«كور سيكيورتي» تضع قواعد لنجاح حماية البيانات في المؤسسات

لا يعتبر تحقيق النجاح في إجراءات وخطط حماية المعلومات والبيانات داخل الشركة أو المؤسسة أمراً تقنياً محضاً، بل إنسانياً وسلوكياً ونفسياً إلى حد كبير، بسبب التقارب الشديد بين تأثير ما هو تقني وما هو إنساني على هذه الخطط والإجراءات، بحيث تبدو المسافة بينهما أشبه بشعرة دقيقة تفصل بين ضرورة تفعيل إمكانات وقدرات ما هو تقني، وضرورة تفادي نشأة الإحساس بمعاملة المستخدمين كمجرمين. وبين الضرورتين يبدو الأمر أشبه بمعضلة، لا مخرج لها إلا بالتعامل مع حماية البيانات على أنها «ثقافة لا تقنية».

هذا ملخص «نداء» وجهه فريق من خبراء أمن المعلومات في مؤسسة «كور سيكيورتي» المتخصصة في بحوث أمن المعلومات إلى مديري تقنية المعلومات والقائمين على إجراءات حماية البيانات بالمؤسسات والشركات المختلفة، في ضوء مسح ميداني تتبعوا فيه أثر الجانب النفسي والسلوكي على فرص نجاح خطط حماية البيانات والمعلومات وتأمين الشبكات ضد الهجمات والخروقات والتهديدات المختلفة، وفي ضوء نتائج المسح حددوا مجموعة من الخطوات حول كيفية تحسين حماية البيانات والمعلومات، دون معاملة المستخدمين مثل المجرمين.

تحكم قوي

وقال كبير مسؤولي التقنية في مؤسسة «كور سيكيورتي»، والمشرف على المسح، كيث غراهام، إن عناصر التحكم الأمنية القوية ستعمل على حماية الشركة المؤسسة، لكنها قد تؤدي أيضاً إلى إعاقة أو إزعاج المستخدمين، فتحدث ردة فعل عكسية، إما تعطل العمل والإنتاج أو تقود خطط الحماية للانهيار، وإذا كانت أدوات التأمين والتحكم بالشركة مقيدة للغاية وتعاقب الموظفين والمستخدمين، فسيشعرون بالاستياء، ويكون رد الفعل هو القفز من الأطواق، والبحث عن طرق للتحايل على عناصر التأمين، أما إذا كانت إجراءات الحماية متساهلة أكثر من اللازم، فإن نشاط الشركة أو المؤسسة يتعرض لضرر بالغ، وتصبح بياناتها السرية عرضة للتسريب والاختراق والسرقة.

سلوك نفسي

وأضاف أن المسح يؤكد على الأهمية القصوى لأخذ الجانب السلوكي النفسي المعرفي للموظفين والمستخدمين في الحسبان عند تنفيذ خطط التأمين، فمعظم الناس عادة لا يحبون، وربما لا يطيقون أو يكرهون المضي في حياتهم وأعمالهم وهم يلتزمون بالإجراءات التي يطلبها أمن المعلومات الجيد المستوى، والكثيرون يفضلون القيام بأعمالهم بسهولة من خلال خطوات مختصرة سريعة لا تتقيد بإجراءات معينة، ويعتبر الالتفاف حول إجراءات أمن المعلومات من أسهل وأبسط الخطوات المختصرة التي يتم اللجوء إليها في هذا الصدد، وفي معظم الأحوال يشعر هؤلاء، سواء على سبيل الخطأ أو الصواب، أنه ليس لديهم حافز أو دافع لتطبيق إجراءات أمن المعلومات، وليس هناك تبعات أو نتائج عليهم مواجهتها حينما لا يتوافقون مع قواعد وإجراءات أمن المعلومات.

حوافز ودوافع

ويشكل هذا الأمر نوعاً من «الثقافة السائدة» في التعامل مع إجراءات حماية البيانات والمعلومات، ومواجهة هذه الثقافة تتطلب أن تكون هناك حوافز أو دوافع لدى الأفراد والمستخدمين بالمؤسسات، تشجعهم طوعاً على التغيير، وتجعلهم يتقبلون ثقافة أمن المعلومات الجديدة، التي ربما تتطلب منهم مزيداً من الوقت، ومزيداً من الجهد في ما يقومون به من أعمال وتصرفات وسلوكيات.

وهذه الحوافز نفسها لابد أن تتصف بمجموعة من الصفات كي تصبح فعالة وتلقى قبولاً لدى الموظفين والمستخدمين في الشركة، وتنقل للجميع أن هناك نوعاً من الثواب والعقاب على الأنشطة التي من شأنها التأثير سلباً أو إيجاباً في أمن المعلومات المتعلق بمسؤولياتهم الوظيفية وسلوكياتهم العامة.

ويعتبر هذا العامل من أهم الدوافع التي من شأنها تكريس وتدعيم ثقافة أمن المعلومات بالشركة، ففكرة الثواب والعقاب ليست فكرة حديثة، لكنها من الدوافع والحوافز التقليدية القديمة المتبعة في جميع الحالات، ومن المفيد استخدامها لتقوية أمن المعلومات.

ومن المهم الانتباه إلى أنه لا يتعين أن تقدم المحفزات إلى الموظفين والمستخدمين بالمؤسسة أو الشركة دفعة واحدة، بل يتطلب الأمر تمهيداً تدريجياً من خلال شرح التهديدات الأمنية الموجودة، وكيفية استخدام تدابير محسنة لتجنبها.

ميزات حوافز تدعيم ثقافة أمن المعلومات

■التوافق مع القوانين والإجراءات والقواعد السائدة بالمكان الذي ستقدم فيه.

■وجود تقارير حقيقية وصادقة وأمينة ودورية حول تأثيراتها ومدى قبولها في المجتمع.

■تلبي احتياجات إدارة أمن المعلومات أثناء المراجعات الداخلية للتوافق معها

■تحظى بالاحترام والثقة من قبل العاملين والإداريين من مختلف المستويات.

■تحقق أو تعمل على إيجاد علاقات جيدة وتفاعلات بناءة مع العاملين.

■تؤدي إلى تدعيم وتقوية أعمال تتصف بالاهتمام والفاعلية والتلاؤم مع البيئة المحيطة.

■تتبع وتتوافق مع أخلاقيات الأفراد والمبادئ الاجتماعية والمجتمعية السائدة ولا تتصادم معها.

■تقلل على نحو واضح ومحسوس من مخاطر أمن المعلومات.

■تحقق خبرات شخصية جيدة في ما يتعلق بحوادث أمن المعلومات أو فقدها.

■تسهم في تعليم وتعلم الخبرات السيئة والجيدة في أمن المعلومات للآخرين.

■تظهر درجة من الاقتراب الشخصي مع العاملين، وأن تحقق الرضا لدى المديرين والرؤساء.

■تحمي السمعة والخصوصية الشخصية للجميع.

■يشعر الجميع بأنها أداة من أدوات التفوق والتميز في المنافسة مع الآخرين.

■تحقق شيئاً يتصف بالترفيه والمتعة حال الالتزام بها من خلال تلاؤمها مع أجواء العمل.

■الشعور بالإنجاز والرضا لدى من يلتزم بها من خلال إحساسه بأنه أدى وظيفته كما يجب.

■تحقق لدى من يلتزم بها شعوراً بالقوة والتآخي أو المساواة مع من لديهم القوة.

■تعتمد على أدوات جيدة في عرض الخبرات الجيدة وتجنب الخبرات السيئة.

■تمنع الحوادث السيئة من أن تقع ثانية.

محفزات للتشجيع

■التقدم وتدعيم المركز الوظيفي.

■منح فوائد وتفضيلات جديدة.

■إجازات إضافية.

■هدايا وجوائز.

■جوائز مالية كعلاوات بالمرتب أو مكافآت.

إجراءات عقابية

■فقد الوظيفة والتخفيض الوظيفي.

■تقليل المنافع والتفضيلات.

■الخصم من الراتب وإجراءات قانونية.

■الإعلان عن أنه شخص غير متوافق مع قواعد أمن المعلومات السائدة داخل الشركة.