بقلم محمد بشير، مدير ممارسات أمن المعلومات، آيزكس تكنولوجيز
تمثل هجمة برمجيات الفدية "بيتيا" التي ضربت أجهزة الحاسوب حول العالم مؤخراً، وهي الثانية من نوعها خلال شهرين، تذكيراً بالدور الأساسي الذي تلعبه أجهزة الحاسوب في معظم المؤسسات، وأن تعطيل تلك الأجهزة لا يحتاج إلى الكثير من الجهد. وبغض النظر عن متانة أنظمة أمن المعلومات لديك، يبقى المستخدمون هم الحلقة الأضعف في مجال الأمن الإلكتروني للشركة. من المفاهيم السائدة في عالم الأعمال أن الموظفين هم الورقة الرابحة لدى الشركة وأهم أصولها، كما أنهم مصدر أكبر المخاطر التي تواجهها. وفيما يصح ذلك في مجال علاقات العملاء، أصبح الأمر ينطبق على أمن البيانات كذلك، إذ أن المستخدمين هم أول خطوط الدفاع ضد الهجمات الإلكترونية كما أنهم أكبر وأبرز نقاط الضعف للشركة. فالأفراد يعدّون مساحة كبيرة جداً يمكن استهدافها بالهجمات، إلا أن بإمكان المؤسسات تقليل تلك الاحتمالية عبر تنفيذ برنامج فعال على مستوى المؤسسة للتوعية بالأمن. يعتبر الموظفون غير المدربين أهمّ ثغرة تسمح بخرق أمن البيانات، فمهاجمو الشركات لا يرغبون بإنفاق الكثير من الوقت والمال في التغلب على التقنيات المستخدمة للحفاظ على الأمن، بل يفضّلون بدلاً من ذلك إصابة المستخدم ببرمجيات الفدية – أو بالطُعم المفضل لديهم بهجمات سرقة الهوية، والتي تتضمن إغراق البريد الإلكتروني برسائل تحمل محتوى مغرضاً. ولهذا السبب تزداد أهمية دمج التوعية بأمن تقنية الاتصالات والمعلومات في كافة مستويات المؤسسة. وإلى جانب التوعية وأهميتها البالغة، لا بد من تحقيق التوازن بحيث ينبغي على الموظفين أن يعرفوا مدى المخاطر التي قد تسببها أنشطتهم عبر الإنترنت وكيفية إدارتها، دون إثقالها بالإجراءات المعقدة التي تقضي على الإنتاجية. ولا يقتصر التدريب على أمن أجهزة الحاسوب على تقديم المعلومات للموظفين، فمعرفة أفضل الممارسات وسياسة المؤسسة أمر مهم ولكنه لا يساعد إلا في حال فهم الموظفين لدورهم في تحقيق التغيير وشعورهم بأنهم جزء حيوي من أمن المعلومات في المؤسسة. والحقيقة أن جهل المستخدم بالأمن يجعل معظم هجمات البرمجيات الضارة ممكنة، وأن الموظفين الواعين لتلك النقطة يمكنهم تجنب غالبية الهجمات. ومن هذا المنطلق، يجب أن يكون الوعي بأمن المعلومات جزءاً من ثقافة المؤسسة، وعلى قادة الأعمال الحرص على أن تكون برامج التوعية لديهم شاملة لكافة جوانب الأمن الإلكتروني الهامة بما يضمن التدريب المناسب لموظفيهم ويمكنهم من التعامل مع التهديدات الأمنية الحالية. وفي نهاية مبادرة التعليم والتوعية، يجب أن يكون كافة المستخدمين قادرين على فهم ما يلي: كيف يمكن الكشف عن التهديدات الأمنية؟ يجب أن يكون المستخدم قادراً على معرفة الفرق بين الرسائل الإلكترونية العادية والرسائل الضارة، وعليهم أن يفهموا أفضل الممارسات في استخدام الإنترنت وفهم سياسات الأمن لدى المؤسسات. الاستجابة للحوادث الأمنية يجب أن يكون المستخدم على معرفة بإجراءات الاستجابة للحوادث الأمنية، وفي حال الشك بوقوع حادث أمني، عليهم أن يكونوا قادرين على متابعة إجراءات إدارة الحادث الأمني للسيطرة عليه ومنع انتشاره عبر المؤسسة. وكما يقال، فإن الافراد هم الحلقة الأضعف في سلسلة أمن المعلومات، مما يعني أن مشاركة الموظفين أمر لا بد منه لإنجاح استراتيجية الأمن في المؤسسة. غالباً ما نشهد انقطاعاً في الربط بين ما يعرفه الموظف وما يجب أن يقوم به من ناحية أمنية، وبين ما يفعلونه في الواقع. ومن الجدير بالذكر أن المؤسسات التي تواصل تنفيذ وتفعيل برامج التوعية الفعالة شهدت انخفاضاً في عدد الحوادث الأمنية، مما أدى إلى تحسين فترات العمل دون انقطاع في بيئات تقنية المعلومات التي تدعم عمليات الأعمال، ليساعد ذلك المؤسسات في الحفاظ على سمعتها وعلى مردود مالي أفضل.