تجنب اللوم: كيف تساعد السلامة النفسية في تحسين الأمن الإلكتروني

حتى الشركات التي تتمتع بوضع أمن إلكتروني متقدم واستثمارات كبيرة في حماية البيانات ليست محصنة ضد الحوادث الإلكترونية. ويمكن أن يستغل المهاجمون الثغرات غير المكتشفة أو يخترقون سلسلة التوريد. وقد يقع الموظفين ضحايا لعمليات احتيال متطورة مصممة لاختراق دفاعات الشركة. بل وقد يرتكب فريق الأمن الإلكتروني نفسه خطأً أثناء إعداد أدوات الأمان أو أثناء إجراء الاستجابة للحوادث. لكن كل حادث من هذه الحوادث يمثل فرصة لتحسين العمليات والأنظمة، مما يجعل دفاعاتك أكثر فعالية. وهذا ليس مجرد شعار حماسي؛ بل هي نهج عملي أثبت نجاحه في مجالات أخرى مثل سلامة الطيران.

في قطاع الطيران، يُطلب من جميع العاملين في المجال تقريباً – من مهندسي تصميم الطائرات إلى طاقم الضيافة – مشاركة المعلومات لمنع الحوادث. ولا يقتصر هذا على حوادث التحطم أو أعطال الأنظمة؛ بل يُبلغ العاملون في القطاع أيضاً عن المشاكل المحتملة. ويجري تحليل هذه البلاغات باستمرار، ويتم تعديل الإجراءات الأمنية بناءً على النتائج. ووفقًا لإحصائيات Allianz Commercial، أدى هذا التنفيذ المستمر للإجراءات والتقنيات الجديدة إلى انخفاض ملحوظ في الحوادث المميتة، من 40 لكل مليون رحلة في عام 1959 إلى 0.1 في عام 2015.

في قطاع الطيران، أدركوا منذ فترة طويلة أن هذا النموذج لن ينجح ببساطة إذا كان الناس يخشون الإبلاغ عن انتهاكات الإجراءات أو مشكلات الجودة أو غيرها من أسباب الحوادث. ولهذا السبب، تتضمن معايير الطيران متطلبات للإبلاغ غير العقابي وثقافة العدالة، مما يعني أن الإبلاغ عن المشاكل والمخالفات يجب ألا يؤدي إلى العقاب. ولدى مهندسي التطوير والعمليات مبدأ مشابه يطلقون عليه ثقافة عدم اللوم، والذي يستخدمونه عند تحليل الحوادث الكبرى. وهذا النهج ضروري أيضًا في مجال الأمن الإلكتروني.

هل لكل خطأ اسم؟

يعد نقيض ثقافة عدم اللوم هو فكرة أن “لكل خطأ اسم”، مما يعني أن شخصًا معينًا هو المسؤول. وبموجب هذا النهج، يمكن أن يؤدي كل خطأ إلى إجراءات تأديبية، بما في ذلك الفصل من العمل. ويُعتبر هذا المبدأ ضارًا ولا يؤدي إلى أمان أفضل.

• يخشى الموظفون المساءلة ويميلون إلى تشويه الحقائق أثناء التحقيق في الحوادث — أو حتى تدمير الأدلة.
• تؤدي الأدلة المشوهة أو المدمرة جزئيًا إلى تعقيد الاستجابة وتفاقم المحصلة النهائية، لأن فرق الأمان لا تستطيع تقييم نطاق الحادث بشكل سريع وصحيح.
• يمنع التركيز على لوم شخص واحد أثناء مراجعة حادث ما الفريق من التركيز على كيفية تغيير النظام لمنع تكرار الحوادث المماثلة.
• يخشى الموظفون الإبلاغ عن انتهاكات سياسات تكنولوجيا المعلومات والأمان، مما مما يُفوت على الشركة فرصًا لإصلاح الثغرات الأمنية قبل أن تؤدي إلى حادث خطير.
• ليس لدى الموظفين أي حافز لمناقشة قضايا الأمن الإلكتروني، أو توجيه بعضهم البعض، أو تصحيح أخطاء زملائهم.

لتمكين كل موظف من المساهمة بشكل حقيقي في أمان شركتك، فأنت بحاجة إلى نهج مختلف.

المبادئ الأساسية لثقافة عادلة

سواء أسميناه “الإبلاغ غير العقابي” أو “ثقافة عدم اللوم” – فإن المبادئ الأساسية واحدة:

• يرتكب الجميع أخطاء. ونتعلم من أخطائنا، ولا نعاقبهم. ومع ذلك، من المهم التمييز بين الخطأ غير المقصود والانتهاك المتعمد.
• عند تحليل حوادث الأمان، يجب مراعاة السياق العام، ونوايا الموظف، وأي مشاكل منهجية ربما تكون قد ساهمت في الموقف. على سبيل المثال، إذا كان معدل التغيير الكبير في الموظفين الموسميين في متاجر التجزئة مرتفعًا، مما يحول دون حصولهم على حسابات فردية، فقد يلجأون إلى مشاركة بيانات تسجيل دخول واحدة لجهاز نقطة البيع. هل تقع المسؤولية على عاتق مدير المتجر؟ على الأرجح لا.
• إلى جانب مراجعة البيانات الفنية والسجلات، يجب عليك أيضًا إجراء محادثات متعمقة مع جميع الأشخاص المشاركين في الحادث. ولتحقيق هذه الغاية، يتعين عليك بناء بيئة منتجة وآمنة يشعر فيها الأشخاص بالراحة لمشاركة وجهات نظرهم.
• ينبغي أن يكون الهدف من مراجعة الحادث هو تحسين السلوك وتحسين التكنولوجيا والعمليات في المستقبل. وفيما يخص الحوادث الخطيرة، يجب تقسيمها إلى شقين: استجابة فورية لتخفيف الضرر، وتحليل لاحق لتحسين أنظمتك وإجراءاتك.
• الأهم من ذلك، أن تتحلى بالانفتاح والشفافية. ويحتاج الموظفون إلى معرفة كيفية التعامل مع بلاغات المشاكل والحوادث، وكيفية اتخاذ القرارات. ويجب أن يعرفوا بالضبط إلى من يتوجهون إذا رأوا أو حتى اشتبهوا في وجود مشكلة أمنية. ويجب أن يثقوا بأن رؤساءهم ومختصي الأمن سيدعمونهم.
• السرية والحماية. يجب ألا يسبب الإبلاغ عن مشكلة أمنية مشاكل للشخص الذي أبلغ عنها أو للشخص الذي قد يكون متسببًا فيها، طالما أن كلاهما تصرف بحسن نية.

كيفية تنفيذ هذه المبادئ في ثقافة الأمان لدى مؤسستك

الحصول على دعم القيادة. لا تتطلب ثقافة الأمان استثمارات مباشرة ضخمة، لكنها تحتاج إلى دعم ثابت من فرق الموارد البشرية وأمان المعلومات والاتصالات الداخلية. ويجب أن يلمس الموظفون بأنفسهم دعم الإدارة العليا لهذا النهج بنشاط.

وثّق نهجك. يجب توثيق فلسفة ثقافة عدم اللوم في الوثائق الرسمية لشركتك، بدءًا من سياسات الأمان التفصيلية وصولاً إلى دليل بسيط وموجز يسهل على جميع الموظفين قراءته وفهمه. ويجب أن توضح هذه الوثيقة موقف الشركة من الفرق بين الخطأ والانتهاك المتعمد. ويجب أن تنص بشكل رسمي على أن الموظفين لن يتحملوا مسؤولية شخصية عن الأخطاء غير المتعمدة، وأن الأولوية الجماعية هي تحسين أمان الشركة ومنع تكرار تلك الحوادث في المستقبل.

أنشئ قنوات للإبلاغ عن المشكلات. وفّر للموظفين عدة طرق للإبلاغ عن المشاكل: قسم مخصص على شبكة الإنترانت الداخلية، أو عنوان بريد إلكتروني محدد، أو خيار إبلاغ مشرفهم المباشر. ومن الأفضل أن توفر أيضًا خطًا ساخنًا سريًا للإبلاغ عن أي مخاوف دون قلق.

درّب الموظفين. يساعد التدريب الموظفين على التعرّف على العمليات والسلوكيات غير الآمنة. استخدم أمثلة واقعية للمشاكل التي يجب عليهم الإبلاغ عنها، واستعرض معهم سيناريوهات الحوادث المختلفة. ويمكنك استخدام Automated Security Awareness Platform لتنظيم جلسات التدريب على الوعي بالأمن الإلكتروني. وحفّز الموظفين ليس فقط على الإبلاغ عن الحوادث، بل أيضًا على اقتراح تحسينات والتفكير في كيفية منع مشاكل الأمان في عملهم اليومي.

قم بتوعية القيادة. يجب أن يفهم كل مدير كيفية الاستجابة للبلاغات الواردة من فريقه. وينبغي أن يعرف كيفية إحالة البلاغ والجهة المناسبة لذلك، وكيفية تجنب خلق بيئة قائمة على اللوم في ثقافة عادلة. وعلّم القادة كيفية الاستجابة بطريقة تُشعر زملاءهم بالدعم والحماية. ويجب أن تكون ردود أفعالهم تجاه الحوادث وبلاغات الأخطاء بنّاءة. ويجب على القادة أيضًا تشجيع مناقشة قضايا الأمان في اجتماعات الفريق لتسيير الأمور بشكل طبيعي.

ضع إجراءات مراجعة عادلة لمراجعة الحوادث وبلاغات المشاكل الأمنية. ستحتاج إلى تشكيل “مجلس مراجعة بلا لوم” يضم مجموعة متنوعة من الموظفين من فرق مختلفة. وسيكون هذا المجلس مسؤولاً عن مراجعة البلاغات على الفور، واتخاذ القرارات، ووضع خطط عمل لكل حالة.

كافئ المبادرة. أثنِ علنًا على الموظفين الذين يُبلغون عن محاولات التصيد الإلكتروني الموجه أو الثغرات المكتشفة حديثًا في السياسات أو التكوينات، أو الذين يكملون التدريب على الوعي الأمني بشكل أفضل وأسرع من الآخرين. واذكر أسماء هؤلاء الموظفين المبادرين في النشرات الإخبارية الدورية لتكنولوجيا المعلومات والأمان.

أدمج النتائج في عمليات إدارة الأمان في مؤسستك. يجب إعطاء الأولوية لاستنتاجات واقتراحات مجلس المراجعة ودمجها في خطة المرونة الإلكترونية الخاصة بالشركة. وقد تؤثر بعض النتائج ببساطة على تقييمات المخاطر، بينما قد يؤدي بعضها الآخر مباشرةً إلى تغييرات في سياسات الشركة، أو تطبيق ضوابط أمنية تقنية جديدة أو إعادة تكوين الضوابط الحالية.

استفد من الأخطاء كفرص للتعلم. سيكون برنامج التوعية الأمنية الخاص بك أكثر فعالية إذا استخدم أمثلة واقعية من داخل مؤسستك. ولست بحاجة إلى ذكر أفراد محددين، لكن يمكنك الإشارة إلى الفرق والأنظمة، ووصف سيناريوهات الهجوم.

قم بقياس الأداء. لضمان فعالية هذه العملية وتحقيقها للنتائج المرجوة، يجب عليك استخدام مقاييس أمان المعلومات، بالإضافة إلى مؤشرات الأداء الرئيسية للموارد البشرية والاتصالات. ويجب أن تتبع متوسط وقت الإصلاح (MTTR) للمشاكل المحددة، ونسبة المشاكل المكتشفة من خلال بلاغات الموظفين، ومستويات رضا الموظفين، وعدد وطبيعة مشاكل الأمان المحددة، وعدد الموظفين المشاركين في اقتراح التحسينات.

استثناءات مهمة

لا تعني ثقافة الأمان أو ثقافة عدم اللوم إعفاء أي شخص من المساءلة على الإطلاق. على سبيل المثال، تتضمن وثائق سلامة الطيران المتعلقة بالإبلاغ غير العقابي استثناءات ضرورية. فلا ينطبق الاستثناء عندما ينحرف شخص ما عن عمد وبسوء نية عن اللوائح. ويمنع هذا الاستثناء أي موظف داخلي سرب بيانات إلى المنافسين من التمتع بحصانة تامة بعد اعترافه.

ويحدث الاستثناء الثاني عندما تتطلب اللوائح الوطنية أو الصناعية مساءلة الأفراد شخصيًا عن الحوادث والانتهاكات. وحتى مع هذا النوع من اللوائح، من الضروري الحفاظ على التوازن. وينبغي أن يظل التركيز منصبًا على تحسين العمليات ومنع وقوع الحوادث في المستقبل، وليس على تحديد المسؤول الذي يقع عليه اللوم. ولا يزال بإمكانك بناء ثقافة ثقة إذا كانت التحقيقات موضوعية، ولا تُفرض المساءلة إلا عند الضرورة ووجود مبرر.