آشنایی با عناصر یک فرهنگ امنیت سایبری کارا و اثربخش
تأمین امنیت اطلاعات، به اندازه سرمایه گذاری برای خرید فناوریهای مناسب و اجرای درست سیاستهای سازمانی اهمیت دارد. چنانچه کارمندان به لینکهایی که بر روی آنها کلیک کرده یا اشخاصی که به آنها اعتماد می کنند، بیتوجه بوده و مدیران نیز اهمیت لازم را به سرمایهگذاری در حوزه امنیت ندهند، سامانههای دفاعی قادر نخواهند بود امنیت کامل را برای سازمانها فراهم کنند.
در این مطلب از فراست، به موضوع مهم فرهنگ امنیت سایبری می پردازیم که می تواند به سازمان ها در کاهش مخاطرات فنی و مدیریتی کمک به سزایی کند.
فرهنگ امنیتی چیست؟
فرهنگ امنیتی به مجموعهای از ایدهها، عادت ها و رفتارهای اجتماعی گفته میشود که به کاربران کمک می کند همواره و در هنگام انجام فعالیتهای روزمره خود، تصمیمهایی بگیرند که به جای تهدید امنیت سایبری، باعث ارتقا و افزایش امنیت سازمان میشود. پایبندی به این اصول، امنیت را برای سازمان رقم میزند.
از آنجا که بیان میزان اهمیت آگاهی بخشی امنیتی به صورت کلامی کار سادهای نیست بنابراین وجود یک فرهنگ امنیت سایبری غنی موجب میشود که کاربران به جای کلیک بر روی لینکهای مشکوک ارسالی توسط ایمیل ها یا پیام ها آن را به مسئولان مربوطه گزارش دهند. در واقع آنها به جای عدم رعایت الزامات امنیتی سازمان، از آنها پیروی کرده و زمانی که نمیدانند دقیقاً چه کاری را باید انجام دهند و نیاز به کمک دارند، از کارمندان بخش فناوری اطلاعات و امنیت کمک میگیرند.
عموماً مدیران ارشد در هنگام اجرای یک پروژه، از همان ابتدا تیم امنیت را در آن مشارکت میدهند. مدیران کسب و کارها برخلاف یک طرز تفکر عمومی که کاهش هزینههای امنیتی سازمان را از نظر اقتصادی به نفع سازمان می داند؛ پس از کسب دانش و افزایش اطلاعات خود معمولاً تصمیم گیری های لازم را برای حفاظت از داراییهای اطلاعاتی سازمان می گیرند.
متأسفانه باید گفت که در سال های گذشته بر اساس گزارش فرهنگ امنیت سایبری، از هر ده سازمان فقط یکی از آنها فرهنگ امنیتی مطلوب را دارد.
عنصر ده گانه فرهنگ امنیت سایبری
امروزه در تمام مشاغل و کسب و کارها به مباحث امنیتی اشاره میشود اما با این حال چگونه می توان از توجه تمام افراد به این موضوع و رعایت الزامات امنیتی مطمئن شد؟
به صورت کلی پاسخ سؤال بالا در آموزش، رهبری و اطلاع رسانی هوشمند قرار دارد. ده عنصر فرهنگ امنیتی کارآمد و اثربخش که می بایست مدیران سازمان ها توجه لازم را به آنها داشته باشند، شامل موارد زیر است:
1. تعیین اهداف امنیتی
نخستین گام پیش از شروع آموزش های آگاهانه بخش امنیت سایبری، مشخص کردن و تعیین اهداف امنیتی است. برخلاف اهداف کوچکتر که کمی و قابل اندازه گیری می باشند؛ اهداف بزرگ، سطح بالا و کیفی هستند. این اهداف علاوه بر اینکه راهنما و الگویی برای تعیین اهداف کوچکتر هستند میتوانند به عنوان عاملی نیز برای الهام بخشی و شروع بحث و گفتگو در نظر گرفته شوند.
برای اهداف کوچکتر که شامل پیروی از قوانین مربوطه، کاهش صدمات مالی، میزان قبولی کارمندان در آموزش های امنیتی، کاهش حوادث امنیتی و غیره هستند، اقدامات لازم برای دستیابی به اهداف بزرگتر در نظر گرفته میشود.
2. سنجش میزان تحقق اهداف
این شعار حوزه کسب و کار و تجارت که «اگر نتوانید چیزی را اندازه گیری کنید، قادر به اصلاح و بهبود آن نیستید» برای ایجاد فرهنگی با اولویت دهی به امنیت هم صدق میکند. اهداف باید هم از نظر ویژگیهای کمی و هم از نظر زمانی، قابل سنجش و اندازه گیری باشند. برای تمام اهداف باید یک زمان مشخصی را در نظر گفت تا هر سال، ارزیابیها در آن تاریخ انجام شوند.
3. میزان تکرار
معمولاً اجرای طرحهای آموزش امنیت سایبری یا به آینده موکول میشود و هرگز هم انجام نمیشود یا اینکه در بازه های زمانی طولانی مدت مثلاً به صورت سالیانه اجرا میشوند. سعی کنید تعداد جلسات را بیشتر کرده و در هر جلسه نیز بر روی موضوعات متفاوتی که آموزههای امنیتی را در ذهن کارمندان ماندگارتر می کند، متمرکز شوید.
4. شبیه سازی
یک روش کارآمد برای بیان واقعیتهای امنیت سایبری، «شبیهسازی حملات» است. انجام شبیهسازیها از جمله بهترین ابزارها برای افزایش سطح آگاهی و دانش کارکنان محسوب میشود. مدیران سازمانها میتوانند به منظور جلب مشارکت بیشتر کارمندان و ایجاد انگیزه در آنها رقابت های سالمی را هم در بین آنها ایجاد کنند.
5. برقراری ارتباط
به جز تشکیل جلسات آموزشی، در پیامهای آموزشی هم باید به خبرهای جدید امنیتی و یادآوریهای لازم اشاره شود. این پیامها باید مختصر و مفید، ساده و بدون هرگونه اصطلاحات فنی باشند.
6. واژگان مورد استفاده
برای ایجاد یک فرهنگ امنیت سایبری پربار، ارتباطات اهمیت زیادی داشته و انتقال مفاهیم، نیازمند استفاده از کلمات درست و مناسب است. آموزشهای امنیت سایبری، به خصوص برای حملات فیشینگ و مهندسی اجتماعی باید با تأکید بر زبان امنیت انجام شوند. کارمندان با یاد گرفتن این کلمات، آگاهی بیشتری را درباره مسایل فنی کسب میکنند.
7. آموزش کارمندان جدید
آموزش و آگاهی بخشی امنیتی به کارمندان جدید باید یکی از اولویتهای اصلی سازمان باشد. کارمندان جدید می بایست از همان ابتدا درک کنند که مشارکت در فرهنگ امنیت سایبری و رعایت تمام الزامات امنیتی سازمان، یکی از وظایف اصلی آنها است.
8. توانمندسازی
توانمندسازی تمام کارمندان، بخشی از یک فرهنگ امنیت سایبری کارآمد است. این موضوع که هر کارمندی میتواند در تقویت یا تضعیف وضعیت امنیتی سازمان نقش مهمی داشته باشد باید در ذهن همه افراد ایجاد شود. کارمندان باید به نحوی توانمند شوند که بتوانند در مواقع حیاتی، اقدامات مناسب را انجام دهند.
9. پیشگیری از بروز خطا
بعضی از مشکلات امنیتی سازمان ها ناشی از خطاهای روزمرهای هستند که ممکن است ارتباطی هم به مخاطرات فنی نداشته باشند. بنابراین لازم است فرهنگ امنیتی به این موضوع توجه کافی را داشته و آموزشهای لازم را برای پیشگیری از وقوع خطا یا تشخیص سریع آن به کارکنان ارایه کند.
10. اهمیت نقش مدیران
برای ایجاد فرهنگ امنیتی، مدیران ارشد سازمان ها باید به این درک برسند که امنیت سایبری یک فرصت برای کسب و کارشان است، نه یک چالش و مشکل فنی که فقط افراد متخصص باید آن را حل کنند.
مدیران میتوانند اهمیت امنیت سایبری را به شکل یک هدف راهبردی نشان دهند. تمام جوانب مدیریتی در ایجاد یک فرهنگ امنیتی مؤثر هستند. از جمله این جوانب می توان به بیان مفاهیم به صورت شفاف، آموزش با ارایه مثالهای مختلف و همچنین اهدای پاداش به رفتارهای درست اشاره کرد. مدیران میتوانند در زمینه امنیت سایبری هم مثل سایر حوزه های کسب و کاری باعث ایجاد تحول فرهنگی شوند.
منبع: securityintelligence