أمن الأعمال
إن الفشل في ممارسة ما تبشر به، خاصة عندما تكون هدفًا مثيرًا للجهات الفاعلة السيئة، يخلق موقفًا محفوفًا بمخاطر كبيرة
30 نوفمبر 2023
•
,
5 دقيقة. اقرأ
عندما يتعلق الأمر بالأمن السيبراني للشركات، فإن القيادة بالقدوة أمر مهم. نعم، من المهم لكل موظف أن يلعب دوره في العمل ثقافة الأمن حسب التصميم. لكن إشاراتهم في أغلب الأحيان تأتي من الأعلى. إذا لم يتمكن مجلس الإدارة والقيادة العليا من تخصيص الوقت لتعلم أساسيات النظافة الإلكترونية، فلماذا يتعين على بقية الشركة القيام بذلك؟
ومما يزيد الأمور تعقيدًا أن المديرين التنفيذيين هم أنفسهم هدف ذو قيمة كبيرة للجهات الفاعلة في مجال التهديد، نظرًا لقدرتهم على الوصول إلى المعلومات الحساسة والسلطة التي يتمتعون بها للموافقة على التحويلات البنكية للأموال الكبيرة. لذا فإن الفشل في ممارسة ما يبشرون به يمكن أن يؤدي إلى أضرار مالية كبيرة وأضرار في السمعة.
في الواقع ، أ تقرير جديد من ايفانتي يكشف عن "فجوة سلوكية" كبيرة في مجال الأمن السيبراني بين ما يقوله كبار المسؤولين التنفيذيين وما يفعلونه. وينبغي أن يكون إغلاقه مسألة ملحة لجميع المنظمات.
فجوة السلوك
التقرير نفسه عالمي بطبيعته، وقد تم إعداده من مقابلات مع أكثر من 6,500 من القادة التنفيذيين ومحترفي الأمن السيبراني وموظفي المكاتب في أوروبا والولايات المتحدة والصين واليابان وأستراليا. ومن بين أمور أخرى، فإنه يكشف عن انفصال كبير بين ما يقوله قادة الأعمال وما يفعلونه بالفعل. على سبيل المثال:
- يزعم جميعهم تقريبًا (96٪) أنهم "يدعمون على الأقل بشكل معتدل ولاية الأمن السيبراني لمؤسساتهم أو يستثمرون فيها"
- 78% يقولون أن المنظمة توفر ذلك التدريب الأمني الإلزامي
- 88% يقولون "إنهم على استعداد للتعرف على التهديدات مثل البرامج الضارة والتصيد والإبلاغ عنها"
حتى الان جيدة جدا. لكن لسوء الحظ هذه ليست القصة بأكملها. في الواقع، العديد من قادة الأعمال أيضًا:
- طلبوا التحايل على واحد أو أكثر من الإجراءات الأمنية في العام الماضي (49%)
- استخدم كلمات مرور سهلة التذكر (77%)
- انقر على روابط التصيد (35٪)
- استخدم كلمات المرور الافتراضية لتطبيقات العمل (24%)
غالبًا ما يكون السلوك التنفيذي أقل بكثير من الممارسات الأمنية المقبولة. كما أنها ملحوظة عند مقارنتها بالموظفين العاديين. يقول 14% فقط من الموظفين أنهم يستخدمون كلمات المرور الافتراضية، مقابل 24% من المديرين التنفيذيين. ووفقاً للتقرير، فإن المجموعة الأخيرة أكثر عرضة بثلاث مرات لمشاركة أجهزة العمل مع مستخدمين غير مصرح لهم. من المرجح أيضًا أن يصف المسؤولون التنفيذيون تفاعلهم السابق مع أمن تكنولوجيا المعلومات بأنه "محرج" وأكثر احتمالًا بنسبة 33% أن يقولوا إنهم "لا يشعرون بالأمان" عند الإبلاغ عن أخطاء مثل النقر على روابط التصيد الاحتيالي.
خطوات التخفيف من التهديد التنفيذي
وهذا أمر مهم، بسبب حقوق الوصول التي يتمتع بها كبار القادة عادةً في المؤسسة. إن الجمع بين هذا، والممارسات الأمنية السيئة و"الاستثناء التنفيذي" - الذي يدفع الكثيرين إلى المطالبة بحلول بديلة قد يُحرم منها الموظفون العاديون - يجعلهم هدفاً جذاباً. ويزعم التقرير أن 47% من المديرين التنفيذيين كانوا هدفًا معروفًا للتصيد الاحتيالي في العام الماضي، مقابل 33% من العاملين العاديين في المكاتب. و 35% النقر على رابط ضار أو أرسلوا الأموال، مقارنة بـ 8% فقط من الموظفين.
غالبًا ما يتحدث خبراء الأمن عن الحاجة إلى الأمن حسب التصميم أو الثقافة المرتكزة على الأمن، حيث ينتشر الوعي بأفضل الممارسات والنظافة السيبرانية في جميع أنحاء المنظمة بأكملها. ويكاد يكون من المستحيل تحقيق ذلك إذا لم تجسد القيادة العليا هذه القيم نفسها. إذًا، ما الذي يمكن للمؤسسات فعله للتخفيف من المخاطر المرتبطة بالأمن السيبراني والتي يسببها مديروها التنفيذيون؟
- - إجراء تدقيق داخلي للنشاط التنفيذي خلال العام الماضي. يمكن أن يشمل ذلك النشاط على الإنترنت، والسلوك الخطير المحتمل مثل النقرات المحظورة للتصيد الاحتيالي، والتفاعلات مع مسؤولي الأمن أو تكنولوجيا المعلومات. هل هناك أي أنماط جديرة بالملاحظة مثل الإفراط في المخاطرة أو سوء الفهم؟ ما هي الدروس المستفادة؟
الهدف الأكثر أهمية من هذا التمرين هو فهم مدى اتساع فجوة السلوك التنفيذي، وكيف تظهر في مؤسستك. قد تكون هناك حاجة إلى إجراء تدقيق خارجي للحصول على منظور طرف ثالث بشأن الأشياء.
- تعامل مع الفاكهة المتدلية أولاً. وهذا يعني الأنواع الأكثر شيوعًا من الممارسات الأمنية السيئة والتي يسهل إصلاحها. وقد يعني ذلك تحديث سياسات الوصول لتفويض المصادقة الثنائية (2FA) للجميع، أو إنشاء سياسة تصنيف البيانات وحمايتها التي تضع مواد معينة خارج حدود مديرين تنفيذيين محددين. ولا يقل أهمية تحديث السياسة عن نشرها بانتظام وشرح سبب كتابتها، من أجل تجنب المواجهة التنفيذية.
يجب أن يكون التركيز طوال هذه العملية على وضع ضوابط غير تدخلية قدر الإمكان، مثل الاكتشاف التلقائي للبيانات وتصنيفها وحمايتها. سيساعد ذلك على تحقيق التوازن الصحيح بين الأمن والإنتاجية التنفيذية.
- ساعد المديرين التنفيذيين على الربط بين الممارسات الأمنية الخاطئة ومخاطر الأعمال. إحدى الطرق الممكنة للقيام بذلك هي عن طريق إجراء جلسات تدريبية تستخدم تقنيات التلعيب وسيناريوهات العالم الحقيقي لمساعدة المديرين التنفيذيين على فهم تأثير سوء النظافة السيبرانية. ويمكن أن يفسر كيف أدى رابط التصيد الاحتيالي إلى اختراق أحد المنافسين الرئيسيين، على سبيل المثال. أو كيف أ هجوم اختراق البريد الإلكتروني التجاري خدع أحد المسؤولين التنفيذيين لتحويل ملايين الدولارات إلى المحتالين.
ولا ينبغي لمثل هذه التمارين أن تركز فقط على ما حدث، وما هي الدروس التي يمكن تعلمها من منظور تشغيلي، بل يجب أن تركز أيضًا على التأثير البشري والمالي وعلى السمعة. سيكون المسؤولون التنفيذيون مهتمين بشكل خاص بمعرفة كيف أدت بعض الحوادث الأمنية الخطيرة إلى أقرانهم إجبارهم على الخروج من أدوارهم.
- العمل على بناء الثقة المتبادلة مع القيادة العليا. سيؤدي هذا إلى إخراج بعض قادة تكنولوجيا المعلومات والأمن من منطقة الراحة الخاصة بهم. وكما يوضح التقرير، يجب أن يعني ذلك "الصدق والدعم الودي" بدلاً من "الإدانة أو التعالي" الذي غالباً ما يتبع عندما يرتكب الموظف خطأً.
وينبغي أن يكون التركيز على التعلم من الأخطاء بدلا من التركيز على الأفراد. نعم، يجب عليهم أن يفهموا عواقب أفعالهم، ولكن دائمًا في إطار التحسين المستمر والتعلم.
- خذ بعين الاعتبار برنامج الأمن السيبراني "القفاز الأبيض" لكبار القادة. من المرجح أن يقول المسؤولون التنفيذيون أكثر من الموظفين العاديين أن تفاعلاتهم مع الأمن تبدو غريبة. إن نظافتهم السيبرانية أسوأ، وهم هدف أكبر للجهات الفاعلة في مجال التهديد. وهذه كلها أسباب وجيهة لتكريس اهتمام خاص لهذه الزمرة الصغيرة نسبيا من كبار القادة.
فكر في إنشاء نقطة اتصال خاصة للتفاعل مع المديرين التنفيذيين، والتدريب المصمم خصيصًا وعمليات التشغيل/الإخراج. والهدف هو بناء الثقة وأفضل الممارسات، وتقليل العوائق التي تحول دون الإبلاغ عن الحوادث الأمنية.
وسوف تتطلب العديد من هذه الخطوات تغييراً ثقافياً، وهو أمر سيستغرق بطبيعة الحال بعض الوقت. ولكن من خلال الصدق مع المديرين التنفيذيين، ووضع العمليات والضوابط الصحيحة وتعليمهم عواقب سوء النظافة السيبرانية، سيكون لديك فرصة كبيرة للنجاح. الأمن رياضة جماعية، لكن يجب أن تبدأ بالقائد.
قبل ان تذهب: 6 خطوات للانضمام إلى برنامج الأمن السيبراني الخاص بك
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.welivesecurity.com/en/business-security/executives-behaving-badly-manage-executive-cyberthreat/
