10 توصیه آموزشی برای افزایش امنیت سایبری

10 توصیه آموزشی برای افزایش امنیت سایبری

مطالعه‌ای که توسط مؤسسه Ponemon در سال 2018 میلادی انجام شد، نشان داد که 27 درصد از نشت های اطلاعاتی در اثر خطای نیروی انسانی یا سهل‌انگاری کارکنان نشأت می‌گیرند. موفق نبودن در آموزش امنیت سایبری به کارمندان و عدم توانایی در ایجاد فرهنگ اطلاع‌رسانی امنیت سایبری می‌تواند پیامدهای فاجعه باری را برای شرکت ها و سازمان ها به دنبال داشته باشد.

در خصوص شرکت Equifax نیز اگرچه نظر منتقدان، حاکی از این بود که سیستم‌های رایانه ای آنها قدیمی بوده و سامانه های دفاعی لازم را نداشتند اما همچنان این نکته به چشم می خورد که غفلت و سهل انگاری یکی از کارکنان IT، عامل اصلی نشت اطلاعاتی رخ داده در شبکه رایانه ای این شرکت بوده است.

در این مقاله، 10 توصیه را در خصوص آموزش امنیت سایبری به کارکنان ارایه خواهیم کرد که می‌تواند از بروز نشت اطلاعاتی در شرکت ها و سازمان‌ها جلوگیری کند، پس با ما همراه باشید.

 

توصیه های امنیتی آموزشی

1- تمامی کارکنان و اعضای هیأت مدیره‌تان را آموزش دهید تا اهمیت امنیت سایبری را درک کرده و آن را در اولویت‌های خود قرار دهند.

علاوه بر این باید مطمئن شوید که مدیران ارشد به عنوان بخشی از مسئولیت‌هایی که در قبال سازمان دارند، آموزش‌های متناسب و ضروری را می گذرانند. اغلب مدیران، علاقه‌ای به صرف هزینه و اختصاص منابع برای آموزش ندارند اما این گفته که «هر چقدر امروز کمتر هزینه کنی، در آینده مجبوری بیشتر هزینه کنی» دلیل خوبی برای دفاع از امنیت سایبری است.

2- در اولین روز کاری یا در طول دوره آشنایی، آموزش‌هایی را برای کارمندان در نظر بگیرید.

برای مثال، وزارت دفاع آمریکا زمانی که نیروهای تازه استخدام شده در حال گذراندن دوره «سازگاری و آشنایی[1]» هستند، آموزش‌های لازم را برای آنها در نظر می‌گیرد. کسب‌وکارها نیز باید چنین حالتی را اجرا کرده و پیاده‌سازی کنند.

3- آموزش‌هایتان را بیشتر بر روی الزام های قانونی، مخاطرات شناخته شده و اطلاعاتی که محافظت از آنها ضروری است متمرکز کنید. قوانین مشخصی را برای دستگاه‌های شخصی که در محیط کار مورد استفاده قرار می‌گیرند، کلمه های عبور، USBها و مجوزهای دسترسی به انواع داده‌ها تنظیم کرده و اعمال کنید.

4- علاوه بر این موارد، کارمندان تان را به گونه‌ای آموزش دهید که بدانند در برخورد با نشت های اطلاعاتی لازم است چه کارهایی را انجام دهند. چارچوب امنیت سایبری یا NIST روش متداولی است که بیشتر شرکت‌ها برای شناسایی و مدیریت مخاطرات امنیتی که ممکن است منجر به نشت اطلاعاتی شود، از آن استفاده می کنند. این چارچوب، 5 قاعده اصلی دارد که عبارتند از: تشخیص، محافظت، شناسایی، پاسخ و بازیابی. هر چند این چارچوب، یک استاندارد قانونی نیست اما روش‌های عملیاتی و محتاطانه‌ای را برای اجرای طرح‌ها، توسعه سیستم‌ها و در نظر گرفتن عکس‌العمل‌ها در حین وقوع نشت های امنیتی ارایه می‌کند.

5- به جمع کارمندان تان پیوسته و از روش‌های رسمی و غیررسمی آموزش استفاده کنید. از جمله این روش‌ها ممکن است آزمون­ های باز شونده خودکار (به صورت Pop-up)، آموزش های خصوصی، آموزش‌های مبتنی بر وب، آموزش‌های تعاملی و استفاده از ایمیل‌های جعلی برای بررسی میزان احتیاط کارکنان باشد. جذب کارکنان از طریق روش‌های آموزشی مختلف و دریافت بازخورد و ایده‌ها، معمولاً روش های مناسبی برای آموزش کارمندان متعهد هستند.

6- قوانین و خط مشی‌های امنیتی را تدوین کنید. سعی کنید نگارش آنها ساده بوده و برای کارمندان قابل فهم باشد. پس از تدوین آنها، سعی کنید در جلسات گروهی کوچکی که با کارمندان دارید، این قوانین را برای شان توضیح دهید تا مطمئن شوید که آنها معنای این مقررات، مسئولیت شان در قبال اجرای آنها و همچنین پیامدهای عدم اجرای آنها را به خوبی درک می کنند. بهتر است کارمندان، سندی را امضا کنند که مشخص کند قوانین، رویه‌ها و خط مشی‌های امنیتی شرکت را به خوبی مطالعه و درک کرده و به آنها عمل خواهند کرد.

7- با تغییر قوانین یا ظهور مخاطرات جدید در شرکت، این قواعد و خط مشی‌ها را تغییر دهید. از مشاوران بیرون از شرکت، مشاوره گرفته و مطمئن شوید که قوانین وضع شده، الزام های قانونی را رعایت کرده و به روز هستند. ایجاد هرگونه تغییری در قوانین باید به وضوح به کارمندان اعلام شود. با به روزرسانی و تقویت مداوم سیستم IT خود همواره از تغییرات مطلع شوید.

8- آموزش‌ها را چه اشخاصی باید انجام دهند؟ آموزش به متخصصانی در داخل و بیرون از شرکت با حیطه‌های تخصصی مختلف نیاز دارد. متخصص ارشد امنیت اطلاعات همواره در مجموعه آموزش‌دهندگان قرار دارد. در این بین به یک متخصص فنی نیز نیاز است چرا که بسیاری از مشکلات امنیتی، به جنبه‌های فنی منتهی می‌شوند. در نهایت نیز با مشاوران خبره مشورت کرده و گام‌های کافی و منطقی را برای محافظت از داده‌های سازمانی طراحی کنید. مدیران ارشد هم باید به صورت مستمر و فعالانه در این آموزش‌ها شرکت کرده و به کارمندان نشان دهند که شرکت در حفظ امنیت بسیار جدی است.

9- آموزش‌های رسمی باید به صورت سالیانه انجام شوند و در عین حال، آموزش‌های غیررسمی می‌بایست به صورت متناوب و دوره‌ای برگزار شوند. هدف اصلی، شناسایی حفره‌های موجود در طرح‌های امنیت سایبری و اصلاح مداوم آنها است. تنظیم مجموعه‌ای از معیارها و شاخص ها برای ارزیابی میزان اثربخشی آموزش کارمندان بسیار ضروری است.

10- از طریق خبرنامه‌ها، ایمیل‌ها و جلسات شخصی، با کارمندان تان ارتباط برقرار کنید. این مورد، خصوصاً برای عکس‌العمل نسبت به حملات فیشینگ (استفاده از ایمیل‌های جعلی برای فریب افراد و دریافت اطلاعات محرمانه‌ای همچون گذرواژه‌ها) به شدت دارای اهمیت است. با این وجود، حواس تان باشد که آموزش‌هایتان خسته‌کننده نباشند.

 

نکته پایانی

این مراحل به شرکت شما کمک خواهند کرد که در ایجاد فرهنگ امنیت سایبری بتوانید از سایر رقبای تان پیشی بگیرید. یادتان باشد که همه ساله نیمی از شرکت ها و سازمان‌ها به دلایل مختلفی هک می‌شوند. کارمندان داخلی، یکی از دلایل افزایش تهدیدها و حملات امنیت سایبری به شمار می روند. اجرای این گام‌های کاربردی که در این مقاله به آنها اشاره شد می‌تواند باعث کاهش احتمال در معرض مخاطره قرار گرفتن سازمان‌ها شود.

 

[1] on-boarded

 

منبع: neworleanscitybusiness

خروج از نسخه موبایل