چگونه سطح آگاهی خود را نسبت به امنیت سایبری افزایش دهیم؟

یک بار گفتهایم و دوباره گوشزد میکنیم: یک سازمان تنها به اندازه ضعیفترین حلقهی زنجیرهی امنیتیاش امن است. اگر اکثریت و نه همه کارکنان شما، آنلاین و در حال استفاده از دستگاههای تلفن همراه خود در محل کار خود هستند، چه شما یک سیاست BYOD داشته باشید و چه نه! توسعهدهندگان، نرمافزارها را با میلیونها خط کد، منتشر میکنند، مدیریت شما اطلاعات مفیدی را به مباحثه و اشتراک میگذارد و بقیه سازمانها ایمیلها را بدون در نظر گرفتن اینکه آیا فرستنده را میشناسند یا نه باز میکنند، اینها یعنی ضعیفترین لینکهای امنیتی شما.
در سازمانهای بزرگ و کوچک، امکان وجود حفرههای امنیتی بیپایان وجود دارد؛ آموزش کارکنان در مورد خطرات و چگونگی انجام کارشان به نحوی ایمن، تنها راه درست برای به حداقل رساندن احتمال رخنه اطلاعات است.
اگر شما مسئول امنیت، افسر امنیت اطلاعات، افسر امنیت عمومی و یا مدیر امنیت و غیر از اینها هستید، امن کردن نرمافزارهایتان تنها بخشی از کار شما است. همچنین ضروری است که امنیت را برای کارکنان خود از طریق آموزش، آگاهسازی و یک محیط کاری مطمئن به وجود آورید. برای انجام این کار، باید بدانید که چگونه هر گروه در معرض خطر قرار میگیرد و چگونه بهترین گروهها را آگاه و مطلع نگه دارید. هر گروه از مدیریت اجرایی گرفته، تا توسعهدهندگان، و حتی کارمندان عمومی، دارای درک مختص به خود از امنیت هستند و این مهم است که شما با آنها در سطح درک خود صحبت کنید. بیایید نگاهی به برخی از بهترین راهها برای افزایش آگاهی از امنیت سایبری در بین گروههای مختلف از سازمان شما داشته باشیم.
آگاهی از امنیت سایبری اول از همه برای مدیریت
آگاهی از امنیت سایبری باید از رأس هر مجموعه شروع شود. مدیر اصلی نه تنها باید به خوبی در جریان خطرات محتمل برای کل سازمان باشد، بلکه باید از این که آنها خودشان چگونه میتوانند خطرآفرین باشند نیز مطلع باشد. مدیران اجرایی به علت در اختیار داشتن اطلاعات حساسی که میتوانند به سرقت بروند و مورد سرزنش دیگر مدیران واقع شوند، از معدود افرادی هستند که پس از قربانیان احتمالی هکرها مورد توجه ویژه هکرها قرار میگیرند.
علاوه بر این، تیمهای مدیریتی بیشترین تأثیر را بر روی بقیه سازمان دارند و تأیید آنها برای موفقیت هرگونه ابتکار، از جمله برنامه آگاهیرسانی در مورد امنیت سایبری، حیاتی است. نتایج یک نظرسنجی از موسسه SANS نشان داد که بزرگترین مانع در اجرای برنامههای آگاهیرسانی در مورد امنیت سایبری، فقدان بودجه مدیریت و خرید است. واضح است که بین تیمهای امنیتی و مدیریتی اختلاف وجود دارد و برنامه آگاهیرسانی شما در مورد امنیت سایبری باید این موانع را پشت سر بگذارد.
امنیت هنگامی که به درستی مقرر شود، یک راننده تجارت است و هنگامی که با شکست مواجه شود یک ریسک بزرگ کسب و کار با تأثیرات بالقوه است: این وظیفه شماست و به شما بستگی دارد که مدیریت از هر دو جنبه حمایتی و خطرآفرین کارهای شما مطلع باشد.
نکاتی برای کسب آگاهی بیشتر در مورد امنیت سایبری در مدیریت
- با نگاشت ابتکارات امنیتی به اهداف شغلی و توضیح امنیت به روشی که (مدیران) کسب و کار بتوانند با آن ارتباط برقرار کنند، سهم امنیت را افزایش دهید.
- مباحثات هفتگیای را که در آن ابتکارات امنیتی فعلی خود را ارائه میدهید و یا آخرین اخبار مربوط به رخنه اطلاعاتی را ارائه دهید و به هر گونه سؤالی که در رابطه با امنیت در سازمان دارند پاسخ دهید.
- از گزارشهای جمع آوری شده در حوزه امنیت به همراه معیارهای صنعتی مثل BSIMM استفاده کنید تا برای مدیریت سازمان مشخص کنید میزان بلوغ امنیتی سازمان شما چقدر است و برنامهریزی خودتان را برای بهبود امنیت با توجه به پشتیبانی آنها توضیح دهید.
- مدیریت خود را از فیشینگ هدفدار (spear phishing)، باج افزارها و دیگر کمپینهای هکینگ که مدیران را هدف گرفته مطلع سازید و همچنین چگونگی مقابله با این تهدیدات را به آنها آموزش دهید.
آگاهی از امنیت سایبری برای توسعهدهندگان
توسعهدهندگان، نقشی بسیار مؤثر در کمک به امن ساختن و امن نگه داشتن سازمانها دارند چون کدی را که آنها مینویسند حفرههای امنیتیای را با خود به همراه دارد که از طریق هکرها مورد سوءاستفاده قرار میگیرند. آنها را پیدا کنید: 75٪ از آسیبپذیریها، درون لایه برنامهها یا اپلیکیشن ها کشف شدهاند. هیچ تیمی غیر از شما برای امنیت سیستمهای شما حیاتی نیست، بنابراین برای توسعهدهندگان، آموزش برنامهنویسی امن، بهترین راه افزایش سطح آگاهی آنها در مورد امنیت سایبری است.
با تأکید بر ماهیت بحرانی برنامهنویسی امن، با پشتوانه و حمایت مالی از جانب مدیریت، توسعهدهندگان بهتر میتوانند نقش خود را در ایجاد کد امن و رسالت مهمشان را در حفظ امنیت سازمان درک کنند.
نکاتی برای آگاهی از پیشرفت امنیت اطلاعات در میان توسعهدهندگان
- به توسعهدهندگان آموزش دهید تا از چشم یک مهاجم کد خود را ببینند و از این طریق بخشهای مختلف نرمافزارشان را مورد بررسی قرار دهند.
- جلسات شفافسازیای را برای هر دو تیم امنیتی و توسعهدهنده برگزار کنید که در آن اعضای امنیت میتوانند عمیقاً در مورد آسیبپذیریهای موجود توضیح دهند و احساس بهتري را نسبت به آنچه که توسعهدهندگان در مورد کد نویسی امن میدانند به آنها ارائه کنند.
- راههایی را برای آسانتر کردن کد نویسی امن برای توسعهدهندگان ایجاد کنید مثل ادغام تست امنیتی و منابع در جریان کارشان و در مراحل اولیه SDL
- بازخوردی از توسعهدهندگان را در مورد چگونگی سیاستهای امنیتی در گردش کاری خود پیدا کنید و راههایی برای بهبود آن پیدا کنید.
آگاهی از امنیت شبکه برای کارمندان عمومی
هر کس در سازمان شما باید درک کند که امنیت کل سازمان بستگی به هر یک از کارکنان و البته همه آنها دارد. یک گذرواژه ضعیف، یک جواب به ایمیل فیشینگ یا یک تماس تلفنی استراق سمع شده و ناامن برای از بین بردن این سازمان کافی است، و شما باید مطمئن شوید که کارکنان شما به اندازه کافی در این موارد آموزش دیدهاند. بسیاری از رخنههای اطلاعاتی میتوانند تنها با مقدار بسیار کمی آموزش و آگاهی بیشتر در زمینه امنیت، متوقف شوند و تنها با آموزش کارکنان میتوان از رخنه اطلاعات به وسیله کارمندان در آینده جلوگیری کرد.
این مهم است که بدانیم امنیت برای کارکنان عمومی در اولویت اول نیست، به دنبال یکی از ایمیلهای مخرب و یا پستی در رسانههای اجتماعی میان صدها نفر گشتن سخت است، به ویژه اگر آنها ندانند به دنبال چه چیزی باید بگردند و به دلایل دیگر تحت فشار قرار بگیرند. از این اطلاعات به عنوان یک نقطه شروع استفاده کنید و از آموزش آگاهی اولیه در مورد امنیت که به نظر شما و تیمتان بسیار واضح میرسند شروع کنید چون در حقیقت آنقدری که فکر میکنید واضح نیستند.
نکاتی برای آگاهی بیشتر در زمینه امنیت در میان تمام کارمندان
- در آموزش خود نمونههای واقعیای را از رخنههای انجام شده توسط مهندسی اجتماعی(social engineering)، فیشینگ و سایر حملات معمول که کارمندان غیرامنیتی را هدف قرار دادهاند بکار برید.
- به کارکنان در مورد خطرات ارسال اطلاعات شخصی به صورت آنلاین و نحوه استفاده هکرها از آنها را آموزش دهید.
- برای اطمینان از این که پیامهای امنیتی همه جا بهخوبی منتشر میشوند و همه به آن پایبند هستند، لازم است در همه بخشها (ی سازمان) افرادی مقید به امنیت سایبری وجود داشته باشند. قهرمانان امنیتی را نه تنها در تیم توسعه، بلکه در سراسر سازمان جستجو کنید.