- التوعية بأمن المعلومات ليست خياراً طوعيًا للمؤسسات، بل هي طبقة حماية أمنية وجب تواجدها في أي مؤسسة تعمل بتقنية المعلومات.
- بلغ حجم الإنفاق على منتجات وخدمات أمن المعلومات 114 مليار دولار أمريكي في عام 2018.
- أمن المعلومات مسؤولية جماعية.
- بلغ متوسط تكلفة خرق أمني واحد للبيانات في عام 2017 ما قيمته 3.62 مليون دولار.
برامج التوعية في أمن المعلومات حاجة ضرورية لكل مؤسسة
يعتبر غياب المُساءلة ونقص التدريب و التوعية في أمن المعلومات في قائمة أسباب الخروقات الأمنية السيبرانية. فوفقًا لشركة Gartner، بلغ الإنفاق على منتجات وخدمات أمن المعلومات قيمة 114 مليار دولار أمريكي في عام 2018، بزيادة قدرها 12.4 بالمائة عن عام 2017. من ناحية أخرى، بلغ متوسط تكلفة خرق البيانات الفردي في عام 2017 حجم 3.62 مليون دولار وفقًا لدراسة أجرتها IBM Security ومعهد Ponemon. والتوقعات لعام 2019 ليست أفضل. عندما تتعمق أكثر في الدراسات تدرك أن نسبة عالية من الخروقات حدثت في مؤسسات كبيرة معروفة برصدها ميزانية عالية للأمن السيبراني. في وقت وُجهت أصابع الإتهام في بعض الهجمات إلى موظفين سابقين غادروا مراكز عملهم بعد نشوب خلافات مع صاحب العمل، ففي الكثير من الحالات الأخرى كان نجاح الهجمات هو نتيجة أعمال قام بها موظفون ساذجون غير مطلعين بشكل كافي على الحد الأدنى من الوعي في أمن المعلومات. فقاموا بإلحاق الأذى في مؤسستاهم عن غير قصد وبدون وجود نوايا سيئة.
على مدى السنوات الماضية، أصبحت تقنية المعلومات الداعم الرئيسي في كل مجالات الأعمال تقريباً. ولطالما كان الأمن السيبراني مصدر قلق كبير. لذلك أصبح تطبيق برنامج توعية في أمن المعلومات أمرًا ضروريًا وملحّاً لأي منشأة، بغّض النظر عن حجمها أو مجال عملها أو موقعها.
يُعّد برنامج التوعية في أمن المعلومات أحد الخدمات الرئيسية التي تقدمها شركة سياتيك. برنامج التوعية الأمنية لدينا هو عبارة عن دورة مستدامة تعتمد مبدأ التحسين المستمر. إن برنامج التوعية الأمنية الذي يتم تنفيذه بشكل جيّد يساعد على منع حدوث خرق أو في الحد الأدنى يخفف المخاطر. في هذه المقالة قمنا بمعالجة المواضيع التالية:
- أهم أسباب الخروقات الأمنية السيبرانية
- أهمية التدريب والتوعية الأمنية في أمن المعلومات
- مواضيع التوعية بأمن المعلومات
- قنوات التوعية الأمنية في أمن المعلومات
أهم أسباب الخروقات الأمنية في أمن المعلومات
1- قلة المعرفة والإطلاع عند الموظفين
يتصدر الموظفون غير المطلعين، الساذجين وغير الضارين الذين يفتقرون إلى التدريب والوعي في أمن المعلومات قائمة أسباب الخروقات الأمنية. علمتنا التجارب أن التكنولوجيا وحدها لا يمكن أن تضمن بيئة تقنية آمنة بشكل كامل، فهناك دائمًا عامل الخطأ البشري، سواء كان ذلك من جانب المختصيين في قسم تكنولوجيا المعلومات أو من جانب المستخدمين. لسوء الحظ، لا يمكن تحميل التحسينات في العقل البشري بنفس طريقة تحديث جهاز الكمبيوتر! ولكن يمكن تغذيته بشكل دائم بالمعرفة والتدريب ومواد التوعية الأمنية.
كل ما يحتاجه الأمر هو موظف واحد غير ناضج على مستوى الوعي الأمني، يقوم بإستلام بريد إحتيالي، فيضغط رابط ما ويقوم بتحميل برمجيات خبيثة معرضًا الشبكة للخطر.
المعالجة: يُنصح بتطوير برنامج توعية في أمن المعلومات يستمر على طوال العام ويكون محدثًا بشكل دائم ومواكب لأحدث التهديدات. ومصحوبًا بحملات محاكاة التصيّد الاحتيالي.
2- الأخطاء البشرية
يُشكّل الخطأ البشري من المستخدم العادي لأنظمة تقنية المعلومات تهديدًا دائمًا. ولكن التهديد الأكبر يكمن في الأخطاء التي قد يرتكبها مسؤولو الأنظمة التقنية! يؤدي الجهل أحيانًا، وقلة التركيز في أحيان أخرى إلى أخطاء في البرمجة والإعدادات ممى يجعل بعض الأبواب مفتوحة للقراصنة للولوج إلى الشبكة.
المعالجة: يُنصح بإعتماد معيار تنظيمي لإدارة التغييرات، الحوادث، المشاكل مثل الأيزو 20000 ISO، الأيزو 27001 ISO، أو الأيتيل ITIL.
3- البرمجيات الخبيثة
هجمات البرامج الضارة مثل برامج الفدية (الرانسوم وير)، والفيروسات ، والـ Worms، وأحصنة طروادة تشكل دومًا تهديدًا للأمن السيبراني وسببًا وراء الإنتهاكات الأمنية.
المعالجة: قم بتدريب موظفيك على كيفية التعامل مع هجمات البرامج الضارة وتطبيق أفضل ممارسات أمان النقاط النهائية End-point Security
4- سرقة الأجهزة
إن أجهزة الكمبيوتر المحمولة وغيرها من الأجهزة النقالة التي يتم سرقتها أحيانًا أثناء التنقل أو السفر تشكل خطرًا كبيرًا على أمن المعلومات يجب التعامل معه من خلال إدارة المخاطر.
المعالجة: رفع مستوى الوعي الأمني وتطبيق تقنيات تشفير البيانات على الأجهزة المحمولة.
5- موظفون مستاؤون
يشهد سوق العمل في تقنية المعلومات تغيير مستمر بالموظفين أكثر من قطاعات الأعمال أخرى. وفي كثير من المواقف يغادر فيها موظف عمله في مؤسسة ما بعد نشوب خلاف مع صاحب العمل فيشكل خطورة على أمن وسلامة المعلومات. وتكمن الخطورة في الأفعال التي قد يقوم بها الموظف الغاضب. من جهة أخرى يشكل مقاولو الطرف الثالث خطر على البيانات نظرًا لعدم إنتمائهم للمؤسسة.
المعالجة: تطبيق نظام فصل الواجبات، وإدارة الموردين، و تسريح الموظفين وفق معايير المهنة.
6- ضعف التمويل
تعاني بعض المنشآت من المشكلة الميزانية المنخفضة لقسم الأمن السيبراني. بينما تقع بعض المنشآت الأخرى في فخ “سوء توزيع الميزانية” حيث تُصرف معظم الميزانية على برامج أمنية متطورة وأجهزة أمنية ضخمة بينما يتم إهمال صرف الإعتمادات اللازمة للتدريب والتوعية في أمن المعلومات. وهذا خطأ فادح!
المعالجة: إذا لم تكن هناك وسيلة لزيادة ميزانية الأمن السيبراني، ينبغي على الأقل توزيع الأموال المتوفرة بشكل متوازن.
أهمية التوعية في أمن المعلومات
1- تعزيز طبقة الدفاع الأخيرة
الموّظفون هم طبقة الدفاع الأخيرة، وفي بعض الحالات هم الطبقة الأولى، حسب طبيعة الهجوم. ولكن يوافق الجميع على أنهم، أي الموظفون، الحلقة الأضعف في سلسلة الأمن السيبراني. إن برنامج التوعية في أمن المعلومات المُطبّق بشكل مدروس وفعّال سوف يؤمن صلابة هذا الحلقة وتمكين شبكة أقوى.
2- متطلبات الامتثال
تتطلب جميع معايير وأطر أمن المعلومات العالمية مثل الأيزو ISO/IEC 27001 وجود برنامج توعية بأمن المعلومات.
3- التكيف الدائم مع التهديدات المستجدة
التهديدات والهجمات الخبيثة تزداد تعقيدًا يومًا بعد يوم. لذلك، تحتاج وحدات الأمن السيبراني إلى مواكبة التغييرات اليومية والأهم من ذلك، تحتاج وحدات التوعية الأمنية السيبرانية إلى إبقاء جميع المستخدمين على إطلاع حول أحدث التهديدات واتجاهات الهجمات السيبرانية.
4- زيادة المشاركة والإرتباط
عادةَ تقوم المؤسسات ذات مستوى نضوج متوسط أو عالي في أمن المعلومات بإصدار كتاب إرشادات وسياسات أمن المعلومات الخاصة بالمؤسسة. ويقوم القييمون بتحديث الإرشادات والسياسات الأمنية بشكل مستمر. ولكن يكمن التحدي في مدى فهم الموظف لمحتوى كتيب مليء بسياسات وإجراءات رتيبة ومملة لأمن المعلومات داخل المنشأة.
تتختلف الأمور تمامًا في حالة تطبيق برنامج التوعية في أمن المعلومات على مدار العام ومن خلال القنوات المختلفة. بحيث يكون الموظف شريك في عملية التوعية وممارسات أمن المعلومات. مما يساهم في خلق ثقافة أمنية داخل المؤسسة.
أهم مواضيع التوعية في أمن المعلومات
كل منشأة لها أولوياتها الخاصة حول إختيار مواضيع التوعية الأمنية الأكثر الأهمية. ومع ذلك، فمن المستحسن دائمًا العمل بشكل شمولي على تغطية جميع الموضوعات عند تطبيق برنامج توعية بأمن المعلومات. في ما يلي لخصنا أبرز الموضوعات التي يجب تغطيتها في برنامج التوعية بأمن المعلومات:
1- الأمن المادي
يعتبر الأمن المادي جزء لا يتجزأ من أمن المعلومات يتجاوز حدود تقنية المعلومات، فيعالج المشكلات المتعلقة بأمن المحيط وبنقاط الدخول والأبواب والأدراج والخزائن والمكاتب وأجهزة الكمبيوتر الثابتة والمحمولة. يجب أن يكون المستخدمون على دراية وقدرة على التعامل مع تهديدات الأمن المادية من جميع الأنواع.
2- أمن البيانات
هنا بيت القصيد، ففي نهاية المطاف المهمة والهدف الرئيسي من التوعية في الأمن السيبراني هو حماية البيانات. فتثقيف المستخدم حول التعامل مع أمن البيانات جزء أساسي من أي برنامج توعية في أمن المعلومات.
3- أمن الطباعة
من الضروري أن يعي المستخدم أن سواء كانت المعلومات رقمية أو مطبوعة على نسخ ورقية فذلك لا يغير شيء في سياسة أمن المعلومات. أمن الطباعة هو أحد الموضوعات العديدة في برنامج التوعية بأمن المعلومات.
بالإضافة إلى جعل المستخدمين على دراية بمفاهيم الطباعة الآمنة، هناك الكثير من حلول الطباعة متوفرة في السوق التي يمكن أن تكون ذات فائدة كبيرة في تنفيذ سياسات الطباعة الآمنة.
4- أمن الشبكات
نظراً للطبيعة غير الآمنة للشبكات اللاسلكية، تعوّل الشركات على وعي الموظفين لتقليل المخاطر في هذه الميدان. يتصل جهاز المحمول الخاص بالمؤسسة بالعديد من الشبكات في مكان العمل، المنزل، المقهى، المطار، الفندق وغيرها من الأماكن العامة. ويمكن أن يحدث الإختراق في أي من هذه الأماكن، مما يشكل خطر على معلومات المؤسسة.
من ناحية أخرى، مع حلول أمن الشبكات السلكية واللاسلكية المتطورة، قد تصل المؤسسات إلى مستوى عالي من الأمان. ومع ذلك، هناك حاجة دائمة إلى التوعية في أمن المعلومات لتعزيز أمن الحلقة الأضعف.
5- تدمير البيانات
تبقى سياسات أمن المعلومات سارية المفعول حتى عند التوقف عن إستخدام جهاز معين طالما يحتوي على معلومات المؤسسة.
وإذا تقرر التخلص من الجهاز أو بيعه، فيجب التخلص منه بشكل آمن. يجب أن تحوي برامج التوعية في أمن المعلومات مواد خاصة حول كيفية تلف الأجهزة القديمة بطريقة آمنة دون تعريض أمن المعلومات لخطر السرقة.
6- أمن كلمات المرور
أمن كلمات المرور هو واحد من المجالات الأكثر تحديًا في التوعية بأمن المعلومات. توجد الكثير من المقاومة للتغيير في هذا المجال. يكره المستخدمون أن يُجبَروا على تذكر كلمات مرور جديدة كل فترة ويواجهون صعوبة في إنشاء كلمات مرور جديدة تلبي متطلبات التعقيد المطلوبة.
لحسن الحظ، هناك حل: برنامج التوعية الأمنية من سياتيك CIATEC يساعد المستخدمين على تجاوز هذه الصعوبة.
7- التصيد الإحتيالي الـPhishing وأمن البريد الإلكتروني
هجمات التصيد الاحتيالي تزداد خطورة يومًا بعد يوم. 9 من أصل 10 هجمات تصيّد هي الآن عبارة عن هجوم ببرنامج الفدية أو الرانسوم وير. والبدعة الجديدة هي الـ Pseudo Ransomware أو الرانسوم وير الزائف التي توهم المستخدم بأن بياناته مشفرة وتطالبه بدفع مبالغ Bitcoins لفك الشيفرة ولكنها في الواقع غير مشفرة!
إن التوعية على كيفية تجنب عمليات الخداع والتصيّد الإحتيالي الإلكتروني والتدريب على ما يجب القيام به في حالة الهجوم يُعد أولوية عالية في برنامج التوعية في أمن المعلومات. يرتكز برنامج التوعية لمكافحة التصيد الإحتيالي على أربع خطوات أساسية: التقييم الأولي، التوعية، المحاكاة، والقياس ومن ثم إعادة الدورة مرارًا وتكرارًا. التوعية على مخاطر التصيّد الاحتيالي هو دورة مستمرة مثل أي مجال آخر في التوعية بأمن المعلومات، .
المزيد من المعلومات حول برنامج التوعية لمكافحة التصيد الإحتيالي عبر هذا الرابط.
8- البرمجيات الخبيثة
من البديهي أن يتطرق برنامج التوعية بأمن المعلومات والأمن السيبراني إلى البرمجيات الخبيثة. فبغض النظر عن مكان وطبيعة العمل، على المستخدم أن يعرف الفرق بين البرمجيات الخبيثة المختلفة مثل الفيروسات وأحصنة طروادة وبرامج الفدية والتجسس وغيرها. والأهم هو معرفة الطرق الأمثل للتصرف في حالة الهجوم.
9- أمن الأجهزة المحمولة
تحتوي أجهزة اللابتوب والجوال المستخدمة للعمل، سواء كانت مملوكة ملكية شخصية أو للمؤسسة، على أصول معلومات يجب حمايتها. أمن الأجهزة المحمولة هو موضوع ذات أهمية عالية ينبغي التوّسع في معالجته ضمن برنامج التوعية في أمن المعلومات.
10- التصفح الآمن
تدريب المستخدمين على كيفية التحقق من عناوين الـ URL وتشفير الموقع (أي https)، وإبقاء المتصفح محدّث، واستخدام أصغر عدد ممكن من الملحقات (الـ Plugins)، والتحقق من الملفات قبل تحميلها هي مواد أساسية متعلقة بأمن معلومات المتصفح تكون ضمن مواد التوعية في أمن المعلومات.
أمن المعلومات مسؤولية جماعية.
قنوات التوعية بأمن المعلومات
إختيار قنوات التواصل الصحيحة هو في صلب أي برنامج توعية أمنية. فنجاح التواصل مع المستخدم هو مفتاح نجاح حملات التوعية في أمن المعلومات. ليس هناك من قاعدة عامة، فلكل مؤسسة ثقافة خاصة تفرض طبيعة تواصل معينة يجب مراعاتها في برنامج التوعية الأمنية السيبرانية. في ما يلي لائحة بالقنوات الممكن إستخدامها لإيصال مواد التوعية الأمنية للمستخدمين.
فيديو تثقيفي / تعليمي
مقاطع الفيديو هي واحدة من أكثر المواد التعليمية فاعلية. يوفر برنامج التوعية الأمنية مقاطع فيديو حول عدة مواضيع متعلقة بأمن المعلومات تتم استضافتها على خوادم مقدم الخدمة أو على الشبكة الداخلية. مثلها مثل كل مواد التوعية الأمنية السيبرانية الأخرى، يتم تحديث مقاطع الفيديو باستمرار لمواكبة أحدث المخاطر ومؤشرات التوعية في أمن المعلومات.
لوحات إعلانية هادفة
تساعد اللوحات الإعلانية في غرفة الاجتماعات أو في الردهة أو أي مكان عام آخر على نشر التوعية في أمن المعلومات دون جهد.
ملصقات شاشات العرض
كما هو الحال مع اللوحات الإعلانية، فإن عرض مواد التوعية الأمنية السيبرانية على الشاشات إذا توفرت في الأماكن العامة سيساعد في نشر التوعية في أمن المعلومات من خلال استهداف جميع الموظفين.
نشرة بريدية
تعدّ رسائل ونشرات البريد الإلكتروني والرسائل الإخبارية قناة أخرى، يمكن أن تصبح مفيدة عند محاولة معالجة موضوعات محددة في برنامج التوعية في أمن المعلومات. خاصة عندما يتم تقديمها كعنصر في حملة توعية أكبر.
ألعاب تعليمية
وقد أثبت هذه أيضًا أنها أحد الأساليب الفعّالة لتمرير رسائل التوعية في جو من المرح والترفيه. سواء كان ذلك عبارة عن ألعاب الألغاز البسيطة كالكلمات المتقاطعة أو ألعاب مطابقة أو ألعاب أكثر تعقيدًا. فإن ذلك كله يساعد في إيصال المعلومات بسهولة للمستخدمين.
مجلة
المجلات التعليمية، سواء إلكترونية أو ورقية، عند نشرها وتوزيعها على أساس منتظم، تُبقي المستخدمين على علم بأحدث اتجاهات أمن المعلومات وكيفية تجنب الانتهاكات.
دورات تدريبية، ورش عمل، إختبارات
الدورات التدريبية التقليدية، أو عبر الإنترنت هي دائما قناة جيدة للوصول إلى الموظفين. في التدريب، ينصح بفرز صفوف الموظفين بناءً على أدوارهم الوظيفية أو أقسامهم. بهذه الطريقة يمكن للمدرب التعامل مع مواضيع أمنية محددة قد تكون مرتبطة بطبيعة عمل المتدربين.
يجب أن يلي التدريب أيضًا إختبار لقياس الوعي الأمني السيبراني وفعالية التدريب.
تدريب ومحاكاة التصيّد الإحتيالي
تعد هجمات التصيّد والهندسة الإجتماعية من أكثر الهجمات فتكًا وفعالية، فهي غالبًا ما تلحق أضرارًا جسيمة على الصعيد الفردي أو على صعيد المؤسسات ككل. لذلك يجب مجابهتها بطرق فعالة أيضًا. وأفضل الطرق هي التدريب والتوعية عبر المحاكاة.
تستخدم حملات محاكاة التصيد الاحتيالي، كجزء من برنامج التوعية الأمنية العام، مئات النماذج وتقدم تقارير دقيقة مثل:
- المستخدمون الذين فتحوا بريد للمحاكاة.
- المستخدمون الذين نقروا على الروابط.
- المستخدمون الذين تجاوبوا مع طلب تسليم بيانات حساسة.
بهذه الطريقة، سيتمكن فريق أمن المعلومات من تحديد أكثر الموظفين حاجةً للتعليم وفقًا لنتائج المحاكاة. اتصل بنا عبر هذا الرابط لبدء حملة توعية على التصيد الاحتيالي.
منصة ويب وتطبيق جوال مختص بالتوعية الأمنية في أمن المعلومات
إنشاء بوابة إلكترونية على الشبكة الداخلية متخصصة بأمن المعلومات تكون بمثابة مرجع لجميع المستخدمين وتبقيهم على إطلاع دائم في كل ما يتعلق بأمن المعلومات داخل المنشأة. يمكن أن يحتوي الموقع على العناصر التالية:
- سياسات أمن المعلومات الداخلية.
- أحدث المخاطر أخر الأخبار والمستجدات في أمن المعلومات.
- مقالات تعليمية.
- مقاظع فيديو تفاعلية.
- ألعاب وإختبارات.
- دورات تدريبية
من جهة أخرى، إنشاء تطبيق على الهواتف الذكية مخصص للتوعية في أمن المعلومات، سيتيح لوحدات أمن المعلومات الوصول إلى المستخدمين أثناء أينما وجدو.
فكرة: من خلال الجمع بين مهاراتنا في تمكين الويب والجوال وخدمات التوعية الأمنية السيبرانية، يمكن لـ CIATEC بناء موقع الويب الخاص بأمن المعلومات وتطبيق الجوال في وقت قياسي.
كلمة أخيرة
لم يعد تطبيق برنامج توعية في أمن المعلومات إختيارًا، بل أصبح طبقة أمنية مهمة يجب أن تمتلكها كل مؤسسة تعمل بتقنية المعلومات.
تم تصميم برنامج التوعية الأمنية السيبرانية في سياتيك CIATEC لمساعدة المؤسسات من مختلف الأحجام وطبيعة الأعمال لتقليل مخاطر اختراق البيانات. اتصل بنا اليوم للبدء في بناء برنامج توعية في أمن المعلومات الخاص بشركتك.
باقات التوعية الأمنية نماذج محتوى برنامج التوعية محاكاة التصيد الإحتيالي