چگونه سطح آگاهی خود را نسبت به امنیت سایبری افزایش دهیم؟

یک بار گفته‌ایم و دوباره گوشزد می‌کنیم: یک سازمان تنها به اندازه ضعیف‌ترین حلقه‌ی زنجیره‌ی امنیتی‌اش امن است. اگر اکثریت و  نه همه کارکنان شما، آنلاین و در حال استفاده از دستگاه‌های تلفن همراه خود در محل کار خود هستند، چه شما یک سیاست BYOD داشته باشید و چه نه! توسعه‌دهندگان، نرم‌افزارها را با میلیون‌ها خط کد، منتشر می‌کنند، مدیریت شما اطلاعات مفیدی را به مباحثه و اشتراک می‌گذارد و بقیه سازمان‌ها ایمیل‌ها را بدون در نظر گرفتن اینکه آیا فرستنده را می‌شناسند یا نه باز می‌کنند، این‌ها یعنی ضعیف‌ترین لینک‌های امنیتی شما.

در سازمان‌های بزرگ و کوچک، امکان وجود حفره‌های امنیتی بی‌پایان وجود دارد؛ آموزش کارکنان در مورد خطرات و چگونگی انجام کارشان به نحوی ایمن، تنها راه درست برای به حداقل رساندن احتمال رخنه اطلاعات است.

اگر شما مسئول امنیت، افسر امنیت اطلاعات، افسر امنیت عمومی و یا مدیر امنیت و غیر از این‌ها هستید، امن کردن نرم‌افزارهایتان تنها بخشی از کار شما است. همچنین ضروری است که امنیت را برای کارکنان خود از طریق آموزش، آگاه‌سازی و یک محیط کاری مطمئن به وجود آورید. برای انجام این کار، باید بدانید که چگونه هر گروه در معرض خطر قرار می‌گیرد و چگونه بهترین گروه‌ها را آگاه و مطلع نگه‌ دارید. هر گروه از مدیریت اجرایی گرفته، تا توسعه‌دهندگان، و حتی کارمندان عمومی، دارای درک مختص به خود از امنیت هستند و این مهم است که شما با آن‌ها در سطح درک خود صحبت کنید. بیایید نگاهی به برخی از بهترین راه‌ها برای افزایش آگاهی از امنیت سایبری در بین گروه‌های مختلف از سازمان شما داشته باشیم.

آگاهی از امنیت سایبری اول از همه برای مدیریت

آگاهی از امنیت سایبری باید از رأس هر مجموعه شروع شود. مدیر اصلی نه تنها باید به خوبی در جریان خطرات محتمل برای کل سازمان باشد، بلکه باید از این که آن‌ها خودشان چگونه می‌توانند خطرآفرین باشند نیز مطلع باشد. مدیران اجرایی به علت در اختیار داشتن اطلاعات حساسی که می‌توانند به سرقت بروند و مورد سرزنش دیگر مدیران واقع شوند، از معدود افرادی هستند که پس از قربانیان احتمالی هکرها مورد توجه ویژه هکرها قرار می‌گیرند.

علاوه بر این، تیم‌های مدیریتی بیشترین تأثیر را بر روی بقیه سازمان دارند و تأیید آن‌ها برای موفقیت هرگونه ابتکار، از جمله برنامه آگاهی‌رسانی در مورد امنیت سایبری، حیاتی است. نتایج یک نظرسنجی از موسسه SANS  نشان داد که بزرگ‌ترین مانع در اجرای برنامه‌های آگاهی‌رسانی در مورد امنیت سایبری، فقدان بودجه مدیریت و خرید است. واضح است که بین تیم‌های امنیتی و مدیریتی اختلاف وجود دارد و برنامه آگاهی‌رسانی شما در مورد امنیت سایبری باید این موانع را پشت سر بگذارد.

امنیت هنگامی که به درستی مقرر شود، یک راننده تجارت است و هنگامی که با شکست مواجه شود یک ریسک بزرگ کسب و کار با تأثیرات بالقوه است: این وظیفه شماست و به شما بستگی دارد که مدیریت از هر دو جنبه حمایتی و خطرآفرین کارهای شما مطلع باشد.

نکاتی برای کسب آگاهی بیشتر در مورد امنیت سایبری در مدیریت

• با نگاشت ابتکارات امنیتی به اهداف شغلی و توضیح امنیت به روشی که (مدیران) کسب و کار بتوانند با آن ارتباط برقرار کنند، سهم امنیت را افزایش دهید.
• مباحثات هفتگی‌ای را که در آن ابتکارات امنیتی فعلی خود را ارائه می‌دهید و یا آخرین اخبار مربوط به رخنه اطلاعاتی را ارائه دهید و به هر گونه سؤالی که در رابطه با امنیت در سازمان دارند پاسخ دهید.
• از گزارش‌های جمع ‌آوری ‌شده در حوزه امنیت به همراه معیارهای صنعتی مثل BSIMM استفاده کنید تا برای مدیریت سازمان مشخص کنید میزان بلوغ امنیتی سازمان شما چقدر است و برنامه‌ریزی خودتان را برای بهبود امنیت با توجه به پشتیبانی آن‌ها توضیح دهید.
• مدیریت خود را از فیشینگ هدفدار (spear phishing)، باج افزارها و دیگر کمپین‌های هکینگ که مدیران را هدف گرفته مطلع سازید و همچنین چگونگی مقابله با این تهدیدات را به آن‌ها آموزش دهید.

آگاهی از امنیت سایبری برای توسعه‌دهندگان

توسعه‌دهندگان، نقشی بسیار مؤثر در کمک به امن ساختن و امن نگه داشتن سازمان‌ها دارند چون کدی را که آن‌ها می‌نویسند حفره‌های امنیتی‌ای را با خود به همراه دارد که از طریق هکرها مورد سوءاستفاده قرار می‌گیرند. آن‌ها را پیدا کنید: 75٪ از آسیب‌پذیری‌ها، درون لایه برنامه‌ها یا اپلیکیشن ها کشف شده‌اند. هیچ تیمی غیر از شما برای امنیت سیستم‌های شما حیاتی نیست، بنابراین برای توسعه‌دهندگان، آموزش برنامه‌نویسی امن، بهترین راه افزایش سطح آگاهی آن‌ها در مورد امنیت سایبری است.

با تأکید بر ماهیت بحرانی برنامه‌نویسی امن، با پشتوانه و حمایت مالی از جانب مدیریت، توسعه‌دهندگان بهتر می‌توانند نقش خود را در ایجاد کد امن و رسالت مهمشان را در حفظ امنیت سازمان درک کنند.

نکاتی برای آگاهی از پیشرفت امنیت اطلاعات در میان توسعه‌دهندگان

• به توسعه‌دهندگان آموزش دهید تا از چشم یک مهاجم کد خود را ببینند و از این طریق بخش‌های مختلف نرم‌افزارشان را مورد بررسی قرار دهند.
• جلسات شفاف‌سازی‌ای را برای هر دو تیم امنیتی و توسعه‌دهنده برگزار کنید که در آن اعضای امنیت می‌توانند عمیقاً در مورد آسیب‌پذیری‌های موجود توضیح دهند و احساس بهتري را نسبت به آنچه که توسعه‌دهندگان در مورد کد نویسی امن می‌دانند به آن‌ها ارائه کنند.
• راه‌هایی را برای آسان‌تر کردن کد نویسی امن برای توسعه‌دهندگان ایجاد کنید مثل ادغام تست امنیتی و منابع در جریان کارشان و در مراحل اولیه SDL
• بازخوردی از توسعه‌دهندگان را در مورد چگونگی سیاست‌های امنیتی در گردش کاری خود پیدا کنید و راه‌هایی برای بهبود آن پیدا کنید.

آگاهی از امنیت شبکه برای کارمندان عمومی

هر کس در سازمان شما باید درک کند که امنیت کل سازمان بستگی به هر یک از کارکنان و البته همه آن‌ها دارد. یک گذرواژه ضعیف، یک جواب به ایمیل فیشینگ یا یک تماس تلفنی استراق سمع شده و ناامن برای از بین بردن این سازمان کافی است، و شما باید مطمئن شوید که کارکنان شما به اندازه کافی در این موارد  آموزش ‌دیده‌اند. بسیاری از رخنه‌های اطلاعاتی می‌توانند تنها با مقدار بسیار کمی آموزش و آگاهی بیشتر در زمینه امنیت، متوقف شوند و تنها با آموزش کارکنان می‌توان از رخنه اطلاعات به وسیله کارمندان در آینده جلوگیری کرد.

این مهم است که بدانیم امنیت برای کارکنان عمومی در اولویت اول نیست، به دنبال یکی از ایمیل‌های مخرب و یا پستی در رسانه‌های اجتماعی میان صدها نفر گشتن سخت است، به ویژه اگر آن‌ها ندانند به دنبال چه چیزی باید بگردند و به دلایل دیگر تحت فشار قرار بگیرند. از این اطلاعات به عنوان یک نقطه شروع استفاده کنید و از آموزش آگاهی اولیه در مورد امنیت که به نظر شما و تیمتان بسیار واضح می‌رسند شروع کنید چون در حقیقت آن‌قدری که فکر می‌کنید واضح نیستند.

نکاتی برای آگاهی بیشتر در زمینه امنیت در میان تمام کارمندان

• در آموزش خود نمونه‌های واقعی‌ای را از رخنه‌های انجام شده توسط مهندسی اجتماعی(social engineering)، فیشینگ و سایر حملات معمول که کارمندان غیرامنیتی را هدف قرار داده‌اند بکار برید.
• به کارکنان در مورد خطرات ارسال اطلاعات شخصی به صورت آنلاین و نحوه استفاده هکرها از آن‌ها را آموزش دهید.
• برای اطمینان از این که پیام‌های امنیتی همه جا به‌خوبی منتشر می‌شوند و همه به آن پایبند هستند، لازم است در همه بخش‌ها (ی سازمان) افرادی مقید به امنیت سایبری وجود داشته باشند. قهرمانان امنیتی را نه تنها در تیم توسعه، بلکه در سراسر سازمان جستجو کنید.