بقلم الدكتورة مارغريت كننغهام، عالمة الأبحاث الرئيسية لدى “فورس بوينت”
عام 2020 قدم لنا شيئاً آخراً نحتاج إلى القيام به بشكل مختلف. ففي الواقع، مجرد الانتقال إلى العمل من المنزل كان كافياً لتغيير أساليب عملنا بالكامل. وبينما منحنا التحول إلى العمل عن بُعد عدداً من المكاسب، فقد ساهم أيضاً في زيادة كبيرة في السلوكيات السلبية للقوى العاملة.
ما هي السلوكيات السلبية؟
في مرحلة ما، نتصرف جميعاً بطرق تُعرض المؤسسات للمخاطر. وتساهم السلوكيات السلبية في مكان العمل في المخاطر التنظيمية، حيث تتعارض هذه السلوكيات بحكم تعريفها مع القواعد الوقائية والمبادئ التوجيهية. في مجال التكنولوجيا والأمن السيبراني لا يشير هذا إلى القواعد المكتوبة فحسب، بل يشير أيضاً إلى القواعد الضمنية التي تعكس ثقافات الأفراد والمؤسسات. وبينما نفكر بشكل طبيعي في المخاطر القائمة على السلوك على أنها ذات طبيعة خبيثة، فإن الملامح السلوكية المحفوفة بالمخاطر تشمل أيضاً سلوكيات غير مقصودة وقد تكون في بعض الأحيان جديرة بالثناء. يمكنك التفكير في هذه السلوكيات على أنها تندرج في ثلاثة ملامح مميزة، ولكل منها تأثير مختلف على الأمان التنظيمي:
- الكسالى: الجميع كسالى في مرحلة ما. وتتضمن سلوكيات الكسول، التصفح على الويب أو إجراء أعمال شخصية على شبكة الشركة (كل الأشياء التي تبدو ثانوية ولكنها في النهاية تعرض الشركة للمخاطر). وتساهم هذه السلوكيات في التهديدات الداخلية العرَضية.
- المندفعون: هؤلاء الموظفون محبوبون كثيراً من قبل قيادة الشركة، وهم مهووسون بالإنتاجية لدرجة أنهم يخططون باستمرار لحلول إبداعية (غير مصرح بها غالباً) لإنجاز الأمور بشكل أسرع. وقد يعني هذا استخدام “Shadow IT” (استخدام أنظمة تكنولوجيا المعلومات والأجهزة والبرامج والتطبيقات والخدمات دون موافقة صريحة من قسم التكنولوجيا) أو تطبيقات السحابة الشخصية، أو حتى استخدام وسائط قابلة للإزالة غير معتمدة لتسهيل سير العمل.
- الأشخاص ذو النوايا الخبيثة: هؤلاء المهاجمين الخطرين الذين يملكون دوافع إلحاق الضرر بالمنظمة. قد تكون دوافعهم خارجية، كما هو الحال في التجسس على الشركات، أو في بعض الحالات، قد يكون مدفوعاً بالغضب أو السعي للانتقام. حيث إن هؤلاء الأشخاص هم غالباً من يتم التحدث عنهم حول التهديدات الداخلية، والذين نربطهم غالباً بالمخاطر الداخلية – على الرغم من أنهم الأقل شيوعاً.
الفرق الوحيد بين هذه الفئات هو الدافع. فبينما يفتقر الكسالى ببساطة إلى التفكير المسبق والاهتمام بالتفاصيل، يحاول المندفعون فقط اتخاذ قرارات سريعة واتخاذ المسار الأقل مقاومة، ولكن الضرر الذي يمكن أن يلحقه الكسالى والمندفعون بإحدى المنظمات هو بالطبع غير مقصود، لكنه لا يزال يمثل تهديداً خطيراً وأكثر خطورة من الأشرار.
يمكن أن تساعدنا معرفة القواعد، المكتوبة والضمنية، ثم تصميم مقاييس تركز على السلوك حول القواعد في التخفيف من تأثير هذه السلوكيات المحفوفة بالمخاطر.
نهج محوره الإنسان لتعزيز السلوك الجيد
إن تغيير السلوك ليس بالأمر السهل وعادةً ما تفشل حملات التدريب والتوعية الإلزامية. كما أن الترويج للخوف غير مفيد ويؤدي إلى نتائج عكسية، ناهيك عن عدم فاعليته. إذاً ما الذي يمكن أن تفعله الشركات لتعزيز السلوكيات التي تبقيها بعيدة عن الأذى؟
فعمليات النمذجة تُفيد بشكلٍ كبير، حيث عندما تقدم فرق الأمن وتكنولوجيا المعلومات على نمذجة السلوك الجيد، عادةً ما يفعل الآخرون الشيء نفسه. ويكمن التحدي الحالي الذي تواجهه الشركات هو التأكد بأن الموظفين يرون في الواقع هذا السلوك الجيد عندما لا يعملون في نفس المكان.
بدون هذه النمذجة الشخصية، يتعين علينا الاعتماد على التقييمات والتواصل المستمر. ويحتاج قادة الشركة إلى اختبار المنظمة بشكل دوري بحثاً عن نقاط الضعف وتوجيه محادثاتهم إلى السلوكيات الخطرة المحددة في العمل، ثم يمكنهم متابعة الاتصالات حول العادات الآمنة وأهمية السلوكيات المستقبلية للأمن السيبراني. بالإضافة إلى ذلك، يمكننا أن نثني على الأفراد المنخرطين في سلوكيات أمنية إيجابية.
لا يمكن الفصل بين الأشخاص والتكنولوجيا، وعندما نتجاهل العوامل البشرية، فإننا نفقد عنصراً مهماً لفهم المخاطر ونقاط الضعف.