4 گام در راستای ایجاد یک برنامه آموزشی برای افزایش آگاهی امنیتی

شاید سازمان شما مستحکم‌ترین برنامه امنیتی در جهان را داشته باشد. ممکن است قوانین سختگیرانه‌ای وضع کرده باشید و به‌روزترین و فوق‌العاده‌ترین ابزارهای امنیتی را نیز در اختیار داشته باشید. شاید فکر کنید داده‌هایتان در امان هستند اما اگر کارکنان شما آموزش‌های درست را طی نکرده باشند یا درک عملی‌ای از قوانین و ریسک‌های احتمالی نداشته باشند، کلیه سیستم دفاعی مجلل شما می‌تواند به سادگی بلااستفاده باشد.

بر طبق گزارش حاصل از تحقیقاتی که روی شکاف‌های داده در سال 2017 توسط Verizon ارائه شد، 81% از شکاف‌های ناشی از هک که طی سال گذشته رخ داده است با استفاده از گذرواژه‌های ضعیف انجام شده و یک نفر از هر 14 کاربر اذعان داشته که لینکی را دنبال کرده و فریب خورده یا ضمیمه‌ای را که نباید دانلود کرده است.

حقیقت غم‌انگیز این است که کارکنان شما ضعیف‌ترین لینک سیستم دفاعی سایبری شما هستند. آن‌ها نسبت به باج افزار و کلاهبرداری‌های فیشینگ آسیب‌پذیری بالایی دارند. گاهی به صورت کامل رعایت الزامات را درک نمی‌کنند و به این ترتیب اطلاعات حساس را به درستی اداره نمی‌کنند.

داشتن یک برنامه آموزشی برای افزایش آگاهی امنیتی حیاتی بوده و ما در اینجا گام‌های مورد نیاز برای راه‌اندازی این برنامه را بیان خواهیم کرد.

1. نیازمندی‌های سازمان را ارزیابی کنید و بر اساس آن‌ها فهرست آموزشی خود را طراحی کنید

ارزیابی، اولین گام ضروری در توسعه برنامه امنیتی گسترده شما است و این گام به آموزش هشیاری امنیتی نیز بسط پیدا می‌کند. ریسک‌های عمده‌ای را که قصد مقابله با آن‌ها را دارید ارزیابی کنید. اگر در یک صنعت منظم و دارای مقررات قرار دارید، الزامات آن را نیز باید در نظر بگیرید. به دقت روی آموزش‌هایی که این نیازمندی‌ها را پوشش می‌دهند کار کنید.

باید حملات فیشینگ را در نظر بگیرید همچنین حواستان به احتمال حملات غیر فنی‌ای مانند Tailgate نیز باشد، tailgate تکنیکی است که در آن فرد پشت سر کارمندی که با استفاده از کارت شناسایی‌اش درب ورودی را باز کرده، دزدکی وارد دفترش می‌شود. اگر با این موضوع مشکل دارید، کارمندان‌تان را به گونه‌ای آموزش دهید که هشیار بوده و از افراد ناشناس درخواست مجوز‌های ورود کنند.

زمانی که شما در حال جمع‌بندی محتوای آموزشی‌ هستید، مطمئن شوید که برخی مثال‌های موجود در دنیای واقعی را نیز در آموزش‌هایتان بگنجانید. به آن‌ها نشان دهید که یک حمله در واقعیت به چه شکلی است و با جزئیات دقیق برایشان توضیح دهید که در صورت افتادن به دام هر کدام از آن حملات چه کارهایی باید انجام دهند. ضروری است که رویدادهای امنیتی را برایشان تعریف کرده و یک رویه گزارش دهی را برایشان طراحی کنید. قوانین اصلی و کلیدی‌ را به کارمندان اطلاع دهید تا بدانند داشتن چه سرویس‌هایی روی دستگاه‌های موبایل و رسانه‌های اجتماعی، اخلاقی و قابل قبول است. یک قانون طلایی را که باید به آن‌ها آموزش دهید این است:

2. زمان‌بندی و آموزش

اغلب شرکت‌ها با یک برنامه آموزشی سالانه کارشان را آغاز می‌کنند. آموزش افراد تازه استخدام شده حداقل کاری است که باید انجام شود. یک برنامه آموزشی ماهانه را زمان‌بندی کنید. آموزش هفتگی، بیش از حد بوده و آموزش‌های فصلی هم کافی نیستند. شما بایستی این محتویات را با هم ترکیب کنید و آن را به صورتی تنظیم کنید که مرتبط با تهدیدات فصلی بوده و قابل اعمال کردن باشند. برای مثال، ثابت شده است که در زمان ولنتاین، کارت‌های الکترونیکی می‌توانند گزینه‌های وسوسه کننده‌ای برای کلیک کردن باشند، در نتیجه ترتیبی اتخاذ کنید که کارمندان‌تان یاد بگیرند دنبال چه علائم مشکوکی باشند.

انجام این آموزش‌ها با استفاده از چندین روش مختلف ایده فوق‌العاده‌ای است. لیست‌های ایمیل یکی از ساده‌ترین راه‌ها برای ارسال این محتواست. باید وب‌سایت‌ها یا شبکه‌های داخلی‌ای داشته باشید که کارکنان در مواقع لزوم بتوانند به آن‌ها مراجعه کنند، اما به‌روز رسانی مستمر این محتویات امری حیاتی است. برپایی جلساتی برای ملاقات‌های رو در رو نیز بسیار حائز اهمیت است. کارمندان اغلب به دلیل مشغله‌های زیاد از این جلسات سرباز می‌زنند اما برگزاری نشست‌هایی با حضور گروه کوچکی از کارکنان یکی از بهترین راه‌های آموزشی بوده و فرصت بی‌نظیری برای مطرح شدن سؤالات کارکنان ایجاد می‌کند.

3. ارزیابی درصد بهره‌وری آموزش‌ها

هنگامی که یک سیستم امنیتی جدید را راه‌اندازی می‌کنید، تمایل دارید برای اطمینان از عملکرد صحیحش آن را تست کنید؛ به آموزش‌های هشیاری امنیتی نیز به این دید نگاه کنید. شاید در نظر داشته باشید تست‌هایی را در محتوای آموزشی‌تان بگنجانید. هر بخش را با یک آزمون به پایان برسانید تا ببینید کارکنان‌تان تا چه اندازه متوجه فواید این اطلاعات کلیدی شده‌اند. انجام آزمون‌های عملی فی‌البداهه نیز ایده خوبی است. به فرض مثال چند هفته پس از آموزش‌هایتان یک ایمیل فیشینگ تستی برای آن‌ها ارسال کنید تا ببینید چه کسی قربانی این تست خواهد شد.

4. پیگیری و انجام اقدامات در راستای آن

آزمودن تأثیر آموزش‌ها بسیار مهم است اما این نکته را نیز نباید فراموش کرد که شما باید حواستان باشد چه کسی آموزش‌های ارسال شده را به طور کامل مطالعه کرده و چقدر زمان صرف آن کرده است، سپس میزان تأثیری که این آموزش‌ها روی رویدادهای امنیتی واقعی داشته است را اندازه‌گیری کنید. اگر افراد این آموزش‌ها را تکمیل نکنند و در آزمون‌ها ناموفق عمل کنند، باید آموزش‌های بیشتری برای آن‌ها در نظر گرفته شود و در صورت تکرار این عدم موفقیت برگزاری جلسات رو در رو ضروری است.‌

اگر برنامه شما واقعا مؤثر باشد، باید افت واضحی را در رقم رویدادهای امنیتی ملاحظه کنید. اگر همچنان شاهد این رویدادها بودید، لازم است روی محتویات آموزشی‌تان مجددا کار کنید و شیوه‌تان را تغییر دهید. با پدیدار شدن تهدیدات جدید، باید آماده باشید که روی آن‌ها کار کرده و آموزش‌هایتان را به طور متناوب بر اساس آن‌ها به‌روز رسانی کنید.