أجرت شركة كاسبرسكي استطلاعاً حديثاً في الشرق الأوسط وتركيا وإفريقيا بعنوان «الأمن السيبراني في أماكن العمل: سلوكيات الموظفين ومعارفهم»، وأوضحت النتائج أنّ 46% فقط من الموظفين في مصر تلقوا تدريبات على التهديدات الرقمية.
وتشير هذه النتائج إلى فجوة معرفية كبيرة، لا سيما أنّ معظم الاختراقات السيبرانية ترجع إلى أخطاء بشرية من الموظفين، وتؤكد هذه النتائج على الحاجة الماسة إلى وجود إرشادات واضحة للموظفين من أقسام تكنولوجيا المعلومات، وتبين أنّ المؤسسات مطالبة بتوفير تدريبات عملية ومنظمة في مجال الأمن السيبراني لجميع الموظفين بمختلف المستويات.
في الوقت الراهن، تصمم كثيرٌ من الهجمات السيبرانية عمداً لاستغلال علم النفس البشري لتجاوز الدفاعات الرقمية، وتخدع مخططات «الهندسة الاجتماعية»، مثل رسائل التصيد الاحتيالي، الموظفين مستغلةً عاملي الثقة والإلحاح لدفعهم إلى مشاركة معلومات حساسة أو بدء معاملات احتيالية.
فخلال العام الماضي، تعرض 43% من المشاركين في الاستطلاع إلى عمليات احتيالية على شكل رسائل من مؤسساتهم، أو زملائهم، أو الموردين، وقد واجه 16,5% منهم عواقب وخيمة بعد هذه الاتصالات المخادعة.
تتضمن مشكلات الأمن السيبراني المرتبطة بالعنصر البشري كلاً من كلمات المرور المخترقة، وتسريب البيانات الحساسة، وأنظمة وتطبيقات تكنولوجيا المعلومات غير المحدثة، والأجهزة غير المؤمنة وغير المُشفّرة.
يمكن تجنب الهجمات السيبرانية الناجمة عن الخطأ البشري عبر التدريب الملائم ونشر الوعي الأمني، فقد أقر 13.5% من المشاركين بارتكابهم أخطاءً تقنية نتيجة نقص المعرفة بالأمن السيبراني، وفي الوقت عينه كان التدريب أكثر الوسائل فعالية لتحسين مستوى الوعي بالأمن السيبراني بين الموظفين غير المختصين في تكنولوجيا المعلومات؛ فقد فضله 60% من الموظفين على غيره من البدائل الأخرى مثل القصص التوعوية الإرشادية 19%، أو الإشارة إلى المسؤولية القانونية 46%. وتبين هذه النتائج أنّ التدريب على الأمن السيبراني عنصر جوهري في منظومة الدفاع في المؤسسات.
وعندما أتيحت الفرصة للمشاركين لاختيار مواضيع تدريبية معينة، اختاروا المواضيع التالية بنسب متفاوتة؛ حماية بيانات العمل السرية (41%)، وأمن الحسابات وكلمات المرور (39%)، وأمن المواقع الإلكترونية والإنترنت (35%)، والأجهزة المحمولة (34.5%)، والاستخدام الآمن لشبكات التواصل الاجتماعي والمراسلين (32%)، والبريد الإلكتروني (31%)، والعمل عن بعد الآمن (28%)، والاستخدام الآمن للخدمات القائمة على الشبكات العصبية مثل برامج الدردشة الآلية (21%)، في حين أن 17.5% من المشاركين الخضوع لجميع التدريبات المذكورة، مما يدل على الحاجة الماسة إلى برامج تعليمية شاملة في الأمن السيبراني.
توضح النتائج أنّ الموظفين مستعدون لتحسين مهاراتهم في الأمن السيبراني. ومع ذلك يجب أن يكون التدريب منظماً ومحكماً لتصبح هذه المعارف جزءاً جوهرياً من ممارسات الموظفين اليومية في مجال تكنولوجيا المعلومات، كما ينبغي أن يناسب التدريب الدور الوظيفي لكل موظف ومهاراته الحالية في تكنولوجيا المعلومات، ويتعين أن يُحدَّث بانتظام، وأن يكون عملياً وتفاعلياً.
ويساعد هذا النهج الموظفين على التفاعل وتذكر المعلومات، فعندما تستثمر المؤسسات في هذا الشكل من التعلم، فإنها تلبي جميع احتياجاتها، وتغرس عقلية «الأمن أولاً» بين أوساط الموظفين. وهكذا يتحول الموظفون بفضل هذا النهج من ثغرات محتملة إلى مجموعة من الحراس اليقظين، الذين يستطيعون اتخاذ قرارات أمنية ذكية بمفردهم.
ويعلق راشد المومني، المدير العام لكاسبرسكي في منطقة الشرق الأوسط: «لا يقتصر الأمن السيبراني على قسم تكنولوجيا المعلومات وحده، فالجميع بحاجة إلى فهم المخاطر الرقمية المتنوعة، بدءاً بالمديرين التنفيذيين وانتهاء بالموظفين الجدد. فالمؤسسة المنيعة تبنى عبر تزويد كل موظف بالمهارات اللازمة لاكتشاف عمليات الاحتيال، وتلافي الأخطاء المكلفة، وحماية بيانات الشركة»
ينبغي للمؤسسات اتباع النصائح التالية لتعزيز دفاعاتها الأمنية:
تطبيق حلول فعالة للمراقبة والأمن السيبراني مثل سلسلة منتجات Kaspersky Next.
توفير برامج تدريبية وتوعوية للموظفين عن الأمن السيبراني. فعلى سبيل المثال، تساعد منصة كاسبرسكي للتوعية الأمنية الآلية أقسام تكنولوجيا المعلومات والموارد البشرية في تزويد الموظفين بمهارات عملية في مجال الأمن السيبراني.
تطبيق سياسات أمنية للموظفين تشمل استخدام كلمات المرور، وتثبيت البرامج، وتجزئة الشبكة.
تكريس ثقافة الأمن عبر تشجيع الموظفين على الإبلاغ عن الأنشطة المشبوهة، ومكافأة السلوكيات الأمنية الاستباقية لتعزيز السلوكيات والعادات الجيدة بينهم.
الرابط المختصر: https://economy-live.com/?p=85285
