إذا كنت في حيرة من أمرك بشأن تعليمات سلامة الكمبيوتر المتوفرة في مكان عملك، فأنت لست وحدك. تسلط دراسة حديثة الضوء على قضية أساسية في تطوير هذه الإرشادات وتقترح خطوات فورية لتعزيزها - مما قد يؤدي إلى تحسين أمان الكمبيوتر.
تحيط المخاوف ببروتوكولات أمان الكمبيوتر التي تقدمها الشركات والهيئات الحكومية على حد سواء لموظفيها، والتي تم تصميمها لتوجيه الموظفين في حماية البيانات الشخصية والتنظيمية من المخاطر مثل البرامج الضارة وهجمات التصيد.
وقال براد ريفز، المؤلف المقابل للدراسة الجديدة وأستاذ مساعد في علوم الكمبيوتر في جامعة هارفارد: "باعتباري باحثًا في مجال أمن الكمبيوتر، لاحظت أن بعض النصائح المتعلقة بأمن الكمبيوتر التي قرأتها عبر الإنترنت مربكة أو مضللة أو خاطئة تمامًا". "في بعض الحالات، لا أعرف من أين تأتي التوصيات أو على ماذا تستند. كان هذا هو الدافع لهذه الدراسة. من الذي يكتب هذه المبادئ التوجيهية؟ ما هي التوصيات التي تستند إليها؟ ما هي عمليتهم؟ هل هناك أي شيء يمكننا القيام به بشكل أفضل؟"
بالنسبة للدراسة، أجرى الباحثون 21 مقابلة متعمقة مع محترفين مسؤولين عن كتابة أدلة أمان الكمبيوتر لمؤسسات مثل الشركات الكبيرة والجامعات والوكالات الحكومية.
وقال ريفز: "الفكرة الرئيسية هنا هي أن الأشخاص الذين يكتبون هذه الإرشادات يحاولون تقديم أكبر قدر ممكن من المعلومات". "من الناحية النظرية، هذا شيء عظيم. لكن المؤلفين لا يعطون الأولوية للتوصيات الأكثر أهمية. أو، بشكل أكثر تحديدًا، لا يقللون من أولوية تلك النقاط الأقل أهمية. ومع وجود الكثير من توصيات السلامة التي يجب تضمينها، يمكن أن تصبح الإرشادات ساحقة، وتضيع أهم النقاط في خلط ورق اللعب."
لقد وجد الباحثون أن أحد أسباب أهمية إرشادات السلامة هو أن واضعي الإرشادات يميلون إلى دمج كل عنصر محتمل من مجموعة متنوعة من المصادر الموثوقة.
وقال ريفز: "بعبارة أخرى، يقوم واضعو الإرشادات بتجميع معلومات السلامة بدلاً من تنظيم معلومات السلامة للقراء".
وبناء على ما تعلموه من المقابلات، قدم الباحثون توصيتين لتحسين إرشادات السلامة في المستقبل.
أولاً، يحتاج واضعو الإرشادات إلى مجموعة واضحة من أفضل الممارسات حول كيفية إدارة المعلومات بحيث تخبر أدلة الأمان المستخدمين بما يحتاجون إلى معرفته وكيفية تحديد أولويات تلك المعلومات. ثانيًا، يحتاج الكتّاب ومجتمع أمن الكمبيوتر بأكمله إلى معلومات مهمة ذات معنى للجماهير ذات مستويات مختلفة من القدرة التقنية.
وقال ريفز: "انظر، أمن الكمبيوتر معقد". "لكن الطب أكثر تعقيدا. ومع ذلك، خلال الوباء، تمكن خبراء الصحة العامة من تزويد الجمهور بإرشادات بسيطة وموجزة إلى حد ما حول كيفية الحد من خطر الإصابة بفيروس كوفيد-19. ونحن بحاجة إلى أن نكون قادرين على فعل الشيء نفسه فيما يتعلق بأمن الكمبيوتر".
وفي نهاية المطاف، وجد الباحثون أن كتاب النصائح الأمنية بحاجة إلى المساعدة.
وقال ريفز: "نحن بحاجة إلى البحث والتوجيه ومجتمع الممارسة الذي يمكنه دعم هؤلاء المؤلفين لأنهم يلعبون دورًا حاسمًا في ترجمة نتائج أمن الكمبيوتر إلى توصيات عملية لتطبيقات العالم الحقيقي". "أريد أيضًا التأكيد على أنه عند وقوع حادث يتعلق بأمن الكمبيوتر، لا ينبغي لنا أن نلوم الموظفين لأنهم لم يتبعوا واحدة من آلاف القواعد الأمنية التي نتوقع منهم اتباعها. نحن بحاجة إلى القيام بعمل أفضل في تطوير المبادئ التوجيهية التي يسهل فهمها وتنفيذها."