تفضيل الإنتاجية علي الحماية ثقافة عمل كارثية على أمن معلومات

موظف صغير، في أدني المراتب، رأى عن قلة وعي أو عن خطأ في الاعتقاد ان إجراءات امن المعلومات  تبطئ من سرعة أدائه في العمل، وتضع عليه عبئا لا يحبذه، فتجاهلها، وقفز عليها، ليقوم بما يري انه يتوجب عليه القيام في الوقت المطلوب منه، ففتح دون أن يدري ثغرة في جدار منظومة أمن المعلومات المعقدة والجبارة الموضوعة من قبل مؤسسته، انتهت بانهيار المنظومة بكاملها امام هجمة أمنية، لتصبح  الجهود الكبيرة والأموال الضخمة التي تطلبتها هذه المنظومة بلا قيمة أو جدوي لحظة الهجوم.
يعاني منها 80% من المؤسسات والشركات
تسبب تجاهل 66% من العاملين لتعليمات الأمن
64% يعترفون بها  ويعملون بأجهزة غير تابعة للعمل
مثل هذا التصرف يعبر عنه خبراء أمن المعلومات بثقافة “تفضيل الإنتاجية علي الحماية”، وهي ظاهرة سلبية، تضرب حوالي 80% من المؤسسات والشركات حول العالم، طبقا لدراسة مسحية أجرتها مؤسسة “تريند مايكرو ” المتخصصة في أمن المعلومات على 21 الفا و 200 شخص من العاملين عن بعد وبالمنازل في 27 دولة، تحت عنوان السلوك الأمني أثناء العمل عن بعد.
أقوال بلا أفعال
ابرز ما كشفت عنه الدراسة هو أن هناك هوة هائلة، تفصل بين الأقوال والأفعال لدى الموظفين والعاملين فيما يتعلق بمستوي الالتزام بقواعد امن المعلومات، فعادة ما يعبر العاملون عن قناعتهم التامة بأهمية التقيد بإجراءات أمن المعلومات، لكونها ضرورية لحماية وضمان سلامة البيانات والمعلومات الخاصة ببيئة العمل، والاسرار التجارية والشخصية للمؤسسة أو الشركة، لكن أفعالهم تختلف حينما توضع الأمور علي المحك اثناء العمل، ويجدون انفسهم في موقف عليهم المفاضلة فيه بين الحفاظ علي وتيرة العمل المتسارعة ومستوي الإنتاجية المطلوب من جهة، والتقيد بإجراءات أمن المعلومات من جهة ثانية، ففي هذه الحالة تتراجع القناعات امام الالتزامات ويحدث تفضيل للإنتاجية علي الحماية والتأمين.
علي صعيد الرصد الإحصائي لهذه الظاهرة، قال  72% ممن شملتهم الدارسة أنهم اكتسبوا وعيا افضل بقضايا امن المعلومات خلال الآونة الأخيرة، خاصة بعد اندلاع وباء كورونا، وأكد 81 منهم عن أن حماية وسلامة المعلومات في العمل هي مسئوليتهم جزئيا، وان لهم دور في هذا السياق.
في مقابل تعبيرهم عن هذه القناعات، كشفت إجاباتهم عن أسئلة اخري، عن أنهم لا يضعون هذه المعرفة والوعي والقناعات موضع التنفيذ العملي، فقد كشف 56% منهم عن نهم يستخدمون برامج وتطبيقات لتنفيذ المهام الموكلة إليهم، غير التطبيقات الموصي بها من المؤسسة وإدارة حماية وتأمين المعلومات،  واعترف 66% منهم بأنهم يقومون بتحميل وتخزين بيانات الشركة وجهة العمل علي هذه التطبيقات الخارجية، علي الرغم من معرفتهم بأنه غير مسموح باستخدامها، واعترف 64% بأنهم كانوا يعلمون أن هذا التصرف ينطوي علي مخاطر أمنية وتداعيات سلبية علي جهة العمل.
اسخدام لأغراض شخصية
لم يقف الأمر عند تفضيل الإنتاجية علي الحماية  فحسب، بل تعداه إلي استخدام حاسبات العمل في الأغراض الشخصية، كالتصفح والتواصل مع الأصدقاء والعائلة، وغيرها، واعترف 8 % بأنهم استخدموا حاسبات العمل في الوصول الي المواقع الإباحية والموسيقي ومواقع المواعدة، وقال 7% أنهم استخدموها في الوصول لمواقع الويب المظلمة، التي تضم تجمعات الهاكرز والمهاجمين ومحترفي الجريمة، وبائعي البيانات المسربة وخلافه.
تمثل التبرير الأبرز الذي قدمه من كشفوا عن هذه الممارسات، في أن عدم التقيد بقواعد من قبيل أن تكون التطبيقات التي يستخدمونها معتمدة من قبل ادارات تقنية المعلومات، يعني انجاز العمل بصورة اسرع واسهل،  فيما أنحي البعض الآخر باللائمة علي إدارات تقنية المعلومات وفرق أمن المعلومات، التي غالبا ما تقدم لهم حلولا يعتقد الموظفين أنها مجرد “هراء” وتعطل ولا تحقق شيئا.
الحل في كسب الثقة والتدريب
اعتبر خبراء تريند مايكرو أن الخلل بين الأفعال والأقوال، وتمسك شريحة لا يستهان بها من الموظفين بعدم جدوي إجراءات الأمن، هو ظاهرة نفسية سلوكية، يتعين علي الإدارات العليا بالشركات والمؤسسات ومسئولي سياسات ونظم المعلومات، أخذها علي محمل الجد، والاعتراف بوجودها، والتعامل معها كقضية ثقافية أولا، وتقنية ثانيا، ولا يمكن مجابهتها أو القضاء عليها بإجراءات عنيفة أو تعتمد علي الصرامة فقط، بل تعتمد بالأساس علي الإقناع وكسب الثقة، ثم التوعية والتدريب  القائمة علي التنوع والتخصيص، أي تصميمها في عدة أشكال ومنهجيات مختلفة، تناسب كل فئة أو تخصص علي حدة، وتأخذ في اعتبارها المكون المعرفي والسلوكي والثقافي لفئات الموظفين  ودرجاتهم الوظيفية، وطبيعة المهام الموكلة إليهم، حتي يتحول أمن المعلومات لثقافة مقبولة، جديرة بالثقة والاحترام، ومن ثم لا توضع في مرتبة ثانية بعد الإنتاجية.