أصبحت مخاطر التواجد على الإنترنت شديدة بشكل متزايد بالنسبة للشركات. وفي العامين الماضيين، تعرضت 77% من الشركات لحادث إلكتروني واحد على الأقل. ولذلك من المفهوم أن ترغب الشركات في تنفيذ تدابير للتخفيف من هذه المخاطر. وهنا يمكن أن يكون تدريب الموظفين على الوعي بالأمن الإلكتروني مفيدًا. على سبيل المثال، وفقًا لبحث أجرته Kaspersky عن التهديدات التي تواجهها الشركات ذات الأحجام المختلفة، فإن الاستخدام غير المناسب لموارد تكنولوجيا المعلومات وانتهاك أمان تكنولوجيا المعلومات من قبل الموظفين يشكلان اثنين من أكبر التهديدات التي تواجهها الشركات، حيث يبلغ متوسط تكلفة حادث واحد 337,561 دولارًا أمريكيًا. علاوة على ذلك، كانت 38% من الحوادث الإلكتروني في الشركات ناجمة عن خطأ بشري حقيقي، وكانت 26% بسبب انتهاكات سياسة أمان المعلومات.
يعد التدريب على الوعي الأمني أداة أساسية للشركات أو المؤسسات التي ترغب في حماية بياناتها بشكل فعال وتقليل عدد الحوادث المتعلقة بالبشر وتقليل تكلفة الاستجابة والتأكد من فهم موظفيها لكيفية التعامل بشكل مسؤول مع بيانات العملاء والتنقل بأمان عبر الإنترنت. ووفقاً لتقرير Kaspersky في عام 2022، إذا كان الموظفون على دراية ويفهمون ما يتعين عليهم فعله في حالة وقوع حادث يتعلق بالأمان، تقل فرصة اختراق المهاجم للبنية التحتية للشركة. وتم تطوير هذه البرامج وتقديمها بواسطة خبراء تكنولوجيا المعلومات والأمان، وتشترك في هدف مشترك هو محاولة المساعدة في مكافحة الخطأ البشري الذي يؤدي إلى اختراق البيانات والمعلومات المسروقة والذي يمكن أن تؤدي بالتالي إلى خسائر مالية وإلحاق الضرر بسمعة الشركة. لكن ما الذي يشكل برنامجًا تدريبيًا ناجحًا؟ وكيف تستطيع الشركة ضمان بقاء الأمن الإلكتروني في مقدمة اهتمامات الموظفين؟ تعرف على الإجابات على كل هذا وأكثر أدناه.
التدريب على الوعي الأمني هو برنامج تعليمي يمكن أن يتخذ أشكالاً مختلفة. لكن، يوجد هدف نهائي واحد لجميع البرامج: تزويد موظفي الشركة بالمعرفة والمهارات التي يحتاجونها لحماية بيانات الشركة والمعلومات الحساسة من الاختراق أو التصيد الاحتيالي أو غيرها من الانتهاكات التي ستحمي بدورها البنية التحتية لتكنولوجيا المعلومات في الشركة. وهناك العديد من الجوانب المختلفة للتدريب على الوعي الإلكتروني، وسيغطي البرنامج الجيد العديد من هذه الجوانب لمنح الموظفين مجموعة مهارات شاملة لإدارة البيانات والنشاط عبر الإنترنت بأمان.
بموجب القانون، يتعين على بعض الشركات الالتزام ببعض لوائح الصناعة، مثل
اللائحة العامة لحماية البيانات (GDPR) أو حتى قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، وكجزء من هذه الأمثلة، يجب عليهم تقديم تدريب على الأمن الإلكتروني للموظفين. ويحدث هذا عادةً مرة أو مرتين سنويًا لإبقاء الموظفين على اطلاع بأحدث مشكلات الأمن الإلكتروني، التي تتطور باستمرار.
نظرًا لأن العديد من اختراقات الأمن الإلكتروني يمكن أن تكون نتيجة خطأ بشري وهندسة اجتماعية، تحتاج الشركات إلى التأكد من أن موظفيها على دراية بمدى تعرضهم للهجمات والانتهاكات وأنهم قادرون على مواجهة هذه التهديدات قدر الإمكان. ولهذا السبب يعد تدريب الموظفين على الوعي الأمني عاملاً بالغ الأهمية. ويُثقف التدريب الفعال على الوعي الإلكتروني الموظفين بخصوص تهديدات الأمن الإلكتروني الموجودة ضد الشركة، ويساعدهم على فهم الثغرات الأمنية المحتملة، ويُعلمهم العادات المناسبة للتعرف على علامات الخطر وتجنب الانتهاكات والهجمات وكذلك ما يجب فعله إذا ارتكبوا خطأ أو كانت لديهم أي شكوك. بالإضافة إلى ذلك، ستحتاج العديد من الشركات إلى تنفيذ التدريب على الأمن الإلكتروني للتأكد من تلبيتها لوائح الامتثال.
تمنح برامج الوعي الأمني الناجحة الموظفين القدرة على فهم مسؤوليتهم عن الأمن الإلكتروني في الشركة وأن يكونوا على أهبة الاستعداد عند العمل مع بيانات الشركة - أثناء الاتصال بالإنترنت، وأثناء استخدام أجهزة الشركة، وفي المكتب وعند العمل عن بُعد. ويمكن أن يقلل هذا بشكل كبير من تعرض الشركة للهجمات الإلكترونية واختراقات البيانات.
وفقًا لاستبيان العامل البشري لعام 2023 الذي أجرته Kaspersky، عند تحليل عامل الخطأ البشري لكيفية وقوع حوادث الأمان في مكان العمل، كان العامل الأكثر شيوعًا للموظفين هو تنزيل البرامج الضارة، وكان الثاني استخدام كلمات مرور ضعيفة أو الفشل في تغييرها بانتظام. ويسلط هذا الضوء على الحاجة إلى أن يكون برنامج الوعي الأمني الجيد شاملاً، ويغطي مجموعة متنوعة من العناصر التي تجتمع معًا لمنح الموظفين رؤية شاملة للأمن الإلكتروني وما يعنيه للشركة. وقد يشمل ذلك، على سبيل المثال، تعلم عادات الصحة الجيدة لكلمات المرور، والقدرة على التعرف على عمليات الاحتيال المتعلقة بالهندسة الاجتماعية، وإظهار عادات البريد الإلكتروني الآمنة، واتباع اللوائح القانونية.
بينما توجد العديد من مواضيع الأمان التي يمكن تغطيتها، فإن برنامج كل شركة سيكون مختلفًا قليلاً بناءً على احتياجاتها. ومع ذلك، ستكون العديد من عناصر تهديدات الأمن الإلكتروني وعمليات الحماية ذات صلة بكل شركة، على النحو المبين أدناه:
لا يحتاج برنامج التدريب الجيد للوعي بالأمن الإلكتروني إلى تغطية جميع المواضيع المذكورة أعلاه فحسب، بل يجب أن يتضمن أيضًا تنسيقات مختلفة، مما يجعل التدريب جذابًا ويستخدم التقنيات التي تساعد في تذكر المواد. بالإضافة إلى ذلك، يجب أن يتضمن برنامج التدريب الجيد العديد من الحالات الواقعية حتى يشعر الموظفون بالارتباط بالواقع. ولا ينبغي أن يجيب التدريب الشامل فقط على الأسئلة حول ما هو مسموح به وما هو غير مسموح به، بل يجب أيضًا أن يتناول سيناريوهات "ماذا لو" وما يجب فعله إذا فشل حل الأمن الإلكتروني في اكتشاف التهديد ووقع هجوم. ومن المهم للغاية أيضًا تعزيز المهارات من خلال عمليات المحاكاة أو عناصر اللعب.
من المهم وجود فهم شامل للوعي الأمني، لكن من الضروري بالقدر ذاته تنفيذ الإستراتيجيات الصحيحة. إذًا، ما الإستراتيجيات التي يجب على الشركات أن تحاول تنميتها من خلال التدريب على الوعي بالأمن الإلكتروني للموظفين؟ توجد تدابير عديدة يمكن للشركات اتخاذها لتحسين احتمالية نجاح برامجها. وفيما يلي بعض أفضل الممارسات التي يجب وضعها في الاعتبار:
في تقرير العامل البشري 360 لعام 2023 الصادر عن Kaspersky، سُئل المشاركون في الاستبيان عن المكان الذي من المرجح أن تستثمر فيه شركاتهم في الأمن الإلكتروني خلال 12 إلى 18 شهرًا القادمة، وأبرز التقرير أن 39% من المشاركين كانوا مهتمين بالاستثمار في الدورات التدريبية لمحترفي الأمن الإلكتروني، و38% % كانوا من المرجح أن يستثمروا في التدريب العام للموظفين، من بين مجالات أخرى. لذلك من المهم أن نفهم أن زيادة المعرفة الإلكترونية والاستثمار فيها لدى الموظفين يعد إجراءً ضروريًا لضمان الحماية الشاملة للشركة. وليس هذا فحسب، بل من المهم جدًا اختيار البرنامج التعليمي المناسب الذي سيغطي جميع المواضيع الضرورية ويحتوي على أساليب حديثة للتدريس لإحداث تأثير حقيقي على تغيير السلوك الإلكتروني. ومن خلال إشراك جميع المستويات في الشركة، حتى المستوى التنفيذي، إلى جانب دعم إدارة الشركة، سيؤدي ذلك إلى التنفيذ الناجح والحفاظ على بيئة آمنة عبر الإنترنت.
المقالات والروابط ذات الصلة:
ما المقصود بأمان نقطة النهاية وكيف يعمل؟
طرق تجنب هجمات الهندسة الاجتماعية
المنتجات والخدمات ذات الصلة:
Kaspersky Security Awareness Training