كشف تقرير "رفاه الموظفين وصحتهم الذهنية 2021" الصادر حديثًا عن كاسبرسكي، عن أن أكثر من ثلث الشركات (36%) العاملة في منطقة الشرق الأوسط وتركيا وإفريقيا تفضل عدم الإبلاغ عن حوادث تسرّب بيانات الموظفين، بالرغم من أنها تواجه بانتظام مثل هذه الحوادث.
وأشار التقرير في الوقت نفسه إلى أن الموظفين قد يفتقرون إلى المعرفة الأساسية بالأمن الرقمي لحماية أنفسهم لأن 38% فقط من الشركات تقدّم لموظفيها تدريبًا على أمن تقنية المعلومات.
ويُعتبر نجاح منظومة الدفاع الرقمية المؤسسية أمرًا مستحيلًا من دون تضافر الجهود بين فرق العمل المعنية وجميع الموظفين عند جميع المستويات. وبالرغم من أهمية التقنيات المتقدمة في منع الهجمات الرقمية، يبقى الدور الذي تلعبه العوامل البشرية حاسمًا في هذه المسألة، إذ يرتبط بـ 85% من الحوادث. ويقدّم تقرير كاسبرسكي الذي وُضع بناء على دراسة استطلاعية عالمية أفكارًا مهم لصناع القرار في مجال تقنية المعلومات بشأن سبل مضافرة الجهود بين فرق العمل المؤسسية والموظفين لحماية أنفسهم وعملائهم.
وبالرغم من ارتباط أبرز حوادث اختراق البيانات بسرقة معلومات العملاء، تظلّ بيانات الموظفين الشخصية بدورها تحظى بأهمية ملحوظة لدى مجرمي الإنترنت. وفي العام 2021، عجز ثلث الشركات (33%) عن تقديم الأمان الكامل لبيانات موظفيها، فواجهت حوادث تنطوي على سرقة هذا النوع من البيانات.
ويرى الخبراء في حقيقة أن 36% من الشركات المتأثرة بحوادث تسرب بيانات الموظفين لم تصرّح بها، علامةً على أن المشكلة أكبر مما تبدو. أما بقية الشركات، فقد بادر 57% منها إلى تقديم معلومات حول الحوادث التي وقعت لديها، في حين لم يصرّح 8% منها بوقوع الحوادث إلاّ بعد أن تسرّبت أخبارها إلى وسائل الإعلام. وتُوضح هذه الأرقام أن هذا النوع من حوادث تسرّب البيانات هو أقلّ ما تبلغ عنه الشركات، مقارنةً بالانتهاكات التي تمسّ بيانات الشركات أو العملاء.
وأكّدت إيفغينيا نوموفا النائب التنفيذي للرئيس لقطاع الأعمال المؤسسية لدى كاسبرسكي، أن قيام الشركة بالاتصالات المناسبة عندما تواجه حادثًا رقميًا، لا يقلّ أهمية عن اتخاذ إجراءات الاستجابة والتعافي من الأزمة أو الحادث، مشيرة إلى أن هناك دائمًا مخاطر تتمثل باختراق البيانات، لذا فإن من الواجب على الشركات أن تقرّ بأن الإبلاغ الاستباقي عن هذه الحوادث أفضل من محاولة إخفائها ثمّ انكشافها على الملأ في الصحافة. وأضافت: "يكفل إجراء الاتصالات الدقيقة في الوقت المناسب التقليل من الضرر الذي يُحتمل أن يطال السمعة المؤسسية، كما تساهم في التخفيف كثيرًا من الخسائر المالية المباشرة. وينبغي للشركة التفكير في وضع خطة واضحة لإدارة الأزمات والمبادرة إلى تدريب الموظفين لتجنب الارتباك. كذلك فإن على المختصين في الاتصال المؤسسي التعاون مع الفرق الأمنية لتبادل المعلومات والأفكار إزاء الأمن الرقمي، وتحديد الأدلة الإرشادية وأنسبة أدوات الاتصال وقنواته والاتفاق على نبرة اللغة المستخدمة، للتعامل بدقة مع الاتصالات الداخلية والخارجية في حالة الطوارئ".
ولا تكفي الجهود الداخلية عادةً في إكساب الموظفين المعرفة الملائمة في شأن حوادث الأمن الرقمي المحتملة. وقد نفّذت 38% فقط من الشركات، وفقًا لدراسة كاسبرسكي، تعليمًا وتدريبًا أمنيًا لضمان تزويد موظفيها بالمعلومات المهمة. لكن 76% من تلك الشركات واجهت مشكلة واحدة على الأقل تتعلق بجودة التعليم والتدريب. وتضمّنت المشاكل عدم رضا الموظفين عن التعقيد الكبير في الدورات التدريبية، ونقص الدعم أو الخبرة من جانب مقدّم التدريب.
ومن جانب آخر، لا يُتوقع من الموظفين الذين لم يُزوّدوا بالمعرفة الأساسية حول أهمية تدابير الحماية، أن يتبعوا القواعد. وفي العام 2021، اعتُبر عدم كفاية امتثال الموظفين والتعامل مع ثقافة غير مكتملة فيما يتعلق بأمن المستخدمين أحد أكبر ثلاثة مخاوف متعلقة بأمن تقنية المعلومات لدى الشركات، بحسب 38% من المشاركين في الاستطلاع. ومن الناحية العملية، تواجه الشركات بانتظام انتهاكات لأمن المعلومات (50%)، والاستخدام غير الملائم لموارد تقنية المعلومات (53%)، والمشاركة غير السليمة للبيانات عبر الأجهزة المحمولة (50%).
ويتطلب منع حوادث الاختراق اتخاذ إجراءات متضافرة من قبل كل شخص يتفاعل مع النظام المؤسسي ويمكن أن يكون هدفًا محتملًا للمهاجمين. وينبغي للشركات الجمع بين تدابير الحماية الموثوق بها مع الحفاظ على ارتفاع مستوى الوعي الأمني لدى فرق العمل، من أجل تحسين مستوى تأمين الموظفين، ويتضمن هذا الأمر اتخاذ التدابير التالية:
- ضمان التصحيحات البرمجية الفورية وتحديث البرمجيات لمنع هجمات اختراق الأنظمة.
- تنفيذ تشفير عالي الجودة للبيانات الحساسة، وفرض بيانات اعتماد دخول قوية ومصادقة متعددة العوامل.
- استخدام نظام حماية فعال للنقاط الطرفية يتمتع بالقدرة على اكتشاف التهديدات والاستجابة لها، لمنع محاولات الوصول إليها، والاعتماد على خدمات الحماية المُدارة لتحقيق الكفاءة في التحقيق بالهجمات واستجابة الخبراء لها.
- تقليل عدد الأشخاص الذين يمكنهم الوصول إلى البيانات المهمة. ومن المرجح أن تحدث الانتهاكات في الشركات التي يعمل فيها عدد كبير جدًا من الموظفين على معلومات سرية قيمة يمكن بيعها أو استغلالها بطريقة ما.
- تزويد الموظفين بمهارات الأمن الرقمي التي يحتاجون إليها، ومدّهم بالمعلومات الضرورية والمحدَّثة ذات التنسيق الجذاب. ويجب على الشركات العمل مع مقدمي خدمة معروفين عالميًا قادرين على ضمان عملية تعليمية فعالة لتوفير الوقت والحصول على خدمة عالية الجودة.
يمكن الاطلاع على التقرير الكامل والمزيد من الإرشادات في شأن كيفية إنشاء بيئة مؤسسية آمن ة ومتوازنة.