التدريب أفضل استثمار لفضاء معلوماتي آمن

مع مرور الأيام نكتشف حجم وتعقيد مشهد التهديدات الأمنية في الفضاء المعلوماتي. ويترافق ذلك مع اكتشافنا ضحالة استعدادات المؤسسات لهذه التهديدات، بما في ذلك تلك التي تنفق مئات الملايين من الدولارات على أحدث ما توصلت إليه التكنولوجيا. من ناحية أخرى، يجب على المستثمرين الباحثين عن البرمجيات السحرية، ويظنون أنها ستحميهم من كل تهديد، أن يدركوا أنه لا يوجد برمجية قادرة على معالجة كافة الثغرات، ولا تكفي الحلول القائمة فقط على التكنولوجيا، إذ أنّ إنفاق ملايين الدولارات على التقنيات الأمنية سيشعر المدراء التنفيذيين بالراحة بكل تأكيد. إلا أنّ المصادر الرئيسية للتهديدات الأمنية ليست تكنولوجية، بل في الأدمغة البشرية، كالفضول، والجهل والتجاهل، واللامبالاة والثقة الزائدة بالنفس.

هذه الأشكال البشرية يمكن رؤيتها في أي مؤسسة، وهي في كل جزء صغير منها لا تقل خطورة عن التهديدات الناجمة عن البرمجيات الخبيثة.

ويُعتبر خط الدفاع الأول والأخير في مواجهة أي تهديد معلوماتي، هو القادة والموظفون المدربون مسبقاً، سواء كانوا من داخل المؤسسة أو متعاقدين خارجيين مع المؤسسة بشكل مباشر أو غير مباشر.

ومع ذلك، فإنّ قيادات المؤسسات تُظهر اهتمامها فقط بالناحية التكنولوجية. إذ أنّ القيادات المتعبة وغير المستعدة مسبقاً لا تضخّم إلا عواقب الخروقات الأمنية، حيث أثّر الاختراق الذي تعرضت له شركة ياهو في العام 2016 إلى خسارة 350 مليون دولار بعد اندماجها مع شركة فيرايزون (Verizon)، ما أثّر سلباً على الصفقة.

اقرأ أيضاً: دور الحوكمة في جذب المستثمرين.

وللتحضير للهجمات المعلوماتية مستقبلاً والوقاية منها، يتعين على الشركات أن توازن بين التحصينات التكنولوجية من جهة، والدفاعات الرشيقة المرتكزة على الإنسان من جهة أخرى، وأن تشبكهما معاً. كما يتعين على الجهود القوية نحو العنصر الإنساني أن تتجاوز مجرد شعار "نغمة القمة" (Tone at the top) والذي يركز على القيم والأخلاقيات التنظيمية، وأن تتضمن نهجاً استباقياً قيادياً مع آلية سريعة ودقيقة لاتخاذ القرار. ومع تزايد التهديدات المعلوماتية بشكل كبير، أصبحت إدارة المخاطر الشاملة أولوية على مستوى مجالس الإدارات. بل إنّ المستثمر الأسطوري وران بافيت أشار إلى التهديدات المعلوماتية ووصفها بأنها واحدة من أشد المخاوف التي تواجه الإنسانية، وذلك خلال الاجتماع السنوي لشركة بيركشاير هاثاواي (Berkshire Hathaway).

كما يتحتم على الشركات التعرف إلى ثلاث حقائق غير سارة في هذا السياق والاستجابة لها. أولاً: إنّ المخاطر الإلكترونية تتطور وفقاً لـ"قانون مور" (Moore’s Law). وهذا هو السبب الرئيسي في أنه لا يمكن للحلول التكنولوجية وحدها مواكبة التهديدات المعلوماتية المتجددة. ثانياً: يُعتبر الدفاع أشد صعوبة بكثير من الهجوم، إذ أنّ فريق المهاجمين بحاجة انتصار واحد لإثارة فوضى هائلة في المؤسسة. ثالثاً: وهو الأسوأ، يتقن المهاجمون عادة الصبر والتستر. وفي المقابل تعيش الشركات حالة من الأمان الوهمي الناجم عن استخدامها لتقنيات دفاعية وجدران نارية (Firewalls)، إضافة إلى ضمانات الصحة المعلوماتية (Assurances of perfect cyber hygiene).

بينما يكمن الخطر في الاعتقاد بأنه يمكن إدارة هذه المخاطر بشكل كامل، عبر نظام دفاعي شامل. لكن من الأفضل أن تفترض اختراق دفاعاتك في وقت ما، وأن تقوم بتدريب الأفراد لديك على ما يجب فعله عند حصول هذا الاختراق. وبدلاً من استعمال مصطلح "إدارة المخاطر"، نقترح إعادة التفكير فيه على أنه "رشاقة المخاطر" (Risk agility). إذ تزوّد المؤسسة الرشيقة (The agile enterprise) جميع الطبقات التنظيمية بعلامات إرشادية (Decision guideposts) لاتخاذ القرارات وحدود عليا مسموح بها (Boundaries)، وذلك لتحديد عتبات تحمل المخاطر (Thresholds of risk tolerance). كما يجب على جميع الموظفين فهم ما هو متوقع منهم بخصوص سياسة الشركة والعمل على الإنترنت. وليس ذلك فحسب، بل يجب أيضاً تدريبهم للتعرف على الأنشطة الشريرة أو المشبوهة. فتُعتبر السمة الرئيسية الخاصة عندما يتعلق الأمر بالمخاطر المعلوماتية، هي أن يمتلك الأفراد مهارة الشعور بأنّ هناك خطب ما، وأنّ عليهم فعل شيء، ما يجعل كافة أفراد المؤسسة جزءاً من "شبكة أمان عصبية" (Neural safety network). على سبيل المثال، تم إطلاق رد الفعل الدفاعي ضد اختراق "سويفت" (SWIFT ) لسرقة 81 مليون دولار من قبل موظف مصرفي بسيط في ألمانيا، عندما لاحظ خطأً إملائياً في طلب التحويل.

وعندما نقول يجب أن يتعامل جميع الموظفين برشاقة مع المخاطر فنحن نعني تماماً جميع الموظفين. من المدراء التنفيذيين، أعضاء مجلس الإدارة، والمساهمين وغيرهم من كبار القادة، وعدم الاكتفاء بتدريب موظفي الشركة الخاصة بهم فحسب، والنظر في كيفية تقييم وإبلاغ الذين تعتمد عليهم أعمالهم من روّاد أعمال واستشاريين وموردين، إذ أنه لطالما تسببت هذه الأطراف الثلاثة، والتي تمتلك صلاحيات الوصول إلى شبكات الشركة، في حصول اختراقات جسيمة كتلك التي تعرّضت لها كل من شركتي تارغت (Target) وهوم ديبوت (Home Depot).

كما يمكن للمدير التنفيذي المتشكك بأن يناقش فكرة الأمن المعلوماتي بزعم أنها ستكلف الكثير من المال؟ والحقيقة هي أنّ الاستثمارات المبذولة لتطوير برامج تدريبية على أمن المعلومات لا تزال منخفضة، كما يتضح الافتقار إلى الاستثمار في برامج التعليم على أمن المعلومات بشكل كبير في الحجم الهائل من الانتهاكات التي لا تزال نابعة من الفشل البشري. والأسوأ من ذلك أنّ حجم الانتهاكات الحقيقي لا يبلّغ عنه بشكل دقيق، حتى عندما يتم ضبط الاختراق بشكل مبكر وذلك نتيجة خوف الشركات من أثر ذلك على سمعتها. وفي دراسة مسحية أجرتها كل من مجلة سي إس أو (CSO) المختصة بأمن المعلومات وقسم سيرت بمعهد هندسة البرمجيات في جامعة كارنيغي ميلون (CERT Division of the Software Engineering Institute of Carnegie Mellon University)، أظهرت الإجابات أنّ الأشخاص من داخل المؤسسة كانوا السبب في "50 في المئة من الحوادث التي تسربت فيها معلومات خاصة أو حساسة عن غير قصد". ويمكن لأخطاء الموظفين أن تشتمل أيضاً على الوقوع ضحية لعملية "صيد احتيالي" (Phishing scam).

باختصار، سيكون هناك حاجة للاستثمار في جاهزية الموظفين. ويمكن لهذا الاستثمار أن يكون فعّالاً مع مرور الوقت، وخاصة بالمقارنة مع الاستثمار في استخدام التكنولوجيا الأمنية الحديثة جداً والتي تتقدم بسرعة مع الزمن من جهة أخرى. وخلاصة القول هو أنّ التكنولوجيا تلعب دوراً هاماً في المشهد الأمني المعلوماتي، ولكنها تبقى كالسيارة التي تحتوي أحدث أنظمة السلامة، وتحتاج إلى سائق مدرّب بشكل جيد.

أضف إلى ذلك، فقد تجد الشركات التي تتباطأ ببناء تدابير أمنية ذات معايير أعلى نفسها مدفوعة إلى ذلك من قبل الهيئات الرقابية الناظمة. على سبيل المثال، تلزم أحدث اللوائح التنظيمية الصادرة عن دائرة الخدمات المالية في ولاية نيويورك (New York State Department of Financial Services) الشركات الخاضعة لها بـ"تقديم تدريبات توعوية بأمن المعلومات بشكل منتظم لجميع الموظفين". إنها مجرد قمة لهرم جليدي قادم، فمن المتوقع صدور لوائح كثيرة مشابهة بالعديد من الدول والوكالات الحكومية في جميع أنحاء العالم، والتي تستخدم مبدأ "الثواب والعقاب" مع الشركات تجاه التزامها بلوائح الأمن المعلوماتي.

قد يمثل الذكاء الاصطناعي، الآلات المبرمجة، وخوارزميات التعليم الذاتي أحدث الاتجاهات للاستثمار في تكنولوجيا المعلومات، ولكن في النهاية كل التكنولوجيا موجودة لأجل البشر وتستخدم من قبل البشر. وسيكون من الحكمة لقادة الشركات أن يدركوا أنه لا يوجد حل سحري بشق واحد أو أداة خارقة، وإنما بإنشاء حلول تعترف بأهمية الاستعداد البشري وتضعه على قمة التحصينات والدفاعات التكنولوجية.