بينما تحاول المؤسسات التنقل في أطر عمل الأمن السيبراني الحالية ، تظهر حقيقة غير ملائمة: في مرحلة ما ، حتى أفضل نظام سوف يتعثر أو يفشل. يمكن أن تؤدي الفوضى التي تلت ذلك إلى تعريض المؤسسة للخطر - كما تؤدي إلى الانهيارات الثقافية.
يقول ريتشارد موغول ، المؤسس والرئيس التنفيذي والمحلل في شركة الاستشارات الأمنية Securosis: "يبدأ الناس في إلقاء اللوم على بعضهم البعض".
ليس من المستغرب ، عندما يبدأ توجيه أصابع الاتهام ، يمكن أن يصبح الوضع قبيحًا سريعًا جدًا. على الأقل ، يمكن أن تشتعل الأعصاب. في أسوأ السيناريوهات ، قد يشعر الناس وكأنهم كبش فداء وينتهي بهم الأمر بتجاهل المخاطر - أو حتى الفرار من الشركة. وسط نقص حاد في العمالة في مجال الأمن السيبراني ، يمكن أن يؤدي ذلك إلى كارثة.
ونتيجة لذلك ، يُشار إلى إطار العمل باسم "مجرد ثقافة"يكتسب زخمًا. في حين أنه ليس حلاً سحريًا ، إلا أنه يمكن أن يساعد في توجيه المنظمات من خلال المشاكل الحتمية والمساعدة في إخماد الحرائق عندما ينحرف شيء ما عن مساره.
يوضح Mogull: "إنه يحاول إصلاح المشكلة الأساسية بدلاً من توجيه اللوم إلى فرد أو مجموعة".
الثقافة فقط لا تتعلق بإلغاء المسؤولية. كما أنها لا تحاول معالجة الثغرات والأعطال. ويؤكد المساءلة بالسؤال ، "ما الخطأ الذي حدث؟" بدلا من، "من تسبب في المشكلة؟" كما يقول بروس ماكولي ، كبير مسؤولي الأمن في شركة Galactic Advisors الاستشارية ، "إنها تدرك أن الثقافة هي مركز الأمن السيبراني الناجح."
تجاوز اللوم
الثقة والمساءلة والتحسين المستمر بمثابة الأساس لثقافة عادلة. تعود أصول هذا المفهوم إلى صناعة الطيران، على الرغم من أنها اشتعلت الرعاية الصحية والعديد من المجالات الأخرى.
يقول Mogull: "الإدراك هو أن العديد من الأخطاء والأخطاء تحدث لأن النظام به عيب متأصل". "إن ارتكاب الشخص لخطأ هو ببساطة عرض من أعراض المشكلة الأساسية."
يجادل المؤيدون بأن الأمن السيبراني مناسب تمامًا للثقافة فقط. لا يؤدي تشابك التطبيقات والأجهزة والسحابة والمستخدمين اليوم إلى جعل الأمان معقدًا بشكل لا يصدق فحسب ، بل يضمن أيضًا حدوث أخطاء ومشكلات. بدلاً من التركيز على الإهمال البشري ، تهدف الثقافة فقط إلى تحديد السبب الجذري للفشل ثم اتخاذ خطوات لإصلاحه.
يقول روبرت بولز ، رئيس شركة الأمن السيبراني Blokworx: "الثقافة التي تركز على اللوم والعقاب من غير المرجح أن تحقق أفضل النتائج الممكنة".
من ناحية أخرى ، يمكن أن يكون اكتشاف السبب الجذري للمشكلات أمرًا تحويليًا. يشبه Mogull الموقف بالمسعف الذي قد يدير الدواء الخطأ إذا بدت زجاجتان متشابهتان أو طيار طيران قد يتخذ قرارًا خاطئًا إذا تم الخلط بسهولة بين المقياسين.
"الهدف هو تقليل هامش الخطأ البشري والقضاء على العوامل التي تؤدي إلى مشكلة قبل حدوثها على الإطلاق" ، كما يقول.
ضمن الأمن السيبراني ، على سبيل المثال ، قد تُترجم الثقافة فقط إلى إعادة التفكير في البرامج وسير العمل لتجنب ظل تكنولوجيا المعلومات ، ووضع بروتوكولات مثل إدارة الهوية والوصول (IAM) والمصادقة متعددة العوامل (MFA) في مكانها الصحيح لتجنب فشل المصادقة ، واعتماد بروتوكولات مثل 802.1x للتحكم وإدارة الوصول إلى الشبكة بشكل أفضل ، بما في ذلك الأجهزة اللاسلكية.
من المؤكد أن المجموعة الصحيحة من الأدوات والتقنيات والقواعد تضيق - وفي بعض الحالات تقضي على - هامش الخطأ للبشر. عندما يتم دمجها مع معايير واضحة لما يشكل سلوكًا مقبولًا وغير مقبول ، أ ثقافة المساءلة يأخذ شكل.
عند هذه النقطة ، يتحول التركيز من اللوم إلى المسؤولية. يقول ماكولي: "إذا لاحظت أن الناس لا يتبعون سياسة ما ، فعليك أن تلقي نظرة فاحصة على كيف ولماذا لا يمتثلون". "قد تكون هناك عدة مشكلات يجب فحصها في مسار إصلاح المشكلة".
خارج نطاق الضوابط
في حين أنه من المغري والسهل بشكل ملحوظ العثور على هدف بشري عندما تنحرف الأمور عن مسارها ، إلا أن الناس يخطئون أحيانًا. عندما تحدد منظمة انتهاكًا واضحًا للسياسة ، أو إهمالًا جسيمًا ، أو نية خبيثة ، يجب أن تكون النتيجة إجراء تأديبيًا أو قانونيًا ، كما يقول ماكولي.
الثقافة فقط تدرك هذه الحقيقة. الانتهاكات المتعمدة والإهمال لا يتم كنسها تحت البساط. يتلقى الأفراد الذين يرتكبون أخطاء أقل ملاحظات ومدخلات حول كيفية تحسين سلوكهم ، مثل تجنب النقر فوق الروابط في رسائل البريد الإلكتروني أو تسجيل الدخول إلى شبكة Wi-Fi باستخدام نقطة اتصال عامة.
يعتمد نجاح مبادرة الثقافة العادلة أيضًا على أقوال وأفعال الجناح التنفيذي ، كما يقول موجول. يقول: "يجب على قادة الأعمال تحمل المسؤولية عن ثقافتهم وتحديد النغمة الصحيحة". "هذا يعني إلغاء لعبة إلقاء اللوم والترويج لفكرة أنه من الضروري إصلاح المشكلات الأساسية."
على سبيل المثال ، هناك حاجة إلى إنشاء آليات إبلاغ رسمية ، بما في ذلك قدرة الأشخاص على عدم الكشف عن هويتهم. من الأهمية بمكان أيضًا إنشاء عملية للتحقيق الشامل في الحوادث والتأكد من أنها تؤدي إلى الإجراءات المناسبة. على طول الطريق ، من الضروري إبقاء الدوائر الرئيسية في تكنولوجيا المعلومات ، والأمن ، والأعمال التجارية بشكل عام على اطلاع. أخيرًا ، من المهم مشاركة البيانات والاحتفال بالتحسينات والمعالجة الفعالة للمجالات التي تتطلب تغييرات.
يقول موجول إن ما يجعل الثقافة فقط قوية للغاية هو أن الناس يشعرون بالحرية في الإشارة إلى الأخطاء والمشاكل - ولا يُعاقبون بأي حال من الأحوال على فعل ذلك. بدلاً من توبيخ الأشخاص أو تفويضهم لإصلاح المشكلة التي اكتشفوها - أو على الأخطاء التي ارتكبوها عن غير قصد - تكافئهم المنظمة.
ويخلص موجول إلى أن "الهدف النهائي هو إنشاء ثقافة تتجاوز الأنا وكبش الفداء وتركز بدلاً من ذلك على الحد من المخاطر النظامية".
