كيف بنت شركة “ياهو” ثقافة الأمن السيبراني؟

6 دقائق
ثقافة الأمن السيبراني في شركة "ياهو"

ملخص: درست شركة "ياهو" ردود فعل الموظفين على تجارب المحاكاة بهدف فهم طرق تحفيزهم على أخذ قضايا الأمن السيبراني على محمل الجد. من أجل إحداث تغيير حقيقي ينبغي للمدراء اتخاذ 3 خطوات رئيسية مستقاة من ثقافة الأمن السيبراني في شركة "ياهو" تحديداً: أولاً، يجب أن يحددوا السلوكات الإشكالية لدى الموظفين. ثانياً، يتعين على المدراء قياس السلوكيات على نحو يتسم بالشفافية. وأخيراً، يتعين على المدراء اتباع خطط التوعية من أجل توضيح أهمية الإجراءات.

 

لا يكفي أن تطلب من موظفيك القيام بأمر ما لإحداث تغيير حقيقي، ويمكنك أن تسأل أي موظف شاهد أي مقطع فيديو حول الأمن السيبراني عن ذلك؛ على الرغم من أن مقاطع الفيديو تملي على الموظفين توجيهات تزيد وعيهم حول أمن البيانات فمن النادر أن تؤدي إلى تحسين كبير في سلوكات الأمن بالشركة. وكي تتمكن من تحسين ثقافة الأمن السيبراني في شركتك وبالتالي تحسين مقاومتها للهجمات يجب أن تقيس ما يفعله الموظفون عندما تغيب عين الرقابة عنهم.

ثقافة الأمن السيبراني في شركة "ياهو"

عند نهاية العام الماضي، بدأت مجموعة البحث "سايبر سيكيوريتي آت إم آي تي - كامز" تعاوناً مع مؤسسة الأمن في شركة "ياهو" الذي يسمى "فريق بارانويدز" بهدف فهم الطرق التي اتبعها في تطبيق الآليات الإدارية للتأثير في ثقافة الأمن السيبراني في الشركة. حقق فريق "بارانويدز" للتفاعل الاستباقي نجاحاً في تطبيق عدة آليات ابتكارية مثيرة للاهتمام أدت إلى تحسين سلوكات الأمن السيبراني.

نموذج التفاعل الاستباقي

في صيف عام 2018 وسط عملية إعادة تنظيم ضمن مؤسسة الأمن الأكبر بشركة "ياهو"، قام فريق "بارانويدز" بضمّ مجموعتين مختلفتين؛ الفريق الأحمر (مجموعة مخترقين بارعين ينفذون هجمات اختبارية على الأنظمة الداخلية والخدمات والعمليات والموظفين بهدف اكتشاف مواطن ضعف الأنظمة) وفريق الوعي الأمني في الشركة. ولاحقاً، أضاف فريق "بارانويدز" فريق الهندسة السلوكية الذي صبّ تركيزه على قياس الأنشطة التي تعتبر سلوكات أمنية جيدة بناء على مزيج من بيانات الموارد البشرية وسجلات التكنولوجيا في الشركة.

من أجل فهم أفضل لطرق استجابة الموظفين لتهديدات الأمن السيبراني، قام فريق الهندسة السلوكية أولاً بالتمييز بين الإجراءات التي يتخذها الموظفون وعاداتهم وسلوكاتهم. وتوصل إلى أن الإجراء هو ما يفعله المرء لإكمال أمر ما؛ مثلاً، كان موظفو شركة "ياهو" مطالبين بالخضوع لدورة تعليمية سنوية للتدريب الأمني، وكانت النتيجة المرجوة (الخضوع للدورة) هي الإجراء. في حين أن العادة هي طريق مختصر للإجراءات المتكررة؛ مثلاً، يؤدي تدريب الموظفين على اعتماد برنامج لإدارة كلمات المرور بدلاً من تغييرها يدوياً إلى تشكيل عادة لديهم.

وأخيراً، عرّف الفريق السلوكات على أنها مزيج من الإجراءات والعادات ضمن سياق موقف أو بيئة أو عامل مؤثر ما. في المثال السابق، لم يكن السلوك الأمني المطلوب هو أن يستخدم الموظفون برنامج إدارة كلمات المرور، بل دفعهم إلى توليد بيانات إثبات الشخصية وتخزينها باستخدام برنامج إدارة كلمات المرور عند إنشاء الحسابات أو تحديثها.

عملية تغيير السلوك

كانت محاولة تغيير السلوك تعني أن يقوم الفريق أولاً بتحديد سياق معين لإجراء مرغوب، وسمى فريق "بارانويدز" هذه العملية "إنشاء الهدف السلوكي". كان هدف فريق الهندسة السلوكية من إنشاء هدف سلوكي هو الإجابة عن السؤال الآتي: "ما هو السياق المحدد الذي نريد فيه من مجموعة معينة (أو فرد معين) اتخاذ إجراء معين؟"

مثلاً: "عند توليد كلمة مرور جديدة للدخول مرة واحدة نرغب من جميع الموظفين توليدها وحفظها ضمن البرنامج المعتمد في الشركة لإدارة كلمات المرور". كانت قدرة الفريق على تحديد هذه الأهداف أساسية لقياس اتجاه ثقافة الأمن السيبراني ضمن المؤسسة بفعالية.

وعندما قام فريق الهندسة السلوكية بدراسة الأهداف السلوكية وتطويرها توصلوا إلى صيغة محددة.

الخطوة الأولى: حدد الهدف السلوكي المرغوب. إن وضع هدف واضح لنتيجة سلوكية محددة هو شرط أساسي لإحداث أي تغيير قابل للقياس. يتفادى الهدف ما سماه الفريق "النصيحة المستحيلة" المتمثلة في أي توجيه أمني يطالب المستخدم النهائي بإصدار حكم نوعي حول الأمن.

الخطوة الثانية: حدد المقياس المناسب وأنشئ نقطة بداية. كي تتمكن من تحسين ثقافة الأمن السيبراني في شركتك وتعزيز مقاومتها للهجمات يجب أن تقيس ما يفعله الموظفون عندما تغيب عين الرقابة عنهم.

الخطوة الثالثة: اتخذ إجراءات للتأثير في السلوك الذي تم قياسه، وعدل هذه الإجراءات مع مرور الوقت وكرر العملية. بعد ذلك، تم تصميم الأنشطة للتأثير في نقط البداية. كان التعلم من نتائج هذه الأنشطة وتعديلها وإنشاء أنشطة جديدة من أجل الاستمرار بإجراء التحسينات على نفس القدر من الأهمية لنجاح تحفيز السلوكات المناسبة.

أصبحت العملية حجر أساس للتجارب القائمة على التغيير السلوكي التي أجراها فريق التفاعل الاستباقي. بدلاً من إصدار توجيهات بأن يحدد الموظفون الروابط الإلكترونية المشبوهة، وهو نهج ذاتي معيب في الأمن السيبراني، حدد فريق التفاعل الاستباقي هدفاً سلوكياً جديداً للموظفين؛ عندما تتلقى على حساب الشركة رسالة إلكترونية تحولك إلى موقع يطلب منك إدخال بيانات إثبات شخصيتك أبلغ فريق الدفاع عن الرسالة.

قياس سلوك الموظفين

مرة تلو الأخرى، كان موظفو العمليات في الفريق الأحمر يقعون فريسة لرسائل التصيد الاحتيالي الإلكترونية التي حولتهم إلى صفحات تسجيل دخول زائفة، تماماً كالرسالة التي خدعت مساعد الرئيس السابق للجنة الوطنية الديمقراطية جون بودستا فأدخل كلمة المرور في صفحة تسجيل دخول زائفة محجوبة برابط مختصر ضمن رسالة إلكترونية خبيثة.

قام الفريق بدراسة المشكلة وسلط الضوء على 3 مقاييس رئيسة:

معدل قابلية التأثر: عدد الموظفين الذين أدخلوا بيانات إثبات شخصياتهم ولم يبلغوا عن رسائل التصيد الاحتيالي الإلكترونية مقسوم على العدد الكلي لرسائل محاكاة التصيد الاحتيالي المرسلة.

معدل جذب بيانات إثبات الشخصية: عدد الموظفين الذين أدخلوا بيانات إثبات شخصياتهم (ولم يبلغوا فرق الدفاع عن الرابط) مقسوم على عدد الموظفين الذين فتحوا رسالة محاكاة التصيد الاحتيالي ودخلوا إلى صفحة تسجيل الدخول الزائفة.

معدل الإبلاغ: عدد الموظفين الذين أبلغوا عن رسالة محاكاة التصيد الاحتيالي مقسوم على عدد رسائل محاكاة التصيد الاحتيالي المرسلة.

مع تحديد الهدف السلوكي والمقاييس الرئيسة بدأ الفريق بتطبيق آليات إدارية جديدة لتقليص معدل تسليم الموظفين لبيانات إثبات شخصياتهم. آنذاك، كانت رسائل محاكاة التصيد الاحتيالي تحصل على بيانات إثبات شخصية موظف واحد من كل 7 موظفين في كل اختبار، وكان موظف واحد من كل 10 موظفين يبلغ بصورة صحيحة عن رسالة محاكاة التصيد الاحتيالي الإلكترونية الأصلية على اعتبارها رسالة خبيثة محتملة. بعد النظر إلى البيانات قرر فريق التفاعل الاستباقي أن يركز على منع الموظفين من إدخال بيانات إثبات شخصياتهم إلى صفحة تصيد احتيالي.

كان الحلّ مطبقاً بالفعل؛ أراد الفريق أن يستخدم الموظفون برنامج إدارة كلمات المرور الذي دفعت الشركة ثمنه وحصلت عليه من شركة "فيرايزون". بما أن برنامج إدارة كلمات المرور لن يدخل بيانات إثبات الشخصية إلا في المواقع التي يستطيع تمييزها لا المواقع التي تهدف إلى سرقتها، فقد تولى مهمة تمييز الرسائل الخبيثة بدلاً عن الموظفين.

هندسة الاختيار والحوافز والتواصل وتطبيق الألعاب

بحلول منتصف العام 2019، طبق الفريق برنامج إدارة كلمات مرور الشركة على أنه أداة التحري المتخصصة في برامج التصفح المعتمدة في الشركة وحدد الفريق استخدام الأداة على أنه الخيار التلقائي لجميع الموظفين. كما قدم الفريق حوافز للاستخدام النشط لأداة إدارة كلمات المرور المعتمدة في الشركة؛ إذ تلقى الموظفون الذين استخدموا الأداة على نحو نشط هدايا مثل القمصان القطنية والسترات والقبعات التي تحمل علامة فريق "بارانويد". كما أنشأ الفريق مقاطع فيديو ومحتوى إرشادي لتثقيف المستخدمين حول ما يتعين عليهم البحث عنه وطرق تحديد الرسائل الإلكترونية المشبوهة وما يجب فعله إذا رأوا رسالة مشبوهة، وترافق هذا المحتوى مع رسائل إلكترونية تحث من وقعوا فريسة لرسائل محاكاة التصيد الاحتيالي على قراءة مواد تعليمية إضافية وتوجههم نحو استخدام برنامج إدارة كلمات المرور المعتمد في الشركة.

قام فريق التفاعل الاستباقي بقياس التقدم المحرز عن طريق إنشاء لوحة متابعة يمكن للمدراء الاعتماد عليها لقياس أداء الركيزة الأساسية في مؤسستهم ومقارنته بأداء أقرانهم. كانت لوحات المتابعة أداة مهمة بالنسبة للمدراء لأنها خلقت بيئة من المنافسة الإيجابية والسلبية. مثلت المنافسة حافزاً للموظفين ليقوموا بعمل أفضل، وأتاحت لوحة المتابعة للمدراء مراقبة عمل مرؤوسيهم، كما شكلت جسراً بين فريق التفاعل الاستباقي والقيادة العليا في شركة "ياهو".

اقتراحات عملية للمدراء

من أجل إحداث تغيير حقيقي ينبغي للمدراء اتخاذ 3 خطوات رئيسية: أولاً، يجب أن يحددوا السلوكات الإشكالية لدى الموظفين. كان التحول الأكبر الذي أحدثه فريق "بارانويدز" تنظيمياً لا تكنولوجياً؛ فقد اختبروا الموظفين من أجل جمع معلومات أفضل تخدم استراتيجيتهم في تغيير ثقافة الأمن السيبراني في شركتهم، وعندئذ فقط تمكنوا من تطوير خطة وتنفيذها.

ثانياً، يتعين على المدراء قياس السلوكات على نحو يتسم بالشفافية. إن اتخاذ قرارات الأعمال ليس من صلاحيات فريق الأمن وإنما هو من صلاحيات القيادة العليا، ومن أجل مساعدة القادة على اتخاذ هذه القرارات بنى فريق التفاعل الاستباقي لوحات متابعة تتيح للمدراء قياس سلوكات مرؤوسيهم المباشرين مقارنة بسلوكات الركائز الأساسية في مؤسسات أقرانهم.

وفي نهاية الحديث عن ثقافة الأمن السيبراني في شركة "ياهو" تحديداً، يتعين على المدراء اتباع خطط التوعية من أجل توضيح أهمية الإجراءات. لم يعاقب فريق التفاعل الاستباقي الموظفين ولم يفرض عليهم تبني أدوات محددة، بل استعان أفراده بقدراتهم على اختبار الهجوم كي يبنوا نصائحهم على هجمات واقعية ثم وضحوا ما يجعل هذه السلوكات مفيدة للأعمال.

وبحلول النصف الثاني من عام 2020 تراجع معدل جذب رسائل محاكاة التصيد الاحتيالي لبيانات التحقق من الشخصية ليصبح أقلّ بمقدار النصف، وتضاعف عدد البلاغات الصحيحة عن محاولات الاحتيال، والأهم هو أن استخدام برنامج إدارة كلمات المرور المعتمد في الشركة الذي يعتبر محور ثقافة الأمن السيبراني فيها ازداد بمقدار 3 أضعاف.

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشنغ، بوسطن، الولايات المتحدة الأميركية 2024 .

المحتوى محمي