طرح آگاهیبخشی امنیت سایبری را چگونه در سازمانمان اجرا کنیم؟
اگرچه امنیت سایبری در سالهای اخیر همواره رو به توسعه و گسترش بوده است اما متأسفانه سازمانها معمولاً هیچ طرح و برنامه ویژهای برای آگاهیبخشی امنیتی کارکنان خود نداشته یا اینکه تازه در شروع مسیر بهبود وضعیت فعلیشان هستند.
بر اساس آمار و نتایج تحقیقات انجام شده، مدیران ارشد فناوری اطلاعات معمولاً مجرمان سایبری را یکی از چالشهای اصلی خود در زمینه امنیت سایبری میدانند. با این وجود همچنان بسیاری از مشاغل و کسبوکارها آگاهی چندان زیادی در خصوص امنیت سایبری ندارند؛ در حالی که برای ارتقای امنیت فناوری اطلاعات باید علاوه بر ارایه آموزشها و آگاهیهای لازم به کارمندان، همیشه آنها را بهروز نگه داشت. بنا بر گزارشهای ارایه شده فقط حدود 50 درصد از مدیران ارشد امنیت اطلاعات آمادگی کامل جهت مواجه با نفوذهای اطلاعاتی و حملات سایبری را دارند.
بنابراین ایجاد آگاهی سایبری در سازمانها نیاز به تلاش زیادی داشته و یک مسیر طولانی جهت امنسازی دادهها (به ویژه دادههای مشتریان) در پیش روی مدیران و صاحبان کسبوکارها قرار دارد. با این وجود برای شروع حرکت در این مسیر ابتدا باید گامهای کوچک را برداشت. همچنین نباید پایهها و مقدمات که مهمترین عناصر برای متحول کردن فرهنگ امنیت سایبری سازمانی هستند را فراموش کرد. بعضی از اقدامات کوچک و اساسی که در همان ابتدا باید انجام شوند، شامل موارد زیر هستند:
- پیش از انجام هرگونه اقدامی، یک شخص یا گروه باید مدیریت ایجاد طرح آگاهیبخشی و بهبود فرهنگ امنیت سایبری را بر عهده بگیرد.
- برای انجام چنین کاری باید از سوی مدیریت سازمان به صورت کامل تحت حمایت و پشتیبانی قرار داشته باشد.
- در این مسیر، کارمندان شما ممکن است بزرگترین شانس و دوست یا بزرگترین دشمنتان باشند.
- برای انجام این کار باید ارتباطات بسیار زیادی را برقرار کنید.
پیش از پرداختن به موضوع اصلی، یعنی نحوه اجرای طرح آگاهیبخشی امنیت سایبری، ابتدا مفهوم «آگاهیبخشی امنیت سایبری» و همچنین نحوه برخورد سازمانها با این موضوع مهم را بررسی میکنیم.
مفهوم آگاهیبخشی امنیت سایبری
مدیران سازمانها و تیمهای امنیتی معمولاً با هدف آشنایی کامل کارمندان با انواع تهدیدات و مخاطرات سایبری تصمیم به ایجاد طرحهای آگاهیبخشی امنیت سایبری در سازمان میگیرند. در نهایت کارمندان باید از مهارتها و دانش لازم برای پیشگیری از وقوع حملات سایبری برخوردار باشند. از این رو میبایست فرهنگی را در سازمانتان ایجاد کنید که افراد متوجه شوند رفتار و عملکرد آنها چگونه میتواند منجر به نفوذ اطلاعاتی شده یا از وقوع آن پیشگیری کنند.
شما باید در کنار سرمایهگذاریهایی که برای فراهم کردن فناوریها و ابزارهای الزامی از جمله نصب و پیکربندی فایروال، خرید سامانههای جامع دفاعی و پیادهسازی راهکارهای پیشرفته فناوری اطلاعات انجام میدهید بودجهای را نیز برای کنترل و نظارت بر روی امنیت، فرایندهای اجرایی آن و همچنین ارایه آموزشهای لازم در حوزه امنیت به کارمندان در نظر بگیرید.
ایجاد ارتباطات و فراهم کردن بسترهای آموزشی مناسب از جمله اصول مهم برای افزایش آگاهی نسبت به امنیت سایبری در کارمندان هستند. کارکنان باید درک کنند که موضوع امنیت سایبری و حفظ آن دارای اولویت بسیار زیادی بوده و رفتار این افراد تأثیر چشمگیری بر روی تلاشهای سازمان در زمینه امنیت سایبری دارد. مدیران سازمانها نیز باید به صورت پیوسته برنامههایی را جهت بهروز نگهداشتن دانش و تقویت مهارتهای کارکنان خود در سازمان اجرا کنند.
اگرچه تهدیدات امنیت سایبری رو به افزایش هستند ولی متأسفانه آگاهی کارمندان در خصوص شناخت و نحوه مقابله با آنها همچنان بسیار محدود است. برای مثال امروزه در محیطهای کاری بیشتر از همیشه از سرویسهای آنلاین استفاده میشود در حالی که به ندرت به ایجاد یک فرهنگ امنیتی قوی جهت حفاظت از چنین سرویسهایی اهمیت داده شده است.
آگاهیبخشی امنیت سایبری با استفاده از روشهای سنتی
اگرچه ممکن است امنیت و آگاهیبخشی امنیت سایبری در اولویت باشند ولی اقدامات افراد همیشه لزوماً با چنین هدفی همخوانی ندارد. آگاهیبخشی امنیت سایبری معمولاً جزو وظایف یک فرد یا گروه بوده و جزو دغدغههای مدیران محسوب نمیشود؛ در نتیجه هیچگونه پشتیبانی مالی و تخصیص بودجه هم برای آن در نظر گرفته نمیشود.
در چنین شرایطی هر از چندگاهی کارمندان آموزشهایی را در زمینه امنیت و آشنایی با انواع حملات سایبری میبینند. حتی ممکن است شخص یا تیم برگزارکننده این دورههای آموزشی مهارتهای لازم جهت برقراری ارتباط مؤثر و انتقال مطلوب دانش امنیتی را به کارکنان سازمان نداشته باشد. به همین خاطر چنین دورههایی که به صورت مستمر و توسط افراد کاربلد و ماهر برگزار نمیشوند تأثیر چندان زیادی بر روی افزایش مهارتهای کارمندان و ایجاد آگاهی امنیتی در آنها ندارند.
آگاهیبخشی امنیت سایبری با استفاده از روشهای مدرن
امروزه با گسترش حملات سایبری و شکلگیری تهدیدات جدید دیگر نمیتوان از آگاهیبخشی امنیت سایبری غافل شد. همچنین موضوع رفع نواقص روش سنتی آگاهیبخشی باید جزو دستور کار سازمان شما قرار گیرد.
در ادامه مطلب، به بررسی گامهایی میپردازیم که به ایجاد فرهنگ امنیت سایبری در بین کارمندان سازمانتان کمک میکنند.
جلب حمایت مدیران، مسئولیتپذیری و مشارکت همه کارمندان
آگاهیبخشی امنیتی یک فعالیت گروهی است. بنابراین در رابطه با این موضوع مانند سایر فعالیتهای گروهی نمیتوانید بدون جلب توجه و رضایت مدیران سازمان موفقیت لازم را کسب کرده و نتیجه دلخواهتان را به دست آورید. با توجه به این موضوع که حملات سایبری و نفوذهای امنیتی پیامدهای مخربی ایجاد کرده و خسارتهای سنگینی را به سازمان وارد میکنند؛ امنیت سایبری باید جزو دغدغههای اصلی مدیران ارشد سازمانها باشد.
پس از وقوع حمله معمولاً بلافاصله توجه مدیران نسبت به این موضوع جلب میشود در حالی که با آگاهیبخشی امنیتی و ایجاد مهارتهای لازم در کارمندان جهت پیشگیری از وقوع حملات به راحتی میتوان مانع از اجرای آنها شد. بنابراین بهتر است مدیران سازمانها آگاهیبخشی نسبت به این موضوع را جزو دستور کار اصلیشان قرار دهند.
با داشتن یک رویکرد بالا به پایین علاوه بر جلب پشتیبانی کامل از سمت مدیریت، بودجه لازم برای برگزاری طرح آموزش امنیت سایبری را در اختیار خواهید داشت. لازم به ذکر است یکی از مهمترین موانع برای ایجاد یک فرهنگ امنیتی قوی و کارآمد، در اختیار نداشتن منابع کافی است.
پذیرش مسئولیت طرح آگاهیبخشی امنیت سایبری
بسیار مهم است که یک شخص یا گروه، مدیریت این طرح را بر عهده بگیرد. همچنین تفاوت اصلی که در بین روش سنتی و مدرن وجود دارد این است که در یک طرح آگاهیبخشی مدرن، جلب توجه کارمندان مهمترین کار شما است. در روش مدرن معمولاً بیشتر از آنچه که تصور میشود باید با کارمندان ارتباط برقرار کنید. شما باید مطمئن شوید کارمندانتان از تهدیدات و حملات احتمالی به خوبی آگاه بوده و دقیقاً میدانند که چه رفتاری را باید در مواجه با تهدیدات سایبری داشته باشند.
از آنجا که برقراری ارتباطات دائم بخش مهمی از طرح آگاهیبخشی امنیتی محسوب میشود و ممکن است سختترین و چالشبرانگیزترین بخش کار هم باشد، این موضوع به تنهایی نیاز به یک مقاله مجزا دارد.
برنامهریزی برای ارتقای آگاهیبخشی امنیتی در سازمان
پس از جلب حمایت و کسب پشتیبانیهای لازم از سوی مدیران سازمان و همچنین تعیین مسئولیتها و نقشها باید شروع به کار بر روی طرح مدنظرتان کنید. طرح شما باید به این پرسش پاسخ دهد که برای ایجاد آگاهی امنیتی در سازمان چه کارهایی باید انجام شود؟ فراموش نکنید که سازمانها با یکدیگر تفاوت دارند در نتیجه ممکن است رویکرد شما نسبت به آگاهیبخشی با آنچه که در سایر سازمانها وجود دارد، متفاوت باشد.
ارزیابی وضعیت فعلی
این فرایند را با بررسی وضعیت فعلی سطح آگاهی امنیت سایبری در سازمانتان و بررسی موارد زیر شروع کنید:
- وضعیت فعلی آگاهیبخشی امنیت سایبری در سازمان به چه صورت است؟
- آیا تاکنون طرحی در این زمینه اجرا شده است؟ اگر «بله» باید به سؤالات زیر پاسخ دهید.
- آیا شاخصهای کلیدی عملکرد را ارزیابی کردهاید؟
- آیا مستندات، سیاستها یا رویههایی را برای این کار تدوین نمودهاید؟
- آیا اقدامات قبلی شما به نتیجه لازم رسیدهاند؟
- آیا بازخوردهای کارمندان را جمعآوری کردهاید؟
- آیا برنامههای آموزشی را در سازمانتان به صورت کامل اجرا کردهاید؟
- آیا به کارمندان جدید درباره قوانین و الزامات امنیتی آموزش میدهید؟
- آیا نیاز به ایجاد رویهها و سیاستهای جدید وجود دارد؟
بهتر است با طرفهای مرتبط مختلف مصاحبهای داشته باشید تا به یک درک کامل نسبت به وضعیت کنونی دست یابید. در ارزیابیهای خودتان میتوانید با استفاده از مدل بلوغ امنیت سایبری مشخص کنید که سازمان شما در حال حاضر در کدام مرحله قرار دارد و سپس برنامهریزی کنید در یک سال آینده قرار است به کجا برسید.
تهیه بیانیه رسالت (بیانیه مأموریت)[1]
داشتن یک بیانیه رسالت برای آگاهیبخشی امنیت سایبری به شما جهت دستیابی به هدفتان کمک زیادی میکند. با داشتن چنین طرحی کارمندان شما دلیل این تلاشها و اینکه چگونه میتوانند در امنیت اطلاعات سازمان مؤثر باشند را به خوبی درک خواهند کرد. همچنین میتوانید اقدامات مهمی که جزو این طرح هستند را هم به صورت مختصر در این بیانیه اعلام کنید.
بیانیه رسالت باید به پرسشهایی از قبیل دلیل وجود طرح آگاهیبخشی امنیت سایبری و اینکه این طرح چه هدف کلی و چه سودی برای کارمندان و سازمان دارد، پاسخی شفاف بدهد.
برنامهریزی برای انجام کارها
پس از آنکه پایه و اساس طرح آگاهیبخشیتان را مشخص کردید باید همه فعالیتهایی که قرار است جزوی از طرح آگاهیبخشی امنیت سایبری شما باشند را تعیین نمایید. این مرحله مستلزم انجام تحقیقات و برنامهریزیهای بسیار زیاد است. همچنین باید طرحی که پیادهسازی میکنید با نیازها و فرهنگ سازمان شما همخوانی لازم را داشته باشد. ابزارها و محصولات جدیدی را میتوانید پیدا کنید که به شما در این مسیر کمک کنند.
تصمیمگیری درباره نحوه برنامهریزی بر عهده خود شما است. برای مثال میتوانید از یک سال قبل آماده شده و تقویمی از همه کارهایی که باید انجام شوند ایجاد کنید یا اینکه در ابتدا درباره تصویر کلی مدنظرتان برنامهریزی کرده و سپس فعالیتهای سه ماههای را جهت تحقق آن به صورت جداگانه در نظر بگیرید. همچنین بهتر است درباره طرحتان شفافیت لازم را داشته و در صورت امکان آن را در شبکه داخلی سازمان برای دسترسی همه افراد مرتبط قرار دهید.
برنامهریزی برای کارمندان جدید
افراد جدیدی که به سازمان شما ملحق میشوند را هرگز فراموش نکنید. این افراد باید از همان ابتدا در جریان باشند که آگاهیبخشی امنیت سایبری برای شما اهمیت ویژهای دارد. بنابراین یک طرح جامع را ایجاد کرده و آن را در اختیار کارمندان تازه استخدام شده قرار دهید. در این صورت میتوانید مطمئن شوید که این افراد به تلاشهای شما متعهد خواهند بود.
ایجاد سیاستها و رویههای لازم
اگرچه افراد معمولاً ارتباط خوبی با سیاستها و رویههای امنیتی ندارند ولی نباید آنها را به فراموشی سپرده و اجرا نکنند. سعی کنید قوانین را به گونهای تعریف کنید که تا حد امکان ساده و برای کارمندان قابل درک باشند. همچنین از تهیه مستندات طولانی که هیچ شخصی مایل به مطالعه آنها نیست، جداً خودداری کنید. همچنین به صورت منظم و مستمر درباره سیاستها و رویههای امنیتی سازمان به کارمندان یادآوریهای لازم را کرده تا مطمئن شوید که همیشه در ذهن آنها باقی میمانند.
تعیین نحوه ارزیابی موفقیت طرح
از آنجا که آگاهیبخشی یک موضوع انتزاعی است ممکن است ارزیابی آن کمی برایتان چالشبرانگیز باشد. یکی از مهمترین نشانههای موفق بودن طرح آگاهیبخشی امنیت سایبری، تغییر رفتار کارمندان است. آموزشهای فیشینگ از جمله ابزارهای کاربردی برای بهبود رفتار کاربران در زمینه امنیت سایبری محسوب میشوند. همزمان با ارایه این آموزشها به کارمندان باید تغییر رفتار آنها را نیز مورد بررسی قرار داد.
سازمانهایی که از نرمافزارهای شبیهسازی حملات فیشینگ استفاده میکنند، عملکرد بهتری داشته و به راحتی میتوانند نتیجه تلاشهایشان را ارزیابی کنند. بر اساس آمار و همچنین میزان حوادث و ایمیلهای گزارش شده در زمینه فیشینگ در سازمانهایی که فاقد یک طرح مناسب برای آموزش امنیت سایبری هستند، میزان آگاهی افراد نسبت به فیشینگ فقط حدود 4 درصد برآورد شده است. در حالی که با ارایه آموزشهای غیرمداوم این رقم به 25 درصد و با فراهم نمودن بسترهای آموزشی به صورت مرتب و خودکار، این رقم به حدود 60 درصد افزایش پیدا میکند.
میتوانید تعداد حوادثی که تغییرات رفتاری کارمندان مانع از وقوع آنها شده است را ارزیابی کنید. برای مثال میزان خسارت ناشی از نشتهای اطلاعاتی و رخنههای امنیتی را اندازهگیری کرده و آن را در تعداد حوادثی که آموزش کارمندان مانع از وقوع آنها شده است، ضرب کنید. قطعاً به یک عدد بزرگ خواهید رسید. اگرچه امکان پیشگیری از تمام حملات سایبری وجود ندارد اما با داشتن یک طرح آموزشی اصولی میتوان از بروز بسیاری از حوادث و رخدادهای ناگوار پیشگیری کرد.
همواره به این نکته توجه داشته باشید که سرمایهگذاری بر روی آگاهیبخشی امنیتی کارکنان نسبت به هزینههای ناشی از رخنههای امنیتی بسیار مقرون به صرفهتر است. همچنین میتوانید با ایجاد یک نظرسنجی درباره آگاهی امنیتی، از افراد درباره میزان دانش یا دیدگاهشان نسبت به طرح آگاهیبخشی امنیت سایبری پرسشهایی را مطرح کرده و در صورت نیاز، اقداماتتان را بهبود ببخشید. در نهایت هم میتوانید تعداد حوادث گزارش شده را بررسی و تحلیل کرده و از آنها برای ارزیابی میزان بهبود نرخ گزارشدهی نسبت به قبل استفاده کنید.
کارمندان، مهمترین عنصر طرح آگاهیبخشی امنیتی
امنیت سایبری فقط بر عهده یک شخص نیست و همه در ایجاد و حفظ آن نقش مؤثری دارند. بنابراین اگر میخواهید نتیجه دلخواهتان را به دست آورید کاملاً بدیهی و مسلم است که باید با کارمندانتان در تعامل کامل بوده و اطمینان یابید که آنها دلایل اهمیت اجرای طرح آگاهیبخشی امنیت اطلاعات را درک میکنند. همچنین از آنجا که کارمندان معمولاً اطلاعاتشان را به اعضای خانواده، دوستان و جامعه نیز منتقل میکنند؛ بنابراین علاوه بر ایجاد یک محیط کاری امن و حفاظت از اطلاعات کسبوکارتان میتوانید به حفظ امنیت کارمندان در منزل و زندگی شخصیشان هم کمک کنید.
آشنایی با شبکههای اجتماعی و پیامرسانهای ارتباطی، استفاده صحیح و پسندیده از تجهیزات، استفاده از شبکه وایفای، وبگردی امن، آشنایی با ایمیلهای فیشینگ، مهندسی اجتماعی، بدافزارها، تهدیدات و حملات سایبری از جمله مفاهیمی هستند که میبایست در طرح آگاهیبخشی امنیتی به کارمندان مدنظر قرار گیرند.
هرگز کارمندان را مجبور به شرکت در کلاسهای آموزشی نکنید. به جای این کار بهتر است آموزشهای تعاملی، جذاب و سریعی را ارایه داده تا خود کارمندان ترغیب به مشارکت و یادگیری شوند. باید به نکته توجه داشته باشید که ترویج دانش و رفتار سنجیده ممکن است کمی چالشبرانگیز بوده و تولید محتوا توسط خودتان نیز به صرف هزینه و زمان بیشتری نیاز داشته باشد. بنابراین کارشناسان امنیتی توصیه میکنند برای انجام این کار از شرکتهایی که در زمینه آموزش و آگاهیبخشی امنیت سایبری تخصص کافی را دارند، کمک بگیرید.
همچنین با توجه به اینکه علت اصلی 95 درصد از نفوذهای امنیتی و نشتهای اطلاعاتی، ناشی از خطاهای انسانی هستند؛ پس بدون شک تا زمانی که از نقش افراد در دفاع از امنیت سایبری سازمانتان مطلع نباشید نمیتوانید یک خط دفاعی انسانی متسحکم را تشکیل دهید.
اجرای طرح آگاهیبخشی
پس از سپری کردن مراحلی که در بالا به آنها اشاره شد، اکنون نوبت به اجرای طرح آگاهیبخشی امنیت سایبری میرسد. کلید موفقیت، برقراری ارتباط و داشتن طرحی فراگیر، تعاملی و جذاب است که همه کارمندان مایل به مشارکت در انجام آن باشند.
همواره به کارمندان یادآوری کنید که هر فردی مسئول اقدامات خودش است. همچنین اگر قصد ایجاد انگیزه و هیجان مثبت برای طرحتان را دارید از تنبیه افرادی که مرتکب خطا یا لغزش سهوی میشوند، به شدت خودداری کنید. هدف اصلی شما باید کمک به کارمندان برای افزایش دانش و توسعه مهارتهای آنها جهت مقابله با تهدیدات فضای مجازی و اینترنت باشد.
[1] سندی که اهداف سازمان در آن بیان شده است.
منبع: hoxhunt