كيف تحسّن الأمن الرقمي في مؤسستك؟

يرى الكثير من المدراء أنّ الموظفين هم الحلقة الأضعف في مجال الأمن الرقمي للشركات، إلا أنني أراهم خط الدفاع الأفضل، وذلك في حال قدّمت لهم سياسات سهلة التنفيذ وأبعد ما تكون عن التعقيد. كما يجب أن يكون التدريب الأمني للموظفين وأفضل الممارسات مصممة بطريقة سهلة، يمكن تطبيقها وتنفيذها. ويجب على طريقة الاستعمال أن تكون بسيطة بدورها لتحقيق أقصى فعالية ممكنة.

لا يحتاج المخترقون الرقميون إلى مهارات متقدمة في القرصنة لاقتحام شبكات الشركات، بل يحتاجون فقط لتوفير حافز مغر للموظفين لفتح المرفقات والنقر على الروابط. وتُعتبر هجمات الاحتيال في الإنترنت السبب في 90% من جميع خروقات البيانات والحوادث الأمنية، وفقاً لأحدث تقرير نشرته فيرايزون حول خروق البيانات. ومن الواضح أنّ الموظفين هم الفئة الأساسية المستهدفة بهجمات المخترقين، وبالتالي يكون من المنطقي القول بأنهم خط الدفاع الأول. وجد تقرير فيرايزون أنّ الإخطار الذي يقدمه الموظفون حول الاختراقات الأمنية هو الطريقة الأكثر شيوعاً للمؤسسات لكشف الهجمات الرقمية. ولذلك، يُعتبر تزويد الموظفين بالمعلومات اللازمة لتحديد هكذا هجمات أمراً مهماً من برنامج الأمن العام للشركة، إلا أنه في الوقت نفسه، لا تقوم غالبية الشركات بهذا الأمر.

الطرق الأمنية المختصرة

من أبرز أسباب إخفاق قواعد الأمن في تنفيذ ما هو مأمول منها تعقيدها المبالغ فيه، والذي يدفع الناس في كثير من الأحيان إلى سلوك طرق مختصرة تلغي فائدة تلك القواعد. على سبيل المثال، تُعتبر سياسات كلمة المرور معقدة جداً وغير مريحة لدرجة قيام معظم الموظفين بتجاهلها. ويُطلب من الموظفين تغيير كلمات السر كل فترة، ولكن وجد الباحثون أنه عندما يطلب من الناس وضع كلمات مرور جديدة كل ثلاثة أشهر، يميلون للقيام بأمور مثل تغيير الحرف الأول فيها أو إضافة عدد في نهايتها لتوفير الوقت. وهذا يجعل كلمات السر أسهل كسراً على نحو متزايد. سيُستنزف الإبداع الذي لديك عندما يتوجب عليك القيام بنفس الأمر مراراً وتكراراً، وتجبر معظم الشركات موظفيها على القيام بذلك لأهداف أمنية.

وهناك مثال آخر على السياسات الأمنية التي تحرق نفسها بنفسها، وتتمثل بطلب كلمات مرور طويلة ومعقدة، حيث نُطالب دائماً بوضع كلمات مرور معقدة تتألف من مجموعة من الأرقام والحروف الكبيرة والصغيرة (في اللغة الإنجليزية) والرموز. وعندما يُطلب منا هذا، يتجاهل كثير من الموظفين ببساطة هذه السياسة أو ينشؤون كلمة مرور طويلة لا يمكنهم تذكرها بسهولة ما يجعلهم يكتبونها على ورقة ويضعونها على الشاشة. من جديد، توفر هكذا ممارسات إحساساً زائفاً بالأمان للمؤسسة.

يتم حالياً تحدي هذه المبادئ التوجيهية التاريخية المتصلة بكلمة المرور نظراً لقلة نجاعتها المبرهنة لمعظم المؤسسات. وقد غيّر المعهد الوطني الأميركي للمعايير والتكنولوجيا مؤخراً مبادئه التوجيهية لتتماشى مع الواقع الجديد، حيث بات يوصي الآن بالتخلص من القواعد التي تعقّد ممارسات كلمة المرور للمستخدمين النهائيين، مثل طلب إعادة تعيين كلمة المرور بشكل متكرر، والسماح باستخدام برامج إدارة كلمات المرور، ولصق كلمات المرور في حقولها المخصصة. ويوصي المعهد أيضاً بالمصادقة متعددة العوامل، مثل إرسال رموز إلى الهواتف الذكية والأجهزة التي يتم وصلها بالحاسب للمصادقة.

لحظات تعليمية

من أسباب فشل ممارسات الأمن الرقمي الداخلي، خضوع الموظفين بشكل مبالغ فيه لتوجيهات ومعلومات حول الأمور التي عليهم القيام بها وتلك التي عليهم تجنبها، وتُعد الكثير منها لا يمكنهم تقبله، حيث يتم مثلاً نقلهم إلى دورات تدريبية أمنية إلزامية لمدة نصف يوم يقضونها في الغالب محدقين في هواتفهم أو يتظاهرون بالانتباه. إذ تحتوي تلك الدورات على الكثير من المعلومات التي يتوقع أن يستوعبها شخص ما ويتذكرها، وتتمثل فائدتها لقسم تقنية المعلومات في قيامهم بتقديم تقاريرهم أمام رؤسائهم تفيد بأنهم دربوا الموظفين على أفضل الممارسات الأمنية. إنه إجراء امتثال غير فعال ويضيع وقت الموظف.

أنصح المشرفين على تكنولوجيا المعلومات بدلاً من ذلك بفعل ما يفعله المخترقون لتحقيق فعالية أكبر. بمعنى آخر، تخصيص عملهم قدر الإمكان. على سبيل المثال، تُعتبر أخطر رسائل البريد الإلكتروني الاختراقية تلك التي تستهدف الموظفين ذوي المرتبة الإدارية العالية، حيث تصمم بشكل يخدع الشخص المستهدف بالضبط. وتكون أمور على غرار طلبات الحصول على معلومات ضريبية وطلبات تحويل إلكتروني تبدو وكأنها مرسلة من الرئيس التنفيذي أو المدير المالي إلى شخص في الإدارة المالية باستخدام اللغة المناسبة. ويقع الناس في العادة ضحية تلك الفخاخ نظراً لقيام المهاجمين بتقديم التفاصيل الكافية لذلك. إذاً، يجب على أقسام تكنولوجيا المعلومات اتباع نفس دليل التشغيل واستخدام التدريب والتوجيه المخصص بدلاً من التدريبات العامة والشاملة لجميع الموظفين. وأشير إلى هذه التقنية بأنها “لحظات يمكن التعلم منها” لأنها توفر معلومات محددة لأفراد محددين بطريقة ووقت هم أكثر احتمالاً فيها على تقبلها والتعلم منها.

تكون معظم اختبارات الأمن الداخلي واسعة جداً وغير مركزة. على سبيل المثال، تميل أقسام تكنولوجيا المعلومات إلى إجراء اختبارات التصيد عن طريق إرسال نفس البريد الإلكتروني المزيف لجميع الموظفين. وشخصياً، لا أعتقد أنّ هذا الأمر مناسب لجميع المؤسسات، إذ يتطلب “اختبار المستخدمين” الكثير من التأطير والمشاركة لضمان ألا يجعل الموظفين يشعرون بأنه غير موثوق بهم، وبالتالي تقليل علاقة الثقة لديهم مع فريقهم الأمني.

وينطبق نفس المبدأ على خدمات المشاركة والتعاون من الجهات الخارجية، مثل خدمتي سلاك ودروب بوكس. عندما نحاول منع هذه الأدوات الشائعة، سنجد في كثير من الأحيان قيام المستخدم باكتشاف وسائل أخرى مختلفة يفشل قسم تكنولوجيا المعلومات في منعها. ولكن إذا قام قسم تكنولوجيا المعلومات بدلاً من ذلك بتحديد متى تُستخدم الخدمة، ووفر توجيهات واضحة حول كيفية استخدامها بشكل آمن، أو قدم اشتراكاً للشركات مع التعليم الأمني، سيُحدث ذلك أثراً أكبر بكثير.

ثقافة الانفتاح

ومن الجوانب التي غالباً ما يتم تجاهلها ضمن ممارسات أمن الموظفين العلاقة بين الموظف وقسم تكنولوجيا المعلومات وفريق الأمن. ففي معظم المؤسسات، ينظر الموظفون إلى فريق الأمن على أنهم مثل رجال شرطة المرور للمؤسسة ممن يخبرونهم باستمرار أنهم لا يستطيعون فعل شيء يريدون القيام به، مثل تنزيل برنامج خارجي. ويشكو الموظفون من تأخر استجابات تكنولوجيا المعلومات لمساعدة طلباتهم ويميلون إلى تكوين علاقة خصومة معهم. ويحتاج هذا الوضع إلى التغيير إذا أرادت المؤسسات تحسين الممارسات الأمنية للموظفين، حيث يجب أن يُنظر إلى فرق الأمن وتكنولوجيا المعلومات كمستشارين موثوق بهم وعلى أنهم طاقم مفيد للموظفين، بدلاً من كونهم المنظمين.

وتتمثل الطريقة الأفضل لتغيير هذه الديناميكية في زيادة فرص التفاعل بين الموظفين وقسم تكنولوجيا المعلومات. ويمكن أن يكون ذلك ضمن ساعات العمل. فمثلاً عندما يطلب الموظف المساعدة، يقوم قسم تكنولوجيا المعلومات وفريق الأمن بعدم التعامل مع هذا الطلب على أنه إزعاج. كما يمكن أن يكون قسم تقنية المعلومات أكثر استباقية حول التعرف على الموظفين ومعرفة ما يواجهونه من خلال الاختلاط أكثر بهم، بدلاً من مجرد الظهور عندما يطلب شخص أمراً ما.

يمكن القول أنّ أهم ما يمكن للشركات القيام به هو تحسين العلاقة بين قسم تكنولوجيا المعلومات والموظفين، والذين هم الأقرب إلى البيانات والأجهزة، وبالتالي في أفضل وضع لاكتشاف والإبلاغ عن الحالات الأمنية والحوادث الشاذة، حيث سيزيد التعرف على الموظفين وأدوارهم، وكيفية استخدامهم للتكنولوجيا من فرص قيامهم بالإبلاغ عن القضايا الأمنية وإبداء رغبة أكبر في المساعدة على حلها. كما يمكن أن يساعدوا في تزويد قسم توفير تكنولوجيا المعلومات بالمعلومات التي يحتاجونها لتصميم التعليم الأمني واختبار الجهود بشكل أفضل. وسيؤدي تعاون مثل هذا داخل المؤسسة إلى تغيير عادات الناس بشكل كبير وإحداث فرق في الحفاظ على المؤسسات آمنة.