التكنولوجيا علم النفس أمن المعلومات الأمن المركزي البشري
Ahmad Alzahrani, PhD
Ahmad Alzahrani, PhD

@A7mad_zza

22 تغريدة 43 قراءة Apr 09, 2020
Twitter
Human- Centered Security
احد اهم تخصصات #الامن_السيبراني الذي يعتمد ع دراسة العامل البشري من ناحية نفسية للحد من الحوادث الامنية السيبرانية. هنا تجد سلسلة من التغريدات حول هذا الموضوع اذا كنت مهتم او متشوق لمعرفة هذا النوع من التخصصات. @cybersec2030
اذا هو تخصص يعتمد ع دراسة العامل البشري ف مجال #الامن_السيبراني بناءً ع نظريات ف علم النفس. ويتم تحديد هذه النظريات بناءً ع الهدف من الدراسة، اما ان تتبع نظرية واحدة او مجموعة من النظريات للوصول الى هدفك.
بالرغم ان الشركات تستثمر ف الحلول التقنية لمنع او ع الاقل تقليل التهديدات الامنية السيبرانية ولكن مازالت تعاني من الانتهاكات الامنية من الداخل وبسببها تتعرض للهجوم من الخارج. باختصار السبب يسمى human errors/ mistakes وعشان نكون دقيقين اكثر يسمى
Insider Threats
وهنا مثال ع مؤشرات التهديدات الداخلية من ناحية رقمية و سلوكية.
Ref. varonis.com x
وهنا مثال ع مؤشرات التهديدات الداخلية من ناحية رقمية و سلوكية. Ref. https://t.co/3KnH2BukvQ x https...
varonis.com
حسب تقرير verizon
34% من نسبة breaches كانت بسبب الموظفين ، وهي نسبة مخيفة مقارنة بالهجوم الخارجي 69%.
enterprise.verizon.com
حسب تقرير verizon 34% من نسبة breaches كانت بسبب الموظفين ، وهي نسبة مخيفة مقارنة بالهجوم الخارجي 6...
enterprise.verizon.com/resources/repo…
عشان تعرف حجم المشكلة وضرورة اعتبار العامل البشري جدا مهم خذ نظرة ع الصورة هذه وركز ف حجم الضرر من ناحية مادية ( استهلاك الميزانية بسبب اخطاء ممكن حلها).
عشان تعرف حجم المشكلة وضرورة اعتبار العامل البشري جدا مهم خذ نظرة ع الصورة هذه وركز ف حجم الضرر من ن...
عشان تتصور المشكلة بحجمها الحقيقي هذا مثال ع التهديدات الداخلية من شركات عالمية.
Ref. varonis.com x
عشان تتصور المشكلة بحجمها الحقيقي هذا مثال ع التهديدات الداخلية من شركات عالمية. Ref. https://t.co/3...
varonis.com
اذا مهما حاولت الشركات توفير الحلول التقنية واهملت العامل البشري > النتيجة استمرار مسلسل التهديدات .مع العلم ان اغلب الابحاث والشركات تعتبر العامل البشري هو الحلقة الاضعف في منظمومة الدفاع عن الشركة من اي تهديدات خارجية وانا شخصيا ضد هذه العبارة وسؤالي لمن يؤيد هذا المنطق...
-هل السياسات (polices) واضحة ، سهله قصيرة يفهمها جميع الموظفين بمختلف تخصصاتهم و مستويات تعليمهم؟؟
-هل برامج التوعية تقدم بشكل مستمر ؟ وماهي الاليه؟ كيف يقاس الاثر؟
- هل يتم تحليل الحوادث الامنية بشكل دقيق لمعرفه سبب انتهاك السياسة ؟
وغيرها الكثير من الاسئلة!؟
بعد هذه المقدمة المختصرة ، هذه مجموعة من التغريدات تساعدك حتى ولو بنسبة قليلة ع فهم مجال human centered security مع امثلة لتوصيل المعلومة بشكل سهل.
تكون الخطوة الاولى باتباع دورة الابحاث التفاعلية او Action research من تحديد المشكلة > تحليلها> وضع خطه الحل> التنفيذ> التحليل> النتائج /المتابعه واعادة التخطيط .. الخ>...
تكون الخطوة الاولى باتباع دورة الابحاث التفاعلية او Action research من تحديد المشكلة > تحليلها&g...
وفي الاغلب هذه النوع من المشاكل التي سببها العامل البشري تتطلب متابعه لاكثر من دورة بهذا الشكل الى ان يتم الوصول للحل المناسب:
وفي الاغلب هذه النوع من المشاكل التي سببها العامل البشري تتطلب متابعه لاكثر من دورة بهذا الشكل الى ا...
مثال: لنفترض ان المشكلة هي عدم التزام الموظفين بسياسة امن المعلومات، اذا المطلوب اجراء تحقيق لمعرفة الاسباب الاولية مثلا( تقارير الحوادث الامنية ، سبب الهجوم السيبراني، اهمال الموظف، قلة الوعي، ضغوط العمل، تقرير monitoring system لانشطة الموظفين ، عدم وضوح السياسات الامنية ..
ايضا من الامثلة :عدم وجود برامج توعوية كافية وان وجدت هل هي فعالة وكيف تقيس الشركة اثرها ع الموظفين ... وغيرها الكثير ) بعد ذلك يتم تحديد خطة لحل المشكلة وهنا نركز ع جانبين :
الاول: النفسي: ربط المشكلة بنظرية/ات علم النفس وفهمها جيدا ومن ثم ترجمتها الى لغة الاي تي لربطها بالمشكلة. مع العلم عدم فهمك لهذا الجانب يعني ان نسبة فشلك ف ايجاد الحل هي ١٠٠٪. اذا نتفق ان هذا الجانب مو سهل ومحتاج مستشارين للموافقه ع اقتراحك للحل.
المستشارين من الجانب النفسي ومن الجانب التقني ( واقصد بالتقني هو من لدية خبرة ف
Human-centered security).
الجانب الثاني: التقني وهو يعتمد ع الجانب ع الاول بنسبة ? ٪ ، وفيه يتم تحديد intervention المناسب لحل المشكلة.
لو طبقنا هذين الجانبين ع المثال السابق ( عدم الامتثال لسياسة امن المعلومات، policy compliance) كالتالي:
النفسي: تحديد العامل النفسي مثلا : هل تطبيق سياسة الثواب rewards لمن التزم والعقاب sanctions لمن يخالف مفيدة؟
او تطبيق مبدأ التحفيز ع الالتزام ويكون ع مدى بعيد وليس ع فترة قصيرة .الالتزام من مبدأ داخلي internal بمعنى الموظف يؤمن باهمية الالتزام للحفاظ ع الشركة من اي تهديدات امنية داخلية وخارجية. وليس بضغوط من الشركة او خوفا من العقوبة او طمعاً ف المكافأة ف حالة الالتزام.
الجانب التقني: بعد تحليل المشكلة من منظور نفسي، الان نربط الحل النفسي مع التقني باقتراح الحل او intervention المناسب. مثلا تطوير اداة اونظام ويدمج مع monitoring system لمنع policy violation. او تغير برامج التوعية للسياسات الامنية وربطها بالعوامل النفسيه وقياس اثرها بشكل مستمر
ف هذا النوع من الابحاث / التخصصات ، ضروري نفهم ان الحل قد ينجح ف شركة وقد لا يكون فعال ف شركة اخرى بمعنى كل شركة لها سياسات ،استراتيجيات ،تجهيزات وانظمة مختلفه خاصة فيها.
واخيراًHuman-Centered Security
تخصص مو سهل ومهم جدا وفيه تحدي كبير لاعتماده ع الجانب النفسي لفهم وتحليل المشكلة التقنية وفي نفس الوقت ممتع لمن اتقنة ع الجانبين النظري والعملي.شخصيا البداية كانت صعبه وتم اجيتازها ولله الحمد الى ان وصلت لدرجة محكم ف مجلات علمية معروفة مثلemerald.

التصنيفات

التكنولوجيا علم النفس أمن المعلومات الأمن المركزي البشري

لم تظهر جميع التغريدات؟

جاري تحميل الاقتراحات...