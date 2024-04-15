تُظهر أحدث نتائج تقرير IBM® X-Force Threat Intelligence Index تحوُّلًا في أساليب المهاجمين. بدلًا من استخدام أساليب الاختراق التقليدية، شهدت الهجمات التي يستغل فيها المجرمون بيانات اعتماد صالحة للتسلل إلى الأنظمة ارتفاعًا كبيرًا بنسبة 71%. شهدت أدوات سرقة المعلومات زيادة هائلة بنسبة 266% في استخدامها، ما يؤكِّد دورها في الحصول على بيانات الاعتماد هذه. وهدفهم واضح: استغلال المسار الأقل مقاومة، غالبًا عبر موظفين غير مدركين، للحصول على بيانات اعتماد صالحة.
أنفقت المؤسسات الملايين في تطوير وتنفيذ تقنيات متقدمة لتعزيز دفاعاتها لمواجهة مثل هذه التهديدات، والعديد منها يمتلك بالفعل حملات للتوعية الأمنية، فلماذا نعجز إذن عن إيقاف هذه الهجمات؟
توفِّر معظم برامج التوعية الأمنية اليوم للموظفين المعلومات التي يحتاجونها حول التعامل مع البيانات، وقواعد اللائحة العامة لحماية البيانات (GDPR)، والتهديدات الشائعة مثل التصيّد.
ومع ذلك، هناك نقطة ضعف رئيسية في هذا النهج: هذه البرامج لا تأخذ السلوك البشري في الاعتبار. غالبًا ما تتَّبع هذه البرامج نهجًا موحَّدًا للجميع، حيث يكتفي الموظفون بإكمال تدريب سنوي عام عبر الكمبيوتر يتضمن بعض الرسوم المتحركة الجذابة واختبارًا قصيرًا.
ورغم أن هذا يوفر المعلومات اللازمة، فإن الطابع المتسارع للتدريب وغياب الصلة الشخصية يؤديان غالبًا إلى نسيان الموظفين لهذه المعلومات خلال 4 إلى 6 أشهر فقط. ويمكن تفسير ذلك من خلال نظرية Daniel Kahneman عن الإدراك البشري. فوفقًا للنظرية، يتمتع كل فرد بعملية تفكير سريعة وتلقائية وبديهية تُعرَف باسم النظام 1. ولدى البشر أيضًا عملية تفكير بطيئة ومدروسة وتحليلية تُعرَف باسم النظام 2.
برامج التوعية الأمنية التقليدية تستهدف في المقام الأول النظام 2، حيث تجب معالجة المعلومات بشكل عقلاني. ومع ذلك، دون وجود الدوافع الكافية والتكرار والأهمية الشخصية، غالبًا ما تمرّ المعلومات مرور الكرام.
يتحكم النظام 1 في ما يقرب من 95% من التفكير البشري وصناعة القرار، وهي طريقة تفكيرنا المعتادة. يواجه البشر آلاف المهام والمحفزات يوميًا، ويجري الكثير من معالجتنا للمعلومات تلقائيًا ودون وعي من خلال الانحيازات والاختصارات الذهنية. يعمل الموظف العادي بشكل آلي، ولضمان ترسيخ قضايا ومخاطر الأمن الإلكتروني في قراراته اليومية، نحتاج إلى تصميم وبناء برامج تفهم حقًا طريقة عمله الحدسية.
لفهم السلوك البشري وكيفية تغييره، هناك عدة عوامل يجب علينا تقييمها وقياسها، مدعومة بإطار COM-B Behavior Change Wheel.
بمجرد فهم وتقييم هذه المجالات الثلاثة، يمكننا تحديد المجالات التي تحتاج إلى تغيير سلوكي وتصميم تدخّلات تستهدف سلوكيات الموظفين الحدسية. في النهاية، يساعد هذا النهج المؤسسات على تعزيز خط الدفاع الأول من خلال تطوير قوى عاملة أكثر وعيًا بالأمن الإلكتروني.
بمجرد تحديد الأسباب الأساسية للمشكلات السلوكية، يتحول التركيز بصورة طبيعية نحو بناء ثقافة أمنية. التحدي السائد في ثقافة الأمن لإلكتروني اليوم هو أنها تقوم على الخوف من الخطأ أو ارتكاب المخالفات. غالبًا ما يتسبب هذا التفكير في تكوين صورة سلبية عن الأمن الإلكتروني، ما يؤدي إلى انخفاض معدلات إتمام التدريب وضعف مستوى المساءلة. يتطلب هذا النهج تحوُّلًا، ولكن كيف يمكننا تحقيقه؟
أولًا وقبل كل شيء، يجب علينا إعادة النظر في نهجنا تجاه المبادرات، والابتعاد عن نموذج يركِّز فقط على التوعية ويكون الامتثال هدفه الأساسي. رغم أن تدريب التوعية الأمنية يظل أمرًا حيويًا ولا ينبغي تجاهله، يجب علينا تنويع أساليب التعليم لتعزيز ثقافة أكثر إيجابية. إلى جانب التدريب المؤسسي العام، ينبغي علينا اعتماد برامج مخصّصة حسب الدور الوظيفي تتضمن التعلم التجريبي والألعاب التعليمية، مثل نطاقات التدريب الإلكتروني التفاعلية التي توفِّرها IBM X-Force. علاوةً على ذلك، يمكن للحملات على مستوى المؤسسة تعزيز فكرة الثقافة الإيجابية، من خلال أنشطة مثل إنشاء شبكة من أبطال الأمن الإلكتروني أو تنظيم أشهر توعوية تتضمن فعاليات متنوعة.
بمجرد اختيار هذه المبادرات وتنفيذها لتنمية ثقافة إيجابية وقوية للأمن الإلكتروني، من الضروري أن تحظى بدعم جميع مستويات المؤسسة، من القيادة العُليا إلى الموظفين المبتدئين. فقط عندما يكون هناك رسالة موحَّدة وإيجابية، يمكننا حقًا تحويل الثقافة داخل المؤسسات.
بعد أن حددنا التحديات السلوكية ونفَّذنا برنامجًا يهدف إلى تعزيز ثقافة إيجابية، تأتي الخطوة التالية وهي وضع مقاييس ومعايير للنجاح. لقياس فاعلية برنامجنا، يجب أن نطرح سؤالًا جوهريًا: إلى أي مدى استطعنا تقليل خطر وقوع حادثة أمنية ناتجة عن خطأ بشري؟ من الضروري وضع مجموعة شاملة من المقاييس التي تُتيح قياس الحد من المخاطر ونجاح البرنامج بشكل عام.
تقليديًا، اعتمدت المؤسسات على أساليب مثل حملات التصيّد والاختبارات العملية، وكانت النتائج متفاوتة. وتتمثّل إحدى الطرق الحديثة في تحديد قيمة المخاطر، وهي طريقة تحدِّد قيمة مالية للمخاطر البشرية المرتبطة بسيناريو معين. ويُتيح لنا دمج مثل هذه المقاييس في برنامج الثقافة الأمنية لدينا تقييم نجاحه والعمل على تحسينه باستمرار مع مرور الوقت.
يتطلب التحول المستمر في مشهد الأمن الإلكتروني اعتماد نهج شامل يعالج العامل البشري الحيوي. تحتاج المؤسسات إلى تنمية ثقافة إيجابية للأمن الإلكتروني مدعومة بمشاركة القيادة والمبادرات المبتكرة. ويجب أن يقترن ذلك بمقاييس فعَّالة لقياس التقدُّم وإثبات القيمة.
تقدِّم IBM مجموعة من الخدمات لمساعدة عملائنا على تحويل برامجهم من التوعية إلى التركيز على السلوك البشري. يمكننا مساعدتك على تقييم وتخصيص التدخلات داخل مؤسستك وفقًا لدوافع وعادات الموظفين لديك، والمساعدة على بناء خط دفاع أول مرن ضد التهديدات الناشئة من خلال تمكين كل فرد ليكون حارسًا نشطًا للأمن الإلكتروني.
