يُعتبر تدريب الموظفين أو إدارة التحقق من الهوية القائم على الذكاء الاصطناعي أفضل ما يصف تحديد العائد على أي استثمار في أمن الفضاء الإلكتروني. فمشهد التهديد الرقمي دائم التغيّر، حيث من الصعب التكهن باحتمالية نجاح أي هجوم إلكتروني أو معرفة حجم الخسائر المحتملة. وحتى التكاليف المعروفة، كغرامات اختراق البيانات في الصناعات شديدة التنظيم مثل الرعاية الصحية، ليست إلا جزءاً صغيراً من حساب العائد على الاستثمار. وفي ظل هذا الغياب للبيانات الجيدة، يلجأ صانعو القرار إلى شيء أقل مثالية في تقييم خياراتهم ألا وهو "تقديرهم الشخصي".
لكن بالمقابل تُظهر وجهات نظر ناتجة عن الاقتصاديات السلوكية وعلم النفس أن في التقدير البشري تحيزات تتسبب بإشكاليات. ومن هذه الإشكاليات أن بعض صانعي القرارات يستخدمون أنماطاً عقلية خاطئة لمساعدتهم في تحديد كم يحتاجون من الاستثمارات وأين يستثمرون. مثلاً، قد ينظرون إلى الحماية الإلكترونية كما لو كانت عملية تحصين، فإذا بنيت جدراناً نارية مع أبراج مراقبة شديدة الحراسة، فستتمكن من رؤية المهاجمين من على بعد ميل. أو يفترضون أن مجرد التقيد بأطر العمل الأمنية مثل (NIST) أو (FISMA) سيمنحهم أمناً كافياً ويُبقي المعتدين بعيداً. كما يقعون ضحية التفكير المخالف للواقع في قولهم: "لم يحدث لدينا خرق هذه السنة، لذا لا نحتاج إلى زيادة استثماراتنا"، بينما الواقع يقول إنهم إما كانوا محظوظين هذه السنة أو أن هناك طرفاً ما يتخفى في نظامهم دون دراية منهم متحيناً اللحظة المناسبة للانقضاض عليهم.
اقرأ أيضا: كيفية جذب المستثمرين.
وتُعتبر مشكلة هذه الأنماط الذهنية أنها تتعامل مع الأمن الإلكتروني كما لو كان مشكلة متناهية يمكنهم حلها، بدلاً من رؤيتها على أنها عملية مستمرة. ومهما كانت الشركة منيعة، فبإمكان المخترقين إيجاد تصدعات في الجدران ينفذون منها، وهو تماماً السبب الذي يستدعي تركيز جهود الأمن الإلكتروني على إدارة المخاطر، وليس تخفيفها. لكن هذه الصورة المتشائمة من الصعب جداً إقناع الآخرين بها. كيف إذاً باستطاعة المدراء التنفيذيين المسؤولين عن الأمن الالتفاف على التفكير المضلّل الذي يتسبب في قصور الاستثمار، وتأمين الموارد التي يحتاجونها؟
خلال السنة الماضية، أجرت شركتي لبحوث العلوم السلوكية والتصميم "آيدياز42" (ideas42)، مقابلات مع خبراء من مختلف أرجاء الفضاء الإلكتروني بالإضافة إلى بحوث موسعة للكشف عن تحديات السلوكيات البشرية في صفوف المهندسين والمستخدمين النهائيين ومشرفي تقنية المعلومات والتنفيذيين. وكشفنا عن رؤى تفسر الأخطاء التي يرتكبها الأفراد في كتابة الأكواد، وسبب عدم تنزيل تحديثات البرمجيات، وسبب سوء إدارة أُذونات الوصول. ونغوص بعمق في هذه التحديات خلال القصة القائمة على البحث الذي ذكر في كتاب "تفكير عميق: قصة من أمن الفضاء الإلكتروني" (Deep Thought: A Cybersecurity Story). إذ تشير نتائجنا إلى خطوات يمكن للمدراء التنفيذيين المسؤولين عن الأمن وغيرهم من محترفي الأمن الإلكتروني اتخاذها للتعامل مع التحيزات البشرية لدى الرؤساء التنفيذيين، وتحفيز صانعي القرار للاستثمار أكثر في البنية التحتية للفضاء الإلكتروني.
استمل مشاعر صانعي القرار المالي. هناك تأثير ضخم للطريقة التي تمرر بها المعلومات على كيفية استقبالنا لها والعمل بمقتضاها. إذ يلجأ محترفو أمن الفضاء الإلكتروني غريزياً لوصف الخطر الإلكتروني من حيث سلامة البيانات وتوافرها أو من حيث مؤشرات قابلة للقياس كفقدان البيانات. لكن هذه المفاهيم لن تترك صدى لدى صانعي القرار الذين ينظرون للخطر من منظور مختلف تماماً. فعلى محترفي أمن الفضاء الإلكتروني الأخذ في الاعتبار أن الناس غالباً يولون أهمية أكبر للمعلومات التي تصور العواقب بشكل حي وتلعب على وتر مشاعرهم. ولتوظيف هذا التحيز العاطفي في مصلحتهم، على محترفي الأمن شرح مخاطر الفضاء الإلكتروني باستخدام سرد واضح يربطها بتلك المخاطر التي لدى كبار صانعي القرار دراية بها. مثلاً، من نواحي الخطر الذي يهدد شركتك إمكانية فقدان بيانات العملاء وما يصاحب ذلك من تكاليف تنظيمية وفشل العلاقات العامة التي تؤثر على سمعة الشركة. أي أن الأمر لا يتعلق فقط بالضرر الذي يلحق بالبيانات، بل أيضاً بالكيفية التي ستقلل بها البيانات السيئة من الكفاءة التشغيلية وتتسبب في وقف خطوط الإنتاج.
استبدل النمط الذهني للرئيس التنفيذي بمؤشرات جديدة للنجاح. يستخدم جميع الناس أنماطاً ذهنية لاستخلاص أشياء قابلة للإدارة من شيء معقد. لكن النمط الذهني الخاطئ حول الهدف من أحد برامج أمن الفضاء الإلكتروني ربما يشكل الفارق بين إحباط الهجوم أو حدوث اختراق كبير. حيث يعتقد بعض الرؤساء التنفيذيين أن الاستثمارات الأمنية هدفها إنشاء بنية تحتية، وأن إنشاء قلعة حصينة هو كل ما تقتضيه المحافظة على أمن الشركة. هذا النمط العقلي يعني أن أهداف صانع القرار المالي ستكون مركزة دوماً على تخفيف الخطر بدلاً من إدارته.
وللتغلب على هذا التحدي، يجب على رؤساء أمن المعلومات العمل مع مجالس الإدارة ومع أصحاب القرار المالي لإعادة تأطير مؤشرات النجاح، بحيث تأخذ بالاعتبار نقاط الضعف التي يُعثر عليها ويتم إصلاحها. فلا وجود لنظام أمني إلكتروني لا يمكن اختراقه، لهذا سوف يحوّل العمل على تحديد الثغرات تركيز القادة من بناء النظام الصحيح إلى بناء الإجراء الصحيح. وعلى عكس ما يبدو بديهياً، يجب اعتبار أي كشف للفريق الأمني في الشركة عن المزيد من نقاط الضعف على أنها علامة إيجابية. أما التعامل مع نقاط الضعف على أنها أوجه قصور فقد يشكل دافعاً للفريق الأمني الداخلي في الشركة لإخفائها عن غير قصد. لذلك عليك معرفة أنه كلما زادت صلابة الإجراءات الأمنية ومقدرات الفريق الأمني، سيزيد اكتشافهم لنقاط الضعف وإصلاحها.
استطلع آراء أقرانك لتساعد في كبح الثقة الزائدة. الثقة الزائدة هي تحيّز منتشر، وتكون مشكلة كبيرة إذا عُتّم على تقديرات القادة حول الاستثمارات المطلوبة في أمن الفضاء الإلكتروني. حيث وجد بحثنا أن العديد من كبار التنفيذيين يعتقدون أن استثماراتهم في أمن الفضاء الإلكتروني كافية، ولكنهم يرون أن قلة فقط من نظرائهم يستثمرون ما يكفي وهو اعتقاد خاطئ ولو أنه شائع. ومن الطرق التي تُمكّن رؤساء أمن المعلومات من التعامل مع الثقة الزائدة للرئيس التنفيذي -مقارنة أداء الشركة مع قاعدة من الشركات المماثلة. بعبارة أخرى، تعامل مع المشكلة مباشرة. إذ يمكنك تحقيق هذا من خلال الاستطلاع الدوري لآراء رؤساء أمن المعلومات والتنفيذين لتعرف مدى جودة المؤسسات في صناعتك ضمن إدارة أمن الفضاء الإلكتروني. كما عليك حثّهم في أثناء هذه العملية على أن يحددوا قدر الإمكان ما يُحسنون أو لا يُحسنون فعله، واطلب منهم تحديد كم تتقن شركاتهم ذلك. بهذه الطريقة، يستطيع رؤساء أمن المعلومات توفير معلومات أوضح للرؤساء التنفيذيين عن حقيقة أدائهم مقارنة بنظرائهم في الصناعة.
"أنت الحلقة الاضعف". في مقالتها التي تحمل عنوان "حوّل ألم الآخرين" كتبت سوزان سونتاج: "تصور شيء ما يعني وضعه في إطار، ووضع الشيء في إطار يعني استبعاد غيره". وكذلك انتباه البشر يعمل بطريقة مماثلة. فالناس يركزون على جوانب معينة من المعلومات في بيئتهم ويتجاهلون سواها، ويمكن النظر لما يختار الرئيس التنفيذي الاستثمار فيه من منطلق مماثل. مثلاً، في أعقاب اختراقات تتصدر نشرات الأخبار، يدفع الرؤساء التنفيذيون فرقهم لزيادة الاستثمار في البنية التحتية للفضاء الإلكتروني لحمايتها من التهديدات الخارجية. لكنهم بفعلهم هذا يُغفلون عن غير قصد التهديدات الداخلية التي لا تكون أقل تكلفة كموظفين يضغطون على روابط سيئة، أو يقعون ضحية لهجوم احتيالي.
كيف يستطيع رؤساء الأمن الإلكتروني التعامل مع غفلة صانعي القرار؟ لا أحد يحب أن يُوضع في موقف محرج، لكن إعطاء آراء تقييمية ربما يكون أحياناً العلاج الفعال لعدم الانتباه. ويجب على الفرق الأمنية المحاولة بشكل دوري اختراق أنظمتها الخاصة من خلال اختبارات الاختراق، ويجب أن يكون الرؤساء التنفيذيون على رأس القائمة المستهدفة. ففي نهاية المطاف هذا ما سوف يسعى لتحقيقه المخترقون الخارجيون. كما جعل الرئيس التنفيذي ضحية لهجوم معدّ له وآمن يساعد في لفت الانتباه للأخطار المحتملة الموجودة مسبقاً، وتحفيز القادة لزيادة استثماراتهم في أمن الفضاء الإلكتروني.
أخيراً، يجب التنويه إلى أنه إذا استمر تركيز برامج أمن الفضاء الإلكتروني على تصميم تقنيات أفضل لمحاربة التهديدات المتزايدة للهجمات الإلكترونية، فسوف نستمر في إهمال الجانب الأمني الأهم (الشخص الذي في المنتصف). لكن بتحويل عدسات علم السلوك إلى التحديات الإلكترونية، يمكن لرؤساء أمن المعلومات تحديد طرق جديدة للتعامل مع المشاكل القديمة، وربما تحسين ميزانياتهم في نفس الوقت.