يُعد الوعي بأمن المعلومات جزءًا متطورًا من أمن المعلومات، يركز على زيادة الوعي فيما يتعلق بالمخاطر المحتملة للأشكال المتطورة بسرعة من المعلومات والتهديدات لتلك المعلومات التي تستهدف السلوك البشري. مع تطور التهديدات وازدياد قيمة المعلومات، زاد المهاجمون من قدراتهم وتوسعت إلى أهداف أشمل، وطوروا أساليب ومنهجيات الهجوم أكثر، وهم يعملون بدوافع أكثر تنوعًا. ومع تطور ضوابط أمن المعلومات وعملياتها، تطورت الهجمات للتحايل عليها. واستهدف المهاجمون السلوك البشري للأفراد واستغلّوه بنجاح لانتهاك شبكات الشركات وأنظمة البنية التحتية المهمة. يمكن للأفراد المستهدفين الذين لا يعرفون المعلومات والتهديدات، التحايل دون علم على الضوابط والعمليات الأمنية التقليدية وتمكين خرق المنظمة. ردًا على ذلك، فإن الوعي بأمن المعلومات يتطور. سيطر الأمن الحاسوبي باعتباره قضية مهمة على أجندة معظم المدراء التنفيذيين للمعلومات (سي آي أو)، ما كشف الحاجة إلى اتخاذ تدابير مضادة لمجال التهديدات الإلكترونية اليوم.[1] يتمثل هدف الوعي بأمن المعلومات في توعية الجميع بأنهم عرضة لفرص ومخاطر في عالم التهديدات الحالي، وتغيير سلوكيات المخاطر البشرية، وإنشاء ثقافة تنظيمية آمنة أو تحسينها.
خلفية
يعد الوعي بأمن المعلومات أحد أهم مبادئ أمن المعلومات. يسعى الوعي بأمن المعلومات إلى فهم وتعزيز السلوكيات والمخاطر والمفاهيم المتعلقة بمخاطر الإنسان حول المعلومات وأمنها مع فهم وتعزيز الثقافة التنظيمية باعتبارها تدبير مضاد للتهديدات سريعة التطور.[2] على سبيل المثال، تتضمن إرشادات منظمة التعاون الاقتصادي والتنمية (أو إي سي دي) الخاصة بأمن أنظمة وشبكات المعلومات، تسعة مبادئ مقبولة بشكلٍ عام: الوعي والمسؤولية والاستجابة والأخلاقيات والديمقراطية وتقييم المخاطر وتصميم الأمن وتنفيذه وإدارة الأمن وإعادة التقييم. في سياق الإنترنت، يُشار أحيانًا إلى هذا النوع من الوعي على أنه الوعي بأمن الحاسوب،[3] وهو محور مبادرات متعددة، بما في ذلك شهر التوعية بالأمن الإلكتروني الوطني التابع لوزارة الأمن الداخلي الأمريكية وقمة الرئيس أوباما في البيت الأبيض لعام 2015 حول الأمن الحاسوبي وحماية المستهلك.[4]
الجرائم المتعلقة بالحاسوب ليست شيئًا جديدًا بالنسبة لنا. الفيروسات معنا منذ أكثر من 20 عامًا؛ سجلت برامج التجسس أكثر من عقد من الزمن منذ وقوع الحوادث الأولى؛ يمكن أن يعود الاستخدام الواسع النطاق للتصيد الاحتيالي إلى عام 2003 على الأقل. أحد الأسباب التي اتفق عليها الباحثون أن وتيرة نظام المعلومات تتطور وتتوسع، بينما برنامج الوعي الأمني بين الموظفين يتراجع. ولكن من المؤسف أن الاعتماد السريع للخدمات على شبكة الإنترنت لم يكن مصحوبًا باحتضان مماثل للثقافة الأمنية.[5]
التطور
يتطور الوعي بأمن المعلومات استجابةً للطبيعة المتطورة للهجمات الإلكترونية، وزيادة استهداف المعلومات الشخصية، وتكلفة وحجم انتهاكات أمن المعلومات. وعلاوةً على ذلك، فإن العديد من الأفراد يفكرون في الأمن من حيث الضوابط التقنية، ولا يدركون أنهم كأفراد هم أهدافًا، وأن سلوكهم يمكن أن يزيد من المخاطر أو يوفر تدابير مضادة للمخاطر والتهديدات.
يبرز تحديد الوعي بأمن المعلومات وقياسه، الحاجة إلى مقاييس دقيقة. تتطور مقاييس الوعي بأمن المعلومات استجابةً لهذه الحاجة بسرعة، من أجل فهم وقياس مشهد التهديد البشري، وقياس وتغيير فهم الإنسان وسلوكه، وقياس المخاطر التنظيمية والحد منها وقياس فعالية الوعي بأمن المعلومات وتكلفته باعتباره إجراء مضاد.[6]
معظم المنظمات لا ترغب في استثمار الأموال في أمن المعلومات. وجد استطلاع أجرته شركة برايس ووتر هاوس كوبرز (2014) أن الموظفين الحاليين بنسبة (31%) والموظفين السابقين بنسبة (27%) لا يزالون يساهمون في حوادث أمن المعلومات. أشارت نتائج المسح إلى ارتفاع عدد الحوادث الفعلية المنسوبة إلى الموظفين بنسبة 25% منذ استطلاع عام 2013.[7]
المراجع
- "CIOs Name Their Top 5 Strategic Priorities. The Morning Download: Security Dominates the CIO's Agenda in Era of Risk and Change". مؤرشف من الأصل في 26 يونيو 2018.
- "oecd.org" ( كتاب إلكتروني PDF ). مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 11 نوفمبر 201514 فبراير 2015.
- "U.S. Department of Homeland Security". مؤرشف من الأصل في 13 فبراير 201514 فبراير 2015.
- "President Obama Speaks at the White House Summit on Cybersecurity and Consumer Protection". مؤرشف من الأصل في 23 نوفمبر 2016.
- Furnell, Steven (2008). "End-user security culture: A lesson that will never be learnt?". Computer Fraud & Security. 2008 (4): 6–9. doi:10.1016/S1361-3723(08)70064-2.
- "https://scadahacker.com/library/Documents/Insider_Threats/DHS%20-%20Risks%20to%20US%20Critical%20Infrastructure%20from%20Insider%20Threat%20-%2023%20Dec%2013.pdf" ( كتاب إلكتروني PDF ). scadahacker.com. مؤرشف من الأصل ( كتاب إلكتروني PDF ) في 07 مايو 201625 أبريل 2015.
- Da Veiga, Adéle; Martins, Nico (2015). "Improving the information security culture through monitoring and implementation actions illustrated through a case study". Computers & Security. 49: 162–176. doi:10.1016/j.cose.2014.12.006. hdl:10500/21765.