بناء ثقافة الأمن السيبراني: الإنسان أولاً ثم التقنية
تشير التقارير العالمية عاماً بعد عام إلى الحقيقة ذاتها: الغالبية العظمى من الاختراقات الناجحة تبدأ من خطأ بشري — رسالة تصيّد، كلمة مرور معاد استخدامها، أو مشاركة وصول مع جهة غير موثوقة. ومع ذلك، ما تزال كثير من المنشآت تنفق تسعين بالمئة من ميزانية الأمن على التقنية وعشرة بالمئة فقط على الإنسان الذي يجلس خلف الشاشة. هذه المعادلة المقلوبة هي ما يجعل بناء ثقافة الأمن السيبراني أولوية لا تقل أهمية عن أي استثمار تقني.
لماذا تفشل حملات التوعية التقليدية؟
العرض التقديمي السنوي الإلزامي الذي ينقر الموظفون أزراره للوصول إلى شهادة الحضور لا يغيّر سلوكاً. والاعتماد على التخويف وحده يولّد إنكاراً لا حذراً، فالموظف الذي يخشى العقاب يخفي الحادثة بدل الإبلاغ عنها — وهنا تتضاعف الكارثة، لأن الدقائق الأولى بعد الاختراق هي الأثمن. كذلك تفشل الحملات التي تتعامل مع جميع الموظفين بمحتوى واحد، فالمخاطر التي تواجه المحاسب تختلف عن مخاطر المطوّر أو موظف الاستقبال، ولكلٍّ سيناريوهاته التي يجب أن يتدرّب عليها.
الثقافة الأمنية الحقيقية تبدأ من القمة. حين يستخدم الرئيس التنفيذي المصادقة متعددة العوامل دون تذمر، ويُبلغ عن رسالة مشبوهة وصلته أمام فريقه، فإنه يرسل رسالة أبلغ من ألف منشور توعوي. وحين تكافئ المنظمة من يُبلغ عن خطئه بدل معاقبته، تتحول الأخطاء من أسرار مدفونة إلى دروس مؤسسية تتراكم.
من الوعي إلى السلوك
الانتقال من «الموظف يعرف» إلى «الموظف يفعل» يتطلب ممارسة متكررة في سياق واقعي. محاكاة التصيّد الدورية — حين تُدار بروح التعلّم لا الاصطياد — تبني ذاكرة عضلية للتحقق قبل النقر. والتنبيهات اللحظية القصيرة عند السلوك الخطر أكثر أثراً من محاضرة طويلة بعد شهور. وفي برامجنا التدريبية المتخصصة نعتمد على ورش سيناريوهات حية: ماذا تفعل خلال الدقائق العشر الأولى من اكتشاف اختراق؟ من تُبلغ؟ وماذا توقف؟ فالأزمات لا تمنح أحداً وقتاً لقراءة السياسات.
وقياس الثقافة لا يقل أهمية عن بنائها، لكن احذر المؤشر الخادع: انخفاض نسبة النقر على رسائل المحاكاة وحده لا يكفي. المؤشر الأصدق هو ارتفاع نسبة الإبلاغ وسرعته، لأنه يقيس المبادرة لا التجنّب. أضف إليه مؤشرات مثل نسبة تفعيل المصادقة متعددة العوامل، وزمن الاستجابة للحوادث، ونتائج تقييمات السلوك الدورية، لتحصل على لوحة قياس تُظهر نضج الثقافة بصدق.
الخلاصة: التقنية شرط لازم للأمن السيبراني لكنها ليست كافية. المنشأة المحصّنة فعلاً هي التي يتصرف كل فرد فيها — من الحارس إلى الرئيس التنفيذي — بوصفه خط الدفاع الأول، عن وعي ومهارة وثقة، لا عن خوف.
د. صالح الصالح
مستشار الاستراتيجية والحوكمة وذكاء الأعمال
أستاذ علوم الحاسب المساعد بجامعة الملك سعود، حاصل على الدكتوراه في علوم الحاسب الآلي في مجال البيانات الضخمة وذكاء الأعمال من جامعة كوينزلاند للتقنية بأستراليا. شغل مناصب قيادية منها وكيل وزارة التعليم المساعد للشؤون المدرسية ومستشار ذكاء الأعمال بالهيئة العامة للجمارك السعودية، وأشرف على مشاريع حوكمة البيانات وأتمتة إجراءات العمل وتطبيق نظام إدارة الجودة ISO 9001. مدير مشاريع ممارس معتمد برخصة PRINCE2، ويقدّم برامج تدريبية في التخطيط الاستراتيجي ونمذجة وأتمتة الإجراءات واكتشاف المعرفة وإدارتها.
عرض الملف