فراست چیست؟

آگاهی بخشی و ارتقای دانش منابع انسانی سازمان‌ها، رسالت اصلی فراست است.

 

فراست، دپارتمانی تخصصی در حوزه آگاهی بخشی امنیت سایبری برای منابع انسانی سازمان‌ها در کشور است که به عنوان بازوی اجرایی سازمان های دولتی و خصوصی و در کنار ساختار امنیت سایبری و دپارتمان‌های مرتبط آن‌ها به ایفای نقش موثر و کارآ می‌پردازد.
برنامه‌های آگاهی بخشی امنیت سایبری بومی (فراست) ترکیبی از برنامه‌های آموزشی کاربردی و اثربخش است که با رعایت هارمونی در انتقال آموزه‌های مورد نظر به صورت یکپارچه به کار گرفته می‌شود.

ریسک سنجی و سنجش وضع موجود سازمان‌ها در حوزه امنیت سایبری و آموزش مبتنی بر نقش منابع انسانی در جایگاه‌ و با نقش‌های مختلف، از جمله اقدامات فراست برای بهبود سطح امنیت سایبری در حوزه منابع انسانی‌است.

این برنامه نوین، شالوده‌ای از اسناد موسساتی همچون ISO، NIST،ISACA و نیز اسناد بالادستی همچون افتا و پدافند غیرعامل بوده که به ازاء هر سازمان، بومی‌سازی شده و به صورت کامل پیاده‌سازی می‌گردد.

دپارتمان فراست، با پشتوانه تجربه‌ی 15 ساله‌ی شرکت پارس آوان،در ارائه خدمات مشاوره و تامین تجهیزات امنیت سایبری، به جهت رفع مشکلات و آسیب‌پذیریهای پیش‌گفته در حوزه منابع انسانی در بخش امنیت سایبری، ایجاد شده است. این دپارتمان وظیفه‌ی برنامه‌ریزی و اجرای برنامه‌های آگاهی بخشی امنیتی به همراهِ ارائه محتوا و پیام‌های آموزشی به کلیه رده‌های سازمانی را عهده‌دار است.

فراست می کوشد تا اهداف زیر را در سازمانها پیاده سازی کند

null

ارتقا سطح دانش امنیت سایبری منابع انسانی

null

پیاده سازی دفاع در عمق در سازمان‌ها

null

ایجاد لایه جدید امنیت سایبری

null

ایجاد فرهنگ سایبری بومی

null

کاهش صدمات و آسیب پذیری های ناشی از حملات سایبری جدید

null

ایجاد سپر دفاعی در سطح منابع انسانی

null

ارتقا سطح دانش زنجیره تامین کسب و کارهای مختلف

فراست را در یک نگاه ببینید، تا ضمن آگاهی با فرآیند اجرایی آن، ضرورت اجرایش را در سازمان ها بیشتر درک کنید.

تفاوت فراست با سازمان های مشاور یا دپارتمان‌های درون سازمانی SAT

دپارتمان فراست، با تکیه بر تخصص نیروهای فنی فعال و پویا به صورت مستمر نسبت به شناسایی انواع آسیب های جدید سایبری و ارائه راهکارهای غلبه بر هر کدام فعالیت می‌کند و با تولید محتوا و ارائه برنامه های هشدار دهنده، برنامه ریزی و تعریف تاکتیک‌های اثربخش و مناسب برای مقابله با بحرانهای امنیت سایبری در سطح منابع انسانی اقدام می‌کند.
مجری تمام برنامه‌های پیشنهادی و تدوینی فراست، کارشناسان این سازمان است و سازمان‌های همکار می‌توانند با تشکیل کمیته یا معرفی واحدی خاص نسبت به نظارت و کمک به تدوین برنامه ها اقدام کنند، در نتیجه، اجرا، پشتیبانی و پایش مستمر با کارشناسان دپارتمان فراست خواهد‌بود.
فراست با یکپارچگی در برنامه ریزی و اجرا، وجه تمایز خود را با دپارتمان‌های موازی درون‌سازمانی و یا شرکت‌های مشاور نشان می‌دهد.

گام‌های متمایز و اجرایی فراست

  پیاده سازی برنامه های آگاهی بخشی امنیت سایبری به صورت یک پلن جامع

  پایش مستمر و ارزیابی به شیوه‌های مختلف جهت سنجش اثربخشی برنامه‌ها

  تغییر تاکتیک و روش‌ها، بعد از سنجش و اریابی جهت بهبود رویه‌ و کارآیی برنامه‌ها

  پیاده سازی و بازخورگیری از فرآیند‌های اجرایی در هر مرحله

  آسیب شناسی، ریسک سنجی و سنجش وضع موجود سازمان‌ در حوزه امنیت سایبری

  برنامه ریزی و تدوین نقشه جامع راه مبتنی بر فرهنگ بومی سازمان

  تعریف ابزارهای نوین و اثربخش یادگیری و آموزش

  تولید پیام و محتوای تخصصی و جذاب منطبق بر هر ابزار و روش آموزشی

  تعریف شیوه‌‌های استاندارد و اثربخش انتقال پیام و انتشار محتوا در هر سطح

نحوه سنجش اثر بخشی

null

اجرای بازی‌ (گیمیفیکیشن) و تشویق و تنبیه پرسنل

null

برگزاری آزمون‌های مثال محور و ملموس حضوری یا مجازی

null

اجرای انواع حملات پیش فرض موردی

null

اجرای مانورهای پدافندی فرضی

استانداردهای بین المللی و اسناد بالادستی فراست

( مراجع برنامه‌های آگاهی بخشی امنیت سایبری)

آگاهی بخشی امنیت سایبری، از سرفصل‌های آموزشی نظام جامع پدافند سایبری کشور است که احرای جامع ان توسط فراست، می‌تواند در تحقق اهداف سند راهبردی پدافند سایبری کشور، در سازمان‌ها نقش بسزایی داشته باشد. با توجه به اینکه، آسیب‌پذیری امنیت سایبری در بخش منابع انسانی و کاربران در سالهای اخیر روند رو به رشدی داشته، تهاجمات و تهدیدهای سایبری با هدف قراردادن این لایه از سازمان‌ها توانسته است بخش عظیمی از خواسته های خصمانه خود را محقق کند. در صورتیکه اگر این لایه مهم از سازمان را توانمند نموده و آگاه سازی انجام شود، در مدیریت و کاهش تبعات ناشی از حملات و تهدیدهای سایبری موثر خواهیم بود.

اقدامات آگاهی‌بخشی در استانداردهای بین المللی بسیاری همچون ایزو 27001، استاندارد NIST 800-16 ،NIST 800-50، استاندارد موسسه اروپایی Enisa وجود دارد. با توجه به اهمیت پیاده‌سازی استانداردهای امنیت شبکه، ایجاد سپر دفاعی در لایه نیروی انسانی امری لازم و مهم تلقی می‌شود، چرا‌که در همه این استانداردها به لزوم آگاهی بخشی امنیت سایبری اشاره شده است.

بی شک با توجه به حجم بالای حملات سایبری و آسیب‌پذیری در حوزه سرمایه‌های انسانی، نیاز به پیاده‌سازی آگاهی‌بخشی امنیت سایبری برای بسیاری از ارگان‌ها محرض شده است و آن دسته از سازمان‌ها و شرکت‌های پیشرو و دانش محور که نسبت به اجرا و پیاده‌سازی این برنامه‌ها گام برداشته‌اند با استناد به همین اسناد بین المللی و اسناد بالادستی این مهم را اجرایی کرده‌اند.

باید تاکید کرد که اجرای پلن کامل برنامه‌های فراست، فراتر از مندرجات و  اسناد پیش گفته بوده لذا انتظار می‌رود با نکاهی متفاوت‌ و دقیق‌تر فراست را بشناسید.

در زیر منابع و مراجع ملی و بین المللی مورد اشاره جهت مطالعه و کمک به درک اهمیت لزوم پیاده سازی فراست در سازمان‌ها ارایه می‌گردد.

استانداردهای بین الملی

  استاندارد ایزو 27001

  استاندارد  nist800-50

  استاندارد  nist800-16

 استاندارد اروپایی ENISA

اسناد بالادستی

  سند راهبردی فضای تولید و تبادل اطلاعات کشور (پدافند سایبری)

  اساسنامه مرکز ملی فضای مجازی کشور

  آیین نامه نظام بانکداری الکترونیکی مصوب 1387

چرا فراست؟

 

یکی از بزرگ‌ترین مخاطره‌هایی که در عصر جدید، امنیت اطلاعات را تهدید می‌کند، اغلب از درون سازمان یا شرکت‌ها نشات می‌گیرد. آسیب‌پذیری‌های داخلی یکی از خطرناک‌ترین مخاطرات سایبری محسوب می‌شوند، چرا که عامل این تهدیدها افرادی هستند که از قبل با زیرساخت‌های شرکت آشنایی دارند. این تهدیدها فقط به کارمندان ناراضی و جاسوس‌ها مربوط نمی‌شوند، بلکه بیشتر مواقع منشا این آسیب‌پذیری‌های سازمانی، کارمندان ناآگاهی هستند که قصد ایجاد مشکل ندارند و در دام روش‌های مختلف حملات سایبری می‌افتند.
امروزه تمرکز مهاجمین بر کاربران ناآگاهی است که می‌توانند با بازدید از سایت‌های آلوده به بدافزار، پاسخ دادن به ایمیل‌های فیشینگ، ذخیره اطلاعات ورود به حساب کاربری در یک محیط ناامن یا حتی ارایه اطلاعات حساس به مهندسین اجتماعی پشت خطوط تلفن، به شبکه و شرکت شما آسیب‌های جبران‌ناپذیری وارد کنند.
در پیاده سازی آگاهی بخشی امنیتی نیاز است طیف وسیعی از آسیب‌پذیری‌های موجود در نظر گرفته شود. در پیاده‌سازی آگاهی بخشی امنیت سایبری موارد بسیاری در سازمان‌ها توسط کارشناسان ارزیابی می‌گردد تا ضعف‌های عمومی هر سازمان مشخص شده و در گام بعد اقدامات اساسی در این حوزه، پیرامون موضوع مربوطه پیاده گردد. بعضی از مهم‌ترین نکات و بخش‌ها در برنامه فراست که باید در برنامه فراست در نظر گرفته شوند، عبارتند از:

null
طبقه‌بندی و مدیریت داده‌ها
null
امنیت فضای کار و میزکار
null
شبکه‌های بی­سیم
null
امنیت رمز عبور
null
فیشینگ
null
پیام‌های فریب آمیز
null
بدافزار
null
به اشتراک‌گذاری فایل و قوانین رونوشت­برداری

بخشی از تهدیدات سایبری در حوزه منابع انسانی

فیشینگ

 

هنگام بحث و گفتگو درباره فیشینگ باید این اصطلاح و همچنین هدف آن به خوبی تشریح شود. برای این بخش از آموزش‌های امنیتی ارایه مثال و نمونه مهم است. لازم است بر اقدام‌هایی که باید از انجام آنها خودداری شود (مثل کلیک بر روی لینک‌های داخل ایمیل، ارسال اطلاعات بانکی و رمز عبور از طریق ایمیل و غیره) تأکید شود تا افراد متوجه باشند که باید مراقب چه چیزهایی باشند. همچنین الزام کاربران به انجام آزمون Phishing IQ هم می‌تواند مفید باشد. یکی از روش‌های مهم ارایه شده توسط فراست اپلیکیشن سنجش هوش فیشینگ است. به این ترتیب می‌توان نکات و نشانه¬هایی که حاکی از یک حمله فیشینگ ایمیلی هستند را مشخص کرده و نمایش داد.
یکی دیگر از موضوع‌هایی که باید به آن پرداخت، مبارزه با حمله‌های فیشینگ است. چندین وب سایت، کاربران را تشویق به گزارش دادن و رهگیری وب‌سایت‌ها و ایمیل‌های جعلی می‌کنند. استفاده از مجموع روش های گفته شده و تحلیل نوع آسیب‌های هر سازمان توسط دپارتمان فراست انجام می‌پذیرد.

پیام‌های فریب آمیز (Hoax)

 

در آموزش‌های امنیتی باید به پیام‌های فریب آمیز هم توجه داشت، زیرا خواندن و بازنشر این پیام‌ها می‌تواند منجر به صرف زمان و منابع زیادی شود. همچنین در این بخش باید به انواع پیام‌های فریب آمیز و نمونه‌های مختلف آن هم اشاره کرد. اشاره به پیام‌های فریب آمیز پرکاربرد به آسان‌تر شدن هر چه بیشتر تشخیص این پیام‌ها کمک می‌کند. همچنین بهتر است مقایسه‌ای بین ویروس‌ها و این پیام‌های فریب آمیز صورت بگیرد، زیرا این پیام‌ها به صورت مکرر باز نشر می‌شوند. به علاوه، باید خطرات این پیام‌ها به خوبی مورد بحث قرار بگیرد، زیرا برخی از آنها به کاربر هشدار می‌دهند که ویروسی در رایانه آنها پیدا شده و از آنها درخواست می‌کنند که بعضی از فایل‌های سیستمی معتبر و گاهی مهم را حذف کنند.
همچنین باید پیشگیری از گسترش این پیام‌ها نیز آموزش داده شود.  می‌توان از انتشار این پیام‌ها پیشگیری کرد پس بهتر است به کاربران گوشزد کرد اگر چیزی بدون مشکل و معتبر به نظر می‌رسد احتمالاً همین‌طور است و اگر چیزی مشکوک به نظر می‌رسد بهتر است آن را بررسی کنند.

نشت اطلاعات

 

نشت اطلاعات از طریق ارائه اطلاعات کارمندان ناآگاه به صورت غیر مستقیم و یا حتی گم شدن فلش حاوی اطلاعات مالی یا مشتریان یک سازمان می‌تواند باشد. عدم استفاده از رمز عبور امن یا در اختیار قرار دادن رمز عبور یا فلش کاری به افراد دیگر ، همگی می توانند زمینه ساز نشت و سواستفاده از اطلاعات باشد.

سرقت اطلاعات

 

اگر روزی متوجه شوید که اطلاعات محرمانه سازمانتان به سرقت رفته و مورد سواستفاده قرار گرفته است، نه توسط هکرها بلکه توسط یکی از افراد سازمان، با یک کابوس مواجه خواهید شد، درست است؟
این یک ریسک و تهدید واقعی است که تمامی کارشناسان فنی تاکید و اعلام می کنند که سازمان ها باید مراقب خطر تهدیدات داخلی باشند.
فراست ضمن شناسایی آسیب‌های امنیتی سازمان‌ها، راهکارهای اثربخشی که مانع از بروز مشکلات فوق باشد را نیز ارائه می‌دهد و نسبت به پیاده سازی آن، راسا اقدام می‌کند.

مهندسی اجتماعی

 

مهندسي اجتماعي، روشي غير فني براي شكستن امنيت سيستم يا شبكه است. فرآيند فریب كاربران يك سيستم و تحريك آنها براي دادن اطلاعاتي كه براي دور زدن مكانيزم هاي امنيتي استفاده مي شود را مهندسي اجتماعي گويند. دانستن انواع روش‌های مهندسي اجتماعي بسيار مهم است از آن جهت که هكر مي تواند از آن براي حمله به عنصر انساني سيستم استفاده كند. اين روش ميتواند براي جمع آوري اطلاعات قبل از حمله استفاده شود. فراست با دانش تخصصی خود نسبت به شماساییی و ارائه راهکار برای مدیریت و مقابله با انواع مهندسی های اجتماعی اقدام نموده و با ارتقا دانش سایبری منابع انسانی و اموزش انواع روشهای مهندسی اجتماعی نسبت به کاهش خطرات و حملاتی از این دست اقدام خواهد نمود.
گستره ی این حملات وسیع و پراکندگی آن بسیار است لذا هرگز نمی‌توان با اکتفا به چند مورد خاص نسبت به مقابله با حملاتی از این دست مقاوم شد.

در نهایت، فراست می‌کوشد با بیان و تذکر پیامدهای قانونی به اشتراک‌گذاری و دانلود غیرقانونی فایل و نمونه‌های این چنینی، اقدام¬های قانونی انجام شده علیه افرادی که این کار را انجام می‌دهند را نیز بازگو کند.

فارمینگ

 

فارمینگ، حمله هکری است که برای هدایت ترافیک یک وب‌سایت به سایتی دیگر انجام می‌شود. در روش فارمینگ از آسیب پذیری های دی ان اس بهره برداری می‌شود به نحوی که تقاضای دی ان اس برای یک نام دامین، آی پی واقعی آن دامین تقاضا شده نبوده بلکه آی پی یک سایت تقلبی باشد و کاربران با کلیک بر روی لینک سایت تقلبی اطلاعات حساب یا رمز عبور و سایر اطلاعات کاربری خود را در اختیار هکرها قرار می‌دهند

جاسوسی و شنود مکالمات

 

یک میکروفون بسیار حساس در هر تلفن همراه وجود دارد که همواره قابلیت فعال شدن دارد.
این میکروفون برای فعال شدن نیازی به برقراری تماس با گوشی، فعال شدن سیم کارت، و یا حتی روشن بودن تلفن همراه ندارد.
برخی گوشی‌های تلفن‌همراه برای تبادل صوت از الگوریتم‌های رمزنگاری استفاده می‌کنند که این رمزنگاری برای هر کمپانی تولید‌کننده گوشی متفاوت است. با توجه به اینکه تعداد شرکت‌های سازنده محدود است، بنابراین امکان افشای الگوریتم‌های رمزنگاری وجود دارد. فعال کردن انواعی از سیستم‌ها، نیاز به نصب نرم افزار مربوطه بر روی تلفن همراه اشخاص دارد که به عنوان یک تجارت پرسود توسط برخی شرکت‌های نرم افزاری انجام می‌گیرد.
ارسال و نصب برنامه فعالسازی میکروفون گوشی های تلفن همراه، ممکن است از طریق ارسال پیامک، بلوتوث و … انجام شود. در صورتی که فرد مهاجم بخواهد از روش ارسال پیامک برای نصب این نرم افزار مخفی استفاده نماید، آگاهی نسبت به این موضوع که تنها با ارسال یک پیامک عمومی مانند تبریک سال نو به طیف وسیعی از مشترکان یک شهر و خواندن متن پیامک توسط مشترکان تلفن همراه، به فرد مهاجم در جایگذاری این جاسوس کوچک یاری می‌کنید از رسالت‌های فراست است.

دیسکها و حافظه های به ظاهر معیوب

 

یکی از راه‌های دستیابی به اطلاعات، بازیابی دیسک و حافظه های معیوب است که به بهانه تعمیر آن‌ها نسبت به بازیابی و بک آپ‌گیری از اطلاعات اقدام می‌شود و کاربران و کارمندان در صورت عدم توجه به این موضوع می‌توانند تهدید جدی را متوجه سازمان خود نمایند.

فراست می‌کوشد تا با شناخت گلوگاه های حساس و آسیب‌پذیر که بعضا جز کارهای معمول آنها می‌باشد نسبت به آگاهی بخشی در خصوص موارد فوق اقدام نماید.

فریب پرسنل

 

یکی از شیوه های هک و دستیابی به اطلاعات سازمانی ایجاد شرایط اضطراری و در فشار قرار دادن کارمندان برای موضوعی خاص است. ایجاد مشکل پیش فرض یا ساختگی و اجبار و بسترسازی برای برقراری با تماس قربانی که اغلب کارمندان هستند، مثل ارسال ویروس و هدایت به سایت آنتی ویروس و یا خود را کارمندان بخش آی تی یا فناوری اطلاعات معرفی کردن و.... از جمله اقدامات فریبکارانه برای دستیابی به اطلاعات کارکنان و پرسنل شرکت است.
هشدار و ارائه راهکارهای مقتضی و تعریف دستورالعمل های مربوط به نحوه مواجهه با مشکلات این چنینی از جمله کارهای عملیاتی دپارتمان فراست است.

مراحل اجرایی فراست

پایش و بازخورد

ارزیابی، کنترل، پایش و سنجش اثربخشی جهت تغییر و جایگزینی روش های آموزشی و آگاهی بخشی

پیاده سازی

اجرا ،سازماندهی و پیاده‌سازی برنامه های تدوینی منطبق بر پلن

تعریف پلن و تدوین نقشه جامع

تدوین برنامه زمانی، مکانی،محتوایی منطبق بر سلسله مراتب سازمانی و ریسک سنجی، تولید محتوا و تعریف روش های آگاهی بخشی

مشاوره و برنامه ریزی

مشاوره و تدوین نقشه جامع آگاهی بخشی، تولید محتوا و تعریف روش های آگاهی بخشی

مرحله شناخت

شناسایی، بررسی، آسیب شناسی و ریسک سنجی سایبری سازمان ( ریسک سنجی)

برخی از ابزارهای آگاهی‌بخشی امنیتی در فراست

یکی از بهترین راه‌ها برای اطمینان از این که کارمندان شرکت مرتکب اشتباه‌های جبران‌ناپذیر نشوند، برگزاری برنامه‌هایی برای آگاهی بخشی امنیتی در سطح شرکت است که برخی از  این برنامه‌ها در فراستف شامل موارد زیر است:

  برنامه‌های مالتی مدیا در غالب تهیه موشن و انیمیشن و گیمیفیکیشن
  برگزاری سمینار و همایش‌های دوره‌ای درون صنعتی
  تهیه فیلم، نصب و پخش از تلویزیون و فضاهای بصری موجود در سازمان‌ها
  تدوین کتابچه و کتاب‌های صوتی دیجیتال و چاپی با همکاری کارشناسان و مدیران و کارمندان سازمان‌ها
  برگزاری آزمون‌های دوره‌ای حضوری
  برگزاری آزمون‌های دوره‌ای غیر‌‌حضوری

برگزاری برنامه های پدافندی فرضی

  برگزاری نشست و جلسات گروهی
  برگزاری کلاسهای حضوری یا مجازی
  طراحی وب‌سایت آگاهی بخشی امنیت سایبری
  نرم افزار موبایل فراست
  ارائه نکته و پیام های آموزشی و هشداری در قالب های مختلف
  آموزش تصویری شامل پوستر، استند و صفحه مانیتور کامیپوتر
  تنظیم و ارائه نکات و پیام های آموزشی و هشداری از طریق ایمیل و پیامک و شبکه‌های اجتماعی

  تدوین و انتشار گاهنامه‌های تخصصی هر صنعت

و بسیاری از موارد دیگر که می‌توانند در بهبود امنیت سایبری سازمان‌ها و دانش نیروی انسانی آن‌ها موثر بوده و پیاده‌سازی رویه‌ها و سیاست‌های امنیتی را تسهیل نمایند.

مشاوره و برنامه ریزی

 

یکی از اهداف عمده فراست در طول ارایه خدمات، مشاوره است و در این مدت مشاوره‌های متعددی صورت خواهد گرفت. برای شروع فرایند آگاهی‌بخشی، در گام نخست باید ارزیابی اولیه توسط مهندسین و مدرسین فراست صورت گیرد. این ارزیابی بر اساس نوع سازمان و نوع کار، تجزیه و تحلیل خواهد شد. با تجزیه و تحلیل این ارزیابی، تهدیدهای امنیتی محتمل پرخطر سازمان های مختلف و آسیب‌پذیری‌های مربوط به کارکنان داخلی این سازمان مشخص خواهد شد. آموزش‌ها بر اساس ساختار و دانش پرسنل برنامه ریزی می‌شود. از طریق ارزیابی اولیه، چالش‌ها و نیاز‌ها مشخص شده و در گام بعد، با همکاری نماینده سازمان و همکاران شرکت فراست برنامه پیاده¬سازی آموزش‌های آگاهی‌بخشی به صورت مدون و زمان‌بندی تهیه و تنظیم خواهد شد.
براساس تحقیقاتی که توسط کارشناسان فراست انجام شده است، پیاده سازی یک روش منحصربفرد آگاهی‌بخشی امنیتی و ارایه آن به تمام اصناف، سبب دلزدگی کارکنان خواهد شد و اثربخشی کار را کاهش می‌دهد چراکه دانش و نوع کار هر صنف با دیگری متفاوت است، همان‌طور که تهدید هر صنف متفاوت با تهدید صنف دیگر است. نتایج کلیه ارزیابی‌ها، در تهیه نقشه راه که توسط کارشناسان فراست صورت می‌گیرد، مفید و ارزنده خواهد بود.
همچنین طول مدت قرارداد آموزش‌های آگاهی‌بخشی امنیت سایبری، ارتباط مستقیم با نتایج ارزیابی اولیه دارد و برای اثر‌بخشی آن نباید کیفیت را فدای زمان کرد. چرا که در طول مدت قراراداد و حرکت بر روی زمان‌بندی تعیین شده و تغییرات جزئی بر اساس نیاز و چالش هر زمان، گام‌هایمان را مستحکم می‌کند و اثر بهتری از راندمان موفق اجرایی را خواهیم داشت.علاوه بر لیست خدمات ذکر شده در صفحه قبل، سازمان‌های مختلف خدمات تکمیلی دیگری نیز نیاز خواهند داشت که در پروپوزال تکمیلی تهیه خواهد شد.

دوره‌های آموزشی و سمینارها

 

فراست برای بهینه‌تر کردن خدمات آموزشی خود، دوره‌‌های آموزشی حضوری، سمینار و وبینار را نیز ارایه می‌کند. تعداد این دوره‌ها بر اساس نوع سازمان و تعداد پرسنل متفاوت خواهد بود، به طور کلی، برخی از آموخته‌ها جنبه عمومی دارد و همگان باید از آن موارد بهره گیرند. نکات مهمی نظیر چگونگی ساخت رمز عبور قدرتمند، روش‌‌های جلوگیری از مهندسی اجتماعی و موارد مشابه برای همه افراد سازمان مهم می‌باشد، اما در برخی موارد دیگر، آموخته‌ها، بر اساس سلسله بندی طبقات سازمانی تهیه می‌شود که با توجه به گستردگی سازمان های مختلف این آموزش‌ها می‌تواند به صورت آنلاین یا آفلاین ارایه گردد. آموزش امنیت سایبری، برای مدیران عالی رتبه، آموزش‌‌های امنیتی برای پرسنل فناوری اطلاعات و آموزش‌‌‌های امنیت سایبری برای کارمندان بخش‌‌های متفاوت، به صورت مجزا سفارشی‌سازی می‌شود. کارشناسان دپارتمان فراست پس از آنالیز، مخاطرات و نیازهای سازمان، آموزش‌‌های تکمیلی را پیشنهاد خواهند داد، این امر در پروپوزال دوم به طور مبسوط به نماینده سازمان ارایه خواهد شد. در صورت نیاز سازمان، این آموزش‌ها می‌تواند به صورت سمینارهای یک یا دو روزه ارایه گردد تا آموخته‌‌های غنی را به قشر متناسب با آن سمینار ارایه داد. کلیه دوره‌ها با کیفیت مناسب، ذخیره‌سازی و مونتاژ شده و روی‌سی‌دی ذخیره می‌شود و در اختیار سازمان قرار می‌گیرد. سپس در تمام بخش‌‌های فیلم، نام و لوگوی سازمان های مختلف تعبیه می‌شود تا در صورت لزوم این دوره را بتوان در اختیار کارمندان جدیدالورود و یا کارمندانی که در ماموریت هستند قرار داد. روش دیگر ایجاد محتوای آفلاین مختص همان سازمان است.
برخی از دوره‌ها پیرامون آگاهی‌بخشی امنیتی ذکر گردیده است، شایان ذکر است دوره‌های تخصصی و سفارشی‌ برای سازمان های مختلف قابل تعریف و اجرا می‌باشد.

آگاهی‌بخشی امنیت سایبر به سبک کلاس درس سنتی! بلی یا خیر؟

 

استفاده از محیط کلاس درس برای آموزش مباحث امنیتی مزایایی از جمله تعاملی‌تر شدن آموزش و امکان پاسخ مدرس به پرسش¬های فراگیران را در همان لحظه دارد. می‌توان پس از ارایه مطالب، زمانی را به پرسش و پاسخ اختصاص داد و اطلاعات تماس مدرس و یا دپارتمان مسئول را برای پاسخ به سوالات در اختیار شرکت‌کنندگان و کارمندان قرار داد تا در صورت بروز سوال و پرسش در آینده بتوانند از طریق این راه-های ارتباطی، پاسخ پرسش خود را بیابند. اما از انجا که در آگاهی‌بخشی امنیت سایبری به روش فراست، باید با عمق ذهن مخاطبان، ارتباط برقرار نمود،نیاز است در پیاده‌سازی آن، محصولات و روش‌های مختلفی تدوین و مدنظر قرار گیرد که با تجه به فرهنگ هر سازمان و پرسنل و دپارتمان‌های ان متفاوت خواهد بود..
همانطور که پیش‌تر ذکر شد یکی از گام‌های موثر ارایه دوره¬های امنیتی، آموزش حضوری است. فراست علاوه بر ارایه و برگزاری دوره¬های متنوع در زمینه آگاهی‌بخشی، دوره‌های آموزشی آنلاین مبتنی بر وب را نیز ارایه می‌کند تا در صورت گستردگی محدوده جغرافیایی بتوان کلاس¬های آنلاین را برای همه همکاران در سطح ایران فراهم نمود.

آموزش مجازی

 

یکی دیگر از راهکارهای دوره¬های آموزشی ارایه محتوای آفلاین است. محتوای آفلاین به فراخور سازمان و بر اساس نیاز‌های آن تهیه خواهد شد. این دوره محتوایی مبتنی بر وب دارد و در این روش از انواع روش‌های مختلف مثل بازی‌های شبیه‌سازی شده و نقش‌آفرینی فراگیران استفاده می‌شود تا تعاملات در کلاس از حالت یکطرفه بودن خارج شده و بیشتر حالت گفت و شنودی پیدا کند. در پیاده‌سازی آگاهی‌بخشی برای سازمان¬ها، به سبک ارایه آموزش از این طریق هیچ محدودیتی وجود ندارد و نوع آموزش بر اساس نیاز سازمان انتخاب و نوع محتوا بر اساس رده¬های سازمان و نوع دپارتمان¬ها سفارشی‌سازی می‌شود.
مدت زمان ارایه این آموزش‌ها هم می‌تواند بسیار متنوع باشد. مدت زمان آموزش بستگی به اثربخشی و گستردگی مطالب مورد بحث دارد. به بیان دیگر، مدت زمان این آموزش¬ها ارتباط مستقیمی با نوع شرکت¬کنندگان، محتوای مربوطه و گستردگی جغرافیایی سازمان و منطقه جغرافیایی شرکت دارد. کارشناسان آموزش شرکت با استفاده از دانش مدیریت آموزشی خود تجزیه و تحلیل ساعت مورد نیاز را بر اساس پارامترهای ذکر شده ارزیابی می ‌کنندو در نهایت، مدت زمان مورد نیاز و مدت زمان اجرای برنامه در سازمان مربوطهارایه خواهد شد.

وب‌سایت‌های آگاهی¬بخشی امنیتی

 

یکی دیگر از راه‌های پیاده‌سازی برنامه آگاهی¬بخشی امنیتی در فراست، طراحی وب‌سایت آگاهی‌سازی در زمینه امنیت سایبری به فراخور نوع فعالیت یا نیاز هر سازمان است. دپارتمان فراست، وب‌سایتی را برای عموم قرار داده است تا درباره تهدیدهای سایبری اطلاعاتی انعکاس پیدا کند و این دپارتمان می¬تواند برای سازمان¬های مختلف اخبار سایبری مربوط به آن سازمان را تهیه و ویرایش نماید و در وب‌سایت همان سازمان یا ساب دامین وب سایت فراست با نام اختصاصی همان صنعت یا سازمان منتشر کند.
یک روش دیگر، ارایه محتوای مربوطه به مسئول وب‌سایت است. چنین وب‌سایتی می‌تواند از بخش‌های مختلفی تشکیل شده باشد که هر یک به یکی از مطالب آموزشی (مثل بدافزار، کلاهبرداری، به اشتراک‌گذاری فایل، قوانین رونوشت¬برداری و غیره) اختصاص داده شوند. یک روش موثر و کارا، آگاهی-بخشی انتشار انواع ویدیو، اخبار، مقالات و لینک‌های بیرونی مفید است که کاربران را در افزایش اطلاعات آگاهی‌بخشی امنیت سایبر یاری می‌دهد.

نرم افزار موبایل فراست
آموزش و پایش از طریق اپلیکیشن موبایل فراست

 

روش دیگر که مکمل روش قبل است ارایه نرم¬افزار مبتنی بر موبایل است که با پایگاه داده آگاهی‌بخشی امنیت سایبری همسو شده تا بتواند در اختیار کاربران قرار گیرد. یکی از مدل‌های پیاده‌سازی آگاهی‌بخشی، ارایه یک برنامه خودآموز است که کاربران در آن ثبت نام کرده و مراحل آن را طی می‌‌کنند و در انتهای هر بخش نیز برای اطمینان از درک مطالب، به چند سؤال کوتاه پاسخ می‌دهند. این کار می¬تواند با پورتال سازمانی نیز همگون شود تا نتایج آزمون¬ها و نیز نوع محتوای خوانده شده توسط مدیران گزارش¬گیری شود.

در این حالت، اطلاعات گزارش شده از صفحه ورود می‌تواند مشخص کند که کدام یک از کاربران، دوره آموزشی را گذرانده­اند و یا مهم‌تر این که کدام یک از آنها هنوز این دوره را نگذرانده­اند. در چرخه کار می­توان سیستم را با پیامک‌ها ادغام نمود تا به کاربران خاطر نشان شود که محتوای مورد نظر را مطالعه کنند. فراست در این روش یک گام دیگر نیز برداشته است و آن ایجاد صفحه سوالات پرتکرار است. برای پاسخ به سؤال­های پرتکرار، پاسخ­هایی درج می­شود. ایجاد لینک ارتباطی برای پرسیدن سوال جدید و پاسخ به آن سوال می­تواند بحث آگاهی­بخشی را رونق بخشد. باید به این نکته توجه نمود که یکی از روش­های مفید در آگاهی‌رسانی و یادگیری امتحان و سنجش است.

تولید پیام و محتوای آموزشی اثربخش

 

یاستفاده از نکته¬های آموزشی، بیشتر به عنوان یک مکمل برای آموزش‌های اصلی (آموزش به سبک کلاس یا آموزش آنلاین) محسوب می‌شود و نباید آن را به تنهایی به عنوان ابزاری آموزشی استفاده کرد. در پیاده‌سازی آگاهی بخشی امنیت سایبری به سبک فراست، این نکات به صورت پیامک¬های تلفنی، ایجاد تصاویر برای پس¬زمینه صفحه نمایش و درج نکته مربوطه و موارد مشابه و نوین دیگر ارایه می¬شود. این بخش از آموزش، مکمل آموزش¬های دیگر است تا کاربران نکات کلیدی را فراموش نکنند.
این نکته¬های مفید می‌توانند به صورت تذکرها و یادآوری‌هایی باشند که در روش¬های دیگر به ایشان آموزش داده شده است. به عنوان مثال، عبارت "هرگز رمز عبورتان را در جایی قرار ندهید که افراد دیگر امکان مشاهده یا دسترسی به آن را داشته باشند" را برای کاربر نمایش می‌دهیم و یا نکات دیگری نظیر "یادآوری تغییر رمز عبور" یا "اجرای اسکن آنتی‌ویروس" از جمله نکاتی هستند که در برنامه فراست به طرق مختلف به کاربران ارایه می¬شود.

آموزش تصویری

 

ابزارهای آموزشی تصویری هم، از جمله گزینه¬هایی هستند که نباید آنها را به عنوان تنها ابزار آموزشی استفاده کرد، بلکه این ابزارها بیشتر حالت مکمل دارند. در آموزش‌های بصری کوتاه مدت، با خلق و طراحی یک تصویر یا پیامدر مسیرهایی که تردد یا حضور منابع انسانی در آن بالاست، نظیر اتاق انتظار،آسانسور، راهروهاو یا راه پله‌ها در قالب پوستر یا موشن گرافیاستفاده می‌شود.
به عنوان نمونه، پوستر امنیتی در رابطه با رمز عبور تهیه می شود که در آن رمز عبور را با مسواک مقایسه می‌شود. در این پوسترها نسبت به تغییر مکرر رمزهای عبور و عدم اشتراک و استفاده آن برای سایر اکانتها، به کاربران تذکر داده شده است.

بروشورهای آموزشی

 

بخش دیگری از آموزش‌های قابل ارائه در دپارتمان فراست، انتقال نکات امنیتی به صورت بروشورهای اموزشی است. تولید و درج پیام‌های یکپارچه ی حاوینکات امنیتی مهم و قابل توجه روی ابزارهایی که برای منابع انسانی پرکاربرد هستند مثل خودکار یا جاکلیدی از دیگر اقدامات مورد نظر می‌تواند باشد. در نمونه بروشور زیر بایدها و نبایدهای اساسی که نیاز است کارکنان برای امنیت رمز عبور بدانند، ذکر شده است.

دیگر وسایل تبلیغاتی نظیر لیوان، تقویم رومیزی و ... نیز می¬توانند به صورت مکمل برای این مهم استفاده شوند.

تدوین و ارائه گاهنامه¬های تخصصی هر صنعت

 

روش دیگر انتقال مفاهیم آگاهی بخشی امنیتی در دپارتمان فراست، تهیه مجلات و گاهنامه¬ها است. در این مجلات با توجه به نیاز سازمان، گزارشات، مقالات و اطلاعاتی پیرامون آسیب¬پذیری¬های سازمان مطرح می¬شود. همچنین اخبار فناوری اطلاعات، تهدیدهای نوین، آسیب‌پذیری محیط سایبری و اقدامات پیشگیرانه برای ارتقا امنیت ساییری معرفی شده و توضیح داده خواهد شد. ارایه گرافیک بهینه و مطالب وزین و جذاب در گاهنامه¬ها از رویکردهای اساسی در فرایند آگاهی‌بخشی امنیت سایبری است. این مجلات بر اساس طیف سازمان و نوع کار و همچنین نوع دپارتمان سفارشی¬سازی ¬می¬شود و امکان بهینه¬سازی بر اساس موقعیت و سلسله مراتب سازمان امکان پذیر است.

تهیه موشن و انیمیشن

 

یکی از روش¬های مفید در انتقال مفاهیم علمی، تهیه محتوای مالتی مدیای کاربر پسند است. محتوای مالتی مدیا با ذهن کاربر ارتباط مناسب برقرار کرده و می‌تواند نظر او را جلب کند. در موشن گرافی،مفهوم آسیب¬پذیری و یامخاطرات سایبری در قالب داستان،معرفی شده و روش¬های پیشگیری یا مقابله با آن نیز حین داستان، تشریح می‌شود. به طور مثال، برای آموزش کاربر با مفهومی نظیر مهندسی اجتماعی درمبادی ورودی انیمیشن زیر تهیه شده است.

سمینارها و کنفرانس‌ها

 

روش دیگر پیشنهادی در برنامه آگاهی‌بخشی امنیت سایبری، برگزاری کنفرانس ها در تهران و یا مراکز اصلی استانی مربوط به سازمان های مختلف است که با محتوای تخصصی و سفارشی اجرا گردد. این آموزش¬ها می¬تواند برای آموزش پرسنل در راستای تقویت امنیت محیط سایبر، ارتقا دانش سایبری مدیران شعب برای محافظت از داده¬ها ، امن سازی سیستم های حفاظت الکترونیک، استاندارهای متداول حفظ حریم شخصی، اصول مهندسی اجتماعی و موارد متعدد دیگر باشد.
محتوای این کنفرانس¬ها بر اساس برنامه فراستی صورت خواهد پذیرفت، بدین معنا که در پیاده¬سازی برنامه مدیریت پروژه آگاهی‌بخشی امنیتی، محتوای پوسترها، خبرنامه¬ها ، بروشورها، کلاس¬های آنلاین و آفلاین و سمینارها به صورت افقی و عمودی با هم در رابطه هستند. این رابطه توسط مدیران آموزش با تجربه در دپارتمان فراست پیاده سازی می¬گردد.
لازم به توضیح است که برای سازمان های مختلف موضوع های مختلفی در کنفرانس ها می تواند ارایه شود:
• کشف مهندسی اجتماعی در شعب
• چگونگی جمع آوری داده‌ها در شعب از طریق پیشخوان
• اصول مدیریت صحیح پرسنل هر شعبه از دید سایبر
• امن سازی دستگاه¬های پرداخت و شناخت روش¬های اسکیمینگ

تلویزیون اختصاصی امنیت سازمانی

 

فراست در راستای ارایه آموزه‌های امنیت سایبری برای نهادینه‌سازی در بین پرسنل سازمان‌ها، با استفاده از تمام بسترهای ممکن و برای دستیابی به هدف خود یعنی آگاهی تمام پرسنل یک سازمان، اقدام به راه‌اندازی تلویزیون اختصاصی فراست نموده ‌است.
استفاده از شبکه‌‌های دیجیتال ساینیج به صورت انحصاری در سازمان‌‌های مختلف، آموزش روزمره، هفتگی، ماهانه را برای مدیران و پرسنل بهینه‌تر و اثر بخش‌تر می‌سازد.
در روش پیاده سازی ساینیج، نکات کلیدی با طرح مناسب به کاربر انتقال می¬یابد. شکل ‏4 16 نمونه ای از فیلم 30 دقیقه‌ای پیاده‌سازی شده در یکی از پروژه¬های فراست را نشان می¬دهد.

کتاب های الکترونیک / کتاب های چاپی / کتاب های صوتی

 

بر اساس نقشه راه مشخص شده در گام اول آگاهی‌بخشی امنیتی، کارشناسان فراست مطالب و مباحثی که در آن سازمان ضعف بیشتری دارد را به صورت کتاب با توضیحات بیشتر عرضه می‌کند. این کتاب‌ها به صورت‌‌های الکترونیک و یا چاپ شده قابل عرضه می‌باشد، همچنین در صورت نیاز می‌توان این کتاب‌ها را در قالب کتاب صوتی فراهم نمود تا کارمندان در مسیر منزل یا محل کار به آن گوش دهند. محتوای کتاب دقیقاً بر اساس نیاز سازمان سفارشی سازی می‌شود و در آن از تصاویر و یا المان‌‌های سازمان های مختلف استفاده خواهد شد. در پروپوزال بعدی نام برخی از کتاب‌ها بهسازمان های مختلف اشاره خواهد شد.

آزمون‌های دوره‌ای

 

فراست همگام با متدولوژی آموزش، آزمون‌های دوره‌ای را نیز در فرایند خود قرار داده است. آزمون‌های دوره‌ای مکمل کلیه آموزش‌های فراگیر یا حضوری می‌باشد. همواره برای تکمیل فرایند آموزش و حکاکی آن در ذهن نیاز است آزمون‌های دوره‌ای صورت پذیرد تا کاربران به ارزیابی سواد امنیتی اطلاعاتی خود در مدت قرار داد بپردازند و برای پیشبرد اهداف اولیه و گام‌‌های بعدی در نقشه راه، نتایج آزمون کاربران تجزیه و تحلیل شده و گزارش آن‌ها تهیه می‌شود. پس از تهیه گزارش‌‌های تجزیه و تحلیل، در یک جلسه با حضور نماینده سازمان و کارشناسان فراست، در صورت نیاز تغییرات را در فرایند کار اعمال خواهند نمود چرا که شاید ضعف‌‌های جدید هویدا شده و یا تهدید جدیدتر شمشیر خود را بران نماید.
کلیه آزمون‌ها بر اساس استانداردهای بین المللی بومی شده‌، تنظیم می‌شوند. برای تشویق کارمندان و اثر‌بخشی بیشتر، طرح‌‌های تشویقی برای بهترین نمره در نظر گرفته شده است که این طرح‌ها با همکاری فراست و سازمان مربوطه ارایه خواهد شد. این امر سبب سنجش اثر‌بخشی در هر فاز شده و می‌تواند راندمان آگاهی‌بخشی امنیت سایبری پرسنل را در کوتاه مدت و یا دراز مدت افزایش دهد.

نتیجه اجرای فراست در سازمان‌ها

 

با فراست سازمانی چاپک و بازدارنده نسبت به حملات سایبری خواهید داشته که دستاوردهای زیر تنها بخشی از اثرات پیاده سازی آن در سازمان ها خواهد بود.
1. تحقق بخش هایی از اهداف سند راهبری پدافند سایبری کشور در تمام سطوح سازمان ها.
2. پیشرو در اجرای مفاد موجود در اساسنامه مرکز ملی فضای مجازی و سند راهبردی تولید و تبادل اطلاعات و بقیه دستورالعملهای بالادستی در حوزه سایبری
3. دارای لایه سایبری امن و جدید امنیتی در سطح کلیه کاربران
4. دارای دانش و فرهنگ سایبری روزآمد و بومی
5. افزایش سطوح پایش، کنترل و دفع تهدیدات و حملات با کاهش هزینه ها از طریق آموزش مستمر و پایش، آسیب شناسی، ریسک سنجی و ارائه راهکار های جدید و اثربخش امنیتی
6. تدوین و پیاده سازی نظام نامه امنیت سایبری
7. مستندسازی کلیه فرآیندها و نیل به اجرای استانداردهای امنیتی اثربخش و کاربردی
8. مانیتورینگ و اخذ گزارشات جامع مدیریتی از وضعیت موجود و بهبودهای احتمالی در حوزه های مختلف
9. بررسی، تحلیل و پیاده سازی پیشنهادات درون سازمانی، جهت بومی و پیاده سازی، با ابزارهای مختلف به منابع انسانی
10. توانمندسازی منابع انسانی و ارتقا دانش سایبری ایشان
11. کاهش خطاهای انسانی در امنیت سایبری و افزایش راندمان کاری پرسنل

وجود برنامه‌های آموزشی امنیت سایبری که به درستی پیاده‌سازی شده‌اند برای هر شرکتی ضرورت دارد. آموزش درست و مناسب کاربران درباره علایم هشدار، روش‌های پیشگیری و روش‌های کاهش تأثیر حمله-های سایبری، به تنهایی می‌تواند مانع بسیاری از مشکلاتی شود که بر زیرساخت‌ها و کل شرکت تأثیرگذار هستند. باید به کارمندان گوشزد کرد که آنها باید اولین خط دفاعی شرکت باشند. مسلماً هزینه این برنامه‌ها با آموزش کاربران درباره اقدام¬های قابل انجام جهت پیشگیری از حمله¬های مخرب و اقدام¬های قابل انجام در صورت رخ دادن چنین حوادثی، جبران خواهد شد. البته نمی‌توان آموزش آگاهی بخشی امنیت سایبری را تنها راهکار امنیتی در نظر گرفت، بلکه این برنامه، یکی از لایه‌های امنیتی مهمی است که باید آن را به راهکارهای امنیتی متعارف سازمان‌ها اضافه کرد.

ابعاد امنیت سایبری در سازمان‌ها

 

در پیاده‌سازی فرایند آگاهی‌بخشی امنیت سایبری لازم است ابعاد و بخش‌های مختلف مد نظر قرار گیرند. موضوع¬های مورد بحث در برنامه اگاهی بخشی امنیت سایبری می‌تواند رویکرد و مطالبی مانند شکل را پوشش دهد.
باید به این نکته توجه کرد که مطرح شدن این موضوع¬ کمک می‌کند تا کارمندان با دلایل اهمیت آموزش امنیت آشنا شده و آنها را برای پیشگیری از وقوع حوادث به کار برند.
همچنین مدیران ارشد سازمان نیز با لایه ها و ابعاد مختلف اثربخش در حوزه امنیت سایبری آشنا می‌شوند.

سوالات متداول امنیتی

 بند الف.7.2.2 از استاندارد ISO27001 به SAT می‌پردازد، محدود بودن فضای کاری در این بخش و نیز عدم استمرار و زمان بر بودن پروسه پیاده‌سازی این استاندارد و زمان کمی که برای اجرای مستمر و اثربخش SAT در نظر گرفته می‌شود، بر لزوم اجرای فراست تاکید می‌کند تا برای افزایش اثربخشی در این حوزه، نسبت به ایجاد لایه جدید امنیت سایبری در سطح منابع انسانی اقدام شود و محدوده فعالیت آگاهی بخشی امنیت منابع انسانی را فراتر از روش های معمول باشد. آسیب شناسی سایبری، برنامه ریزی و ارائه برنامه های متنوع و به روز آموزشی منطبق بر متدولوژی‌های روز دنیا ، ارزیابی و پایش، اجرای پدافندهای هماهنگ و تغییر روش و تاکتیک‌های آموزشی و محتوایی در فراست برای هر سازمان بومی خواهد شد.

یکی از دغدغه‌های مدیران در عصر جدید حفظ اطلاعات، برند و اعتبار سازمان خود می‌باشد و حملات سایبری جدید ضمن هدف قرار دادن اطلاعات به تخریب برند و اعتبار کسب و کارهای مختلف در بازار رقابتی می‌پردازد. از این رو شایسته است که مدیران با در نظر گرفتن تمام جوانب برای حفاظت از امنیت سازمان، نسبت به تقویت ضعیف‌ترین لایه امنیتی که کاربران و منابع انسانی است اقدام کنند. از جمله آسیب‌هایی که همه روزه در صدر اخبار تهدیدات سایبری سازمان‌ها قرار می‌گیرد می‌توان به موارد زیر اشاره کرد، فیشینگ و ایمیل آلوده، پیامک حاوی لینک آلوده، سایت جعلی، لینک آلوده، رمز عبور ساده، ارائه اطلاعات کاربری خود به دوستان یا همکاران، نشت اطلاعات در شبکه های اجتماعی، اسمیشینگ، ویشینگ، مهندسی اجتماعی و ... اشاره کرد.

فراست تمام آسیب های سازمان شما را می سنجد و ضمن تحلیل و ریسک‌سنجی نسبت به برنامه ریزی برای هر ریسک با روش‌های نوین اقدام می‌کند.

بله فراست ایجاد یک لایه جدید امنیتی در سطح منابع انسانی و رفتارها و عملکرد ایشان است که هیچ نرم افزار و سخت افزاری برایمدیریت و کاهش ریسک ان وجود ندارد و اگاهی بخشی با برنامه و مدون تنها راه ایجاد این لایه است. همچنین با فراست استراتيی دفاع در عمق را در سازمان ها پیاده سازی خواهیم نمود.

آموزش سرفصلهایی ست که به صورت کلی تعریف می شود و بعضا به دلیل کلی بودن سرفصل ها و کوتاه بودن مقطع های ارائه و روش های سنتی اثربخشی کم و محدودی داشته، اما فراست برنامه هایی است که آموزش هدفمند و اثربخش را پیاده سازی می کند به نحوی که در پایش مستمر، روش های آموزش و حتی محتواها و پیام ها را تغییر و در بلندمدت کارمندان را به لایه ای جدید در امنیت سایبری در سطح سازمان و اجتماع تبدیل خواهد کرد.

برای تمام سازمان هایی که بانک اطلاعاتی مشتریان یا همکاران برایشان ارزشمند است، چرا که فراست بای هر سازمانی با توجه به نوع فعالیت، جامعه هدف، تعدااد پرسنل و حتی نوع شغل و محدوده های جغرافیایی متفاوت، برنامه های مدون و شخصی تدوین می کند و تمام آسیب های احتمالی کسب و کارها را شناسایی و برای هر یک راهکار بهینه را تدوین و پیاده سازی می کند.

بله در سازمان هایی که ISMS پیاده سازی شده باشد با توجه به دارا بودن بلوغ سازمانی و وجود ساختار SAT در آن سازمان ها، استفاده از فراست کمک شایانی بر تداوم و اجرای دقیق برنامه اگاهی بخشی خواهد کرد. چرا که SAT یکی از بندهایی است که در ISMS نیز مورد نیاز بوده از این رو، نیاز هست که با توجه به ضرورت پیاده سازی و اجرای فراست به صورت جداگانه و با درجه اهمیت بیشتری نسبت به پیاده سازی آن اقدام شود چرا که برند و استراتيی سازمان ارتباط مستقیمی با فراست و نوع نکاه مدیران به پیاده سازی ان دارد.

ایجاد لایه جدید امینت سایبری و مصونیت در مقابل حملات مداوم و به روز سایبری

ارتقا دانش سایبری منابع انسانی

پیاده سازی استراتژی دفاع در عمق برای سازمان های پیشرو در حوزه امنیت سایبری

با توجه به استراتژی سازمانها تشکیل یک کمیته یا دپارتمان و یا واگذاری مسئولیت به یک کارشناس یا مدیر آن هم فقط برای نظارت بر اجرا و پیاده سازی برنامه ها پیشنهاد می گردد چرا که کلیه کارهای مربوط به فراست طبق قرارداد توسط تیم اجرایی و کارشناسان مربوط به همین دپارتمان در خارج از سازمان انجام می پذیرد و وقت و انريی و نیروی سازمان ها برای پیاده سازی در گیر نخواهد شد.

آدرس: تهران- خیابان طالقانی - پلاک 271 | تلفن:91005419-021  | ایمیل: sat@faraasat.com

 Yavari.s@ParsAvan.com | www.Faraasat.com |  www.ParsAvan.com

بستن
بستن