مشارکت کارکنان در برنامههای آگاهی بخشی

آگاهی بخشی امنیتی به کارکنان و ارایه محتواهای آموزشی مناسب به آنها علاوه بر این که می تواند موجب ارتقای سطح امنیت سایبری شرکت ها و سازمان ها شود، از بروز تهدیدهای ناخواسته ای که ممکن است به دلیل ضعف دانشی کارکنان صورت پذیرد نیز ممانعت به عمل می آورد. بنابراین با توجه به لزوم سرمایه گذاری در این خصوص لازم است از پذیرش طرحهای آگاهی بخشی امنیتی توسط مدیران ارشد و مشارکت کارمندان در این طرحها مطمئن شوید.
Brian Reed مدیر ارشد مؤسسه گارتنر که یک مؤسسه تحقیقات آمریکایی در حوزه های مرتبط با فناوری است، در نشست مجازی امنیت و مخاطره گفته است که دریافت پشتیبانی و سرمایه لازم برای برنامه آگاهی بخشی امنیتی بستگی به «مهارتهای مذاکره، توجیه و متقاعد کردن» دارد. او معتقد است اجرای قرنطینه در دوران بیماری کرونا نشان داد که امنیت چگونه می تواند نیازهای ایجاد شده در دل یک بحران را برطرف کند. از این رو شرکت ها و سازمان ها باید از این بحران به عنوان فرصتی مناسب برای آموزش آگاهی بخشی امنیتی به کارکنان خود استفاده کنند.
وی همچنین گفته است که هزینههای مربوط به آگاهی بخشی های امنیتی می بایست در بودجه سازمان در نظر گرفته شوند. این هزینههای مالی علاوه بر تهیه ابزارهای آگاهی بخشی امنیتی باید برای ارایه محتوای آموزشی مورد نیاز مصرف شوند. ممکن است بسیاری از مذاکره های سازمانی بر این موضوع متمرکز باشد که یک سازمان تا چه حد به آموزش های امنیتی نیاز دارد یا شرکت کنندگان برای این آموزشها چقدر باید زمان صرف کنند. Reed همچنین ضمن توجه به پیامدها و نتایج این آموزش ها گفته است که: «کاربران همیشه فکر می کنند مشکلات امنیتی برای دیگران ایجاد می شود و نه خودشان».
به گفته وی، نمودارهای نمایش نقشها و مسئولیتها می تواند به رفع مشکلاتی که از همان ابتدا ایجاد میشوند، کمک کرده و مهارتها و صلاحیتهایی که یک سازمان در اختیار دارد را مشخص کند. به گفته او، اشخاص معمولاً در یکی از این سه گروه زیر قرار می گیرند:
- اشخاصی که با وجود یادآوری های مکرر، کماکان کار درست را انجام نمیدهند.
- اشخاصی که در صورتی که به آنها گفته شود کار درست چیست، آن را انجام می دهند.
- اشخاصی که همواره و به صورت غریضی کار درست را انجام میدهند.
Reed ابراز داشته که معمولاً کاربران، جزو گروه دوم هستند و اگر به آنها گفته شود کار درست چیست و توانایی انجام آن را داشته باشند، آن را انجام میدهند. در مواقعی که کارمندان برای مراجعه به تیم های امنیت یا فناوری اطلاعات راحت نیستند میتوان گروه سوم را به عنوان قهرمانهای امنیت سازمانی شناسایی کرده و از آنها کمک گرفت.
به گفته Reed، در هنگام استخدام و شروع به کار کارمندان باید انتظارات را به صورت دقیق مشخص کرده و به آنها گفت. همچنین راه اصلی برای جلب نظر همه اشخاص در سازمان، در وهله اول احترام گذاشتن به وقت آنها و سپس صحبت به روشی است که هم تیم امنیتی و هم تیم مدیریت قادر به درک آن باشد؛ چون معمولاً زبانی که در سطح کسب و کار و تجارت مورد استفاده میگیرد، با زبان فنی متفاوت است.
Reed اعتقاد دارد مدیران باید نشان دهند نگرانیهای مخاطبان را شنیده و با رسیدگی به آنها و چاره جویی برای حل مشکلات شان، زمینه لازم را برای مشارکت آنها در طرح های آگاهی بخشی امنیتی فراهم کنند. او همچنین بیان کرده که طرح های آموزشی باید متناسب با نیازهای فرهنگی جوامع برنامهریزی شود و متقاعد کردن افراد، بهتر از تحمیل مباحث امنیتی از طریق ترساندن آنها است. از این رو باید به افراد آگاهی داد که عمل کردن به این روش، صرفاً تلاش برای پیروی از استانداردهای قانونی نیست بلکه میتواند باعث توانمندی کسب و کار سازمان شود.
Reed در نهایت نتیجهگیری کرده است که ابتدا باید چارچوب سازمان خودمان را شناخته و آن را تحلیل کنیم. سپس پیشرفتهای مربوطه را به رسمیت شناخته و به سؤالات اشخاص درباره ارزش و هدف برنامههای آموزشی پاسخ داد. آنگاه آنها را در راهبرد امنیتی سازمان ادغام کرد.
منبع: .infosecurity-magazine