7 دلیل اهمیت آموزش های آگاهی بخش امنیت سایبری

در سال 2018 میلادی، حوادث ناشی از نشت اطلاعات برای سازمان‌های انگلیسی به طور میانگین 6.4 میلیون پوند هزینه ایجاد کرد. علت اصلی 60 تا 90 درصد از وقوع چنین رخدادهای امنیتی، خطاهای انسانی بوده است. معمولاً همین حقایق به تنهایی برای اثبات اهمیت آموزش آگاهی­ بخشی امنیت سایبری برای شرکت­ ها و سازمان­ هایی که به فکر حفظ تداوم کسب­ وکار و بقای خود هستند، کافی است.

نتایج یک نظرسنجی که اخیراً توسط CybSafe انجام گرفت، نشان می­ دهد که حدود 31 درصد از کسب­ وکارها، هیچ برنامه‌ای برای آموزش آگاهی­ بخشی امنیتی به کارکنان شان ندارند. همچنین نظرسنجی اخیر دولت انگلیس نیز نشان داد که مشاغل این کشور نسبت به سال 2017، آموزش‌های امنیتی جدید کمتری را به کارکنان خود داده ­اند.

«با وجود این که خطاهای انسانی یا عدم ارایه آموزش‌های مناسب به کارمندان همچنان مهمترین عامل به وقوع پیوستن زیان‌بارترین رخنه‌های امنیتی هستند، احتمال پیاده‌سازی راهکارهای آموزشی برای کارمندان نسبت به نظرسنجی سال 2017 کاهش پیدا کرده است (18درصد در مقایسه با 28 درصد)». وزارت دیجیتال، فرهنگ، رسانه و ورزش؛ نظرسنجی رخنه‌های امنیت سایبری در سال 2018

بنابراین با وجود آن که کارشناسان امنیتی، پیش از این هم از مزایای آموزش­ های آگاهی­ بخش امنیت سایبری اطلاع داشتند اما ممکن است دیگران هنوز اهمیت این موضوع را درک نکرده باشند.

1- پیشگیری از نفوذ و حمله

با بدیهی‌ترین مورد شروع می‌کنیم، آموزش آگاهی­ بخشی امنیت سایبری به پیشگیری از نفوذ و نشت داده‌های سازمانی کمک می‌کند.

معمولاً به دلیل عدم تعریف شاخص ­های کنترلی مناسب، تعیین دقیق تعداد رخنه‌های امنیتی که آموزش ­های آگاهی­ بخش امنیتی به پیشگیری از آنها کمک می‌کند، کار نسبتاً سختی است. در حالت ایده‌آل می­توان یک آزمایش کنترل شده انجام داد که در آن افراد یک شرکت به دو گروه، یعنی گروه کنترل و گروه تست تقسیم می‌شوند. به گروه دوم، آموزش داده می‌شود و به اولی خیر و سپس نتایج مورد مقایسه قرار می‌گیرند.

اگر چه در دنیای واقعی، انجام چنین کاری کمی مشکل است اما این به آن معنا نیست که برگزارکنندگان دوره­ های آموزشی امنیت سایبری پیشرفته توانایی انجام چنین کاری و ارزیابی امنیتی کارکنان یک شرکت را ندارند. هر چند احتمال دارد معیارهای ارزیابی کامل نباشد اما می‌توان میزان وقوع رخنه‌های امنیتی را قبل و بعد از برنامه‌های آموزشی، ارزیابی کرده و از نتایج به دست آمده برای تدوین برنامه‌های آموزشی آتی استفاده کرد. با توجه به این که در حال حاضر، هزینه هر حادثه نشت داده به طور میانگین چندین میلیون دلار و آموزش امنیتی نسبتاً کم‌هزینه است می‌توان ارزش این آموزش‌های امنیتی را به خوبی درک کرد.

2- تأثیر بر فرهنگ شرکت

فرهنگ امنیت سایبری مدت‌ها است که برای مدیران ارشد امنیت شرکت­ ها و سازمان­ ها همچون یک جام مقدس محسوب می‌شود. با این حال، ایجاد چنین فرهنگی و تغییر رفتار کارکنان کار بسیار دشواری است.

بعضی از پلتفرم‌های آموزش آگاهی ­بخشی امنیت سایبری امروزی بر این موضوع تأکید دارند که ارتقای فرهنگ امنیت و تلاش برای ارزیابی امنیتی مداوم کارکنان، از ارزش بسیار بالایی برخوردار است.

پلتفرم‌های پیشرفته آموزش آگاهی­ بخشی امنیت سایبری می‌توانند با بررسی شاخص‌های فرهنگ به نظارت، پرورش و توسعه فرهنگ امنیتی شرکت کمک کرده و کارمندان را تبدیل به یک عامل دفاعی پیشگیرانه کنند.

3- تقویت سازوکارهای دفاعی فناورانه

مسلماً سازوکارهای دفاعی فناورانه، سلاحی ارزشمند برای پیشگیری از رخنه‌های امنیتی محسوب می‌شوند؛ اما این سازوکارها نیاز به ورودی‌هایی از طرف انسان‌ها دارند. فایروال‌ها باید همواره روشن باشند، هشدارهای امنیتی بایستی مدام ارسال شده و نرم‌افزارها نیز همیشه به‌روزرسانی شوند.

امروزه تعداد کسب‌وکارهایی که بدون سیستم‌های دفاعی فناورانه می­ خواهند همچنان به فعالیت­شان ادامه دهند، انگشت­ شمار است. بهتر است بدانید که بدون وجود آموزش‌های امنیتی نمی‌توان از قابلیت­ های کامل این سیستم‌های دفاعی استفاده کرد.

یکی دیگر از موضوع ­هایی که منجر به بدتر شدن بیشتر اوضاع شده، این واقعیت است که امروزه مهاجمان سعی می‌کنند تا حد امکان زحمت رخنه از طریق راهکارهای فناورانه را به خود ندهند. نفوذگران امروزی ترجیح می‌دهند انسان‌ها را هدف بگیرند؛ افرادی که در شبکه‌های محافظت شده، آسان‌ترین راه برای نفوذ محسوب می‌شوند.

4- جذب مشتریان بیشتر

برنامه‌های آموزش آگاهی­ بخشی امنیت سایبری به شرکت­ ها کمک می‌کند تا قراردادهای بهتری داشته باشند. این ادعا بر اساس حدس و گمان نیست. در نظرسنجی اخیر شرکت CybSafe از 250 تصمیم ­گیرنده در بخش فناوری اطلاعات، بیش از نیمی از آنها اعلام کردند که از نظر مشتریانشان، ملاحظات امنیتی نقش مهمی در خروج از قرارداد یا تلاش برای ورود به یک قرارداد دارد. بیش از دو سوم هم اعلام کرده‌اند که حداقل یکی از مشتری هایشان، وجود یک سطح استاندارد امنیت سایبری در شرکت طرف قرارداد را الزامی می‌داند.

هر چند ممکن است آموزش ­های آگاهی­ بخش امنیتی از نظر عده‌ای بی‌اهمیت به نظر برسد اما در اغلب موارد این موضوع از دید مشتریان اهمیت زیادی دارد.

5- سازگاری با استانداردها

استانداردها را نمی­ توان به تنهایی دلیلی برای الزام آموزش‌های امنیتی در نظر گرفت. همان‌طور که پیش از این هم اشاره شد، احتمال ایجاد مشکل برای شرکت‌هایی که صرفاً به دنبال پیروی از استانداردها هستند، باز هم وجود دارد.

روزبه­ روز بر دستورات قانون‌گذاران جهت لزوم پیاده‌سازی برنامه‌های آموزش امنیتی افزوده می‌شود. مرجع راهبردی امور مالی انگلستان که در زمینه شکل‌دهی سیاست‌های آینده با CybSafe همکاری دارد، اعلام کرده است که:

«در سال آینده، ارزیابی‌های نظارتی ما از شرکت‌های بزرگ و شناخته شده جهت تشخیص نحوه استفاده آنها از فناوری در زمان حال و برنامه‌هایشان برای آینده، مقاومت آنها در برابر حملات سایبری و ارزیابی تخصص کارمندان بیشتر می‌شود. همچنین مشارکت دولت، راهبردها، زیرساخت‌های سیستمی، مدیریت مخاطره و فرهنگ در حفظ امنیت داده‌های سازمانی را بررسی می‌کنیم».

مطابقت و انطباق با استانداردها می‌تواند یکی از نتایج آموزش امنیت باشد. افرادی که چنین آموزش‌هایی را می‌بینند، معمولاً رفتار ایمن‌تری داشته و همین آموزش در بسیاری از صنایع می‌تواند منجر به سازگاری با استانداردها شود.

6- ترویج رفتار مسئولانه

همان‌طور که حملات WannaCry و NotPetya ثابت کردند، حملات سایبری با سرعت و رشد بی‌سابقه‌ای در حال انجام هستند. هر چه تعداد شبکه‌های آلوده بیشتر شود، احتمال سرایت آلودگی به سایر شبکه‌ها نیز افزایش می­ یابد. همچنین با توجه به این که امروزه شبکه‌ها به شدت به هم متصل هستند، کاهش سطح امنیت یک شبکه می‌تواند منجر به افزایش سطح مخاطره برای سایر شبکه‌ها نیز شود.

بنابراین نداشتن برنامه‌ای برای آموزش آگاهی­ بخشی امنیت سایبری در یک شرکت می‌تواند منجر به آسیب‌پذیری سایر شرکت‌ها شود. این کار تا حدی شبیه باز گذاشتن قفل در خانه است. آموزش آگاهی امنیتی علاوه بر خود شما به نفع مشتریان، تأمین‌کنندگان و هر فرد و سازمان دیگری است که با شبکه شما ارتباط دارد.

7- آسایش و رفاه کارمندان

این موضوع یک موضوع ثابت شده است که انسان‌های راضی و شاد، بهره‌وری بیشتری دارند. از این رو طرح‌های رفاهی مثل روزهایی برای دور شدن از محیط کار، جزو برنامه‌های بسیاری از شرکت‌ها است. باید به این نکته توجه داشت که آموزش آگاهی­ بخشی امنیتی نه فقط باعث حفظ امنیت افراد در محل کار می‌شود بلکه آنها را در زندگی شخصی نیز ایمن نگه می‌دارد.

در بیشتر وقت­ ها این مزیت خاص نادیده گرفته می‌شود. لازم به ذکر است که اگر برنامه‌های آموزش آگاهی­ بخشی امنیت سایبری، خروجی مورد نظر را داشته باشد، این شرایط هم به نفع شرکت و هم به نفع خود کارمندان است.