4 گام در راستای ایجاد یک برنامه آموزشی برای افزایش آگاهی امنیتی
داشتن یکسری از قوانین و نرمافزارها به تنهایی برای حفظ امنیت دادهها کافی نیست، کارکنان نیز باید به صورت مستمر آموزش ببینند

شاید سازمان شما مستحکمترین برنامه امنیتی در جهان را داشته باشد. ممکن است قوانین سختگیرانهای وضع کرده باشید و بهروزترین و فوقالعادهترین ابزارهای امنیتی را نیز در اختیار داشته باشید. شاید فکر کنید دادههایتان در امان هستند اما اگر کارکنان شما آموزشهای درست را طی نکرده باشند یا درک عملیای از قوانین و ریسکهای احتمالی نداشته باشند، کلیه سیستم دفاعی مجلل شما میتواند به سادگی بلااستفاده باشد.
بر طبق گزارش حاصل از تحقیقاتی که روی شکافهای داده در سال 2017 توسط Verizon ارائه شد، 81% از شکافهای ناشی از هک که طی سال گذشته رخ داده است با استفاده از گذرواژههای ضعیف انجام شده و یک نفر از هر 14 کاربر اذعان داشته که لینکی را دنبال کرده و فریب خورده یا ضمیمهای را که نباید دانلود کرده است.
حقیقت غمانگیز این است که کارکنان شما ضعیفترین لینک سیستم دفاعی سایبری شما هستند. آنها نسبت به باج افزار و کلاهبرداریهای فیشینگ آسیبپذیری بالایی دارند. گاهی به صورت کامل رعایت الزامات را درک نمیکنند و به این ترتیب اطلاعات حساس را به درستی اداره نمیکنند.
داشتن یک برنامه آموزشی برای افزایش آگاهی امنیتی حیاتی بوده و ما در اینجا گامهای مورد نیاز برای راهاندازی این برنامه را بیان خواهیم کرد.
1. نیازمندیهای سازمان را ارزیابی کنید و بر اساس آنها فهرست آموزشی خود را طراحی کنید
ارزیابی، اولین گام ضروری در توسعه برنامه امنیتی گسترده شما است و این گام به آموزش هشیاری امنیتی نیز بسط پیدا میکند. ریسکهای عمدهای را که قصد مقابله با آنها را دارید ارزیابی کنید. اگر در یک صنعت منظم و دارای مقررات قرار دارید، الزامات آن را نیز باید در نظر بگیرید. به دقت روی آموزشهایی که این نیازمندیها را پوشش میدهند کار کنید.
باید حملات فیشینگ را در نظر بگیرید همچنین حواستان به احتمال حملات غیر فنیای مانند Tailgate نیز باشد، tailgate تکنیکی است که در آن فرد پشت سر کارمندی که با استفاده از کارت شناساییاش درب ورودی را باز کرده، دزدکی وارد دفترش میشود. اگر با این موضوع مشکل دارید، کارمندانتان را به گونهای آموزش دهید که هشیار بوده و از افراد ناشناس درخواست مجوزهای ورود کنند.
زمانی که شما در حال جمعبندی محتوای آموزشی هستید، مطمئن شوید که برخی مثالهای موجود در دنیای واقعی را نیز در آموزشهایتان بگنجانید. به آنها نشان دهید که یک حمله در واقعیت به چه شکلی است و با جزئیات دقیق برایشان توضیح دهید که در صورت افتادن به دام هر کدام از آن حملات چه کارهایی باید انجام دهند. ضروری است که رویدادهای امنیتی را برایشان تعریف کرده و یک رویه گزارش دهی را برایشان طراحی کنید. قوانین اصلی و کلیدی را به کارمندان اطلاع دهید تا بدانند داشتن چه سرویسهایی روی دستگاههای موبایل و رسانههای اجتماعی، اخلاقی و قابل قبول است. یک قانون طلایی را که باید به آنها آموزش دهید این است:
2. زمانبندی و آموزش
اغلب شرکتها با یک برنامه آموزشی سالانه کارشان را آغاز میکنند. آموزش افراد تازه استخدام شده حداقل کاری است که باید انجام شود. یک برنامه آموزشی ماهانه را زمانبندی کنید. آموزش هفتگی، بیش از حد بوده و آموزشهای فصلی هم کافی نیستند. شما بایستی این محتویات را با هم ترکیب کنید و آن را به صورتی تنظیم کنید که مرتبط با تهدیدات فصلی بوده و قابل اعمال کردن باشند. برای مثال، ثابت شده است که در زمان ولنتاین، کارتهای الکترونیکی میتوانند گزینههای وسوسه کنندهای برای کلیک کردن باشند، در نتیجه ترتیبی اتخاذ کنید که کارمندانتان یاد بگیرند دنبال چه علائم مشکوکی باشند.
انجام این آموزشها با استفاده از چندین روش مختلف ایده فوقالعادهای است. لیستهای ایمیل یکی از سادهترین راهها برای ارسال این محتواست. باید وبسایتها یا شبکههای داخلیای داشته باشید که کارکنان در مواقع لزوم بتوانند به آنها مراجعه کنند، اما بهروز رسانی مستمر این محتویات امری حیاتی است. برپایی جلساتی برای ملاقاتهای رو در رو نیز بسیار حائز اهمیت است. کارمندان اغلب به دلیل مشغلههای زیاد از این جلسات سرباز میزنند اما برگزاری نشستهایی با حضور گروه کوچکی از کارکنان یکی از بهترین راههای آموزشی بوده و فرصت بینظیری برای مطرح شدن سؤالات کارکنان ایجاد میکند.
3. ارزیابی درصد بهرهوری آموزشها
هنگامی که یک سیستم امنیتی جدید را راهاندازی میکنید، تمایل دارید برای اطمینان از عملکرد صحیحش آن را تست کنید؛ به آموزشهای هشیاری امنیتی نیز به این دید نگاه کنید. شاید در نظر داشته باشید تستهایی را در محتوای آموزشیتان بگنجانید. هر بخش را با یک آزمون به پایان برسانید تا ببینید کارکنانتان تا چه اندازه متوجه فواید این اطلاعات کلیدی شدهاند. انجام آزمونهای عملی فیالبداهه نیز ایده خوبی است. به فرض مثال چند هفته پس از آموزشهایتان یک ایمیل فیشینگ تستی برای آنها ارسال کنید تا ببینید چه کسی قربانی این تست خواهد شد.
4. پیگیری و انجام اقدامات در راستای آن
آزمودن تأثیر آموزشها بسیار مهم است اما این نکته را نیز نباید فراموش کرد که شما باید حواستان باشد چه کسی آموزشهای ارسال شده را به طور کامل مطالعه کرده و چقدر زمان صرف آن کرده است، سپس میزان تأثیری که این آموزشها روی رویدادهای امنیتی واقعی داشته است را اندازهگیری کنید. اگر افراد این آموزشها را تکمیل نکنند و در آزمونها ناموفق عمل کنند، باید آموزشهای بیشتری برای آنها در نظر گرفته شود و در صورت تکرار این عدم موفقیت برگزاری جلسات رو در رو ضروری است.
اگر برنامه شما واقعا مؤثر باشد، باید افت واضحی را در رقم رویدادهای امنیتی ملاحظه کنید. اگر همچنان شاهد این رویدادها بودید، لازم است روی محتویات آموزشیتان مجددا کار کنید و شیوهتان را تغییر دهید. با پدیدار شدن تهدیدات جدید، باید آماده باشید که روی آنها کار کرده و آموزشهایتان را به طور متناوب بر اساس آنها بهروز رسانی کنید.