حرکت بزرگ نیروی کار به سمت دورکاری، یکی از مهمترین تغییراتی بود که در سال ۱۳۹۹ رخ داد و منجر به ایجاد تحولی بنیادی در فناوری اطلاعات سازمانی شد. کارمندان باید وظایف خود را در منزل و در غیاب کنترلهای امنیتی که در محیط اداری از اطلاعات کاری آنها حفاظت می کرد، انجام میدادند. از این رو امنیت سازمانی، در گرو امنیت شخصی کارمندان قرار گرفت.
از آنجا که معمولاً کارمندان را به عنوان یکی از اصلی ترین نقاط نفوذ به سازمانها می دانند بنابراین آنها نقش مهمی در حفظ امنیت اطلاعات سازمان بر عهده دارند. در این مطلب از فراست، به شرح اقداماتی میپردازیم که کارمندان در راستای تحقق امنیت اطلاعات سازمانی باید آنها را انجام دهند.
بررسی وجود گواهینامه TLS/SSL در سایتها
یکی از تهدیدات جدی برای سازمانها گشت و گذار در سایتهای ناامنی است که توسط کارمندان شان انجام میشود. کارکنان باید امکان تشخیص وب سایتهای ناامن را از امن داشته باشند. راحتترین روش برای انجام این کار، بررسی وجود گواهینامههای SSL یا TLS است.
در مرورگرهای مختلف از روشهای متفاوتی برای نمایش وجود این پروتکلها استفاده میشود. مثلاً در مرورگر گوگل کروم اگر از پروتکل SSL یا TLS در وب سایتی استفاده نشده باشد، در سمت چپ سایت مورد نظر حرف “i” یا دایرهای مشکی یا مثلثی قرمز رنگ نمایش داده میشود. در غیر این صورت نیز یک آیکن قفل در سمت چپ سایت قرار میگیرد. از آنجا که هر مرورگری روش خاصی برای نمایش این اطلاعات دارد کاربران باید با نحوه نمایش آنها در مرورگرهایشان آشنا شوند.
البته اطلاعات مورد نیاز درباره حفظ امنیت سایتها را میتوان به روشهای دیگری هم کسب نمود. مثلاً شما میتوانید با یک بار کلیک بر روی آیکن قفل، اعتبار گواهینامه TLS آن سایت و نیز سازمانی که این گواهینامه برای آن صادر شده است را مشاهده کنید.
استفاده از کلمههای عبور قوی برای حسابهای کاربری
کارمندان دورکار باید از دو نکته مهم درباره کلمه عبور حسابهای کاربری شان مطلع باشند:
- کلمه عبور آنها باید به اندازه کافی پیچیده بوده و از طول کافی برخوردار باشد. در راهنمای مرکز امنیت سایبری ملی انگلیس (NCSC) توصیه شده که از سه کلمه تصادفی مجزا استفاده نموده و آنها را با یکدیگر ترکیب کنید. آنها همچنین هرگز نباید از اطلاعات شخصی خود به عنوان کلمه عبور استفاده نمایند.
- هیچ وقت از یک کلمه عبور یکسان برای تمام حساب های کاربری خود استفاده نکنند. آنها باید از کلمات عبور پیچیده متفاوت برای هر یک از حساب های کاربری خود استفاده نمایند.
به کارگیری احراز هویت چندمرحلهای و برنامههای کاربردی بانکی
هنگامی که بحث امور مالی در میان باشد، کارمندان دورکار باید سازوکارهای دفاعی خودشان را تقویت کنند. آنها باید تا جایی که ممکن است از برنامههای کاربردی که توسط خود بانک ها ارایه شده و از امنیت بالایی برای برقراری ارتباطات آنلاین برخوردار هستند برای انجام تراکنشهای مالی شان استفاده نمایند.
در حال حاضر اغلب برنامههای کاربردی و همچنین سامانه های سازمانی و بانکی، قابلیت پشتیبانی از احراز هویت چندمرحلهای را دارند. با افزایش مسئولیتهای کارمندان دورکار در خصوص حفظ امنیت، بالطبع کارفرمایان هم باید منابع و ابزارهای لازم برای انجام این مسئولیتها را در اختیار کارمندانشان قرار دهند.
آموزش و آگاهی بخشی امنیتی
همیشه از آموزش استقبال میشود اما در شرایط خاص فعلی، انجام آن (به ویژه در زمینه امنیت ایمیل و دورکاری) یک امر بسیار ضروری است. در عصر دورکاری، امنیت ایمیل کاربران بیش از هر زمان دیگری اهمیت دارد. مجرمان سایبری مدام در تلاش هستند تا با بهره گیری از شگردهای خاص خودشان به شبکههای امن سازمانی نفوذ کرده و از اطلاعات آنها سوءاستفاده کنند. به همین خاطر کارمندان باید با روشهای شناسایی حملات فیشینگ و نحوه برخورد مناسب با آنها به خوبی آشنا شوند.
امنسازی دسترسی از راه دور
دورکاری کارمندان باعث افزایش اهمیت استفاده از ویپیان شده است. وجود این ابزار برای امنسازی ارتباطات بین محیط اداره و منزل کارمندان دورکار از اهمیت زیادی برخوردار است. اگر مدیران سازمانها نتوانند ویپیان امنی را در اختیار کارمندانشان قرار دهند، امنیت این ارتباطات دچار مخاطره خواهد شد. سازمانها باید برای مقابله با این خطر، از روشهای احراز هویت چندمرحلهای با اعتبارنامههای دیجیتال استفاده کنند.
در اعتبارنامههای دیجیتال زیرساخت کلید عمومی[۱] (PKI[۲]) از روشهای رمزنگاری استفاده می شود تا مشخص گردد این اعتبارنامهها توسط مرجع قابل اعتمادی صادر شدهاند یا خیر. پیاده سازی PKI همچنین امکان اعمال کنترل بیشتر بر روی دسترسیها را فراهم نموده و به سازمانها امکان میدهد هر زمانی که لازم بود بتوانند اعتبارنامهها را لغو کنند. همچنین با استفاده از اعتبارنامههای دیجیتال میتوانید کنترل دقیقتری بر دسترسی به ویپیانها داشته و از آن به عنوان یک مرحله احراز هویت تکمیلی (در کنار کلمه عبور) استفاده نمایید.
امنسازی ایمیل با استفاده از S/MIME
راه اندازی پروتکل S/MIME برای کارمندان دورکار کمک زیادی به حفظ امنیت آنها میکند. از این پروتکل برای رمزنگاری و امضای دیجیتال ایمیلها با اعتبارنامهها استفاده میشود تا دریافت کننده ایمیل مطمئن باشد ایمیل دریافتی، توسط یک مرجع مورد اعتماد ارسال شده است.
کارمندان بخش فناوری اطلاعات میتوانند اعتبارنامههای دیجیتال را برای کارمندان سازمان صادر نموده و با ارسال ایمیلی که به صورت دیجیتالی امضا شده، S/MIME را فعال کنند. این اقدام میتواند یک سازوکار دفاعی قوی در برابر تهدیدات رایجی مثل فیشینگ و والینگ باشد که در دوره شیوع بیماری کرونا افزایش زیادی یافته اند.
در سال ۱۳۹۹، امنیت سازمانی بیش از هر زمان دیگری وابسته به نیروی های دورکار شد. کارمندان دورکار برای موفقیت بیشتر در این مسئولیت خطیر، نیازمند پشتیبانی از سوی سازمان ها هستند تا بتوانند امنیت اطلاعات سازمانی را به خوبی حفظ کنند.
[۱] زیرساخت کلید عمومی، مجموعهای متشکل از سختافزار، نرمافزار، افراد، سیاستها و دستورالعملهای مورد نیاز برای مدیریت، توزیع، استفاده، ذخیره و ابطال گواهیهای دیجیتال است.
[۲] Public Key Infrastructure