يظل نقص الوعي بأمن تقنية المعلومات مثيراً للقلق، فقد أظهرت دراسة حديثة أجرتها كاسبرسكي لاب وB2B International أن 18 في المئة فقط من الموظفين في منطقة الشرق الأوسط وتركيا وأفريقيا «يعرفون السياسات واللوائح التنظيمية الأمنية المطبقة في مجال تقنية المعلومات بأماكن عملهم»، وتُبدي بعض الشركات، إزاء ذلك، تشكّكها حيال تدريب الموظفين على الأمن الإلكتروني؛ إذ يرى البعض أن الموظفين سوف يخطئون دائماً، سواء أدركوا التهديدات المحتملة أم لا، وهُم قد يتساءلون: «أوليس الإنفاق على دورات تدريبية لا تُعطي النتائج المرجوّة هدراً للمال؟»
وأوضحت الدراسة خمسة أخطاء تعليمية يمكن أن تقلّل فعالية التدريب الأمني التوعوي.
1- طريقة تدريبية غير فعالة
قد تأتي الجهود المؤسسية في التعلّم والتطوير بطرق وأشكال مختلفة، لكن لا يعني نجاح دورة تدريبية تتخذ طريقة معينة في شركة ما أنها قد تنجح بالضرورة لدى شركة أخرى يمكن أن تناسبها طريقة أخرى في التدريب، لذلك ينبغي للشركات تقديم الدورات التدريبية بطرق ثبتت فاعليتها في تنمية مهارات معينة وصقلها وإثرائها.
2. منح جميع الموظفين التدريب نفسه
ثمّة اعتقاد سائد أن مسؤولية الأمن الإلكتروني للشركة تقع على عاتق جميع العاملين فيها، نظراً لأن تصرّفات أيّ شخص قد تؤثر في الأمن، حتى باتت فكرة تقديم التدريب الأمني التوعوي للجميع فكرة تغري الشركات، بهدف تحويل كل موظف إلى «مختصّ» في الأمن الإلكتروني، وجعل هذا الأمر إلزامياً للجميع، ضماناً لراحة البال.
فتعليم الموظفين أشياء لا يتعاملون معها أبداً في عملهم يُعتبر إنفاقاً لا داعي له ولا طائل من ورائه.
3. تقديم معلومات زائدة
يتمّ في كثير من الأحيان تصميم التدريب الأمني التوعوي لتغطية جميع المسائل المهمة في وقت واحد، إلاّ أن هذا الشكل من أشكال التدريب لا يفيد في إحداث التغيير المنشود بسلوك الموظفين؛ فمن غير المحتمل أن يتم استيعاب جميع المعلومات المقدمة في التدريب، إذ يُعتقد أن البشر قادرون على تذكّر ما يصل إلى سبع وحدات فقط من المعلومات الجديدة في المرة الواحدة، وقد يعرف المرء من تجربته الخاصة أن من الصعب الإلمام بالكثير من الحقائق والقواعد دفعة واحدة.
4. الافتقار إلى تكرار المعلومات وضرب الأمثلة
أحياناً ما يكون هناك محتوى جيد في الدورة التدريبية ولكن لا يتم حفظه وتذكره كما ينبغي، فقط بسبب الافتقار إلى التكرار، الذي يُعدّ حجر الزاوية في ترجمة الوعي إلى سلوكٍ مسؤول.
5- إغفال ربط النظريات بالواقع
قد تبدو طريقة توعية الموظفين واضحة، وقد نعتقد أنها تتمثل في رفع الوعي وتعريف الموظفين بمجموعة القواعد والسياسات العامة المتعلقة بالأمن الإلكتروني، إلاّ أن هذه الاستراتيجية لن تُجدي نفعاً عندما يكون الهدف متمثلاً بتغيير السلوك إلى الأفضل.
خلاصة القول إنه عندما يضطر الموظفون لقضاء ساعات من وقتهم في جلسات تدريبية مطولة تتناول موضوعاً لا يشكل جزءاً من مسؤولياتهم الوظيفية، فقد يصعب التأكد من استيعابهم للموضوع وحرصهم على الالتزام بالنصائح الواردة فيه، لكن إذا لم يستغرق التدريب وقتاً طويلاً وكان سهل الفهم فمن المرجّح تماماً أن يؤدي ذلك إلى تقليل الأخطاء وتعزيز مستوى الأمن الإلكتروني العام.