امنیت سازمانی در گروی امنیت شخصی کارمندان

حرکت بزرگ نیروی کار به سمت دورکاری، یکی از مهمترین تغییراتی بود که در سال ۱۳۹۹ رخ داد و منجر به ایجاد تحولی بنیادی در فناوری اطلاعات سازمانی شد. کارمندان باید وظایف خود را در منزل و در غیاب کنترل‌های امنیتی که در محیط اداری از اطلاعات کاری آنها حفاظت می کرد، انجام می‌دادند. از این رو امنیت سازمانی، در گرو امنیت شخصی کارمندان قرار گرفت.

از آنجا که معمولاً کارمندان را به عنوان یکی از اصلی ترین نقاط نفوذ به سازمان‌ها می دانند بنابراین آنها نقش مهمی در حفظ امنیت اطلاعات سازمان بر عهده دارند. در این مطلب از فراست، به شرح اقداماتی می‌پردازیم که کارمندان در راستای تحقق امنیت اطلاعات سازمانی باید آنها را انجام دهند.

بررسی وجود گواهینامه TLS/SSL در سایت‌ها

یکی از تهدیدات جدی برای سازمان‌ها گشت و گذار در سایت‌های ناامنی است که توسط کارمندان شان انجام می‌شود. کارکنان باید امکان تشخیص وب سایت‌های ناامن را از امن داشته باشند. راحت‌ترین روش برای انجام این کار، بررسی وجود گواهینامه‌های SSL یا TLS است.

در مرورگرهای مختلف از روش‌های متفاوتی برای نمایش وجود این پروتکل‌ها استفاده می‌شود. مثلاً در مرورگر گوگل کروم اگر از پروتکل SSL یا TLS در وب سایتی استفاده نشده باشد، در سمت چپ سایت مورد نظر حرف “i” یا دایره‌ای مشکی یا مثلثی قرمز رنگ نمایش داده می‌شود. در غیر این صورت نیز یک آیکن قفل در سمت چپ سایت قرار می‌گیرد. از آنجا که هر مرورگری روش خاصی برای نمایش این اطلاعات دارد کاربران باید با نحوه نمایش آنها در مرورگرهایشان آشنا شوند.

البته اطلاعات مورد نیاز درباره حفظ امنیت سایت‌ها را می‌توان به روش‌های دیگری هم کسب نمود. مثلاً شما می‌توانید با یک بار کلیک بر روی آیکن قفل، اعتبار گواهینامه TLS آن سایت و نیز سازمانی که این گواهینامه برای آن صادر شده است را مشاهده کنید.

استفاده از کلمه‌های عبور قوی برای حساب‌های کاربری

کارمندان دورکار باید از دو نکته مهم درباره کلمه عبور حساب‌های کاربری شان مطلع باشند:

1. کلمه عبور آنها باید به اندازه کافی پیچیده بوده و از طول کافی برخوردار باشد. در راهنمای مرکز امنیت سایبری ملی انگلیس (NCSC) توصیه شده که از سه کلمه تصادفی مجزا استفاده نموده و آنها را با یکدیگر ترکیب کنید. آنها همچنین هرگز نباید از اطلاعات شخصی خود به عنوان کلمه عبور استفاده نمایند.
2. هیچ وقت از یک کلمه عبور یکسان برای تمام حساب های کاربری خود استفاده نکنند. آنها باید از کلمات عبور پیچیده متفاوت برای هر یک از حساب های کاربری خود استفاده نمایند.

به‌ کارگیری احراز هویت چندمرحله‌ای و برنامه‌های کاربردی بانکی

هنگامی که بحث امور مالی در میان باشد، کارمندان دورکار باید سازوکارهای دفاعی خودشان را تقویت کنند. آنها باید تا جایی که ممکن است از برنامه‌های کاربردی که توسط خود بانک ها ارایه شده و از امنیت بالایی برای برقراری ارتباطات آنلاین برخوردار هستند برای انجام تراکنش‌های مالی شان استفاده نمایند.

در حال حاضر اغلب برنامه‌های کاربردی و همچنین سامانه های سازمانی و بانکی، قابلیت پشتیبانی از احراز هویت چندمرحله‌ای را دارند. با افزایش مسئولیت‌های کارمندان دورکار در خصوص حفظ امنیت، بالطبع کارفرمایان هم باید منابع و ابزارهای لازم برای انجام این مسئولیت‌ها را در اختیار کارمندان‌شان قرار دهند.

آموزش و آگاهی بخشی امنیتی

همیشه از آموزش استقبال می‌شود اما در شرایط خاص فعلی، انجام آن (به ویژه در زمینه امنیت ایمیل و دورکاری) یک امر بسیار ضروری است. در عصر دورکاری، امنیت ایمیل کاربران بیش از هر زمان دیگری اهمیت دارد. مجرمان سایبری مدام در تلاش هستند تا با بهره گیری از شگردهای خاص خودشان به شبکه‌های امن سازمانی نفوذ کرده و از اطلاعات آنها سوءاستفاده کنند. به همین خاطر کارمندان باید با روش‌های شناسایی حملات فیشینگ و نحوه برخورد مناسب با آنها به خوبی آشنا شوند.

امن‌سازی دسترسی از راه دور

دورکاری کارمندان باعث افزایش اهمیت استفاده از وی‌پی‌ان شده است. وجود این ابزار برای امن‌سازی ارتباطات بین محیط اداره و منزل کارمندان دورکار از اهمیت زیادی برخوردار است. اگر مدیران سازمان‌ها نتوانند وی‌پی‌ان امنی را در اختیار کارمندان‌شان قرار دهند، امنیت این ارتباطات دچار مخاطره خواهد شد. سازمان‌ها باید برای مقابله با این خطر، از روش‌های احراز هویت چندمرحله‌ای با اعتبارنامه‌های دیجیتال استفاده کنند.

در اعتبارنامه‌های دیجیتال زیرساخت کلید عمومی[۱] (PKI[۲]) از روش‌های رمزنگاری استفاده می شود تا مشخص گردد این اعتبارنامه‌ها توسط مرجع قابل اعتمادی صادر شده‌اند یا خیر. پیاده سازی PKI همچنین امکان اعمال کنترل بیشتر بر روی دسترسی‌ها را فراهم نموده و به سازمان‌ها امکان می‌دهد هر زمانی که لازم بود بتوانند اعتبارنامه‌ها را لغو کنند. همچنین با استفاده از اعتبارنامه‌های دیجیتال می‌توانید کنترل دقیق‌تری بر دسترسی به وی‌پی‌ان‌ها داشته و از آن به عنوان یک مرحله احراز هویت تکمیلی (در کنار کلمه عبور) استفاده نمایید.

امن‌سازی ایمیل با استفاده از S/MIME

راه اندازی پروتکل S/MIME برای کارمندان دورکار کمک زیادی به حفظ امنیت آن‌ها می‌کند. از این پروتکل برای رمزنگاری و امضای دیجیتال ایمیل‌ها با اعتبارنامه‌ها استفاده می‌شود تا دریافت کننده ایمیل مطمئن باشد ایمیل دریافتی، توسط یک مرجع مورد اعتماد ارسال شده است.

کارمندان بخش فناوری اطلاعات می‌توانند اعتبارنامه‌های دیجیتال را برای کارمندان سازمان صادر نموده و با ارسال ایمیلی که به صورت دیجیتالی امضا شده، S/MIME را فعال کنند. این اقدام می‌تواند یک سازوکار دفاعی قوی در برابر تهدیدات رایجی مثل فیشینگ و والینگ باشد که در دوره شیوع بیماری کرونا افزایش زیادی یافته اند.

در سال ۱۳۹۹، امنیت سازمانی بیش از هر زمان دیگری وابسته به نیروی های دورکار شد. کارمندان دورکار برای موفقیت بیشتر در این مسئولیت خطیر، نیازمند پشتیبانی از سوی سازمان ها هستند تا بتوانند امنیت اطلاعات سازمانی را به خوبی حفظ کنند.

[۱] زیرساخت کلید عمومی، مجموعه‌ای متشکل از سخت‌افزار، نرم‌افزار، افراد، سیاست‌ها و دستورالعمل‌های مورد نیاز برای مدیریت، توزیع، استفاده، ذخیره و ابطال گواهی‌های دیجیتال است.

[۲] Public Key Infrastructure