مقالاتخبر

آشنایی با عناصر یک فرهنگ امنیت سایبری کارا و اثربخش

تأمین امنیت اطلاعات، به اندازه سرمایه گذاری برای خرید فناوری‌های مناسب و اجرای درست سیاست‌های سازمانی اهمیت دارد. چنانچه کارمندان به لینک­‌هایی که بر روی آنها کلیک کرده یا اشخاصی که به آنها اعتماد می­ کنند، بی‌­توجه بوده و مدیران نیز اهمیت لازم را به سرمایه­‌گذاری در حوزه امنیت ندهند، سامانه­‌های دفاعی قادر نخواهند بود امنیت کامل را برای سازمان­‌ها فراهم کنند.

در این مطلب از فراست، به موضوع مهم فرهنگ امنیت سایبری می پردازیم که می تواند به سازمان ها در کاهش مخاطرات فنی و مدیریتی کمک به سزایی کند.

فرهنگ امنیتی چیست؟

فرهنگ امنیتی به مجموعه‌ای از ایده‌ها، عادت ها و رفتارهای اجتماعی گفته می‌شود که به کاربران کمک می ­کند همواره و در هنگام انجام فعالیت­‌های روزمره خود، تصمیم‌هایی بگیرند که به جای تهدید امنیت سایبری، باعث ارتقا و افزایش امنیت سازمان می‌شود. پایبندی به این اصول، امنیت را برای سازمان رقم می‌­زند.

از آنجا که بیان میزان اهمیت آگاهی بخشی امنیتی به صورت کلامی کار ساده­‌ای نیست بنابراین وجود یک فرهنگ امنیت سایبری غنی موجب می‌شود که کاربران به جای کلیک بر روی لینک‌های مشکوک ارسالی توسط ایمیل ها یا پیام ها آن را به مسئولان مربوطه گزارش دهند. در واقع آنها به جای عدم رعایت الزامات امنیتی سازمان، از آنها پیروی کرده و زمانی که نمی‌دانند دقیقاً چه کاری را باید انجام دهند و نیاز به کمک دارند، از کارمندان بخش فناوری اطلاعات و امنیت کمک می‌گیرند.

عموماً مدیران ارشد در هنگام اجرای یک پروژه، از همان ابتدا تیم امنیت را در آن مشارکت می‌دهند. مدیران کسب‌ و‌ کارها برخلاف یک طرز تفکر عمومی که کاهش هزینه‌های امنیتی سازمان را از نظر اقتصادی به نفع سازمان می داند؛ پس از کسب دانش و افزایش اطلاعات خود معمولاً تصمیم گیری های لازم را برای حفاظت از دارایی‌های اطلاعاتی سازمان می گیرند.

متأسفانه باید گفت که در سال های گذشته بر اساس گزارش فرهنگ امنیت سایبری، از هر ده سازمان فقط  یکی از آنها فرهنگ امنیتی مطلوب را دارد.

عنصر ده گانه فرهنگ امنیت سایبری

امروزه در تمام مشاغل و کسب و کارها به مباحث امنیتی اشاره می‌شود اما با این حال چگونه می ­توان از توجه تمام افراد به این موضوع و رعایت الزامات امنیتی مطمئن شد؟

به صورت کلی پاسخ سؤال بالا در آموزش، رهبری و اطلاع رسانی هوشمند قرار دارد. ده عنصر فرهنگ امنیتی کارآمد و اثربخش که می بایست مدیران سازمان ها توجه لازم را به آنها داشته باشند، شامل موارد زیر است:

۱. تعیین اهداف امنیتی

نخستین گام پیش از شروع آموزش های آگاهانه بخش امنیت سایبری، مشخص کردن و تعیین اهداف امنیتی است. برخلاف اهداف کوچکتر که کمی و قابل اندازه گیری می باشند؛ اهداف بزرگ، سطح بالا و کیفی هستند. این اهداف علاوه بر اینکه راهنما و الگویی برای تعیین اهداف کوچکتر هستند می‌توانند به عنوان عاملی نیز برای الهام بخشی و شروع بحث و گفتگو در نظر گرفته شوند.

برای اهداف کوچکتر که شامل پیروی از قوانین مربوطه، کاهش صدمات مالی، میزان قبولی کارمندان در آموزش های امنیتی، کاهش حوادث امنیتی و غیره هستند، اقدامات لازم برای دستیابی به اهداف بزرگتر در نظر گرفته می‌شود.

۲. سنجش میزان تحقق اهداف

این شعار حوزه کسب و کار و تجارت که «اگر نتوانید چیزی را اندازه گیری کنید، قادر به اصلاح و بهبود آن نیستید» برای ایجاد فرهنگی با اولویت دهی به امنیت هم صدق می‌کند. اهداف باید هم از نظر ویژگی‌های کمی و هم از نظر زمانی، قابل سنجش و اندازه گیری باشند. برای تمام اهداف باید یک زمان مشخصی را در نظر گفت تا هر سال، ارزیابی‌ها در آن تاریخ انجام شوند.

۳. میزان تکرار

معمولاً اجرای طرح‌های آموزش امنیت سایبری یا به آینده موکول می‌شود و هرگز هم انجام نمی‌شود یا اینکه در بازه های زمانی طولانی مدت مثلاً به صورت سالیانه اجرا می‌شوند. سعی کنید تعداد جلسات را بیشتر کرده و در هر جلسه نیز بر روی موضوعات متفاوتی که آموزه‌های امنیتی را در ذهن کارمندان ماندگارتر می­ کند، متمرکز شوید.

۴. شبیه سازی

یک روش کارآمد برای بیان واقعیت‌های امنیت سایبری، «شبیه­‌سازی حملات» است. انجام شبیه‌سازی‌ها از جمله بهترین ابزارها برای افزایش سطح آگاهی و دانش کارکنان محسوب می‌شود. مدیران سازمان­‌ها می‌توانند به منظور جلب مشارکت بیشتر کارمندان و ایجاد انگیزه در آنها رقابت های سالمی را هم در بین آنها ایجاد کنند.

۵. برقراری ارتباط

به جز تشکیل جلسات آموزشی، در پیام‌های آموزشی هم باید به خبرهای جدید امنیتی و یادآوری‌های لازم اشاره شود. این پیام‌ها باید مختصر و مفید، ساده و بدون هرگونه اصطلاحات فنی باشند.

۶. واژگان مورد استفاده

برای ایجاد یک فرهنگ امنیت سایبری پربار، ارتباطات اهمیت زیادی داشته و انتقال مفاهیم، نیازمند استفاده از کلمات درست و مناسب است. آموزش‌های امنیت سایبری، به خصوص برای حملات فیشینگ و مهندسی اجتماعی باید با تأکید بر زبان امنیت انجام شوند. کارمندان با یاد گرفتن این کلمات، آگاهی بیشتری را درباره مسایل فنی کسب می‌کنند.

۷. آموزش کارمندان جدید

آموزش و آگاهی بخشی امنیتی به کارمندان جدید باید یکی از اولویت‌های اصلی سازمان باشد. کارمندان جدید می بایست از همان ابتدا درک کنند که مشارکت در فرهنگ امنیت سایبری و رعایت تمام الزامات امنیتی سازمان، یکی از وظایف اصلی آنها است.

۸. توانمندسازی

توانمندسازی تمام کارمندان، بخشی از یک فرهنگ امنیت سایبری کارآمد است. این موضوع که هر کارمندی می‌تواند در تقویت یا تضعیف وضعیت امنیتی سازمان نقش مهمی داشته باشد باید در ذهن همه افراد ایجاد شود. کارمندان باید به‌ نحوی توانمند شوند که بتوانند در مواقع حیاتی، اقدامات مناسب را انجام دهند.

۹. پیشگیری از بروز خطا

بعضی از مشکلات امنیتی سازمان ها ناشی از خطاهای روزمره‌ای هستند که ممکن است ارتباطی هم به مخاطرات فنی نداشته باشند. بنابراین لازم است فرهنگ امنیتی به این موضوع توجه کافی را داشته و آموزش‌های لازم را برای پیشگیری از وقوع خطا یا تشخیص سریع آن به کارکنان ارایه کند.

۱۰. اهمیت نقش مدیران

برای ایجاد فرهنگ امنیتی، مدیران ارشد سازمان ها باید به این درک برسند که امنیت سایبری یک فرصت برای کسب‌ و کارشان است، نه یک چالش و مشکل فنی که فقط افراد متخصص باید آن را حل کنند.

مدیران می‌توانند اهمیت امنیت سایبری را به شکل یک هدف راهبردی نشان دهند. تمام جوانب مدیریتی در ایجاد یک فرهنگ امنیتی مؤثر هستند. از جمله این جوانب می توان به بیان مفاهیم به صورت شفاف، آموزش با ارایه مثال‌های مختلف و همچنین اهدای پاداش به رفتارهای درست اشاره کرد. مدیران می‌توانند در زمینه امنیت سایبری هم مثل سایر حوزه های کسب و کاری باعث ایجاد تحول فرهنگی شوند.

 

منبع: securityintelligence

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شانزده − ده =

دکمه بازگشت به بالا