7 دلیل اهمیت آموزش های آگاهی بخش امنیت سایبری
اهمیت آموزش های آگاهی بخش امنیت سایبری در سازمان ها به دلیل افزایش حوادث ناشی از نشت داده

در سال 2018 میلادی، حوادث ناشی از نشت اطلاعات برای سازمانهای انگلیسی به طور میانگین 6.4 میلیون پوند هزینه ایجاد کرد. علت اصلی 60 تا 90 درصد از وقوع چنین رخدادهای امنیتی، خطاهای انسانی بوده است. معمولاً همین حقایق به تنهایی برای اثبات اهمیت آموزش آگاهی بخشی امنیت سایبری برای شرکت ها و سازمان هایی که به فکر حفظ تداوم کسب وکار و بقای خود هستند، کافی است.
نتایج یک نظرسنجی که اخیراً توسط CybSafe انجام گرفت، نشان می دهد که حدود 31 درصد از کسب وکارها، هیچ برنامهای برای آموزش آگاهی بخشی امنیتی به کارکنان شان ندارند. همچنین نظرسنجی اخیر دولت انگلیس نیز نشان داد که مشاغل این کشور نسبت به سال 2017، آموزشهای امنیتی جدید کمتری را به کارکنان خود داده اند.
«با وجود این که خطاهای انسانی یا عدم ارایه آموزشهای مناسب به کارمندان همچنان مهمترین عامل به وقوع پیوستن زیانبارترین رخنههای امنیتی هستند، احتمال پیادهسازی راهکارهای آموزشی برای کارمندان نسبت به نظرسنجی سال 2017 کاهش پیدا کرده است (18درصد در مقایسه با 28 درصد)». وزارت دیجیتال، فرهنگ، رسانه و ورزش؛ نظرسنجی رخنههای امنیت سایبری در سال 2018
بنابراین با وجود آن که کارشناسان امنیتی، پیش از این هم از مزایای آموزش های آگاهی بخش امنیت سایبری اطلاع داشتند اما ممکن است دیگران هنوز اهمیت این موضوع را درک نکرده باشند.
1- پیشگیری از نفوذ و حمله
با بدیهیترین مورد شروع میکنیم، آموزش آگاهی بخشی امنیت سایبری به پیشگیری از نفوذ و نشت دادههای سازمانی کمک میکند.
معمولاً به دلیل عدم تعریف شاخص های کنترلی مناسب، تعیین دقیق تعداد رخنههای امنیتی که آموزش های آگاهی بخش امنیتی به پیشگیری از آنها کمک میکند، کار نسبتاً سختی است. در حالت ایدهآل میتوان یک آزمایش کنترل شده انجام داد که در آن افراد یک شرکت به دو گروه، یعنی گروه کنترل و گروه تست تقسیم میشوند. به گروه دوم، آموزش داده میشود و به اولی خیر و سپس نتایج مورد مقایسه قرار میگیرند.
اگر چه در دنیای واقعی، انجام چنین کاری کمی مشکل است اما این به آن معنا نیست که برگزارکنندگان دوره های آموزشی امنیت سایبری پیشرفته توانایی انجام چنین کاری و ارزیابی امنیتی کارکنان یک شرکت را ندارند. هر چند احتمال دارد معیارهای ارزیابی کامل نباشد اما میتوان میزان وقوع رخنههای امنیتی را قبل و بعد از برنامههای آموزشی، ارزیابی کرده و از نتایج به دست آمده برای تدوین برنامههای آموزشی آتی استفاده کرد. با توجه به این که در حال حاضر، هزینه هر حادثه نشت داده به طور میانگین چندین میلیون دلار و آموزش امنیتی نسبتاً کمهزینه است میتوان ارزش این آموزشهای امنیتی را به خوبی درک کرد.
2- تأثیر بر فرهنگ شرکت
فرهنگ امنیت سایبری مدتها است که برای مدیران ارشد امنیت شرکت ها و سازمان ها همچون یک جام مقدس محسوب میشود. با این حال، ایجاد چنین فرهنگی و تغییر رفتار کارکنان کار بسیار دشواری است.
بعضی از پلتفرمهای آموزش آگاهی بخشی امنیت سایبری امروزی بر این موضوع تأکید دارند که ارتقای فرهنگ امنیت و تلاش برای ارزیابی امنیتی مداوم کارکنان، از ارزش بسیار بالایی برخوردار است.
پلتفرمهای پیشرفته آموزش آگاهی بخشی امنیت سایبری میتوانند با بررسی شاخصهای فرهنگ به نظارت، پرورش و توسعه فرهنگ امنیتی شرکت کمک کرده و کارمندان را تبدیل به یک عامل دفاعی پیشگیرانه کنند.
3- تقویت سازوکارهای دفاعی فناورانه
مسلماً سازوکارهای دفاعی فناورانه، سلاحی ارزشمند برای پیشگیری از رخنههای امنیتی محسوب میشوند؛ اما این سازوکارها نیاز به ورودیهایی از طرف انسانها دارند. فایروالها باید همواره روشن باشند، هشدارهای امنیتی بایستی مدام ارسال شده و نرمافزارها نیز همیشه بهروزرسانی شوند.
امروزه تعداد کسبوکارهایی که بدون سیستمهای دفاعی فناورانه می خواهند همچنان به فعالیتشان ادامه دهند، انگشت شمار است. بهتر است بدانید که بدون وجود آموزشهای امنیتی نمیتوان از قابلیت های کامل این سیستمهای دفاعی استفاده کرد.
یکی دیگر از موضوع هایی که منجر به بدتر شدن بیشتر اوضاع شده، این واقعیت است که امروزه مهاجمان سعی میکنند تا حد امکان زحمت رخنه از طریق راهکارهای فناورانه را به خود ندهند. نفوذگران امروزی ترجیح میدهند انسانها را هدف بگیرند؛ افرادی که در شبکههای محافظت شده، آسانترین راه برای نفوذ محسوب میشوند.
4- جذب مشتریان بیشتر
برنامههای آموزش آگاهی بخشی امنیت سایبری به شرکت ها کمک میکند تا قراردادهای بهتری داشته باشند. این ادعا بر اساس حدس و گمان نیست. در نظرسنجی اخیر شرکت CybSafe از 250 تصمیم گیرنده در بخش فناوری اطلاعات، بیش از نیمی از آنها اعلام کردند که از نظر مشتریانشان، ملاحظات امنیتی نقش مهمی در خروج از قرارداد یا تلاش برای ورود به یک قرارداد دارد. بیش از دو سوم هم اعلام کردهاند که حداقل یکی از مشتری هایشان، وجود یک سطح استاندارد امنیت سایبری در شرکت طرف قرارداد را الزامی میداند.
هر چند ممکن است آموزش های آگاهی بخش امنیتی از نظر عدهای بیاهمیت به نظر برسد اما در اغلب موارد این موضوع از دید مشتریان اهمیت زیادی دارد.
5- سازگاری با استانداردها
استانداردها را نمی توان به تنهایی دلیلی برای الزام آموزشهای امنیتی در نظر گرفت. همانطور که پیش از این هم اشاره شد، احتمال ایجاد مشکل برای شرکتهایی که صرفاً به دنبال پیروی از استانداردها هستند، باز هم وجود دارد.
روزبه روز بر دستورات قانونگذاران جهت لزوم پیادهسازی برنامههای آموزش امنیتی افزوده میشود. مرجع راهبردی امور مالی انگلستان که در زمینه شکلدهی سیاستهای آینده با CybSafe همکاری دارد، اعلام کرده است که:
«در سال آینده، ارزیابیهای نظارتی ما از شرکتهای بزرگ و شناخته شده جهت تشخیص نحوه استفاده آنها از فناوری در زمان حال و برنامههایشان برای آینده، مقاومت آنها در برابر حملات سایبری و ارزیابی تخصص کارمندان بیشتر میشود. همچنین مشارکت دولت، راهبردها، زیرساختهای سیستمی، مدیریت مخاطره و فرهنگ در حفظ امنیت دادههای سازمانی را بررسی میکنیم».
مطابقت و انطباق با استانداردها میتواند یکی از نتایج آموزش امنیت باشد. افرادی که چنین آموزشهایی را میبینند، معمولاً رفتار ایمنتری داشته و همین آموزش در بسیاری از صنایع میتواند منجر به سازگاری با استانداردها شود.
6- ترویج رفتار مسئولانه
همانطور که حملات WannaCry و NotPetya ثابت کردند، حملات سایبری با سرعت و رشد بیسابقهای در حال انجام هستند. هر چه تعداد شبکههای آلوده بیشتر شود، احتمال سرایت آلودگی به سایر شبکهها نیز افزایش می یابد. همچنین با توجه به این که امروزه شبکهها به شدت به هم متصل هستند، کاهش سطح امنیت یک شبکه میتواند منجر به افزایش سطح مخاطره برای سایر شبکهها نیز شود.
بنابراین نداشتن برنامهای برای آموزش آگاهی بخشی امنیت سایبری در یک شرکت میتواند منجر به آسیبپذیری سایر شرکتها شود. این کار تا حدی شبیه باز گذاشتن قفل در خانه است. آموزش آگاهی امنیتی علاوه بر خود شما به نفع مشتریان، تأمینکنندگان و هر فرد و سازمان دیگری است که با شبکه شما ارتباط دارد.
7- آسایش و رفاه کارمندان
این موضوع یک موضوع ثابت شده است که انسانهای راضی و شاد، بهرهوری بیشتری دارند. از این رو طرحهای رفاهی مثل روزهایی برای دور شدن از محیط کار، جزو برنامههای بسیاری از شرکتها است. باید به این نکته توجه داشت که آموزش آگاهی بخشی امنیتی نه فقط باعث حفظ امنیت افراد در محل کار میشود بلکه آنها را در زندگی شخصی نیز ایمن نگه میدارد.
در بیشتر وقت ها این مزیت خاص نادیده گرفته میشود. لازم به ذکر است که اگر برنامههای آموزش آگاهی بخشی امنیت سایبری، خروجی مورد نظر را داشته باشد، این شرایط هم به نفع شرکت و هم به نفع خود کارمندان است.