التدريب الأمني ​​لا فائدة منه ما لم يغير السلوكيات

  • Sep 04, 2023

لا يقتصر تحسين الأمن السيبراني للمؤسسة على الوعي فقط. يتعلق الأمر بالتعليم الذي يؤدي فعليًا إلى تغيير السلوك، وهذا يعني غالبًا تغيير ثقافة المنظمة.

التدريب من أجل العظمة
الصورة: آي ستوك فوتو/فوتوكيتا

تفشل العديد من برامج التوعية الأمنية للشركات لأنه لا يوجد حافز حقيقي للموظفين حتى يهتموا، وفقًا لورا بيل، المؤسس والرئيس التنفيذي لشركة سيف ستاك.

"يمكنك تعليم شخص ما الأجزاء والقطع الفنية حتى يصبح وجهك أزرقًا، سواء كان ذلك إلكترونيًا أو إلكترونيًا قال بيل: "إذا كنت شخصًا ما، ولكن ما لم تتمكن من جعلهم يهتمون بالسبب، فلن ترى أبدًا تغييرًا في سلوكهم". زد نت.

خاصية مميزة

تقرير خاص: استراتيجية ناجحة للأمن السيبراني (ملف PDF مجاني)

يقدم هذا الكتاب الإلكتروني، المستند إلى أحدث الميزات الخاصة لـ ZDNet/TechRepublic، نظرة تفصيلية حول كيفية بناء سياسات إدارة المخاطر لحماية أصولك الرقمية المهمة.

اقرا الان

جيمس تورنر، مستشار أمني في شركة استشارية IBRS ومؤسس عدسة سيسو، يوافق. ويقول إن الأمر كله يتعلق بمستوى مشاركة موظفي المنظمة.

"إذا كان مستوى تعاملك مع موظفيك منخفضًا، فأنت تقول فعليًا: "أريدك أن تغير سلوكياتك، وأعلم أنك لا تهتم" عن الشركة، ولكن افعل ذلك على أي حال. قال تورنر: "إنك تطلب من الموظفين أن يتصرفوا بإيثار تام تجاه شركة لا يشعرون بأي صلة بها". زد نت.

"إذا كنت ستطلق حملة توعية وكانت نسبة المشاركة لديك منخفضة، توقف ودع موظفي الموارد البشرية يركزون على المشاركة أولاً."

يقول تيرنر إن بعض كبار المسؤولين التنفيذيين في مجال الأمن بدأوا في جعل التدريب الأمني ​​جزءًا أساسيًا من عملية التغيير التنظيمي من خلال تدريب الموظفين أولاً على السلامة الإلكترونية الشخصية. وتشمل المواضيع قضايا الخصوصية في استخدام الفيسبوك ومنصات الاتصالات مثل الواتساب، الآمنة الخدمات المصرفية عبر الإنترنت، وكيفية التحدث مع أطفالهم ومراهقيهم حول السلامة على الإنترنت و التنمر الإلكتروني.

قال تورنر: "[هذه] قضايا ذات صلة مباشرة بهم في حياتهم المنزلية [و] أسرهم". وهذا يوفر فرصة لفريق الموارد البشرية للبدء في تحسين المشاركة.

"تقول الشركة: "نحن في الواقع نهتم بك كإنسان". هذه الاشياء مهمة. وبقدر ما نحتاج منك أن تغير سلوكك هنا في العمل، فإننا ندرك أننا نحتاجك بالفعل، كأحد موظفينا الكرام، لتكون آمنًا في المنزل.

ومع ذلك، من المهم أيضًا ألا يتحول خلق الوعي بالمخاطر إلى الترويج للخوف.

"إنه الفرق بين إدراك أنك تقود السيارة، وأن هناك أجسامًا متحركة أخرى وما إلى ذلك من حولك، وذلك هناك مشكلة تتعلق بالسلامة ولكن يجب أن تكون على ما يرام بشرط أن تفهم ما تفعله وما يفعله كل من حولك." قال.

"نحن مهتمون فقط بالتأكد من أنك لا تعتقد أن الإنترنت عبارة عن قلعة نطاطة حيث لن يحدث أي خطأ."

بالنسبة لبيل، يتعلق الأمر أيضًا بسرد القصص، بالإضافة إلى "التدريب بدون نقرات" وملصقات مكان العمل التي تعمل بمثابة تذكيرات. يجب أن تستفيد القصص من طريقة تفكير الناس وما يهتمون به.

"لا أقصد قصص الرعب، لأننا لسنا الوحوش الأكثر رعبا في الغرفة بالنسبة لمعظم الناس. وقال بيل: "الأمن مشكلة كبيرة، لكنها ليست المشكلة الوحيدة، وبالنسبة لمعظم الناس فهي ليست الأسوأ أيضًا".

"على سبيل المثال، إذا كنت أقوم بتدريس المطورين التقنيين، فسنتحدث عن، "حسنًا، دعونا نلقي نظرة على قصة الرعب هذه لما حدث، ودعونا لا ننظر إلى الجزء المخيف منها." دعونا نتحدث عن ذلك مثل فيلم هوليوود. كيف كنا نفعل هذا؟ هل يمكننا أن نفعل هذا هنا؟"

إنها عملية تفاعلية تصبح عملية جذابة وإبداعية، وليست عملية تثير الخوف.

أو كما أوضح تيرنر، "إن الأمر برمته المتعلق بالوعي الأمني ​​يتعلق بالتعليم... هذا ليس جديدا. نحن نعرف كيف نفعل ذلك. هناك عالم كامل حول هذا العالم."

بناء المرونة من خلال ثقافة الشركة

لقد وجد الباحثون في مجال الأمن السيبراني باستمرار أنه عندما يتعلق الأمر ببناء مرونة الأمن السيبراني للمؤسسة، فإن العوامل الثقافية تكون أكثر أهمية من العوامل التقنية.

فريق بحثي من أستراليا مجموعة علوم وتكنولوجيا الدفاع (DST) وجامعة أديليد، على سبيل المثال، وجدت أن الموظفين قد يكونون أكثر قدرة على اكتشاف رسائل البريد الإلكتروني التصيدية إذا كانوا يسمح لإظهار المزيد من الفردية في مكان العمل والتشكيك في صحة التعليمات المرسلة عبر البريد الإلكتروني.

في بعض الأحيان قد يكون الأمر بسيطًا مثل منح الموظفين الإذن الثقافي ليطلبوا من زميلهم دقيقة واحدة الرأي، وتعزيز أن القيام بذلك هو علامة على الاهتمام بالمنظمة، وليس علامة على ذلك ضعف. اسأل بصوت عال، يقترح الحكومة الأسترالية كن ذكيًا عبر الإنترنت برنامج.

"التحدث عن مخاوفك بصوت عالٍ مع شخص آخر يمكن أن يطمئنك ويساعد في تحديد الرسائل التي قد تكون مزيفة قبل النقر فوق رابط ضار أو الكشف عن أي معلومات شخصية."

ووجد فريق بحث آخر في DST-Adelaide أن الموظفين يتمتعون بمهارات وعي أفضل بأمن المعلومات إذا كانوا أكثر مرونة على المستوى الشخصي، ويعانون من ضغوط أقل في مكان العمل. إن التغييرات التنظيمية التي تقلل من التوتر سيكون لها بالطبع فوائد أخرى عديدة إلى جانب تحسين الأمن.

وأظهرت الأبحاث التي قدمتها جامعة أوتاجو في عام 2015 أنه عندما يتعرض الموظفون لهجوم تصيد، فإنهم عادةً ما يتعرضون للخطر. بعيدا عن مكاتبهم، باستخدام أجهزة محمولة لا تعرض بالضرورة البريد الإلكتروني بالكامل. وعادةً ما يحدث ذلك خارج ساعات العمل أيضًا، إما في وقت متأخر من الليل عندما يكونون متعبين، أو في أول شيء في الصباح عندما يكونون مشغولين ببدء الروتين اليومي لأسرتهم.

"هذا التوقع بأننا سنطلب من الأشخاص العمل لساعات طويلة، وأن يكونوا على أهبة الاستعداد للرد على رسائل البريد الإلكتروني والاستفسارات في أي وقت، وقال مارك بوري، مسؤول أمن المعلومات بالجامعة: "لها جانب سلبي كبير، ويتعلق الأمر بإدارة التوقعات". مدير.

الدرس هو أن لن تقوم المنظمات بإصلاح أمنها السيبراني المشاكل ما لم يتم حل مشاكل مكان العمل تلك أولاً.

يقول تيرنر إن IBRS يشرح مشكلات الاهتمام هذه للعملاء من حيث رموز الألوان، وهو نظام مقتبس منه رمز اللون لجيف كوبر للعقلية القتالية.

بموجب إصدار قانون IBRS، من المحتمل أن يكون الموظفون في حالة وايت "غير مدركين وغير مستعدين". غافلين عن أفعالهم وعواقبها، ومن المحتمل أن يشكلوا خطراً على أنفسهم وعلى الآخرين منظمة.

تكييف IBRS لرموز ألوان كوبر

(الصورة: مرفقة)

أنت تريد أن يعمل موظفوك في Yellow، كما يقول تيرنر، وهي حالة "تنبيه مريح" حيث يكون الموظفون على دراية بأفعالهم وبيئتهم. سوف تبرز النصوص والدلالات والفروق الدقيقة في اللغة ومعلومات المرسل من البريد الإلكتروني الذي يبدو خاطئًا، مما يدفعهم إلى الحالة البرتقالية.

اللون البرتقالي هو "تنبيه محدد"، حيث يجذب شيء ما انتباه الموظف. إن إجراء السؤال بصوت عالٍ يضع كلا الطرفين في الحالة البرتقالية.

"أنت لا تريدهم في أورانج [بشكل مستمر] لأن هذا مرهق ذهنيًا. وقال تورنر: "لكن يايلو، مع التدريب والممارسة، يمكنك الحفاظ على ذلك لساعات في المرة الواحدة". بشرط أن يأخذ الموظفون فترات راحة ويقومون "بالكثير من الأمور الجيدة المتعلقة بالصحة والسلامة المهنية والأشياء المريحة" مثل الوقوف والذهاب للنزهة وشرب الماء.

في حين أن ثقافة المنظمة هي مفتاح النجاح، فإن محتوى التدريب على الوعي الأمني ​​لا يزال مهمًا.

يحتاج الموظفون إلى فهم ما تعنيه هذه التكنولوجيا للمنظمة، وكيف تفوز هذه المنظمة - أو لا - باستخدام هذه التكنولوجيا، وفقًا لما ذكره نايجل فير، مدير قسم مركز سلامة الإنترنت في جامعة كانبيرا.

"بدلاً من القول بأن المستخدمين هم الحلقة الأضعف لدينا، وهو ما يقوله الجميع في كل مؤتمر، فإنني أدور حول ذلك وأقول إنكم تمثلون أعظم قوة للمؤسسة عندما يتعلق الأمر بالأمان عبر الإنترنت. قال فاير لـ ZDNet: "أنت من العيون والأذنين".

يرى: سياسة أمن المعلومات (أبحاث التكنولوجيا برو)

يحتاج الموظفون إلى فهم الأسباب الكامنة وراء القرارات الأمنية، والمخاطر النسبية التي تنطوي عليها المعاملات المختلفة. إنهم بحاجة إلى أن يفهموا، على سبيل المثال، أنه على الرغم من أن البيانات الموجودة على الجهاز قد تكون مشفرة، فإن فقدان هذا الجهاز لا يزال يعني خسارة أصول الشركة باهظة الثمن.

وفقًا لتقارير CERT Australia المتعلقة بحماية البنية التحتية الحيوية، فإن ما يقرب من واحد من كل خمسة حوادث جرائم إلكترونية على اتصال مع أحد المطلعين.

"معظم هؤلاء كانوا من الداخل السخيفين، وليس من الداخل الخبيث. قال فاير: "نريد أن نوقف هذا السخافة".

تحتاج البرامج إلى مساعدة الموظفين على إدراك المخاطر العرضية وكذلك المخاطر الضارة، ووفقًا لبيل، فهذه مشكلة ثقافية أخرى. لا يتعلق الأمر بالأسرار المكتوبة على السبورات البيضاء ليراها الجميع، بل يتعلق بافتراض أن الأشياء السيئة لن تحدث لأن الجميع أشخاص جيدون.

وقال بيل: "هذا بمثابة إشارة حمراء بالنسبة لي، لأن هناك أسبابًا كثيرة لحدوث أشياء سيئة في مجال الأمن".

"بعضها نوايا خبيثة. لقد أصبح البعض مارقًا وقرروا أنهم سيصبحون عبقريًا شريرًا وعظيمًا. ولكن هناك أيضًا "ألقى طفلي الصغير حذاءً من النافذة وأنا في طريقي إلى العمل في الصباح وأنا مشتت الذهن اليوم" أو "أنا أتعامل مع أشياء سيئة في حياتي" وأنا لست في أفضل حالاتي"، أو "أنا في الواقع متوتر قليلاً بشأن هذه الوظيفة لأنني لا أعرف حقًا كيفية القيام بها بشكل جيد بما فيه الكفاية وأنا خائف جدًا من القيام بذلك" بسأل'."

أو كما تقول الورقة الاستشارية لـ IBRS، "من المرجح أن تؤدي الرسالة المثبطة للتمكين إما إلى عدم حدوث تغيير سلوكي، أو ربما إلى تغيير غير مرغوب فيه. وبدلاً من ذلك، يجب أن تركز برامج التوعية الأمنية على مساعدة الموظفين على تطوير والحفاظ على المهارات والمعرفة المطلوبة لتنفيذ عملهم، وكذلك الحفاظ على حالة ذهنية من "التنبيه المريح".

الإفصاح: يتلقى Stilgherrian مدفوعات من مركز أمان الإنترنت مقابل العمل التحريري في النشرة الإخبارية الاستشارية الخاصة بهم DirectorTech.

التغطية الأمنية

أبحاث استراتيجية الأمن السيبراني: التكتيكات الشائعة، وقضايا التنفيذ، والفعالية (أبحاث التكنولوجيا برو)
إن إنشاء استراتيجية للأمن السيبراني شيء واحد بالنسبة لشركة ما، ولكن وضع الإستراتيجية موضع التنفيذ أمر آخر تمامًا. في فبراير 2018، قامت شركة Tech Pro Research باستطلاع آراء 236 متخصصًا.

5 نصائح لحماية شركتك من تهديدات الملكية الفكرية (تك ريبابليك)
تمثل حماية الملكية الفكرية لمؤسستك في السوق العالمية تحديًا متزايدًا. ستساعدك هذه النصائح في جعل الأمر أسهل قليلاً.

بوينغ تؤكد هجوم البرمجيات الخبيثة، وتقلل من تأثير الإنتاج
وبعد ظهور تقارير تفيد بأن عملاق الطيران قد وقع ضحية لبرنامج الفدية WannaCry، قللت شركة Boeing من تأثير الإنتاج، ووصفته بأنه "تدخل محدود" للبرامج الضارة.

تقوم البرمجيات الخبيثة "Fauxpersky" بسرقة كلمات المرور وإرسالها إلى البريد الوارد للمهاجم
ويقول الباحثون إن البرمجيات الخبيثة "عالية الكفاءة"، حتى لو لم تكن معقدة للغاية.

أمان المكاتب الذكية يعني الموازنة بين الراحة والمخاطر (تك ريبابليك)
يمكن لأجهزة إنترنت الأشياء أن تجعل العمل أكثر متعة وإنتاجية، ولكنها تشكل أيضًا خطرًا أمنيًا. لقد حان الوقت لتجتمع أقسام الموارد البشرية وتكنولوجيا المعلومات والإدارات الأخرى معًا وتضع إرشادات لاستخدام هذه المنتجات.