پس از دو دهه توسعه معماریهای تکامل یافته تر امنیتی، سازمانها با یک حقیقت تلخ روبرو هستند: ابزارها و فناوریها به تنهایی برای کاهش خطرات سایبری کافی نیستند. با پیچیدهتر و توانمندتر شدن فناوریها، مهاجمان تمرکز خود را تغییر دادهاند. آنها دیگر تنها بر آسیبپذیریهای زیرساختی تمرکز نمیکنند. در عوض، آنها به طور فزایندهای از رفتار انسانی سوءاستفاده میکنند. در اکثر نقضهای امنیتی مدرن، بردار حمله اولیه یک سوءاستفاده از حفره امنیتی Zero-day نیست، بلکه سوءاستفاده از آسیبپذیریهای موجود در افراد است.
گزارش بررسیهای نقض دادهها توسط شرکت Verizon به مدت پنج سال نشان داده است که ریسک انسانی بزرگترین عامل نقض در سطح جهان است. آخرین نسخه این گزارش نشان میدهد که تقریباً در 60٪ از کل نقضها در سال 2024 یک عنصر انسانی دخیل بوده است. با این حال، در این زمینه، مهم است که به یک تصور غلط رایج پرداخته شود. عبارت “افراد ضعیفترین حلقه هستند” به این معنی است که کارمندان هنگام بروز نقضها نقش مهمی دارند. در بیشتر موارد، مشکل این نیست در واقع کاربران در امنیت شکست نمیخورند بلکه محیط امنیتی باعث شکست آنها میشود. اغلب اوقات، امنیت به طور غیرضروری پیچیده میشود. مفاهیم با یک زبان فنی گیجکننده و طاقتفرسا بیان میشوند و ممکن است برای تمامی کارمندان مجموعه قابل درک نباشد.
به نوبه خود، کاهش مؤثر ریسک انسانی صرفاً به پذیرش بیشتر فناوری یا اجرای سیاستها مربوط نمیشود. بلکه به پرورش یک فرهنگ امنیتی سازمانی قوی مربوط میشود که رفتار ایمن انسانی را ساده و پشتیبانی میکند. تا زمانی که فرهنگ امنیتی با همان اولویتبندی و سرمایهگذاری مانند فناوری امنیتی شما رفتار نشود، ریسک انسانی همچنان حتی بهترین برنامههای فنی طراحیشده را تضعیف خواهد کرد.
تعریف فرهنگ امنیتی سازمان
هر سازمانی از قبل یک فرهنگ امنیتی دارد. سوال کلیدی این است که آیا این همان فرهنگ امنیتی است که آنها واقعاً میخواهند.
فرهنگ امنیتی، طبق تعریف، برداشتها، باورها و نگرشهای مشترک در مورد امنیت سایبری در سراسر سازمان است. آیا افراد معتقدند که امنیت مهم است؟ آیا احساس مسئولیت میکنند؟ آیا خود را هدف میدانند؟ وقتی این ساختار اعتقادی قوی باشد، رفتار نیز به دنبال آن شکل میگیرد. اما وقتی این ساختار وجود ندارد، مانند زمانی که امنیت به عنوان شغل شخص دیگری یا مانعی برای بهرهوری تلقی میشود، میزان ریسک شما به صورت تصاعدی افزایش مییابد.
در عمل، این به معنای ارزیابی چهار محرک بزرگ فرهنگ امنیتی شماست: سیگنالهای رهبری، مشارکت تیم امنیتی، طراحی سیاست و آموزش امنیتی.
سیگنالهای مدیریتی: فرهنگ از بالا شروع میشود. برای مثال مدیران رده بالا با بودجهبندی برای امنیت، مرتبط کردن آن با پاداشها یا ارتقای رتبه مدیر ارشد امنیت اطلاعات در نمودار سازمانی، آن را در اولویت قرار دهند.
مشارکت تیم امنیتی: فقط مدیران نیستند که فرهنگ را شکل میدهند. تجربه روزمره افراد با امنیت اغلب به خود تیم امنیتی بستگی دارد. آیا وظایف آنها واضح هستند یا گیجکننده؟ آیا این وظایف توانمندساز هستند یا مسدودکننده؟ همه اینها مهم است.
طراحی سیاست: سیاستها یک نقطه تعامل ثابت هستند. اگر بیش از حد فنی، دشوار برای پیگیری یا پر از اصطکاک باشند، اعتماد را از بین میبرند. اگر ساده و شهودی باشند، این ایده را تقویت میکنند که امنیت قابل دستیابی است.
آموزش امنیت: این اغلب قابل مشاهدهترین بخش یک برنامه است، اما همچنین سوء تفاهم برانگیزترین بخش نیز هست. اگر آموزش شما خستهکننده، قدیمی یا نامربوط باشد، نشان میدهد که امنیت واقعاً اهمیتی ندارد. وقتی جذاب و کاربردی باشد، باوری ایجاد میکند که رفتار را هدایت میکند.
این چهار حوزه همچنین چارچوبی برای سنجش فرهنگ امنیتی سازمان را فراهم میکنند. از کارمندان خود بپرسید که در مورد مدیریت، تیم امنیتی، سیاستها و آموزش چه فکر میکنند و چه احساسی دارند. پاسخهای آنها به شما خواهد گفت که آیا فرهنگ سازمان شما کارآمد است یا نه؟
هماهنگی چهار اهرم فرهنگ امنیتی سازمان
ممکن است در سازمانی شنیده شود که امنیت در اولویت است، اما اگر سیاستها نامشخص باشند، آموزش نامتناسب باشد، یا تیمهای امنیتی انعطافناپذیر و غیرقابل دسترس باشند، اعتماد به سرعت از بین میرود.
به همین دلیل است که هماهنگی در هر چهار اهرم فرهنگی – مدیریتی، مشارکت تیم امنیتی، سیاست و آموزش – ضروری است. وقتی مدیران رده بالا به طور مشهود از طریق تأمین منابع و پاسخگویی، امنیت را در اولویت قرار میدهد، اهمیت استراتژیک را نشان میدهد. اما این پیام باید با نحوه تعامل تیم امنیتی با نیروی کار تقویت شود. اگر کارمندان احساس کنند که به خاطر اشتباهاتشان مجازات میشوند یا هنگام درخواست پشتیبانی، با مانع مواجه میشوند، کمتر تمایل دارند که در حفظ امنیت سایبری سازمان مشارکت فعال داشته باشند.
طراحی سیاست نیز به همان اندازه نقش مهمی ایفا میکند. وقتی سیاستها طولانی، فنی یا غیرعملی باشند، کارمندان حتی اگر این امر ریسک ایجاد کند، به روشهای راحتتر روی میآورند. راهنمایی سادهتر و شهودیتر، عمل ایمن را بدون کند کردن نتایج کسبوکار آسانتر میکند. همین اصل در مورد آموزش نیز صدق میکند. اگر آموزش قدیمی یا عمومی باشد، به یک تمرین ساده تبدیل میشود. اما وقتی مرتبط و مختص نقش باشد، به تقویت این نکته کمک میکند که امنیت بخشی از کار است – نه یک افزونه برای آن.
منبع:
thehackernews
