موظفو منطقة آسيا والمحيط الهادئ يختارون الراحة والسرعة على الأمن السيبراني – TechToday

يعرف CISOs أن أفضل ممارسات إدارة أمن المعلومات تعود إلى الأشخاص بقدر ما تعود على التكنولوجيا. بدون وجود موظفين وثقافة أمنية قوية إلى جانبك، لن يوقف نشر التكنولوجيا الجهات الفاعلة التي تشكل تهديدًا، والتي تستمر في شق طريقها إلى المؤسسات.

يبدو أن موظفي منطقة آسيا والمحيط الهادئ لم يفهموا الرسالة. قامت شركة Proofpoint للأمن السيبراني مؤخرًا باستطلاع آراء 7500 موظف و1050 متخصصًا في مجال الأمن في 15 دولة، بما في ذلك أستراليا واليابان وكوريا الجنوبية وسنغافورة. وجدت الشركة أنه في منطقة آسيا والمحيط الهادئ، يعترف العديد من الموظفين بسلوكيات تزيد من خطر التعرض للتسوية – مثل الوصول إلى مواقع الويب غير المناسبة – على الرغم من معرفتهم بأن ما يفعلونه محفوف بالمخاطر.

يشير العديد من الموظفين إلى الراحة والحاجة إلى السرعة كأسباب. ولا تزال نسبة كبيرة منهم غير متأكدين من مسؤولياتهم الأمنية أو يعتقدون أنها وظيفة شخص آخر، على الرغم من الاستثمار الذي تم إنفاقه على التثقيف والتوعية بالأمن السيبراني في جميع أنحاء المنطقة.

كم عدد الموظفين الذين يتخذون إجراءات محفوفة بالمخاطر؟

63% من الموظفين في الدول الأربع التي شملها الاستطلاع في منطقة آسيا والمحيط الهادئ يخاطرون بالأمن، وفقًا لتقرير Proofpoint’s State of the Phish. ولجعل هذه النتيجة أكثر إثارة للقلق، فإن نسبة كبيرة منهم (98٪) كانوا يعرفون أن ما يفعلونه كان محفوفًا بالمخاطر أثناء قيامهم بذلك، لكنهم فعلوه على أي حال.

انظر: ابق في صدارة اتجاهات الأمن السيبراني هذه في أستراليا.

ومع ذلك، فإن الموظفين اليابانيين يتحملون أقل عدد من مخاطر الأمن السيبراني. يقول أكثر من نصف المشاركين (53%) من اليابان أنهم لا يتخذون أي إجراء محفوف بالمخاطر، مقارنة بالمعدل العالمي البالغ 29%. وتكهن بروفبوينت بأن القيم الثقافية اليابانية والتركيز على الانضباط قد يكون وراء أداء اليابان الأفضل نسبيًا في السلوك الأمني.

يتحمل موظفو منطقة آسيا والمحيط الهادئ مخاطر أقل من الموظفين في الأسواق العالمية

إن الموظفين في منطقة آسيا والمحيط الهادئ أقل احتمالاً لتحمل المخاطر بالمقارنة مع المتوسط ​​العالمي، ولكن من المرجح أن يفعلوا ذلك عندما يعلمون أنه لا ينبغي لهم ذلك. تُظهر إحصائيات Proofpoint العالمية أن 71% من المستخدمين حول العالم يتخذون إجراءات محفوفة بالمخاطر، كما أن 95% من الموظفين العالميين الذين يتخذون إجراءات محفوفة بالمخاطر يدركون المخاطر التي يتعرضون لها.

ما هي الإجراءات الخطرة التي يتخذها الموظفون؟

وجدت Proofpoint أن أربعة من أهم خمسة مخاطر ذكرها متخصصو الأمن هي سلوكيات شائعة بين المستخدمين. على سبيل المثال، كان الخطر الأكبر الذي ذكره محترفو الإنترنت – الوصول إلى موقع ويب غير مناسب – هو رابع أكثر السلوكيات خطورة شيوعًا بين الموظفين. (الشكل أ). اقترح Proofpoint أن الموظفين قد يكونون غير واضحين بشأن ما إذا كانوا محفوفين بالمخاطر.

وكان السلوك المحفوف بالمخاطر الأكثر شيوعًا الذي اعترف به الموظفون الذين شملهم الاستطلاع في المنطقة هو استخدام جهاز العمل للأنشطة الشخصية. هذا على الرغم من أن هذا يمكن أن يزيد من قابلية التصيد الاحتيالي. على سبيل المثال، قد يتلقى الموظفون رسائل البريد الإلكتروني التصيدية التي يتلقونها في حساب شخصي ويثقون بها، مما يعرض الأمن للخطر.

كان الموظفون أيضًا يعيدون استخدام كلمات المرور أو يشاركونها بشكل نشط، ويربطون أجهزة العمل الخاصة بهم دون استخدام VPN في مكان عام، ويستجيبون لرسائل البريد الإلكتروني والرسائل النصية القصيرة من شخص لا يعرفونه.

لماذا يتخذ الموظفون إجراءات محفوفة بالمخاطر؟

كشف الموظفون عن الأسباب الرئيسية وراء انخراطهم في سلوكيات الأمن السيبراني المحفوفة بالمخاطر:

• 54% خاطروا لأنه كان أكثر ملاءمة لهم.
• 38% فعلوا ذلك لتوفير الوقت في عملهم.
• 23% منهم كان سلوكهم مدفوعًا بموعد نهائي عاجل.

تم أيضًا اكتشاف الأسباب الأقل شيوعًا التي تدفع الموظفين إلى المخاطرة بالأمن السيبراني:

• 19% خاطروا لتوفير المال.
• 19% قاموا بتقليص الأمور لتحقيق أهداف الأداء.
• 11% كانوا يحاولون تحقيق هدف إيرادات الأعمال.

PREMIUM: قم بحماية مؤسستك من خلال سياسة أمن المعلومات.

الموظفون غير متأكدين من مسؤوليتهم الأمنية

وكان الموظفون في منطقة آسيا والمحيط الهادئ هم الأكثر احتمالاً بين الموظفين العالميين الذين شملهم الاستطلاع ليقولوا إنهم غير متأكدين من مسؤوليتهم الشخصية عن الأمن السيبراني. ووجدت Proofpoint أن 57% من الموظفين الذين شملهم الاستطلاع في المنطقة قالوا إنهم غير متأكدين من مسؤولياتهم، مقارنة بـ 54% حول العالم.

وكشفت الدراسة أيضًا أن فرق أمن تكنولوجيا المعلومات لديها ثقة زائدة بمستوى وعي الموظفين بالمسؤولية. في حين قال 84% من أفراد أمن تكنولوجيا المعلومات الذين شملهم الاستطلاع أن موظفيهم يعتقدون أنهم مسؤولون عن الأمن، قال 39% فقط من الموظفين أنفسهم أنهم يعتبرون ذلك جزءًا من مسؤولياتهم (الشكل ب).

ما الذي يمكن أن تفعله المنظمات في منطقة آسيا والمحيط الهادئ بشأن مشكلة الموظفين؟

ليس هناك شك في أن محترفي الإنترنت في منطقة آسيا والمحيط الهادئ يحتاجون إلى توضيح الموظفين بشأن مسؤولياتهم عندما يتعلق الأمر بالأمن السيبراني. بعد كل شيء، تم تصنيف منطقة آسيا والمحيط الهادئ على أنها “نقطة الصفر” لنمو الجرائم الإلكترونية في عام 2023، عندما شهدت أعلى زيادة على أساس سنوي في الهجمات الإلكترونية الأسبوعية خلال الربع الأول من عام 2023.

اجعل اتباع أفضل ممارسات الأمن السيبراني أمرًا سهلاً

يوضح استطلاع Proofpoint أن الموظفين يخاطرون في الأماكن التي يكون ذلك أكثر ملاءمة لهم أو يوفرون لهم الوقت. لا يمكن لمحترفي الأمن السيبراني تقليل هذه المخاطر إلا إذا سعوا إلى جعل اتباع الممارسات الآمنة بسيطًا قدر الإمكان وإزالة أي عوائق قد يواجهها الموظفون لفعل الشيء الصحيح.

PREMIUM: فكر في استخدام قوالب البريد الإلكتروني للتنبيهات الأمنية.

على سبيل المثال، قد يتضمن ذلك العمل مع فرق تكنولوجيا المعلومات لضمان شيء بسيط مثل الوصول المبسط إلى مكتب مساعدة فعال لتكنولوجيا المعلومات. وهذا من شأنه أن يضمن الوصول المبسط إلى شبكة VPN، وتجنب اتصالهم بالشبكات غير الآمنة والتعامل مع مشكلات الحساب أو كلمة المرور لإزالة إغراء مشاركة كلمات المرور.

وقالت Proofpoint في استطلاعها: “العمل مع أصحاب المصلحة في قطاع الأعمال وإعطاء الأولوية لسهولة الاستخدام عند تنفيذ السياسات الأمنية”. “سيكون المستخدمون أقل ميلاً للتحايل على الأنظمة إذا كان الأمان يتوافق مع أهدافهم. ومن المرجح أن يستخدموا عناصر التحكم إذا كانت بديهية ولا تتطلب أي تدريب.

التثقيف لبناء الوعي والثقافة المتعلقة بالأمن السيبراني

وسيستمر التعليم وزيادة الوعي في لعب دور حاسم. إذا كان الموظفون في المنطقة لا يزالون غير متأكدين في كثير من الحالات من دورهم في إدارة أمن المعلومات، فمن المنطقي تعزيز الاستثمار في تقديم موارد تدريبية جذابة في مجال الأمن السيبراني يمكنها دعم الارتقاء بفهم التهديدات.

يمكن أن يشمل ذلك موارد التدريب التي تركز على المخاطر الكبرى التي يواجهها متخصصو الأمن السيبراني. يمكن أن يكون الموظفون على دراية أفضل بالممارسات مثل النقر على الروابط أو تنزيل المرفقات التي قد تزيد من مخاطر التصيد الاحتيالي أو البرامج الضارة، مع دعمهم بأدوات تحدد رسائل البريد الإلكتروني على أنها واردة من خارج المؤسسة.

إن بناء ثقافة قوية للأمن السيبراني هو نهاية اللعبة. غالبًا ما تقوم المؤسسات التي نجحت في إشراك الموظفين في مجال الأمن السيبراني بتسجيل الموظفين لمساعدة المؤسسة على اكتشاف المشكلات. على سبيل المثال، يمكن أن تعمل قناة Slack أو قناة الاتصالات للإبلاغ عن التصيد الاحتيالي كوسيلة للإبلاغ والمنافسة السليمة ومكافأة الموظفين.