أصبحت برامج التدريب على الأمن السيبراني والامتثال الآن من الأعمال التجارية الكبيرة. وفقًا لشركة Cybersecurity Ventures، وصل سوق التدريب على التوعية الأمنية إلى 5.6 مليار دولار في عام 2023، ومن المتوقع أن يتجاوز 10 مليارات دولار في السنوات الأربع المقبلة. ولم يكن هذا الازدهار في السوق مفاجئا: فالتهديدات السيبرانية متفشية، ولا تزال الهجمات واسعة النطاق تتصدر عناوين الأخبار، وكان آخرها ضرب المكتبة البريطانية، على سبيل المثال في المملكة المتحدة، وتعطيل قدرتها على العمل. كل هذا يثبت أن كل منظمة، مهما كان حجمها، معرضة لخطر الاختراق.
كانت تقنيات الهندسة الاجتماعية، حيث يستهدف المهاجم الأشخاص الذين لديهم إمكانية الوصول إلى الأنظمة (بدلاً من الأنظمة نفسها) ويتلاعب بها لتسليم السيطرة، هي التكتيكات الخبيثة الأكثر شيوعًا في عام 2023. وبالتالي فإن الشركات محقة في إدراك أن الأشخاص هم المفتاح وهن.
يعد التدريب السنوي للتوعية بالأمن السيبراني ميزة منتظمة في التقويم لمعظم المؤسسات في محاولة للتأكد من أن كل شخص في كل قسم يطور مهاراته في الوعي السيبراني، ويكون قادرًا على اكتشاف التهديدات والاستجابة وفقًا لذلك قبل أن تصبح مشكلة رئيسية. في مواجهة التهديدات الأمنية سريعة التطور، غالبًا ما يكون هذا التدريب قديمًا ويمكن أن يستغرق شهورًا أو حتى سنوات بعد ذلك لتقديم هذا التعليم لمساعدة الأشخاص على التعرف على التكتيكات المستخدمة.
الرئيس التنفيذي لأمن المعلومات في أوروبا والشرق الأوسط وأفريقيا، Netskope.
هل يجب أن يأتي التدريب بشكل أسرع من كل عام؟
اسأل أي قائد أمني، ولن يجد صعوبة في الاعتراف بأن الموظفين يجدون أن التدريب السنوي على الأمن السيبراني يستغرق وقتًا طويلاً وغير ملهم. غالبًا ما يُنظر إليه على أنه مصدر إلهاء للموظف، حيث يقوم الكثيرون بالنقر فوقه وتصفح القراءة ومشاهدة مقاطع الفيديو بسرعة مضاعفة ومتابعة أي اختصارات يمكنهم العثور عليها للوصول إلى شهادة الإنجاز، ووضع علامة في المربع ومواصلة يوم عملهم.
علاوة على ذلك، فإن التفاعل المحدود في كثير من الأحيان لكل دورة تدريبية سنوية يفشل في جذب انتباه الموظفين والحفاظ عليه. تنخفض معدلات الاحتفاظ بالموظفين دون مشاركة نشطة، وتفتقر العديد من خطط التدريب إلى أي شكل من أشكال ربط الموظف بسيناريوهات العالم الحقيقي التي يمكن أن تحدث في وظيفته المحددة.
حتى بالنسبة لأولئك المتطرفين الذين يجدون التدريب السنوي جذابًا ومفيدًا، لا يزال هناك القليل من الأدلة على أنه يثقف الأفراد حقًا أو يؤدي إلى تغييرات سلوكية إيجابية. ونتيجة لذلك، فهي لا تعدو كونها مجرد مربعات اختيار للامتثال، بدلاً من كونها إجراءً استباقيًا لبناء ثقافة اليقظة والدفاع ضد التهديدات. في نهاية المطاف، لا يعد هذا استخدامًا فعالاً للوقت والموارد، وتستمر الهجمات السيبرانية في زخمها الثابت.
ومن الجدير بالذكر أيضًا أن الجهات الخبيثة تبني حملاتها على وجه التحديد بطريقة تجعل حتى أفضل الموظفين المدربين ينسون منطق الأمن السيبراني العام الخاص بهم. ويشمل ذلك استغلال السلوك العاطفي – وليس المنطقي – وتسخير الشعور بالإلحاح لتوجيه الضحية على وجه التحديد للخروج من نهجها المنطقي والمدرّب.
إذن، كيف نتجاوز التعليم؟ تحتاج المؤسسات في كل مكان إلى تدخل سلوكي يساعد في توجيه الأشخاص نحو التفكير المنطقي قبل الإقدام على مخاطر إلكترونية كبيرة.
التوجه نحو قدر أكبر من النظافة السيبرانية
يعد التدخل الصغير والمنتظم والمرتكز على الإنسان طريقًا مثاليًا للتحولات السلوكية الفعالة على المدى الطويل. ومن الأمثلة على ذلك نظرية الدفع – وهي مجموعة عامة من المبادئ التي تهدف إلى توجيه السلوك البشري نحو مسار مرغوب فيه أكثر. إنه مفهوم راسخ حقق نجاحًا كبيرًا في الماضي، حيث قام بتوجيه الناس نحو خيارات غذائية صحية وسلوكيات صديقة للبيئة، ولا يتطلب سوى تغييرات صغيرة في عملية صنع القرار في اللحظات الحاسمة عندما يتحركون من خلال سلوكيات (غالبًا ما تكون تلقائية). وبالتالي فإن تطبيق هذا على عالم الأمن السيبراني يبدو أمرًا لا يحتاج إلى تفكير.
بنفس الطريقة التي تظهر بها إشارات السرعة الرادارية سرعتك الحالية – مما يتيح لك ثانية للتفكير وتكييف سلوكك – يجب أن تكون لدينا إشارات في العمل تخبرنا عندما نكون على وشك المشاركة في سلوك إلكتروني محفوف بالمخاطر وتشجعنا على التباطؤ والتفكير.
ويمكن أن يكون طريق الوقاية الذي يتمحور حول الإنسان فعالاً للغاية، وهو أداة ينبغي أن تكون معروفة على نطاق أوسع ويمكن للشركات الوصول إليها. على سبيل المثال، يقوم تدريب المستخدم في الوقت الفعلي بتسخير اكتشاف الذكاء الاصطناعي للإبلاغ الفوري عن السلوك عالي الخطورة للفرد عند حدوثه، واقتراح إجراءات بديلة للموظف.
وهذا مهم بشكل خاص في عصر الذكاء الاصطناعي التوليدي، حيث تتوفر أدوات الذكاء الاصطناعي التابعة لجهات خارجية مجانًا عبر العديد من المؤسسات، ويُنظر إلى الأنظمة الأساسية مثل ChatGPT وGoogle Bard على أنها المساعد المباشر للعديد من المهام الإدارية. تكمن الخطورة هنا في أن العديد من الموظفين يقومون بتحميل بيانات حساسة على هذه المنصات (من كود المصدر إلى معلومات التعريف الشخصية) مما يزيد بشكل كبير من خطر فقدان البيانات.
في معظم الحالات، لا يدرك الموظفون الذين يصلون إلى هذه الخدمات المخاطر ويحاولون أن يكونوا منتجين باستخدام الأدوات المألوفة لديهم أو التي عثروا عليها. بدلاً من منع هذا النشاط تمامًا، مما قد يؤدي إلى استياء الموظف الذي يعمل بجدية أكبر للالتفاف على السياسة، يوفر تدريب الموظفين في الوقت المناسب فرصة لشرح المخاطر في لحظة ظهورها – وقد تم تصميمه ليناسب ثقافة الشركة ونهجها. من الصوت، فضلا عن السياسة – والتوصية بطرق أكثر أمانا لتحقيق نفس النتيجة.
التعليم المستمر
يمكن لهذا الشكل من التعليم والتعزيز المستمر أن يوفر للموظفين ما يفتقر إليه التدريب السنوي: فرصة لوضع المعلومات في سياقها ومنعها من التلاشي بسرعة في الذاكرة. علاوة على ذلك، فإن هذا التطبيق العملي للتذكيرات المتسقة في الحياة العملية اليومية للموظف هو العنصر الأساسي لفهم النظافة الإلكترونية بشكل كامل والاستفادة منها.
ومن خلال تدريب الموظفين في الوقت الفعلي ليصبحوا مواطنين إلكترونيين أفضل واتخاذ قرارات أكثر أمانًا، يمكن للشركات منع الحوادث الإلكترونية لحظة حدوث التهديد، وبناء فرص تعلم حقيقية في الحياة العملية اليومية للموظفين.
وبدلاً من النظر إلى البشر باعتبارهم حلقة ضعيفة في وضعنا الأمني، ينبغي لنا أن نتعامل معهم باعتبارهم خط الدفاع الأخير بين المؤسسة ومشهد التهديدات السيبرانية. ومن المهم أن ندرك ذلك، وأن ندرب الأشخاص بالطريقة التي ستكون أكثر فعالية وتمكينًا.
لقد قمنا بإدراج أفضل برامج مكافحة الفيروسات السحابية.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
اكتشاف المزيد من موقع علم
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
