خبرمقالات

طرح آگاهی‌بخشی امنیت سایبری را چگونه در سازمان‌مان اجرا کنیم؟

اگرچه امنیت سایبری در سال‌های اخیر همواره رو به توسعه و گسترش بوده است اما متأسفانه سازمان‌ها معمولاً هیچ طرح و برنامه ویژه‌ای برای آگاهی‌بخشی امنیتی کارکنان خود نداشته یا اینکه تازه در شروع مسیر بهبود وضعیت فعلی‌شان هستند.

بر اساس آمار و نتایج تحقیقات انجام شده، مدیران ارشد فناوری اطلاعات معمولاً مجرمان سایبری را یکی از چالش‌های اصلی خود در زمینه امنیت سایبری می‌دانند. با این وجود همچنان بسیاری از مشاغل و کسب‌وکارها آگاهی چندان زیادی در خصوص امنیت سایبری ندارند؛ در حالی که برای ارتقای امنیت فناوری اطلاعات باید علاوه بر ارایه آموزش‌ها و آگاهی‌های لازم به کارمندان، همیشه آنها را به‌روز نگه داشت. بنا بر گزارش‌های ارایه شده فقط حدود ۵۰ درصد از مدیران ارشد امنیت اطلاعات آمادگی کامل جهت مواجه با نفوذهای اطلاعاتی و حملات سایبری را دارند.

بنابراین ایجاد آگاهی سایبری در سازمان‌ها نیاز به تلاش زیادی داشته و یک مسیر طولانی جهت امن‌سازی داده‌ها (به ویژه داده‌های مشتریان) در پیش روی مدیران و صاحبان کسب‌وکارها قرار دارد. با این وجود برای شروع حرکت در این مسیر ابتدا باید گام‌های کوچک را برداشت. همچنین نباید پایه‌ها و مقدمات که مهمترین عناصر برای متحول کردن فرهنگ امنیت سایبری سازمانی هستند را فراموش کرد. بعضی از اقدامات کوچک و اساسی که در همان ابتدا باید انجام شوند، شامل موارد زیر هستند:

  • پیش از انجام هرگونه اقدامی، یک شخص یا گروه باید مدیریت ایجاد طرح آگاهی‌بخشی و بهبود فرهنگ امنیت سایبری را بر عهده بگیرد.
  • برای انجام چنین کاری باید از سوی مدیریت سازمان به صورت کامل تحت حمایت و پشتیبانی قرار داشته باشد.
  • در این مسیر، کارمندان شما ممکن است بزرگترین شانس و دوست یا بزرگترین دشمن‌تان باشند.
  • برای انجام این کار باید ارتباطات بسیار زیادی را برقرار کنید.

پیش از پرداختن به موضوع اصلی، ابتدا مفهوم «آگاهی‌بخشی امنیت سایبری» و همچنین نحوه برخورد سازمان‌ها با این موضوع مهم را بررسی می‌کنیم.

 

مدیران سازمان‌ها و تیم‌های امنیتی معمولاً با هدف آشنایی کامل کارمندان با انواع تهدیدات و مخاطرات سایبری تصمیم به ایجاد طرح‌های آگاهی‌بخشی امنیت سایبری در سازمان می‌گیرند. در نهایت کارمندان باید از مهارت‌ها و دانش لازم برای پیشگیری از وقوع حملات سایبری برخوردار باشند. از این رو می‌بایست فرهنگی را در سازمان‌تان ایجاد کنید که افراد متوجه شوند رفتار و عملکرد آنها چگونه می‌تواند منجر به نفوذ اطلاعاتی شده یا از وقوع آن پیشگیری کنند.

شما باید در کنار سرمایه‌گذاری‌هایی که برای فراهم کردن فناوری‌ها و ابزارهای الزامی از جمله نصب و پیکربندی فایروال، خرید سامانه‌های جامع دفاعی و پیاده‌سازی راهکارهای پیشرفته فناوری اطلاعات انجام می‌دهید بودجه‌ای را نیز برای کنترل و نظارت بر روی امنیت، فرایندهای اجرایی آن و همچنین ارایه آموزش‌های لازم در حوزه امنیت به کارمندان در نظر بگیرید.

ایجاد ارتباطات و فراهم کردن بسترهای آموزشی مناسب از جمله اصول مهم برای افزایش آگاهی نسبت به امنیت سایبری در کارمندان هستند. کارکنان باید درک کنند که موضوع امنیت سایبری و حفظ آن دارای اولویت‌ بسیار زیادی بوده و رفتار این افراد تأثیر چشم‌گیری بر روی تلاش‌های سازمان در زمینه امنیت سایبری دارد. مدیران سازمان‌ها نیز باید به صورت پیوسته برنامه‌هایی را جهت به‌روز نگهداشتن دانش و تقویت مهارت‌های کارکنان خود در سازمان اجرا کنند.

اگرچه تهدیدات امنیت سایبری رو به افزایش هستند ولی متأسفانه آگاهی کارمندان در خصوص شناخت و نحوه مقابله با آنها همچنان بسیار محدود است. برای مثال امروزه در محیط‌های کاری بیشتر از همیشه از سرویس‌های آنلاین استفاده می‌شود در حالی که به ندرت به ایجاد یک فرهنگ امنیتی قوی جهت حفاظت از چنین سرویس‌هایی اهمیت داده شده است.

آگاهی از امنیت سایبری

آگاهی‌بخشی امنیت سایبری با استفاده از روش‌های سنتی

اگرچه ممکن است امنیت و آگاهی‌بخشی امنیت سایبری در اولویت باشند ولی اقدامات افراد همیشه لزوماً با چنین هدفی همخوانی ندارد. آگاهی‌بخشی امنیت سایبری معمولاً جزو وظایف یک فرد یا گروه بوده و جزو دغدغه‌های مدیران محسوب نمی‌شود؛ در نتیجه هیچ‌گونه پشتیبانی مالی و تخصیص بودجه هم برای آن در نظر گرفته نمی‌شود.

در چنین شرایطی هر از چندگاهی کارمندان آموزش‌هایی را در زمینه امنیت و آشنایی با انواع حملات سایبری می‌بینند. حتی ممکن است شخص یا تیم برگزارکننده این دوره‌های آموزشی مهارت‌های لازم جهت برقراری ارتباط مؤثر و انتقال مطلوب دانش امنیتی را به کارکنان سازمان نداشته باشد. به همین خاطر چنین دوره‌هایی که به صورت مستمر و توسط افراد کاربلد و ماهر برگزار نمی‌شوند تأثیر چندان زیادی بر روی افزایش مهارت‌های کارمندان و ایجاد آگاهی امنیتی در آنها ندارند.

 

آگاهی‌بخشی امنیت سایبری با استفاده از روش‌های مدرن

امروزه با گسترش حملات سایبری و شکل‌گیری تهدیدات جدید دیگر نمی‌توان از آگاهی‌بخشی امنیت سایبری غافل شد. همچنین موضوع رفع نواقص روش سنتی آگاهی‌بخشی باید جزو دستور کار سازمان شما قرار گیرد.

ایجاد امنیت به روش سنتی

در ادامه مطلب، به بررسی گام‌هایی می‌پردازیم که به ایجاد فرهنگ امنیت سایبری در بین کارمندان سازمان‌تان کمک می‌کنند.

جلب حمایت مدیران، مسئولیت‌پذیری و مشارکت همه کارمندان

آگاهی‌بخشی امنیتی یک فعالیت گروهی است. بنابراین در رابطه با این موضوع مانند سایر فعالیت‌های گروهی نمی‌توانید بدون جلب توجه و رضایت مدیران سازمان موفقیت لازم را کسب کرده و نتیجه دلخواه‌تان را به دست آورید. با توجه به این موضوع که حملات سایبری و نفوذهای امنیتی پیامدهای مخربی ایجاد کرده و خسارت‌های سنگینی را به سازمان وارد می‌کنند؛ امنیت سایبری باید جزو دغدغه‌های اصلی مدیران ارشد سازمان‌ها باشد.

پس از وقوع حمله معمولاً بلافاصله توجه مدیران نسبت به این موضوع جلب می‌شود در حالی که با آگاهی‌‌بخشی امنیتی و ایجاد مهارت‌های لازم در کارمندان جهت پیشگیری از وقوع حملات به راحتی می‌توان مانع از اجرای آنها شد. بنابراین بهتر است مدیران سازمان‌ها آگاهی‌بخشی نسبت به این موضوع را جزو دستور کار اصلی‌شان قرار دهند.

با داشتن یک رویکرد بالا به پایین علاوه بر جلب پشتیبانی کامل از سمت مدیریت، بودجه لازم برای برگزاری طرح آموزش امنیت سایبری را در اختیار خواهید داشت. لازم به ذکر است یکی از مهمترین موانع برای ایجاد یک فرهنگ امنیتی قوی و کارآمد، در اختیار نداشتن منابع کافی است.

مشارکت همه کارمندان در ایجاد امنیت در سازمان

پذیرش مسئولیت طرح آگاهی‌بخشی امنیت سایبری

بسیار مهم است که یک شخص یا گروه، مدیریت این طرح را بر عهده بگیرد. همچنین تفاوت اصلی که در بین روش سنتی و مدرن وجود دارد این است که در یک طرح آگاهی‌بخشی مدرن، جلب توجه کارمندان مهمترین کار شما است. در روش مدرن معمولاً بیشتر از آنچه که تصور می‌شود باید با کارمندان ارتباط برقرار کنید. شما باید مطمئن شوید کارمندان‌تان از تهدیدات و حملات احتمالی به خوبی آگاه بوده و دقیقاً می‌دانند که چه رفتاری را باید در مواجه با تهدیدات سایبری داشته باشند.

از آنجا که برقراری ارتباطات دائم بخش مهمی از طرح آگاهی‌بخشی امنیتی محسوب می‌شود و ممکن است سخت‌ترین و چالش‌برانگیزترین بخش کار هم باشد، این موضوع به تنهایی نیاز به یک مقاله مجزا دارد.

برنامه‌ریزی برای ارتقای آگاهی‌بخشی امنیتی در سازمان

پس از جلب حمایت و کسب پشتیبانی‌های لازم از سوی مدیران سازمان و همچنین تعیین مسئولیت‌ها و نقش‌ها باید شروع به کار بر روی طرح مدنظرتان کنید. طرح شما باید به این پرسش پاسخ دهد که برای ایجاد آگاهی امنیتی در سازمان چه کارهایی باید انجام شود؟ فراموش نکنید که سازمان‌ها با یکدیگر تفاوت دارند در نتیجه ممکن است رویکرد شما نسبت به آگاهی‌بخشی با آنچه که در سایر سازمان‌ها وجود دارد، متفاوت باشد.

ارایه آموزش‌های امنیتی به کارمندان در سازمان

ارزیابی وضعیت فعلی

این فرایند را با بررسی وضعیت فعلی سطح آگاهی امنیت سایبری در سازمان‌تان و بررسی موارد زیر شروع کنید:

  • وضعیت فعلی آگاهی‌بخشی امنیت سایبری در سازمان به چه صورت است؟
  • آیا تاکنون طرحی در این زمینه اجرا شده است؟ اگر «بله» باید به سؤالات زیر پاسخ دهید.
  • آیا شاخص‌های کلیدی عملکرد را ارزیابی کرده‌اید؟
  • آیا مستندات، سیاست‌ها یا رویه‌هایی را برای این کار تدوین نموده‌اید؟
  • آیا اقدامات قبلی شما به نتیجه لازم رسیده‌اند؟
  • آیا بازخوردهای کارمندان را جمع‌آوری کرده‌اید؟
  • آیا برنامه‌‌های آموزشی را در سازمان‌تان به صورت کامل اجرا کرده‌اید؟
  • آیا به کارمندان جدید درباره قوانین و الزامات امنیتی آموزش می‌دهید؟
  • آیا نیاز به ایجاد رویه‌ها و سیاست‌های جدید وجود دارد؟

بهتر است با طرف‌های مرتبط مختلف مصاحبه‌ای داشته باشید تا به یک درک کامل نسبت به وضعیت کنونی دست یابید. در ارزیابی‌های خودتان می‌توانید با استفاده از مدل بلوغ امنیت سایبری مشخص کنید که سازمان شما در حال حاضر در کدام مرحله قرار دارد و سپس برنامه‌ریزی کنید در یک سال آینده قرار است به کجا برسید.

تهیه بیانیه رسالت (بیانیه مأموریت)[۱]

داشتن یک بیانیه رسالت برای آگاهی‌بخشی امنیت سایبری به شما جهت دستیابی به هدف‌تان کمک زیادی می‌کند. با داشتن چنین طرحی کارمندان شما دلیل این تلاش‌ها و اینکه چگونه می‌توانند در امنیت اطلاعات سازمان مؤثر باشند را به خوبی درک خواهند کرد. همچنین می‌توانید اقدامات مهمی که جزو این طرح هستند را هم به صورت مختصر در این بیانیه اعلام کنید.

بیانیه رسالت باید به پرسش‌هایی از قبیل دلیل وجود طرح آگاهی‌بخشی امنیت سایبری و اینکه این طرح چه هدف کلی و چه سودی برای کارمندان و سازمان دارد، پاسخی شفاف بدهد.

برنامه‌ریزی برای انجام کارها

پس از آنکه پایه و اساس طرح آگاهی‌بخشی‌تان را مشخص کردید باید همه فعالیت‌هایی که قرار است جزوی از طرح آگاهی‌بخشی امنیت سایبری شما باشند را تعیین نمایید. این مرحله مستلزم انجام تحقیقات و برنامه‌ریزی‌های بسیار زیاد است. همچنین باید طرحی که پیاده‌سازی می‌کنید با نیازها و فرهنگ سازمان شما همخوانی لازم را داشته باشد. ابزارها و محصولات جدیدی را می‌توانید پیدا کنید که به شما در این مسیر کمک کنند.

تصمیم‌گیری درباره نحوه برنامه‌ریزی بر عهده خود شما است. برای مثال می‌توانید از یک سال قبل آماده شده و تقویمی از همه کارهایی که باید انجام شوند ایجاد کنید یا اینکه در ابتدا درباره تصویر کلی مدنظرتان برنامه‌ریزی کرده و سپس فعالیت‌های سه ماهه‌ای را جهت تحقق آن به صورت جداگانه در نظر بگیرید. همچنین بهتر است درباره طرح‌تان شفافیت لازم را داشته و در صورت امکان آن را در شبکه داخلی سازمان برای دسترسی همه افراد مرتبط قرار دهید.

برنامه‌ریزی برای اجرای اقدامات امنیتی

برنامه‌ریزی برای کارمندان جدید

افراد جدیدی که به سازمان شما ملحق می‌شوند را هرگز فراموش نکنید. این افراد باید از همان ابتدا در جریان باشند که آگاهی‌بخشی امنیت سایبری برای شما اهمیت ویژه‌ای دارد. بنابراین یک طرح جامع را ایجاد کرده و آن را در اختیار کارمندان تازه استخدام شده قرار دهید. در این صورت می‌توانید مطمئن شوید که این افراد به تلاش‌های شما متعهد خواهند بود.

ایجاد سیاست‌ها و رویه‌های لازم

اگرچه افراد معمولاً ارتباط خوبی با سیاست‌ها و رویه‌های امنیتی ندارند ولی نباید آنها را به فراموشی سپرده و اجرا نکنند. سعی کنید قوانین را به گونه‌ای تعریف کنید که تا حد امکان ساده و برای کارمندان قابل درک باشند. همچنین از تهیه مستندات طولانی که هیچ شخصی مایل به مطالعه آنها نیست، جداً خودداری کنید. همچنین به صورت منظم و مستمر درباره سیاست‌ها و رویه‌های امنیتی سازمان به کارمندان‌ یادآوری‌های لازم را کرده تا مطمئن شوید که همیشه در ذهن آنها باقی می‌مانند.

تعیین نحوه ارزیابی موفقیت طرح

از آنجا که آگاهی‌بخشی یک موضوع انتزاعی است ممکن است ارزیابی آن کمی برایتان چالش‌برانگیز باشد. یکی از مهمترین نشانه‌های موفق بودن طرح آگاهی‌بخشی امنیت سایبری، تغییر رفتار کارمندان است. آموزش‌های فیشینگ از جمله ابزارهای کاربردی برای بهبود رفتار کاربران در زمینه امنیت سایبری محسوب می‌شوند. همزمان با ارایه این آموزش‌ها به کارمندان باید تغییر رفتار آنها را نیز مورد بررسی قرار داد.

سازمان‌هایی که از نرم‌افزارهای شبیه‌سازی حملات فیشینگ استفاده می‌کنند، عملکرد بهتری داشته و به راحتی می‌توانند نتیجه تلاش‌های‌شان را ارزیابی کنند. بر اساس آمار و همچنین میزان حوادث و ایمیل‌های گزارش شده در زمینه فیشینگ در سازمان‌هایی که فاقد یک طرح مناسب برای آموزش امنیت سایبری هستند، میزان آگاهی افراد نسبت به فیشینگ فقط حدود ۴ درصد برآورد شده است. در حالی که با ارایه آموزش‌های غیرمداوم این رقم به ۲۵ درصد و با فراهم نمودن بسترهای آموزشی به صورت مرتب و خودکار، این رقم به حدود ۶۰ درصد افزایش پیدا می‌کند.

می‌توانید تعداد حوادثی که تغییرات رفتاری کارمندان مانع از وقوع آنها شده است را ارزیابی کنید. برای مثال میزان خسارت ناشی از نشت‌های اطلاعاتی و رخنه‌های امنیتی را اندازه‌گیری کرده و آن را در تعداد حوادثی که آموزش کارمندان مانع از وقوع آنها شده است، ضرب کنید. قطعاً به یک عدد بزرگ خواهید رسید. اگرچه امکان پیشگیری از تمام حملات سایبری وجود ندارد اما با داشتن یک طرح آموزشی اصولی می‌توان از بروز بسیاری از حوادث و رخدادهای ناگوار پیشگیری کرد.

همواره به این نکته توجه داشته باشید که سرمایه‌گذاری بر روی آگاهی‌بخشی امنیتی کارکنان نسبت به هزینه‌های ناشی از رخنه‌های امنیتی بسیار مقرون به صرفه‌تر است. همچنین می‌توانید با ایجاد یک نظرسنجی درباره آگاهی امنیتی، از افراد درباره میزان دانش یا دیدگاه‌شان نسبت به طرح آگاهی‌بخشی امنیت سایبری پرسش‌هایی را مطرح کرده و در صورت نیاز، اقدامات‌تان را بهبود ببخشید. در نهایت هم می‌توانید تعداد حوادث گزارش شده را بررسی و تحلیل کرده و از آنها برای ارزیابی میزان بهبود نرخ گزارش‌دهی نسبت به قبل استفاده کنید.

کارمندان، مهمترین عنصر طرح آگاهی‌بخشی امنیتی

امنیت سایبری فقط بر عهده یک شخص نیست و همه در ایجاد و حفظ آن نقش مؤثری دارند. بنابراین اگر می‌خواهید نتیجه دلخواه‌تان را به دست آورید کاملاً بدیهی و مسلم است که باید با کارمندان‌تان در تعامل کامل بوده و اطمینان یابید که آنها دلایل اهمیت اجرای طرح آگاهی‌بخشی امنیت اطلاعات را درک می‌کنند. همچنین از آنجا که کارمندان معمولاً اطلاعات‌شان را به اعضای خانواده، دوستان و جامعه نیز منتقل می‌کنند؛ بنابراین علاوه بر ایجاد یک محیط کاری امن و حفاظت از اطلاعات کسب‌وکارتان می‌توانید به حفظ امنیت کارمندان در منزل و زندگی شخصی‌شان هم کمک کنید.

آشنایی با شبکه‌های اجتماعی و پیام‌رسان‌های ارتباطی، استفاده صحیح و پسندیده از تجهیزات، استفاده از شبکه وای‌فای، وبگردی امن، آشنایی با ایمیل‌های فیشینگ، مهندسی اجتماعی، بدافزارها، تهدیدات و حملات سایبری از جمله مفاهیمی هستند که می‌بایست در طرح آگاهی‌بخشی امنیتی به کارمندان مدنظر قرار گیرند.

هرگز کارمندان را مجبور به شرکت در کلاس‌های آموزشی نکنید. به جای این کار بهتر است آموزش‌های تعاملی، جذاب و سریعی را ارایه داده تا خود کارمندان ترغیب به مشارکت و یادگیری شوند. باید به نکته توجه داشته باشید که ترویج دانش و رفتار سنجیده ممکن است کمی چالش‌برانگیز بوده و تولید محتوا توسط خودتان نیز به صرف هزینه و زمان بیشتری نیاز داشته باشد. بنابراین کارشناسان امنیتی توصیه می‌کنند برای انجام این کار از شرکت‌هایی که در زمینه آموزش و آگاهی‌بخشی امنیت سایبری تخصص کافی را دارند، کمک بگیرید.

همچنین با توجه به اینکه علت اصلی ۹۵ درصد از نفوذهای امنیتی و نشت‌های اطلاعاتی، ناشی از خطاهای انسانی هستند؛ پس بدون شک تا زمانی که از نقش افراد در دفاع از امنیت سایبری سازمان‌تان مطلع نباشید نمی‌توانید یک خط دفاعی انسانی متسحکم را تشکیل دهید.

اجرای طرح آگاهی‌بخشی

پس از سپری کردن مراحلی که در بالا به آنها اشاره شد اکنون نوبت به اجرای طرح آگاهی‌بخشی امنیت سایبری می‌رسد. کلید موفقیت، برقراری ارتباط و داشتن طرحی فراگیر، تعاملی و جذاب است که همه کارمندان مایل به مشارکت در انجام آن باشند.

همواره به کارمندان یادآوری کنید که هر فردی مسئول اقدامات خودش است. همچنین اگر قصد ایجاد انگیزه و هیجان مثبت برای طرح‌تان را دارید از تنبیه افرادی که مرتکب خطا یا لغزش سهوی می‌شوند، به شدت خودداری کنید. هدف اصلی شما باید کمک به کارمندان برای افزایش دانش و توسعه مهارت‌های آنها جهت مقابله با تهدیدات فضای مجازی و اینترنت باشد.

 

[۱] سندی که اهداف سازمان در آن بیان شده است.

 

منبع: hoxhunt

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 − هشت =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.