تابعنا على لينكد إن

هل تتذكر عدد المرات التي توجب عليك فيها مشاهدة أحدث فيديو تدريبي متصل بالأمن السيبراني لشركتك؟ لقد بتنا نرى مؤخراً بروز صناعة كاملة قائمة بذاتها في مجال تدريب البشر على كيفية التعامل الذكي مع الحواسيب، إلا أنه وعلى الرغم من ذلك، يُعتبر عدد حوادث الأمن السيبراني في ازدياد. هل يسبقنا المخترقون دائماً بخطوة؟ هل يستحيل علينا أن نتدرب كفاية؟ هل نتلقى التدريب الخاطئ أصلاً؟

يُعتبر الإنسان في الواقع الحلقة الأضعف في مجال الأمن السيبراني، ولكن غالباً ما يكون النهج الذي تتبعه الشركات للتخفيف من هذه المخاطر متمثلاً بمزيد من التدريب، فضلاً عن محاولتها الحصول على أحدث ما توصلت إليه الحماية التكنولوجية، ولكن كلا الأمرين لا يكفيان.

ولنأخذ مثالاً على ذلك القوات المسلحة والأجهزة الأمنية الأميركية. هل يجب على الجيش تدريب جنوده، وبحاريه وضباطه وضباط البحرية لئلا يكونوا الحلقة الأضعف في منظومة الأمن السيبراني، كما ينصح ضابط البحرية ساندي وينفيلد (Admiral Sandy)، النائب السابق لرئيس هيئة الأركان الأميركية المشتركة؟ قطعاً. هل يجب على وكالة الأمن القومي الأميركية القيام بذات الشيء نحو موظفيها للحفاظ على سرية أسرارها (وهو ما أشارت إليه صحيفة نيويورك تايمز على أنه يمثل تحدياً)؟ بالتأكيد.

في الواقع، تحاول تلك الجهات الحكومية الأميركية منذ سنوات طويلة جعل موظفيها أكثر دراية بالإنترنت، لكن لا يزال المخترقون قادرين على تحقيق نجاحات حتى ضد شبكة موظفي قيادة الأركان المشتركة للجيش الأميركي بحسب تقرير لصحيفة واشنطن بوست نُشر في أغسطس/آب عام 2015، حيث تحدث عن حالات تصيد احتيالي عبر البريد الإلكتروني للموظفين هناك. ولن يساعد تلك الجهات إخضاع موظفيها لتدريب يمتد لفترة 50 ساعة أو أكثر سنوياً حول السلامة الإلكترونية من قيامهم بالنقر على الروابط في رسائل البريد الإلكتروني القادمة من عناوين غريبة. كما أنه لن نكون قادرين على تدريب كل متلقي للرسائل الإلكترونية للتمييز إن كانت الرسالة القادمة إليه احتيالية في طبيعتها أم عادية.

إلا أنه هناك مجال واحد يمكن أن يحقق فيه التدريب الإضافي نتائج مثمرة ألا وهو تدريب الرؤساء التنفيذيين وباقي كبار المدراء، وهي بدورها الفئة الأقل احتمالية لأخذ التدريب أو المشاركة فيه على محمل الجد. إذ قال 40% من المشاركين في استطلاع أجرته شركة “بي إي إيه سيستمز” (BAE Systems survey) وشمل كبار المدراء في مختلف القطاعات إنهم يفتقرون إلى فهم بروتوكولات الأمن السيبراني الخاصة بشركاتهم. ومن المنطقي طبعاً أنه في حال كنت المدير، ستكون هدفاً جذاباً للمحتالين والجواسيس.

والأهم من ذلك هو أنّ التدريب يمكنه أن يساعد القادة ليكونوا أكثر فعالية في الإشراف على كبار مسؤولي المعلومات، وكبار موظفي أمن المعلومات، إذ يمكن للقادة الذين تلقوا التدريب الكافي التمكن من معالجة التعارض بين شراء التكنولوجيا الأكثر ملاءمة وسهلة الإدارة ومعقولة السعر (دور رئيس قسم المعلومات) وبين الحفاظ في الوقت ذاته على أمان التكنولوجيا والبيانات الهامة للشركة (دور كبير موظفي أمن المعلومات).

ولكن عندما يتصل الأمر بباقي موظفي الشركة، تكون الإجابة بأنّ التدريب الإضافي لن يحقق أي هدف. ويعود سبب ذلك ببساطة إلى عدم الثقة بالبشر في المقام الأول. وبعبارة أخرى، هناك الكثير من الحالات التي يمكننا فيها التسبب بإضرار بالشبكات التي نعمل فيها بغض النظر عن مقدار التدريب الذي نتلقاه. وما علينا القيام به هنا هو مساعدة المستخدمين والعملاء في إبعاد أنفسهم وأسرهم وشركاتهم عن المتاعب.

وسنقدم فيما يلي بعض المقترحات التي تحاول جعل الشركات أكثر استباقية مع قيامها في نفس الوقت بتعزيز أمن شبكاتها وحواسبها. وبالتالي، ستكون الشركة ومستخدميها أكثر أمناً بغض النظر عما إذا كانوا حصلوا على تدريب إضافي أم لا.

اعرف معلوماتك ورتبها بحسب الأولوية

يمكنك دائماً الحصول على مشورة أمنية رقمية (حتى المنسق الرقمي للبيت الأبيض الأميركي ورئيس المخترقين السابق في وكالة الأمن القومي الأميركية روب جويس (Rob Joyce) يعترف بذلك!). ولكنك لن تصل إلى نتيجة ما لم تعرف شبكتك وتحدد أولويات ما تريد الدفاع عنه فيها. فلا يمكنك الدفاع عما لا تعرفه، ومن المستحيل تقريباً الدفاع عن كل ملف وقاعدة بيانات ومجلد. بالتالي، يجب على القادة استثمار الوقت في معرفة شبكات شركاتهم كونها الخطوة الأولى الضرورية (وإن كانت غير كافية) لمساعدة البشر على القيام بعملهم بأمان مع إبعاد الجهات الشريرة عنها.

لا تدع من حولك ينقرون على الروابط

في عام 2015، قررت وزارة الدفاع الأميركية أنه قد بلغ السيل الزبى: فقامت، ومن أجل منع مستخدميها من النقر على الروابط الخبيثة المحتملة، بتحويل كل البريد الوارد من غير النطاق (.mil) إلى نص عادي وهو ما يعني عدم وجود روابط للنقر عليها. ويبدو هذا أمراً غير مريح، لكن قررت الوزارة أنّ الفوائد تفوق المضار، واتخذت قيادة وزارة الدفاع ما يلزم للحفاظ على موظفيها من التسبب في إلحاق ضرر غير مقصود بشبكة الجيش.

لا تقم فقط بمشاركة المعلومات، بل ساهم في إيقافها

استفد من الخدمات مثل خدمة “فيسبوك” لمواجه التهديدات وقدم لها معلومات تساهم في تطوير الدفاعات التي تمنع وصول تلك البرمجيات الخبيثة للبقية. لن يبق هذا النهج الشركة آمنة تماماً، لكنه يقلل من خطر انتشار تلك المصادر الخبيثة لفئة أكبر. والحقيقة، أنّ العديد من التهديدات، إن لم يكن معظمها، تتميز بمؤشرات معروفة لدى مختلف جماعات أمن المعلومات، بحيث يمكنهم اكتشافها في وقت مبكر إذا عرفوا بها.

قلّل مساحتك المستهدفة بالهجوم

يستخدم معظمنا في العمل أجهزة كمبيوتر ذات قدرات أكبر بكثير مما نحتاج إليه أو نستخدمه على أساس يومي. وتأتي مع هذه القدرات مخاطر متزايدة بسبب جميع أنواع سبل العدوى الإضافية المحتملة. إذا كنت تستطيع استبدال ما لديك، فكر في استخدام شيء بسيط مثل جهاز بنظام تشغيل “كروم بوك” والذي يمكن أن يقلل بشكل كبير من الفرص المقدمة إلى الخصم أو المجرم للحصول على دخول غير مصرح به إلى نظامك. ولدى ذاك النظام أيضاً عمليات تحديث برمجية أكثر انتظاماً بكثير، ووصول أقل للبرامج لإصابتها بالعدوى.

قم بالوصول إلى السحابة

تملك الشركات والمؤسسات المتطورة القدرة على إدارة أمن نطاقها بمزيج من المنتجات الأمنية، في الوقت الذي لا تملك فيه العديد من الشركات الصغيرة والمتوسطة الحجم الموارد اللازمة للقيام بذلك. وفي الوقت نفسه، تُنفق شركات مثل “جوجل” الملايين في محاولتها إبعاد المخترقين عن البنية التحتية لبريدها الإلكتروني. وإذا كنت قلقاً، ولكن لا تملك الموارد اللازمة لإدارة أمان البريد الإلكتروني لديك، فكر في تحويل البنية الأساسية للبريد الإلكتروني الخاص بك إلى “جوجل” للاستفادة من استثماراتها في مجال الأمن، والتي تقوم بدورها بتعقيد مهمة المخترقين موفرة عليك الوقت والموارد.

وفي النهاية، لا تنس التهديدات الداخلية. إذ يقضي مختصو الأمن السيبراني الكثير من الوقت في إبعاد الأشرار، ولكن في نفس الوقت، ربما تأتي الطعنة من الظهر. وفي الواقع، تقدّر شركة “آي بي إم” أنّ 60٪ من جميع الهجمات الإلكترونية تكون من داخل الشركة نفسها. ويمكن أن يتضمن النهج الذي يركز على الإنسان ويحد من أضراره، خلق ثقافة مساءلة متبادلة (قد يصفها البعض بأنها “ثقافة الوشاية”) في العمل. وتشمل الفحوص الإضافية للتهديدات الداخلية على تقسيم الشبكة بحيث لا يتمكن سوى أولئك الذين يحتاجون للوصول إلى بيانات معينة من الوصول إليها، ووضع “علامات مائية” على البيانات الحساسة تضم معلومات عما تم الوصول إليه والزمن والأشخاص الذين اطلعوا على تلك المعلومات.

سيكون من السخافة محاولة الوصول إلى الأمن المثالي، أو حتى الوعد به. بدلاً من ذلك، تستهدف هذه الاقتراحات المساعدة في تقليل خطر وقوع هجوم. ولن يكون كل شيء مناسباً لكل حالة أو مستخدم، لكن في حال مزجها معاً، فإنها تقطع شوطاً طويلاً نحو إعطاء الإنسان قدرة إضافية على تحسين الأمن السيبراني.

تنويه: إن نسخ المقال أو إعادة نشره بأي شكل وفي أي وسيلة دون الحصول على إذن مسبق يعتبر تعدياً على حقوق الملكية الدولية ويعرض صاحبه للملاحقة القانونية. جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشينغ، بوسطن، الولايات المتحدة الأميركية – 2018.

هذه المقالة عن تكنولوجيا

شاركنا رأيك وتجربتك

كن أول من يعلق!

التنبيه لـ

wpDiscuz