مشارکت کارکنان در برنامه‌های آگاهی بخشی

آگاهی بخشی امنیتی به کارکنان و ارایه محتواهای آموزشی مناسب به آنها علاوه بر این که می تواند موجب ارتقای سطح امنیت سایبری شرکت ها و سازمان ها شود، از بروز تهدیدهای ناخواسته ای که ممکن است به دلیل ضعف دانشی کارکنان صورت پذیرد نیز ممانعت به عمل می آورد. بنابراین با توجه به لزوم سرمایه گذاری در این خصوص لازم است از پذیرش طرح‌های آگاهی بخشی امنیتی توسط مدیران ارشد و مشارکت کارمندان در این طرح‌ها مطمئن شوید.

Brian Reed مدیر ارشد مؤسسه گارتنر که یک مؤسسه تحقیقات آمریکایی در حوزه های مرتبط با فناوری است، در نشست مجازی امنیت و مخاطره گفته است که دریافت پشتیبانی و سرمایه لازم برای برنامه آگاهی بخشی امنیتی بستگی به «مهارت‌های مذاکره، توجیه و متقاعد کردن» دارد. او معتقد است اجرای قرنطینه در دوران بیماری کرونا نشان داد که امنیت چگونه می تواند نیازهای ایجاد شده در دل یک بحران را برطرف کند. از این رو شرکت ها و سازمان ها باید از این بحران به عنوان فرصتی مناسب برای آموزش آگاهی بخشی امنیتی به کارکنان خود استفاده کنند.

وی همچنین گفته است که هزینه‌های مربوط به آگاهی بخشی های امنیتی می بایست در بودجه سازمان در نظر گرفته شوند. این هزینه‌های مالی علاوه بر تهیه ابزارهای آگاهی بخشی امنیتی باید برای ارایه محتوای آموزشی مورد نیاز مصرف شوند. ممکن است بسیاری از مذاکره‌ های سازمانی بر این موضوع متمرکز باشد که یک سازمان تا چه حد به آموزش های امنیتی نیاز دارد یا شرکت کنندگان برای این آموزش‌ها چقدر باید زمان صرف کنند. Reed همچنین ضمن توجه به پیامدها و نتایج این آموزش ها گفته است که: «کاربران همیشه فکر می کنند مشکلات امنیتی برای دیگران ایجاد می شود و نه خودشان».

به گفته وی، نمودارهای نمایش نقش‌ها و مسئولیت‌ها می تواند به رفع مشکلاتی که از همان ابتدا ایجاد می‌شوند، کمک کرده و مهارت‌ها و صلاحیت‌هایی که یک سازمان در اختیار دارد را مشخص کند. به گفته او، اشخاص معمولاً در یکی از این سه گروه زیر قرار می گیرند:

1. اشخاصی که با وجود یادآوری های مکرر، کماکان کار درست را انجام نمی‌دهند.
2. اشخاصی که در صورتی که به آنها گفته شود کار درست چیست، آن را انجام می دهند.
3. اشخاصی که همواره و به صورت غریضی کار درست را انجام می‌دهند.

Reed ابراز داشته که معمولاً کاربران، جزو گروه دوم هستند و اگر به آنها گفته شود کار درست چیست و توانایی انجام آن را داشته باشند، آن را انجام می‌دهند. در مواقعی که کارمندان برای مراجعه به تیم‌ های امنیت یا فناوری اطلاعات راحت نیستند می‌توان گروه سوم را به عنوان قهرمان‌های امنیت سازمانی شناسایی کرده و از آنها کمک گرفت.

به گفته Reed، در هنگام استخدام و شروع به کار کارمندان باید انتظارات را به صورت دقیق مشخص کرده و به آنها گفت. همچنین راه اصلی برای جلب نظر همه اشخاص در سازمان، در وهله اول احترام گذاشتن به وقت آنها و سپس صحبت به روشی است که هم تیم امنیتی و هم تیم مدیریت قادر به درک آن باشد؛ چون معمولاً زبانی که در سطح کسب و کار و تجارت مورد استفاده می‌گیرد، با زبان فنی متفاوت است.

Reed اعتقاد دارد مدیران باید نشان دهند نگرانی‌های مخاطبان را شنیده‌ و با رسیدگی به آنها و چاره ‌جویی برای حل مشکلات شان، زمینه لازم را برای مشارکت آنها در طرح های آگاهی بخشی امنیتی فراهم کنند. او همچنین بیان کرده که طرح های آموزشی باید متناسب با نیازهای فرهنگی جوامع برنامه‌ریزی شود و متقاعد کردن افراد، بهتر از تحمیل مباحث امنیتی از طریق ترساندن آنها است. از این رو باید به افراد آگاهی داد که عمل کردن به این روش، صرفاً تلاش برای پیروی از استانداردهای قانونی نیست بلکه می‌تواند باعث توانمندی کسب و کار سازمان شود.

Reed در نهایت نتیجه‌گیری کرده است که ابتدا باید چارچوب سازمان خودمان را شناخته و آن را تحلیل کنیم. سپس پیشرفت‌های مربوطه را به رسمیت شناخته و به سؤالات اشخاص درباره ارزش و هدف برنامه‌های آموزشی پاسخ داد. آنگاه آنها را در راهبرد امنیتی سازمان ادغام کرد.

منبع: .infosecurity-magazine