مقالات

اهمیت آگاهی ­بخشی امنیت سایبری و آموزش‌های آن

امروزه آگاهی ­بخشی امنیت سایبری و آموزش‌های آن یکی از مهم ترین موضوعات در هر شرکت یا سازمانی به شمار می‌رود. باید توجه داشت که تعداد متخصصان امنیتی در سازمان‌ها اغلب محدود بوده و بنابراین نیاز به آموزش و ایجاد آگاهی در میان کارکنان سازمان از اهمیت ویژه‌ای برخوردار است تا در هنگام وقوع هر حادثه امنیتی بتوان از مشارکت جمعی تمامی کارکنان بهره برد. به خصوص در حوزه شبکه، همواره نیاز به فردی است که تا حدود زیادی از اقدام ­های ضدامنیتی آگاهی داشته تا به دیگران برای درک بهتر امنیت یاری رساند.

در این مقاله، به بررسی عوامل مهمی که برای ایجاد چنین محیط‌هایی مفید خواهند بود می پردازیم.

 

آموزش سیاست‌های آگاهی ­بخشی امنیت سایبری و رویه‌های آموزشی، براساس واحدهای سازمانی

یک متخصص امنیت سازمانی، مسئولیت مهمی را بر عهده دارد. در حقیقت این فرد با پذیرش چنین مسئولیتی وظیفه دارد تمامی سیاست‌ها و راهبردهای امنیتی که می‌بایست توسط تمامی بخش‌های سازمان رعایت شود را ایجاد کند. با این وجود، همراه کردن اعضای سازمان برای تعهد به اجرای این قوانین، به اندازه ایجاد این قوانین سخت و دشوار خواهد بود. از آنجایی که نسخه چاپی سیاست‌های امنیت اطلاعات وضع شده معمولاً تعداد صفحات بالایی دارد و مطالعه آن می‌تواند بسیار خسته کننده باشد، احتمال این که افراد آن را مطالعه کنند بسیار ضعیف است. با در نظر گرفتن این مورد، آموزش کارکنان برای متخصصانی که سیاست‌های آگاهی ­بخشی امنیت سایبری را ایجاد می‌کنند به چالشی بزرگ درون سازمان ­ها تبدیل شده است.

یکی از راه‌های جلب توجه و مشارکت کارکنان، برگزاری جلسات آموزشی اجباری در خصوص سیاست‌های امنیتی است. برای تأثیرگذاری هرچه بیشتر این آموزش‌ها، متخصص آموزشی وظیفه دارد از حضور همه افراد اطمینان حاصل کند. برگزاری جلسات اجباری درون سازمان با سایر قسمت‌ها همچون جلسات کارکنان که در آن فردی چند دقیقه از زمانش را صرف توضیح این سیاست‌ها می‌کند می‌تواند بسیار مفید باشد. در این جلسات مطمئن شوید که خلاصه ­ای از مطالب، بیان شده و سرفصل سیاست‌های امنیتی عنوان می‌شود. از پرسش‌نامه‌هایی که تعاملی بوده و افراد را از نقش­شان و قوانین سازمان مطلع می‌سازد نیز می­ توان استفاده کرد. سعی کنید خودتان شخصاً در جلسات با کارکنان حضور پیدا کرده و با آنها تعامل داشته باشید.

در این نشست‌ها باید مطمئن شوید بهترین راهکارهای امنیتی عمومی اجرا می‌شوند. چنین امری مستلزم ارزش‌گذاری اطلاعات و نحوه مواجهه با مشکلات امنیتی مانند برخورد با حملات ویروس‌ها در سیستم‌های رایانه­ ای سازمان است. علاوه بر این، فرد وظیفه دارد هنگام حضور بازدیدکنندگان از سازمان، کارکنان را از نحوه پیاده‌سازی سیاست‌های امنیتی آگاه سازد تا هر نفر به اهمیت ویژه این قوانین برای سازمان آگاه باشد.

فعالیت دیگری که می‌تواند منجر به جذب مشارکت کارمندان شود، ایجاد آموزش‌های مخصوص افراد در محیط‌های کاملاً مخصوص به آنها همچون افرادی که مدام در حال جابه‌جایی هستند، است. در این موارد چند معیار امنیتی وجود دارد که می‌تواند در خصوص افرادی که لپ‌تاپ مختص خود را دارند استفاده شود؛ به عنوان مثال رمزنگاری درایو هارد، تا دیگر افراد درون سازمان نتوانند به آن دسترسی داشته باشند. برای هر بخش از سازمان می­ توان یک آموزش مختص به آن واحد را ایجاد کرد. این آموزش‌های واحدی، در خصوص مشکلاتی که مربوط به خود آن واحدها هستند می­ تواند بسیار مهم و حیاتی باشد.

 

طبقه‌بندی اطلاعات شخصی قابل شناسایی

در بیشتر سازمان‌ها، موضوع ­های امنیت سایبری قوانین مختص به خود را داشته و هر سازمان مواردی را برای کارکنان خود در نظر می‌گیرد. قوانین حریم خصوصی شامل موضوعاتی است که توسط همه افراد قابل مشاهده و قابل دسترسی بوده و بازدیدکنندگان وب سایت‌ها نیز به آنها دسترسی دارند. این قوانین همچنین بایستی شامل بخشی باشند که جزییات آنچه افراد می‌توانند با اطلاعات شخصی قابل شناسایی‌شان انجام دهند و کارهایی که نباید انجام دهند را نیز در برگیرند. به عنوان نمونه اگر فردی نام و شماره تلفنش را در جایی جا می‌گذارد باید از سوءاستفاده‌هایی که یک فرد متخلف می‌تواند از آن اطلاعات کند نیز آگاه باشد. شاید یک سازمان بتواند این اطلاعات را به شرکتی دیگر فروخته یا به اشتراک بگذارد. به همین دلیل باید مستندسازی روشنی وجود داشته باشد که نشان دهد افراد با این اطلاعات چه کارهایی می‌توانند انجام دهند تا هر فرد در هر جایگاه شغلی بتواند تصمیم بگیرد که آیا اطلاعات را در جایی که می‌خواهد بگذارد یا نه.

دسته‌بندی‌های مختلفی برای اطلاعات شخصی قابل شناسایی وجود دارد که عبارتند از:

  • سطح بالا: اطلاعاتی که در دسته اطلاعات سطح بالا قرار می‌گیرند، عموماً به عنوان دارایی‌های با ارزش تلقی می‌شوند. در سازمان‌ها این اطلاعات می‌توانند چیزی همچون خط مشی‌های امنیتی سازمان باشند. این اطلاعات از آنجا که نقش به سزایی در حفظ امنیت سازمان ایفا می‌کنند از اهمیت بالایی برخوردارند. چنین داده‌هایی تنها باید در دسترس کارکنان امنیتی سطح بالای سازمان باشد. لازم است محافظت‌های سخت فایروالی و رمزنگاری‌های بسیار پیچیده‌ای در خصوص آنها انجام شود تا دسترسی به چنین اطلاعاتی بسیار دشوار شود. در اغلب موارد، این اطلاعات در پایگاه داده‌ها یا سرورهای مرکزی ذخیره می‌شوند.
  • سطح متوسط: این سطح از اطلاعات، همان داده‌هایی هستند که محدودیت‌های ویژه و زیادی بر روی دسترسی آنها اعمال نشده است. با این حال، هر چند امنیت بالایی برای آنها در نظر گرفته نشده ولی همچنان نباید در اختیار بعضی از افراد قرار گیرند.
  • سطح پایین: اطلاعات این سطح همان داده‌هایی هستند که معیارهای امنیتی آنها ساده است. به این معنی که دسترسی به این اطلاعات برای تمام اعضای سازمان امکان‌پذیر است. در بیشتر وقت­ ها، این اطلاعات چندان حساس نیستند بنابراین دسترس‌پذیری و اداره آن برای کارکنان سازمان نسبتاً آسان است.
  • اطلاعات محرمانه: اطلاعات شناسایی شخصی، اطلاعاتی هستند که اساساً تنها اشخاص و کاربران خاص به آنها دسترسی دارند. بدین معنی که این اطلاعات نمی‌توانند و نباید با هیچ فرد دیگری به اشتراک گذاشته شوند.
  • اطلاعات خصوصی: اطلاعات خصوصی به اطلاعاتی گفته می‌شود که تنها در دسترس عده مشخصی در سازمان است. در این مورد، اطلاعاتی که نمی‌توانند با افراد خارج از سازمان به اشتراک گذاشته شوند یا در معرض دید آنها قرار گیرند، در این دسته به شمار می روند.
  • اطلاعات همگانی: این اطلاعات، اساساً اطلاعاتی هستند که می‌توانند با افراد خارج از سازمان نیز به اشتراک گذاشته شوند. چنین اطلاعاتی جنبه عمومی و همگانی دارند. مثلاً در مورد شرکت‌های حسابداری و مالی، این اطلاعات شامل فواید مالی شرکت نیز می‌شود.

 

برچسب‌گذاری، کنترل و امحای اطلاعات

این مورد ممکن است برای شما هم پیش آمده باشد که در شرکتی، با CD-ROM ها یا DVD-ROM هایی برخورد کنید که در جایی برای استفاده‌های بعدی نگهداری می­ شوند. بعضی از رسانه‌های ذخیره‌سازی حاوی جزییات مهمی از شرکت هستند و بنابراین افراد باید دقت بالایی را در خصوص نگهداری و برچسب‌گذاری این رسانه‌های ذخیره‌سازی داشته باشند. لازم است مستندسازی دقیقی انجام شود تا مطمئن شویم که حواس­مان به حفظ اسناد مهم سازمانی است. جدای از برچسب‌گذاری سندها، لازم است نسخه‌های پشتیبانی از اطلاعات، با ذکر برچسب نیز تهیه شوند تا در صورت از بین رفتن نسخه اصلی، این اطلاعات از بین نرفته و همچنان قابل دسترس باشند.

دور انداختن مستندات هم بدون در نظر گرفتن ملاحظات امنیتی در خصوص امحای امن آنها می‌تواند برای تمامی شرکت ها و سازمان‌ها مسأله ای حیاتی باشد چرا که برخی اطلاعات با وجود قدیمی بودن­شان، همچنان لازم است محافظت شده و نباید دور انداخته شوند. افراد باید در خصوص دور انداختن اطلاعات، به ویژه اطلاعات حساس بسیار محتاط باشند چرا که دور انداختن تصادفی این اطلاعات ممکن است باعث شود شخص دیگری در خارج از سازمان به آنها دست یابد. زمانی که قصد دور انداختن اطلاعاتی را دارید باید چند مورد احتیاطی را در نظر بگیرید تا مطمئن شوید این اطلاعات به دست افراد دیگر نمی افتد. در خصوص کاغذها و مستندات چاپی باید آنها را کاملاً خرد و تکه تکه کرده و سپس دور انداخته شوند.

 

انطباق با قوانین، بهترین راهکارها و استانداردها

ظهور مقررات انطباقی متعدد و نگرانی‌های امنیتی در حیطه مقررات انطباقی تقریباً تبدیل به بخشی از رویه کار سازمان‌ها شده است. برای نمونه، رعایت نکردن مسایل انطباقی مربوط به حوزه‌های مالی و بهداشت و درمان می‌تواند منجر به پرداخت جریمه‌های سنگین و  محکومیت‌های قضایی شود. بنابراین دست‌کم نگرفتن این مقررات انطباقی از اهمیت بالایی برخوردار است. برای مثال، قانون “Sarbanes-Oxley” یا همان «قانون حسابداری شرکت‌های دولتی و حفاظت از سرمایه»، قانونی است که الزامات انطباقی در خصوص نحوه رفتار سازمان‌ها با مسایل مالی، دارایی‌ها و چگونگی اداره دفاتر را مشخص می‌کند. شرکت‌های خصوصی و دولتی عموماً با مشکلات بزرگی در حوزه حسابرسی و اطمینان از محافظت سرمایه‌گذاران مواجه هستند.

در بخش بهداشت و درمان، قانون نقل و انتقال و حسابرسی بیمه سلامت، استانداردهای خاصی را برای ذخیره‌سازی اطلاعات سلامت مشتریان، استفاده از این اطلاعات و همچنین انتقال اطلاعات بین شبکه‌ها ارایه کرده است.

عدم موفقیت در انطباق با این استانداردها مجازات‌های سنگینی را نظیر جرایم و احکام قضایی به دنبال خواهد داشت. میزان این جرایم، به ‌نوع جرم انجام شده بستگی دارد. بنابراین سازمان‌ها باید همواره تلاش کنند به آخرین میزان انطباق با این استانداردها دست یابند.

به عنوان یک متخصص امنیتی، مسئولیت به خاطر داشتن این فعالیت‌ها که توسط افراد داخل سازمان به عهده گرفته می‌شود و تأثیر آنها بر مقررات انطباقی بر عهده شما است.

 

عادت­ های کاربران

بعضی وقت ها کاربران عادت­ های امنیتی بدی دارند و این وظیفه متخصص امنیتی است که آنها را نسبت به آنچه در سازمان باید رعایت شود آگاه سازد. متخصص امنیتی وظیفه دارد از عادت­ های صحیح کارکنان سازمان اطمینان حاصل کند. برخی از این قوانین امنیتی عبارتند از:

  • رویه‌های انتخاب کلمه عبور: معمولاً زیاد به این مورد برمی‌خوریم که روی صفحه نمایشگرها برچسب‌هایی چسبانده شده که رمزهای عبور متعدد و اطلاعات قابل شناسایی بر روی آنها نوشته شده است. چنین رویه‌های رفتاری بایستی به شدت منفی شمرده شده و این وظیفه متخصص امنیتی است که افراد را از نادرستی این رفتارها آگاه کند.
  • رویه برخورد با داده‌ها: رویه برخورد با داده‌ها یکی از حوزه‌های مهم امنیتی بوده و به ویژه در ذخیره داده‌ها از اهمیت بالایی برخوردار است. برای نمونه، اگر شخصی داده‌ها را در شبکه ذخیره کند، محل ذخیره ­سازی نباید جایی باشد که در دسترس عموم بوده و در پوشه‌ای باشد که همگان به آن دسترسی دارند. لازم است پوشه‌های مخصوصی برای هر نوع اطلاعاتی ایجاد شود که مجوز دسترسی به آن برای کاربران مختلف سازمان، متناسب با نقش و نیازشان تعریف شده است.
  • خط مشی میز پاک: این خط مشی نیز جنبه مهم دیگری است که در حوزه امنیت بسیار به آن پرداخته می‌شود. این قاعده اطمینان حاصل می‌کند که زمان خروج از سازمان، هیچ کاغذی بر روی میزهای کار نباشد. رایانه ­ها خاموش بوده یا قفل باشند.
  • جلوگیری از ورودهای غیرمجاز: برای مثال اگر شخصی می­ خواهد به بهانه­ های واهی وارد سازمان شود، از ورود او جلوگیری شود. هر فردی نباید به سادگی وارد سازمان شود. مطمئن شوید که سازمان، کارت ورود مختص هر کارمند را داشته باشد که ورود آنها را اعلام می‌کند یا رویه‌های استاندارد یا متناسبی برای ورود به ساختمان سازمان طی شود.
  • دستگاه‌های شخصی: دستگاه‌های شخصی معمولاً به عنوان دستگاه‌های شخص سومی دیده می‌شوند که می‌توانند اطلاعات خصوصی سازمان را به خارج از آن منتقل کنند. چنین دستگاه‌هایی عبارتند از تلفن‌های همراه، تبلت­ ها یا لپ‌تاپ‌ها. با در نظر گرفتن این دستگاه‌ها، به سیاست‌های امنیتی نیاز است که مدیریت خوبی را برای این دستگاه‌ها ارایه دهند.

 

تهدیدها و رویه‌ها/ هشدارهای امنیتی

  • بدافزارها: کاربران باید از مخاطرات امنیتی که بدافزارهایی همچون ویروس‌ها، تروجان ها، کرم ها و … می توانند برای منابع و دارایی های اطلاعاتی سازمان به وجود آورند، اطلاع داشته باشند. یک متخصص امنیتی باید آموزش های لازم را به کاربران جهت محافظت در برابر انواع و اقسام بدافزارها بدهد.
  • حملات فیشینگ: حملات فیشینگ عموماً دام‌هایی هستند که توسط هکرها و مجرمان سایبری برای دستیابی به اطلاعات کاربران استفاده می‌شوند. برای نمونه شاید به شخصی اعلام شود اطلاعات محرمانه فرد دیگری را در وب سایتی که به نظر می‌رسد همان سایت معتبر است وارد کند اما در حقیقت، شخص در حال ارایه اطلاعات به مجرمان سایبری است. هنگام وارد کردن اطلاعات محرمانه احراز هویت، سعی کنید از معتبر بودن آن وب سایت مطمئن شده و بر روی پیوست ایمیل که در قالب لینک یا تبلیغات اینترنتی ارایه می‌شود هرگز کلیک نکنید.
  • اکسپلویت­ های روز صفر: حملات روز صفر، حملات ویژه ای هستند که در آن از یک کد مخرب یا بدافزاری خاص برای انجام حمله استفاده می‌شود. مجرمان سایبری از این روش برای دسترسی غیرمجاز به اطلاعات استفاده می‌کنند. با نصب مداوم وصله­ های امنیتی نرم افزارها و برخورداری از یک سطح امنیتی بهینه می‌توان از وقوع چنین حملاتی جلوگیری کرد.

 

استفاده از شبکه‌های اجتماعی و همتا به همتا[۱]

شبکه‌های اجتماعی و شبکه‌های همتا به همتا، فناوری‌هایی هستند که می‌توانند برای افراد یک سازمان، به شدت تهدید آفرین و مخرب بوده و به سادگی اطلاعات خصوصی سازمان را در اختیار افراد غیرمجاز قرار دهند. افراد باید نسبت به اشخاصی که در شبکه‌های اجتماعی با آنها ارتباط برقرار می‌کنند احتیاط بیشتری به خرج دهند.

 

پیگیری و جمع‌آوری معیارهای آموزشی برای ارزیابی انطباق با وضعیت امنیتی سازمان

پس از تدوین سیاست‌های امنیتی سازمان و اجرای آنها، اکنون نوبت به نظارت بر رعایت آنها توسط کارکنان می‌رسد. این کار معمولاً مسئولیت اطمینان از انطباق کامل با سیاست‌ها را به فرد متخصص محول می‌کند. بدین طریق، فرد می‌تواند ادعا کند که در پیاده‌سازی سیاست‌های امنیتی موفق بوده است یا خیر.

عموماً، مسایل امنیتی مواردی هستند که باید به عنوان اهداف جدی سطح بالای سازمان با آنها برخورد شود و نباید از آنها ساده گذشت. می بایست مجازات‌هایی برای افرادی که قصد نفوذ و زیر پاگذاشتن سیاست‌های امنیتی سازمان را دارند، در نظر گرفت. با پیاده سازی و رعایت تمام این قوانین می‌توانید مطمئن شوید اقدام های اولیه را به منظور حفاظت از اطلاعات سازمان در برابر تهدیدهای سایبری به عمل آورده اید.

 

 

منبع: examcollection

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار × سه =

دکمه بازگشت به بالا
بستن
بستن