لطالما شكلت الحماية من التهديدات الرقمية أحد أهم شواغل الشركات. وحتى مع تبني سلسلة من الإجراءات والتطبيقات والحلول المبتكرة لمنع الاختراقات وسرقة البيانات، فإن الأمر لا يعتمد فقط على التقنيات المتقدمة، بل أيضاً على السلوك البشري. هذا ما يؤكده خبير الأمن السيبراني ليوناردو باياردي من شركة داتا رين، الذي يشير إلى أن 74% من الهجمات الإلكترونية ناجمة عن عوامل بشرية. ويؤكد باياردي على أهمية التدريب الكافي للموظفين في وضع استراتيجية أمنية فعالة.
يرى باياردي أن العنصر البشري هو الحلقة الأضعف في مواجهة المخاطر السيبرانية في بيئة الشركات. ويقول: "يجب على كل فرد في الشركة أن يدرك مسؤوليته عن أمن البيانات، ولا يتحقق ذلك إلا من خلال التدريب والمساءلة والتواصل بين الأقسام. يجب أن يكون الجميع على دراية بالمخاطر التي يتعرضون لها".
يُكمّل رأي الخبير ما ورد في تقرير العوامل البشرية لعام 2023 الصادر عن شركة بروفبوينت، والذي يُسلّط الضوء على الدور المحوري للعوامل البشرية في الثغرات الأمنية. تكشف الدراسة عن زيادةٍ قدرها 12 ضعفًا في حجم هجمات الهندسة الاجتماعية عبر الأجهزة المحمولة، وهو نوع من الهجمات يبدأ برسائل تبدو بريئة، مُولّدًا علاقات. ويعود ذلك، بحسب باياردي، إلى إمكانية التلاعب بالسلوك البشري. ويقول: "كما قال القرصان الأسطوري كيفن ميتنيك، فإن العقل البشري هو أسهل الأصول اختراقًا. ففي نهاية المطاف، يمتلك البشر جانبًا عاطفيًا شديد التأثر بالعوامل الخارجية، ما قد يدفعهم إلى اتخاذ قرارات متسرعة كالنقر على روابط خبيثة أو مشاركة معلومات حساسة".
تعد مجموعات التصيد المصممة لتجاوز المصادقة متعددة العوامل (MFA)، والهجمات القائمة على السحابة، والتي يتم استهداف ما يقرب من 94٪ من المستخدمين فيها كل شهر، من بين التهديدات الأكثر شيوعًا في التقرير.
الأخطاء الأكثر شيوعاً
ومن بين الأخطاء الأكثر شيوعًا التي تؤدي إلى خروقات أمنية، يذكر باياردي ما يلي: عدم التحقق من صحة رسائل البريد الإلكتروني؛ وترك أجهزة الكمبيوتر غير مقفلة؛ واستخدام شبكات الواي فاي العامة للوصول إلى معلومات الشركة؛ وتأخير تحديثات البرامج.
يوضح قائلاً: "قد تُسهِم هذه السلوكيات في اختراق الأنظمة وسرقة البيانات". ولتجنب الوقوع ضحية لعمليات الاحتيال، ينصح الخبير بتجنب النقر على الروابط المشبوهة. لذا، يقترح التحقق من المُرسِل، ونطاق البريد الإلكتروني، ومدى إلحاح الرسالة. ويضيف: "إذا استمرت الشكوك، يُنصح بتمرير مؤشر الماوس فوق الرابط دون النقر عليه، ما يسمح لك برؤية عنوان URL كاملاً. إذا بدا الرابط مشبوهاً، فمن المحتمل أن يكون خبيثاً".
التصيد الاحتيالي
يُعدّ التصيّد الاحتيالي أحد أكبر التهديدات الإلكترونية، حيث يستخدم البريد الإلكتروني للشركات كأداة للهجوم. وللحماية منه، يقترح باياردي اتباع نهج متعدد المستويات: توعية الموظفين وتدريبهم، بالإضافة إلى اتخاذ تدابير تقنية قوية.
يُعدّ تحديث البرامج وأنظمة التشغيل باستمرار أمرًا بالغ الأهمية للحدّ من الثغرات الأمنية. "تظهر ثغرات جديدة يوميًا. وأبسط طريقة لتقليل المخاطر هي تحديث الأنظمة باستمرار. أما في البيئات بالغة الأهمية، حيث لا يُمكن إجراء تحديثات مستمرة، فتُصبح هناك حاجة إلى استراتيجية أكثر فعالية."
يقدم مثالاً واقعياً يوضح كيف يساهم التدريب الفعال في منع الهجمات. "بعد تطبيق محاكاة التصيد الاحتيالي والتدريب عليه، لاحظنا زيادة ملحوظة في بلاغات الموظفين عن محاولات التصيد الاحتيالي، مما يدل على تحسن إدراكهم للتهديدات."
لقياس فعالية التدريب، يقترح باياردي تحديد نطاق واضح وإجراء محاكاة دورية باستخدام مقاييس محددة مسبقًا. "من الضروري قياس كمية ونوعية استجابات الموظفين للتهديدات المحتملة."
يستشهد المسؤول التنفيذي بتقرير صادر عن شركة Knowbe4 المتخصصة في تعليم الأمن السيبراني، والذي يُظهر أن البرازيل متأخرة عن دول مثل كولومبيا وتشيلي والإكوادور وبيرو. ويُسلط استطلاع عام 2024 الضوء على مشكلة إدراك الموظفين لأهمية الأمن السيبراني، لكنهم لا يفهمون تمامًا كيفية عمل التهديدات ووظائفها. ولذلك، يُؤكد الاستطلاع على أهمية ثقافة المؤسسة في تعزيز الممارسات الآمنة: "بدون برنامج مُطبق بفعالية لثقافة الأمن السيبراني، يستحيل قياس مستوى نضج الشركة في هذا الجانب".
يتولى هذا المتخصص أيضًا مسؤولية قيادة تقديم خدمات الأمن السيبراني التي تروج لها شركة داتا رين، والتي توفر حلولًا قوية وسريعة التنفيذ، مثل أمن البريد الإلكتروني، وتقييمات الامتثال والثغرات الأمنية، وأمن نقاط النهاية، وحوكمة الحوسبة السحابية. ويضيف: "يمثل الأمن السيبراني تحديًا مستمرًا، ويُعدّ العنصر البشري أساسيًا لضمان حماية المعلومات وسلامة الأنظمة. فالاستثمار في التدريب والتوعية هو استثمار في أمن المؤسسة بأكملها. وتُرفق جميع خدماتنا بنقل المعرفة، مما يُتيح لنا رفع مستوى وعي العميل بالمخاطر".
