کارکنان شما ضعیفترین حلقه در زنجیره امنیت سایبری شما هستند

امروزه هکرها از هیچ تلاشی برای دسترسی به دادههای محرمانه و سوءاستفاده از آنها دریغ نمیکنند. همچنین کاربران نسبت به گذشته آگاهی بیشتری از قدرت و امنیت دادههایشان به دست آوردهاند. بنابراین تمام کسبوکارها در کلیه صنایع و حتی سازمانهای بزرگ نیز باید استراتژیهای امنیتی قوی را جهت جلب و حفظ اعتماد مشتریانشان پیادهسازی نموده و از دادههای خصوصی آنها در برابر دسترسیهای غیرمجاز محافظت کنند.
سازمانها باید از چه مقرراتی پیروی کنند؟
قانونگذاران و نهادهای قانونی همواره در حال تلاش برای حفاظت از کاربران و دادههایشان در سراسر جهان هستند. بعضی از سازوکارهای امنیتی عبارتند از:
- همه شرکتهای مستقر در کانادا موظف هستند حوادث مربوط به وقوع رخنههای امنیتی که ممکن است پیامدهای منفی بسیار زیادی را در پی داشته باشند به اداره کمیسیون حریم خصوصی گزارش دهند.
- با توجه به اصلاحیههایی که در مقررات مربوط به حریم خصوصی از جمله قانون اسناد الکترونیک و اطلاعات شخصی ایجاد میشوند کاربران میتوانند به اختیارات بیشتری در حوزه مدیریت شیوه استفاده از اطلاعاتشان توسط شرکتها دست یابند.
- براساس مقررات حفاظت از دادههای اتحادیه اروپا کاربران میتوانند درباره نحوه بکارگیری اطلاعات شخصیشان توسط سازمانها برای مقاصدی مثل فروش یا غیربازاریابی تصمیمگیری نموده و کسبوکارها نیز ملزم به پیروی از سازوکارهای حفاظت از حریم خصوصی دادهها هستند.
- قانون حریم خصوصی مشتریان کالیفرنیا حق دسترسی، حذف و به اشتراکگذاری دادههای شخصی کاربران را که توسط مشاغل جمعآوری میشوند به آنها میدهد.
شرکتها نیز باید به صورت پیوسته وضعیت امنیتیشان در حوزه حریم خصوصی مشتریان را بررسی نموده و از قوانین و سازوکارهای امنیتی موجود پیروی کنند.
اجرای قوانین امنیتی لازم است ولی کافی نیست!
با توجه به افزایش چشمگیر تهدیدات سایبری و تلاش بیوقفه مهاجمان برای نفوذ به شبکههای سازمانی تمرکز و تلاش جهت پیادهسازی قوانین جدید به تنهایی کافی نیست و همچنان احتمال وقوع رخنههای امنیتی بسیار زیاد است.
در این مطلب از فراست نتایج مربوط به «نظرسنجی امنیت اطلاعات شرکت EY Global[1]» که بیش از 1400 مدیر اجرایی جهانی و مدیر فناوری اطلاعات در شرکتهای نامآور جهانی در آن شرکت کردند و همچنین شیوههای مدیریت امنیت سایبری و حریم خصوصی توسط مدیران اجرایی یکسری از شرکتهای مستقر در کانادا را مورد بررسی قرار میدهیم.
نحوه اجرای اقدامات لازم جهت پیشگیری از نفوذهای امنیتی
یک طرح قوی برای حفاظت از حریم خصوصی نیازمند یک استراتژی امنیت سایبری کارآمد بوده و پیادهسازی و اجرای آن نیز در گرو میزان بودجه و سرمایه موجود است. از طرفی افراد، مدیران سازمانها و کارمندانشان معمولاً آگاهی چندانی در رابطه با امنیت سایبری ندارند. همین عدم آگاهی میتواند منجر به کاهش بودجه امنیت سایبری شود.
حدود 60 درصد از شرکتکنندگان در این نظرسنجی اعلام کردند که بودجه امنیت سایبری سازمانشان حتی از ده درصد بودجه کل بخش فناوری اطلاعات هم کمتر است.
داراییهای دیجیتال ارزشمند سازمانها که توجه مجرمان سایبری را به خود جلب میکنند شامل موارد زیر هستند:
- کلمه عبور و اطلاعات خصوصی مشتریان
- طرحهای کاربردی و اطلاعات مالی
- دادههای شخصی اعضای هیئت مدیره و مدیران ارشد
همچنین مهاجمان معمولاً از دادههایی (مثل شماره تلفن یا آدرس ایمیل) که ظاهراً مخاطرهآمیز نیستند برای هک و کلاهبرداری استفاده میکنند.
طرح امنیتی حفاظت از دادهها
بر اساس نتایج نظرسنجی حدود 65 درصد از سازمانها هیچ برنامه رسمی امنیتی برای حفاظت از دادهها نداشته و مجرمان سایبری میتوانند به راحتی به اسناد محرمانهشان دسترسی یابند.
به صورت کلی یک طرح امنیتی کارآمد شامل مراحل زیر است:
- گام اول: شناسایی دادههایی که احتمال سرقت آنها توسط مجرمان سایبری وجود دارد؛
- گام دوم: شناسایی روشهای حمله که توسط هکرها جهت دسترسی به دادهها اجرا میشوند؛
- گام سوم: طراحی راهکارها و استراتژیهای کارآمد برای مقابله با حملات و نفوذهای سایبری.
انسان؛ عامل اصلی اجرای حملات سایبری
مهاجمان سایبری معمولاً افراد و کاربران را مورد هدف قرار میدهند. از طرفی کارمندان سازمانها نیز به صورت کاملاً غیرعمد ردپاهای عمیقی از خودشان در فضای مجازی به جا گذاشته و هیچ توجهی به مخاطرات ناشی از این کار ندارند. در حقیقت انسانها ضعیفترین پیوند حلقه امنیت و حملات سایبری را تشکیل میدهند. آنها به راحتی راه را برای نفوذ هکرها باز و مسیر را هموار میکنند.
حدود 40 درصد از شرکتکنندگان در این نظرسنجی عدم دقت و توجه کارمندان را عامل اصلی آسیبپذیریها و ضعفهای سازمانی در برابر وقوع رخنههای امنیتی اعلام کردند.
حملات مهندسی اجتماعی و فیشینگ رو به افزایش بوده و مجرمان سایبری همواره در حال تلاش برای سوءاستفاده از اعتماد کارمندان جهت دسترسی به فایلها و اطلاعات محرمانه هستند. از این رو سازمانها باید سرمایهگذاریهای لازم را در این زمینه انجام داده و با برگذاری پیوسته دورههای آموزشی کارآمد دانش امنیتی لازم در رابطه با انواع تهدیدات سایبری و همچنین راهکارهای مقابله با آنها را به کارمندانشان ارایه دهند.
آموزش و افزایش آگاهیهای امنیتی مدیران اجرایی
حدود 70 درصد از مدیران سازمانهای شرکتکننده در این نظرسنجی اعلام کردهاند فردی که مسئولیت مستقیم امنیت سایبری را برعهده دارد، عضو هیئت مدیره یا تیم اجرایی نیست.
یکی از مهمترین وظایف مدیران اجرایی همسو شدن با تحول فناوری است. آنها همچنان که در حال تلاش برای پیشبرد طرحهای دیجیتالشان هستند باید به امنیت اطلاعات نیز توجه داشته و از آن غافل نشوند.
سازمانها باید جهت حفاظت از دادهها علاوه بر ارایه آموزشهای امنیتی لازم به اعضای بخش مدیریتی، مشاورانی را نیز در تیمهای مدیریتی استخدام کنند.
رویکرد پیشگیرانه به جای رویکرد واکنشی
حملات سایبری میتوانند خسارتهای مالی و قانونی بسیار زیادی را به سازمانها وارد نموده و در نهایت منجر به عدم اعتماد مشتریان به کسبوکارهای قربانی شوند. بهتر است کسبوکارها با انجام برنامهریزیهای لازم و اجرای طرحهای امنیتی جامع و قوی آمادگی مقابله با بدترین شرایط را هم داشته و از مخاطرات ناشی از افشای دادهها بکاهند.
همچنین هیچ راهکار کاملی به تنهایی برای مقابله با حملات سایبری وجود ندارد. بنابراین برای حفظ کارآیی و اثربخشی طرحهای امنیت و حریم خصوصی تیمهای امنیتی باید پیش از وقوع حملات سایبری، مجموعهای از راهکارهای امنیتی را آماده، آزمایش و ارزیابی کنند.
هماهنگی بین همه اعضای سازمان نیز از جمله اقدامات ضروری برای ایجاد و حفظ امنیت در کل سازمان است.
جمعبندی
اگرچه سازمانها همچنان در حال رقابت با یکدیگر برای پیادهسازی فناوریهای جدید و سرمایهگذاری جهت اجرای ابتکارات و دیجیتالیزه نمودن دادههایشان هستند، ولی معمولاً از صرف زمان و منابع لازم برای تدوین یک استراتژی امنیتی قوی جهت حفاظت از افراد و داراییهای خودشان غافل میشوند. همچنین شرکتها باید در هنگام برنامهریزی برای تدوین طرحهای حفاظت از امنیت و حریم خصوصی، کارمندان را جزو اولویتهای اصلی خودشان در نظر بگیرند. نه تنها مدیران اجرایی بلکه کارمندان نقش مهمی در تأمین و حفظ امنیت دارند.
منبع: ey