آخر تحديث: الخميس | التاريخ: 2021/07/29

لماذا تتسرب البيانات؟ وماذا يعني ذلك بالنسبة لموظفيك؟

لماذا تتسرب البيانات؟ وماذا يعني ذلك بالنسبة لموظفيك؟

ما تبعات تسرب البيانات على الموظفين؟ للإجابة على هذا السؤال، نبدأ باستكشاف الأسباب الكامنة وراء معظم هذه الحوادث، والتي أراها تعود في كثير من الأحيان إلى الإهمال أو عدم تحلي الموظف بالمسؤولية أو عدم كفاءة الطاقم الإداري. وبعبارة أخرى، أيما كان منظورك، فإن العامل البشري يكمن في لب المشكلة.

عندما يعجز الموظفون عن تحمل المسؤولية

جرب أن تسأل الموظفين عما يمكن إحداثه من تغييرات في سير عملهم بما يساعدهم على تحسين الإنتاجية ورفع مستوى الرضا الوظيفي. ويطمح الناس بشكل عام إلى العمل بأيما طريقة تناسبهم، دون تدخل من الآخرين. فمثلاً، أن يتمتعوا بحقوق المسؤول على أجهزة الكمبيوتر الخاصة بهم، فيكون لهم الحق في تثبيت أي برنامج، والوصول إلى بيانات وأنظمة أفراد فريقهم حسبما يريدون. يريدون دعوة ضيوف إلى المكتب، وأمور كهذه.

في الوقت نفسه، لا تكاد تجد من هو مستعد حقًا لتحمل المسؤولية عما يريد أو ترتاح له نفسه. يقبع الكثير من الموظفين (وأحيانًا مديروهم) قانعين بما هم فيه، ظانين أنهم محميون بصورة ما، وأنهم أيما فعلوا فستتدخل بعض القوى الخارقة لنجدتهم. ونحن بطبيعة الحال كخبراء في الأمن الإلكتروني للشركات نبذل قصارى جهدنا لحماية المستخدمين، لكننا لسنا خارقين.

القرارات الإدارية الخاطئة

السبب الثاني لأكثر الحوادث خطورة هو، بشكل عام، الإدارة غير الفعالة لمجريات العمل، والتي تشمل اتخاذ إجراءات، أو التقاعس عن اتخاذها، بشأن أمان المعلومات وموظفي تكنولوجيا المعلومات. ذلك أن الشركة التي تتعامل مع الأمن الإلكتروني بجدية لن تعاني من أضرار جسيمة حال قيام أحد موظفيها باستخدام وحدة تخزين USB تضم ملفًا مصابا، أو فتح بريد إلكتروني يحتوي على مرفق ضار أو عنوان URL سيئ. في كل حالة من تلك، لا بد من حدوث مجموعة من الأخطاء بتسلسل معين:

  • تم تنظيم العمل على نحو يسمح بوقوع هذا النوع من الأخطاء
  • اقترف شخص ما خطأً أو انتهك سياسات أمان المعلومات
  • اشتمال أنظمة المعلومات أو خدمات البنية الأساسية على نقاط ضعف لم يتم اكتشافها أو إصلاحها
  • التعقيد المفرط للأنظمة، مما يتسبب في نقص الموارد اللازمة لضمان الإعداد الآمن وإدارة عمليات التصحيح في الوقت المناسب واتخاذ التدابير الأمنية المطلوبة
  • عجز القسم المعني بشؤون الأمن (بسبب نقص المهارات أو الفرص) عن الإحاطة بالحادث قبل أن يستفحل ويسبب أضرارًا

كل عامل منفرد من هذه العوامل ناجم عن قرار ما. ولكن السبب العام للحادث هو مزيج منها مجتمعة. إن الأثر الناجم عن مثل تلك الحوادث على تحفيز الموظفين إنما يعتمد إلى حد كبير على استجابة الإدارة – ففي بعض الأحيان يتم اتخاذ إجراءات لمنع تكرار مثل هذه الحوادث تؤدي في واقع الأمر إلى إيقاع أضرار تفوق الحادث نفسه.

وإليك مثال حقيقي. تعرض أحد البنوك بشكلٍ متكرر لحوادث ناتجة عن هجمات خارجية وأخطاء من جانب الموظفين. ونتيجة لذلك، تعطلت أنظمة البنك لبعض الوقت. وفي محاولة منها لتحفيز الموظفين المسؤولين ومعاقبة المخطئين منهم، شنت الإدارة عددًا من عمليات الإقالة لموظفي تكنولوجيا المعلومات وأمان المعلومات. في الوقت نفسه، وعلى الرغم من معرفة الإدارة بوجود ثغرات هيكلية في النظام الآلي البنكي، لم تخصص أي ميزانية لإنشاء نظام جديد أو إصلاح النظام القديم. أدرك الموظفون ذوو الخبرة أن أي شخص يمكن أن يرتكب خطأً في يوم من الأيام، بينما اختارت الشركة توظيف أشخاص جدد بدلاً من إصلاح المشكلة الأساسية، لذلك سرعان ما وجدوا لأنفسهم وظائف في أماكن أخرى. أما الموظفون الجدد فكانوا على دراية محدودة بنظام الشركة الذي تم تطويره داخليًا، مما جعلهم يرتكبون المزيد من الأخطاء ويقضون المزيد من الوقت في صيانة الأنظمة، نظرًا لافتقارهم إلى المعرفة الأساسية بها. واستتبع ذلك أن ترك العملاء البنك، وتراجع من موقعه ضمن أفضل 50 بنكًا إلى موقع دون 200.

ما العمل

في رأيي، من المهم عدم تثبيط الموظفين. بل مساعدتهم على فهم مسؤولياتهم وقيم الشركة وأهمية مساهمات زملائهم في العمل. ويمكن إبراز كل هذه الأمور من خلال الدعم المادي والاحترام المتبادل ووضع قواعد واضحة.

لا بد لقواعد أمان المعلومات في الشركة أن توضح بصورة مبسطة ومحددة ما المسموح به وما غير المسموح به، وما الذي يجب على الموظفين القيام به في حالة وقوع حادث في جانب الأمن الإلكتروني – ويشمل ذلك ما يتعلق بالخصوصية والسرية. ويتعين على قائد الفريق نقل المعلومات بوضوح إلى مرؤوسيه، وأن يبين خلال حادث وبعده المشكلة الماثلة وعواقبها (والتي قد تشمل فرض عقوبات). فذلك من شأنه الحفاظ على جو عمل صحي للفريق، ويمكن أن يساعد الشركة على تجنب تكرار الأخطاء نفسها.

يمكن استخدام دليل أمان المعلومات التالي للتركيز على تحفيز الفريق وتقليل الأثر الناجم عن حوادث الأمن الإلكتروني:

  • إجراء تدريب للموظفين، ليس فقط لتجنب الأخطاء، وإنما للتعرف على ما يمكن أن يكون خطأً
  • تحفيز الموظفين
  • صياغة قواعد واضحة لأمان المعلومات في الشركة – واتخاذ تدابير لمراقبة تطبيقها عمليًا
  • استخدام أدوات للكشف عن الحوادث والتعامل معها
  • تطبيق أنظمة للحماية من الأخطاء، وسلوكيات الإهمال والرعونة، والأفعال الخبيثة التي يرتكبها أفراد داخل الشركة
  • إجراء مراجعة دورية للتدابير المذكورة أعلاه لتقليل احتمالية ارتكاب شخص ما الخطأ نفسه مرتين.

مقالات ذات صله