ڈیجیٹل اسکرین سرکٹ بورڈ کے پس منظر پر ڈیٹا دکھاتی ہے۔

اپنی افرادی قوت کو ایک فعال انسانی فائر وال میں کیسے تبدیل کریں۔

by

زیادہ تر سیکیورٹی مباحثے ملازمین کو ذمہ داری کے طور پر پیش کرتے ہیں۔ اس کے بعد، فراہم کردہ تربیت اس خیال کو تقویت دیتی ہے - طویل سالانہ پیشکشوں کے ساتھ، اور ملازمین کی جانب سے کی جانے والی کسی بھی غلطی کے لیے خطرناک نتائج کا خاکہ پیش کیا گیا ہے۔ یہ نقطہ نظر خوف، عدم دلچسپی، اور شاید ہی کسی طرز عمل میں تبدیلی پیدا کرتا ہے۔ تاہم، ایک متبادل نقطہ نظر دستیاب ہے، بنیاد کو صرف پلٹنے کی ضرورت ہے۔

خوف پر مبنی تربیت کیوں قائم نہیں رہتی؟

کے مطابق ویریزون ڈیٹا کی خلاف ورزی کی تحقیقاتی رپورٹتمام ڈیٹا کی خلاف ورزیوں میں سے 74% انسانی عنصر شامل ہیں۔ چاہے یہ سوشل انجینئرنگ کا کامیاب حملہ ہو، غلطی ہو یا غلط استعمال۔ جو لوگ ان اعدادوشمار کا اشتراک کرتے ہیں وہ اکثر ان کا استعمال اس بات کی نشاندہی کرنے کے لیے کرتے ہیں کہ ملازمین ایک کمزوری ہیں، تاہم، اعداد و شمار واقعی یہ ظاہر کرتے ہیں کہ انسانی رویہ حملے کا ہدف ہے - اور انسانی رویہ بھی وہ جگہ ہے جہاں آپ اسے روک سکتے ہیں۔

خوف پر مبنی تربیت اس اعداد و شمار کو ایک فیصلے کے طور پر دیکھتی ہے۔ بیداری پر مبنی تربیت اسے ایک موقع کے طور پر دیکھتی ہے۔ جب آپ کے لوگوں کو یہ احساس ہوتا ہے کہ وہ پتہ لگانے کی پہلی لائن ہیں – کوئی کمزور لنک نہیں ہے – تو وہ اپنی ذہنیت بدل لیتے ہیں۔ وہ ایسی چیزیں دیکھتے ہیں جو انہوں نے پہلے کبھی نہیں دیکھی تھیں۔ وہ خاموشی سے یہ امید کرنے کے بجائے کہ وہ غلط ہیں بولتے ہیں۔

تکنیکی کنٹرول اس نفسیاتی سے کم اہمیت رکھتا ہے۔

سالانہ چیک باکس سے گزر رہا ہے۔

تعمیل کی پہلی ذہنیت سے ملازمین کی حفاظت کی تربیت تک پہنچیں، اور یہ وہ چکر ہے جس میں آپ خود کو بند کر لیتے ہیں۔ ایک سیشن طے شدہ ہے، آپ کی ٹیم دکھائی دیتی ہے (امید ہے)، ویڈیو یا پریزنٹیشن کے ذریعے بیٹھتی ہے، آپ کے سیکیورٹی آڈٹ پر ایک باکس پر نشان لگایا جاتا ہے، اور اگلے سال کے اسی وقت تک کچھ بھی نہیں بدلتا، جب آپ اسے دوبارہ کریں گے۔ اس وقت تک، تقریباً تمام معلومات اور سیاق و سباق آپ کی ٹیم کی قلیل مدتی یادداشت سے باہر ہو چکے ہیں۔ دھوئیں، کللا کریں، اور دہرائیں۔

یہ ٹیم کی ناکامی نہیں ہے، یہ ایک ساختی ناکامی ہے۔ انسانی یادداشت کا زوال 12 ماہ کے چکر پر کام نہیں کرتا ہے، (اگر ایسا کیا جائے تو یہ بہت اچھا ہوگا) تربیت کی بہت سی قیمتی معلومات ٹیم کے سر میں اس وقت تک موجود نہیں رہتی جب تک انہیں اس کی سب سے زیادہ ضرورت ہوتی ہے – اگلی بار جب کوئی بدنیتی پر مبنی چیز آپ کی تنظیم کو نشانہ بنا رہی ہو۔

خودکار تربیتی سائیکل اپنے سالانہ، مینوئل، ورکشاپس کو بالکل ایک وجہ سے بہتر ثابت کر چکے ہیں: صرف سیمینار کے دوران ہی نہیں، پورے سال کے دوران ذہن میں حفاظت کو مدنظر رکھتے ہوئے۔ سیکیورٹی سے متعلق آگاہی کی تربیت ایک خودکار پلیٹ فارم کے ذریعے ڈیلیور کرنے سے آپ سب تک پہنچ سکتے ہیں، پیشرفت کو ٹریک کرسکتے ہیں، اور حقیقی رویے کی بنیاد پر موافقت کرتے ہیں – اس لیے ایک ٹیم جو دباؤ والے مارچ کے دوران گھر سے کام کرنے کی اچھی حفاظت پر عمل کرتی ہے دسمبر میں غلطیوں کا امکان بہت کم ہوتا ہے۔

صرف وقت میں سیکھنے کا ماڈل

ملازمین کی حفاظت سے متعلق آگاہی کی تربیت سب سے زیادہ مؤثر ہوتی ہے جب مناسب وقت پر فراہم کی جاتی ہے۔ مثال کے طور پر، جب کوئی ملازم فشنگ سمولیشن لنک پر کلک کرتا ہے، تو جواب صرف ان کی اطلاع دینے کے لیے نہیں ہونا چاہیے اور اس کے ساتھ کیا جانا چاہیے۔ اس کے بجائے، انہیں فوری طور پر ایک مختصر، توجہ مرکوز سیکھنے کا ماڈیول فراہم کرنے کا یہ بہترین موقع ہے۔

یہ نقطہ نظر، جسے صرف وقت میں سیکھنے کے نام سے بھی جانا جاتا ہے، پہلے سے طے شدہ تربیت سے بہتر برقرار رکھنے کی شرح کی اطلاع دیتا ہے۔ سبق کا براہ راست تعلق جو کچھ ہوا اس سے ہے۔ ملازم کو جرمانہ محسوس نہیں ہوتا بلکہ اس کے بجائے یہ سیکھتا ہے کہ صحیح وقت پر کن چیزوں سے بچنا ہے جب اس معلومات کی سب سے زیادہ ضرورت ہو۔

بغیر الزام کے رپورٹنگ کلچر کی تعمیر

یہ ناگزیر ہے کہ سب سے زیادہ تربیت یافتہ ملازمین بھی وقتاً فوقتاً غلطیاں کریں گے۔ ایک معمولی واقعہ اور پوری طرح سے خلاف ورزی کے درمیان فرق اکثر یہ ہوتا ہے کہ غلطی کی اطلاع کتنی جلدی ہوتی ہے۔ اگر ملازمین کو انتقامی کارروائی کا خوف ہے تو وہ خاموش رہیں گے۔ خلاف ورزی بڑھے گی۔ اور جب تک کوئی آخر کار نوٹس لے گا، وصولی بہت زیادہ مہنگی ہوگی۔

یہی وجہ ہے کہ ایک اچھی طرح سے متعین، غیر تعزیری رپورٹنگ کا عمل سب سے اہم چیزوں میں سے ایک ہے جو ایک تنظیم رکھ سکتی ہے۔ یہ ملازمین کو دکھاتا ہے کہ کسی غلطی کو فوراً تلاش کرنا اور اس کی اطلاع دینا درست جواب ہے – نہ کہ چھپانے کے لیے۔ یہ الارم بھی بناتا ہے جسے آپ کا سیکیورٹی عملہ خلاف ورزی کے قابو سے باہر ہونے سے پہلے استعمال کرسکتا ہے۔

اور یہ بالکل اندرونی خطرے کے خطرے سے اس طرح بات کرتا ہے جس کے بارے میں ہم اکثر بات نہیں کرتے ہیں۔ زیادہ تر اندرونی واقعات بدنیتی پر مبنی نہیں ہوتے ہیں۔ وہ غلطیاں ہیں - کوئی غیر مجاز سافٹ ویئر انسٹال کر رہا ہے، کسی بہانے حملے میں پھنس رہا ہے، کلاؤڈ سرور کو غلط کنفیگر کر رہا ہے۔ رپورٹنگ میں حفاظت کا کلچر ان کے بڑھنے سے پہلے ہی پکڑ لیتا ہے۔ الزام تراشی کا کلچر انہیں چھپانے دیتا ہے۔

سیکیورٹی کو پیشہ ورانہ مہارت کی طرح محسوس کرنا

کبھی کبھی گیمیفیکیشن کو ایک معمولی چیز سمجھا جاتا ہے، لیکن یہ حقیقت میں کام کرتا ہے کیونکہ اس سے سیاق و سباق بدل جاتا ہے: یہ تربیت ملازمین کو دی جانے والی کوئی چیز نہیں ہے، یہ ایسی چیز ہے جس میں وہ اچھے ہوسکتے ہیں۔ لیڈر بورڈز، شناخت، اور تکمیلی بیجز وہی مسابقتی اور کامیابی کی تحریک پیدا کرتے ہیں جو لوگوں کو پیشہ ورانہ سرٹیفیکیشن حاصل کرنے پر اکساتے ہیں۔

جب ملازمین اپنی حفاظت سے متعلق آگاہی کی پیشرفت کو نشان زد کرنا شروع کرتے ہیں یا فشنگ سمولیشن میں اپنی ٹیم کی مضبوط کارکردگی کو دیکھتے ہیں، تو سیکیورٹی اب کسی کمپیوٹر بیوقوف کا مسئلہ نہیں ہے، یہ ایک پیشہ ور کی شناخت ہے۔ اور یہیں سے حقیقی سائبر سیکیورٹی کلچر بنتا ہے – پوسٹرز، ماؤس پیڈز یا فلفی کھلونوں سے، اور نہ ہی ملازم ہینڈ بک میں وارننگ اسٹیکرز سے۔

ایم ایف اے کو اپنانا، شیڈو آئی ٹی میں کمی، اور یہاں تک کہ جسمانی تحفظ کے ثقافتی پہلو جیسے ٹیلگیٹنگ یا پگی بیکنگ کے لیے مناسب چیلنج، اس وقت بہتر ہوتے ہیں جب ملازمین اس خیال کو خریدتے ہیں کہ یہ ایک اچھے پیشہ ور کے کام کرنے کے لیے ٹیبل اسٹیک ہیں۔ آپ تعمیل پر زور نہیں دے رہے ہیں۔ آپ قابلیت پر زور دے رہے ہیں۔

وہ تنظیمیں جو واقعات کا بہترین جواب دیتی ہیں وہ نہیں ہیں جن کے پاس سب سے زیادہ ناقابل یقین، ایکس پرائز کے قابل سیکیورٹی ٹیکنالوجی ہے۔ یہ وہ تنظیمیں ہیں جن کے ملازمین کو پیشہ ورانہ طور پر قابل ہونے کی ترغیب دی جاتی ہے اور جب وہ کوئی عجیب چیز دیکھتے ہیں تو فوراً مدد طلب کرتے ہیں۔