جويل برينر:

يرتهن الأمن الإلكتروني بالأشخاص، بقدر ما يرتبط بالتكنولوجيا. وتكاد الاختراقات تكون دوماً ناتجة عن عوامل متعددة، علماً بأنّ الناس يشكّلون بصورة شبه دائمة أحد هذه العوامل.

وفي أحدث تقرير وضعته «فريزون» عن انتهاكات البيانات، قامت نسبة 29 في المائة منها على تكتيكات اجتماعية، قضت مثلاً بحثّ الموظفين على فتح رسائل إلكترونية زائفة، مع الإشارة إلى أن المشكلة لا تقتصر على الموظفين الساذجين. وعلى مر السنوات، وضعت «فريزون» تقارير أفادت بأن معظم حالات التطفّل – ونسبتها 78 في المائة لهذا العام- «متدنية الصعوبة» وأمكن تجنبها باعتماد إجراءات أمنية بسيطة أو متوسطة. وكذلك، تكمن مشكلة شائعة في التعذر عن إدراج تصحيحات على امتداد أسابيع وأشهر، فيما يُعتَبر فشلاً إدارياً، وليس مشكلة تكنولوجيّة.

عندما يتسلّل متطفّلون إلى أنظمة شركات، يلازمونها عادةً، فنرى عمليات قرصنة تقوم على سرقة ما أمكن وانتشاله، وتشمل في معظم الأحيان معلومات شخصية. لكنّ هذا النوع من القرصنة بات أقل شيوعاً، لا سيما عندما يقضي الهدف بسرقة معلومات مؤسسية. ويتطلب اكتشاف معظم الانتهاكات وقتاً -قد يمتد على أشهر، وليس أسابيع، وأحياناً لفترات أطول. وفي أحيان كثيرة، تكتَشف الانتهاكات أطراف خارجية، على غرار «مكتب التحقيقات الفدرالي» أو وسائل الإعلام. وهذه التجربة ليست ممتعة.

وبالتالي، ما الذي يدعو هذا العدد الكبير من الشركات التطرّق إلى الأمن الإلكتروني على أنه مجرد مشكلة تقنيّة يمكن أن يحلها قسم تكنولوجيا المعلومات؟

يتّصل الأمن القومي بمسائل قانونية، وممارسات وسياسات مرتبطة بالموارد البشرية، وترتيبات تشغيلية وخبرة تقنية. ولكن في حين أن كلاً من هؤلاء المسؤولين الكبار – كالمستشار العام، ومدير الموارد البشرية، ورئيس العمليات، ومدير تكنولوجيا المعلومات – لا يملك إلا جزءاً من المشكلة، ثمّة أشخاص لا يعرفون بها أبداً، علماً بأنّ أحداً لا يملك المشكلة بكليتها. وجرّاء ذلك، يتحوّل أمن المعلومات إلى تحدّ مرتبط بإدارة المخاطر والحوكمة، ففي حال لم يتصدّ هؤلاء الأشخاص للتحدي المفروض عليهم معاً بتفويض من الإدارة العليا، لن تكون إدارة المشكلة ممكنة بفعالية. لكنّ سوء الحظ شاء ألاّ يحصل ذلك إلا في مرّات نادرة.

تسمح حماية المعلومات الحسّاسة بحماية القيمة المؤسسة وتدخل في عداد المسؤوليات الرئيسية لمجلس الإدارة والإدارة التنفيذية.