آگاهی‌بخشی امنیت سایبری چیست و چه اهمیتی دارد؟

برطرف کردن آلودگی‌های باج‌افزاری و بدافزاری، عملکرد صحیح در هنگام کار با تجهیزات و فناوری‌های امنیتی و نیز آموزش اصول امنیت سایبری به کارمندان از جمله راهکارهای مقابله با هک و نفوذ محسوب می‌شوند. بر اساس گزارش‌هایی که در رابطه با هزینه نفوذهای اطلاعاتی در سال 2020 میلادی منتشر شده است حدود 20 درصد از نشت‌های اطلاعاتی، ناشی از خطاهای انسانی هستند.

در این مطلب از فراست به شما خواهیم گفت که چرا مخاطرات ناشی از سهل‌انگاری‌ و خطای کارمندان تا این حد جدی بوده و آموزش کارمندان چه تأثیری در حفاظت از داده‌ها و دارایی‌های اطلاعاتی سازمان‌ها دارد.

چرا افزایش دانش و آگاهی‌ امنیتی کارمندان مهم است؟

کارمندان هر سازمان نقش بسیار مهمی در عملیات‌های روزانه آن دارند. این افراد، نماینده کسب‌وکار سازمان‌شان بوده و در ارتباط مستقیم با داده‌های حساس و اطلاعات مشتریان هستند. اگر آنها نتوانند آن گونه که باید از اطلاعات حفاظت نموده یا قوانین مربوطه را نقض کنند، سازمان شما با انواع مشکلات امنیتی مثل اقدامات قانونی، جریمه‌های سنگین و آسیب رسیدن به اعتبار و وجهه خود مواجه خواهد شد. همچنین اگر مشتریان، شرکت‌های همکار و سایر طرف‌های دخیل مطمئن نباشند که شما در برابر اطلاعات آنها مسئول هستید، ممکن است تصمیم به استفاده از محصولات شرکت رقیب و همکاری با آنها بگیرند.

نفوذهای سایبری و نشت‌های اطلاعاتی می‌توانند در عملکرد کسب‌وکار شما اختلال ایجاد نمایند. برای مثال در صورتی که یک کارمند، طعمه کلاهبرداری فیشینگ شود ممکن است مهاجمان به حساب کاربری او نفوذ کنند. بنابراین مهاجمان احتمال دارد اطلاعات سایر کارمندان را نیز به دست آورده و آنها را مورد هدف قرار دهند. به همین ترتیب ممکن است کارمندانی که از کلمات عبور ضعیف استفاده می‌کنند، امنیت حساب کاربری‌شان یا محرمانگی فایل‌های حساس سازمانی را دچار مخاطره کنند.

اگرچه فناوری‌هایی برای کاهش این مخاطرات وجود دارد اما در نهایت جهت حفاظت از اطلاعات مهم و پیشگیری از بروز خطاهای مهمی که اصول امنیتی را نقض می‌کنند، باز هم متکی به کاربران هستید. آموزش امنیت سایبری از جمله روش‌های کاربردی جهت آشنایی کارمندان با انواع مخاطرات امنیتی، حملات سایبری، نشت‌های اطلاعاتی و راهکارهای مقابله با این تهدیدات است.

اصول توصیه شده برای آگاهی‌بخشی و آموزش امنیت سایبری به کارکنان

طرح آگاهی‌بخشی باید مکمل عملکرد فعلی کارمندان بوده و مانع از انجام وظایف کاری آنها نشود. هدف اصلی این طرح، حمایت از کارمندان برای دستیابی به دانش و مهارت‌های لازم جهت کار کردن و آشنایی با شرایطی است که باید در هنگام انجام فعالیت‌های روزانه به آن اهمیت دهند. نکات مهمی که شما باید برای آموزش کارمندان‌تان در نظر داشته باشید، شامل موارد زیر هستند:

• هیچ شخصی از اشتباه مصون نیست و احتمال طعمه شدن در برابر کلاهبرداران برای همه افراد وجود دارد. بنابراین تمام کارمندان سازمان باید آموزش‌های لازم را در خصوص الزامات امنیتی ببینند. البته کارمندان ارشد به دلیل آنکه دارای امتیازات و سطوح دسترسی‌ بالاتری هستند احتمال اینکه از طریق روش‌هایی مثل هک ایمیل کاری مورد هدف کلاهبرداری قرار بگیرند، بسیار بیشتر است.
• آموزش باید چندین بار در طول سال تکرار شود.
• آموزش باید به صورت منظم انجام شده تا موارد مهم در ذهن کارمندان نهادینه شود. بر اساس تحقیقاتی که در این زمینه صورت گرفته احتمال قربانی شدن کارمندانی که حداقل شش ماه از آخرین آموزش‌های امنیتی آنها می‌گذرد، بسیار بیشتر از کارکنانی است که به صورت مستمر در دوره‌های آگاهی‌بخشی امنیتی شرکت می‌کنند.
• روش کار کارمندان‌تان را در نظر بگیرید. پاسخ به سؤالاتی همچون «گردش فرایندهای کاری کارمندان‌ به چه صورت است؟» و «کارمندان شما در هنگام انجام فعالیت‌های خاص ممکن است با چه چالش‌ها یا تهدیداتی روبرو شوند؟» به شما کمک می‌کند تا برنامه‌های آموزشی مناسبی را برای هر یک از آنها تدارک ببینید. سیاست‌ها و آموزش‌‌های امنیت سایبری را می‌توانید با کمک کارشناسان و افراد متخصص در این زمینه که دارای اطلاعات کامل درباره محیط کار سازمان و کارمندان‌تان هستند، طراحی و اجرا کنید.
• از برخورد تند و خشن با کارمندانی که دچار اشتباه‌های سهوی شده‌اند، خودداری کنید. بنا بر توصیه کارشناسان به هیچ عنوان نباید کارمندانی را که مرتکب خطاهای سهوی می‌شوند، توبیخ و سرزنش کنید. ترس و سرزنش نه تنها انگیزه‌ای در کارمندان ایجاد نمی‌کند بلکه باعث می‌شود در صورت بروز خطا و مشکل، از گزارش آن خودداری نمایند. بنابراین اگرچه باید درباره آموزش کارمندان جدی بوده و مطمئن شوید آنها مطالب آموزشی را به خوبی درک کرده‌اند اما باید به این خطاها به عنوان تجربه‌های کاری نگاه کنید.
• آموزش‌های امنیتی را تکمیل کنید. می‌توانید اقدامات دیگری را هم جهت بهبود درک و شناخت بهتر کارمندان از قوانین و الزامات امنیت سایبری انجام دهید. برای مثال در محیط کار، پوسترهای آموزنده نصب نموده یا در ایمیل‌های ماهیانه، نکات امنیتی مهم را به کارکنان آموزش دهید. کتابچه‌های جیبی، خبرنامه‌ها، موشن‌گرافی، ارایه مطالب آموزنده، اینفوگرافیک و سایر محتواهای تصویری به افزایش دانش کارمندان درباره امنیت سایبری کمک می‌کنند.

اجرای طرح آموزش و آگاهی‌بخشی امنیت سایبری

برای اجرای طرح آموزش و آگاهی‌بخشی امنیت سایبری به نکات زیر توجه کنید:

1) الزامات مدنظرتان را مشخص کنید: در رابطه با آگاهی‌بخشی و آموزش کارمندان نمی‌توان یک رویکرد کلی را برای همه سازمان‌ها در نظر گرفت. جهت موفقیت طرح آگاهی‌بخشی و تعلیم کارمندان ابتدا باید نیازها و فرهنگ کسب‌وکاری‌تان را در نظر گرفته و آموزش‌ها را با توجه به این نیازمندی‌ها طراحی و اجرا کنید.

2) شاخص‌های موفقیت را تعیین کنید: قبل از اجرای طرح آموزش کارمندان، درباره شاخص‌های ارزیابی تصمیم‌گیری نموده و معیارهای مشخصی را جهت ارزیابی موفقیت آن تعیین کنید.

3) یک طرح جامع و کامل داشته باشید: آموزش و آگاهی‌بخشی کارمندان برای آشنایی با قوانین امنیتی باید شامل یک طرح کامل باشد که علاوه بر آموزش قوانین، همه کارمندان را با اصول و رویه‌های امنیتی سازمان آشنا کند.

4) مشارکت کارمندان را جلب کنید: جلب مشارکت کارمندان جهت موفقیت طرح آموزشی اهمیت بسیار زیادی دارد. با استفاده از روش‌هایی که تفکر کارمندان را برمی‌انگیزد می‌توانید آنها را با اصول و قوانین امنیتی آشنا کنید. یکی از فنون پرکاربرد جهت ایجاد جذابیت در طرح‌های آموزشی استفاده از محرک‌های رفتاری است که از بازی‌ها مثل پاداش، رقابت و ترس از دست دادن الهام می‌گیرند.

5) بر عمل متمرکز شوید: برای تغییر رفتار کارمندان باید ارتباط محتوای آموزشی را با کارهای روزمره آنها مشخص کنید. جهت پر کردن خلأ بین دانش و اقدام بایستی شرایط و زمینه به کارگیری اصول آموزش داده شده را برای کارمندان فراهم کرده و مثال‌هایی واقع‌گرایانه بزنید تا آنها بتوانند توصیه‎‌‌های ارایه شده را به دقت و همان‌طور که انتظار می‌رود اجرا کنند. انجام این کار کمک می‌کند تا امنیت تبدیل به بخش مهمی از عملکرد روزمره کارمندان شود.

6) اهمیت زمان‌بندی را فراموش نکنید: ممکن است نیاز فوری به آموزش کارمندان داشته باشید اما نباید طرح آموزشی را با عجله اجرا کنید. بهتر است بر اساس یک طرح پله‌ای ابتدا الزامات فوری و کلیدی را آموزش داده و سپس به تدریج آن را توسعه دهید.

7) چشم‌انداز بلندمدت داشته باشید: برای موفقیت طولانی‌مدت طرح آموزشی‌تان باید یک برنامه مستمر داشته باشید که با آموزش یکسری اصول اولیه شروع شده و سپس در طول سال یا هر زمان که حادثه‌ای رخ داد، آن را بهبود بخشید.

انتخاب ارایه‌دهنده آموزش‌های امنیتی

طراحی برنامه آموزش و آگاهی‌بخشی امنیتی، آن هم از پایه کار چندان ساده‌ای نیست. از این رو بسیاری از سازمان‌ها تصمیم به برون‌سپاری این کار می‌گیرند. این طرح باید موضوع‌های مختلف از جمله آموزش اصول اولیه امنیت (بهداشت سایبری)، تهدیدات فیشینگ، حملات متداول و الزامات استانداردهای قانونی را پوشش دهد.

اگر سازمان شما جزو سازمان‌هایی است که در آن دورکاری انجام می‌شود باید تهدیدات دورکاری و مخاطرات امنیتی ناشی از آن را هم در طرح آموزشی‌تان در نظر بگیرید.

منبع: itgovernance