهة التهديدات الحديثة والمتغيرة.

ويمكن تطبيق ذلك ببساطة شديدة وهو عادة يتطلب تكرار الدورات التدريبية مرة أو مرتين في العام لكي تعلق هذه المبادئ الأساسية في ذهن الموظفين.

وتشمل هذه المبادئ: 

ï الحفاظ على ترتيب الحاسوب وخلوه من البرامج الضارة:

يجب تحديد مبادئ توجيهية واضحة ومتسقة تساعد الموظف على تحديد ما يحق له تحميله وتنزيله من ملفات وبرامج على حاسوب العمل والتأكد من التزامه بهذه القواعد.

ï كل ما يبدو مشبوهاً أو مريباً فهو كذلك:

يجب تدريب الموظفين على تمييز الروابط الإلكترونية والمرفقات المشبوهة في البريد الإلكتروني أو في الإعلانات على شبكة الإنترنت أو من خلال الرسائل الأخرى، حتى وإن كان مصدرها موثوقاً. ويتوجب عليهم معرفة كيفية التعامل مع الرسائل الاقتحامية المزعجة وأيضاً ممارسة حسن التقدير لاتخاذ التدابير اللازمة والقرارات الصائبة.

ï درهم وقاية خير من قنطار علاج: افترض أن الموظفين يعملون ضمن بيئة تكنولوجية مليئة بالمخاطر والتهديدات.

إنّ دمج برامج إدارة الثغرات الأمنية والحلول الأمنية لتطبيقات الشبكة عبر نظم الحوسبة السحابية ونظم شركات الطرف الثالث يمكن أن يساعد في تحديد عيوب النظام قبل استغلالها من قبل القراصنة الإلكترونيين. وتعد هذه الطريقة من الوسائل الفعالة جداً لتوفير الحماية ضد الهجمات كلما ظهرت وأينما ظهرت.

ï تحديد الأولويات:

ليست جميع التهديدات متشابهة في درجة الخطورة إذ يتم تصميم بعضها لتشكل خطراً مباشراً ويتوجب معالجتها فوراً. ومن خلال ربط التهديدات النشطة بالثغرات الأمنية، سيتمكن قسم تكنولوجيا المعلومات من تقييم مدى خطورة الحالة والعمل بناءً على ذلك لتخفيف حدة المخاطر الأمنية الأكثر إلحاحاً وتعقيداً قبل وصولها إلى أصول تكنولوجيا المعلومات أو الموظفين.

ï توفير نسخ احتياطية لعمل الموظفين:

سواء كانت الحواسيب مجهزة لعمل نسخ احتياطي بشكل تلقائي، أو قام الموظف بذلك يدوياً، يجب على كل موظف معرفة دوره في حماية العمل الذي يقوم به.

ï الاتصالات:

يجب على الموظف توخي الحذر والبقاء على يقظة من خلال إبلاغ الجهة المختصة فوراً في حال ملاحظة محاولة احتيال خبيثة على أجهزة العمل.

لا توجد استراتيجية مثالية وخالية من الأخطاء في عالم الأمن الإلكتروني شديد التعقيد. ولكن من خلال الجمع بين إدارة الموظفين وتعزيز الحلول البرمجية ورفع مستوى الوعي، ستتمكن الشركات من الحفاظ على هيكلية أمنية قوية ومتسقة وبناء ثقافة أمن إلكتروني شاملة للجميع كي يساهم كل موظف بواجبه الأمني الذي يتقنه جيداً ويعتز به.



شاركوا في النقاش
المحرر: Bassema Demashkia