چگونه یک طرح آگاهی‌بخشی امنیت سایبری برای سازمان‌مان بنویسیم؟

طرح‌های آموزش و آگاهی‌بخشی امنیت سایبری نقش بسیار مهمی در آگاه‌سازی کارمندان نسبت به ماهیت متغیر و چشم‌انداز پویای تهدیدات امنیتی و همچنین نقش هر یک از آنها در حفاظت از اطلاعات سازمان دارند. متأسفانه مدیران کسب‌وکارها و سازمان‌ها معمولاً توجه چندانی به اثربخشی این طرح‌ها نداشته و فقط یکسری برنامه‌های آموزشی روتین و تکراری را در سازمان‌شان برگزار می‌کنند. در حالی که آنها باید تیم‌های امنیتی سازمان‌های‌شان را ملزم به نوشتن طرح‌های آگاهی‌بخشی امنیت سایبری و اجرای این طرح‌ها کنند.

با توجه به عدم ایجاد طرح‌ها و برنامه‌های امنیتی جذاب کارمندان نیز تمایل زیادی برای مشارکت در برنامه‌های آموزشی موجود از خود نشان نمی‌دهند. برای مثال آنها ممکن است ملزم به شرکت در دوره‌های آموزشی آنلاینی شوند که هیچ ارتباطی با حوزه تخصص‌شان ندارد. از این رو ویدئوهای آموزشی را در تب‌های جدید مرورگر باز کرده و بلافاصله پس از پخش ویدئوها دوباره مشغول انجام کارهای خود می‌شوند.

دوره‌های آموزشی که در زمینه امنیت سایبری برگزار می‌شوند باید از جذابیت لازم برای تشویق و ترغیب کارمندان به منظور حضور مؤثر در کلاس‌ها برخوردار باشند. در غیر این صورت طرح‌های آموزشی با شکست مواجه شده و کارمندان هیچ دانشی را برای مقابله با حملات سایبری یا حفاظت از اطلاعات سازمانی کسب نخواهند کرد. در این صورت ممکن است حتی با وجود برگزاری دوره‌های آموزشی باز هم سازمان با خسارت‌های جبران‌ناپذیری مواجه شود. نوشتن طرح آگاهی‌بخشی امنیت سایبری و اجرای برنامه‌های امنیت سایبری جذاب علاوه بر افزایش آگاهی دانش امنیتی کارمندان منجر به افزایش اعتبار سازمان شده و از بروز خسارت‌های سنگین مالی نیز جلوگیری می‌کند.

چرا آموزش کارمندان در زمینه امنیت سایبری مهم است؟

کارمندان در صورت عدم آشنایی با تهدیدات امنیت سایبری، مخاطرات ناشی از آنها و همچنین نقش خود در راستای ایجاد و حفظ امنیت سازمانی ممکن است به صورت کاملاً غیرعمدی و با انجام اقدامات ناخواسته اصول امنیتی را نقض ‌کنند. در نتیجه مهاجمان به راحتی می‌توانند به حساب‌های کاربری آنها دسترسی یافته یا بر روی سیستم‌های‌شان بدافزارهای مدنظر خود را نصب کنند. نتیجه چنین اقدامی توسط هکرها منجر به بروز نشت‌های اطلاعاتی شده و خسارات ناگواری را به بار خواهد آورد.

بر اساس نتایج گزارش‌های منتشر شده، بیش از 80 درصد از حملات امنیتی در سال 2020 میلادی از نوع تهدیدات فیشینگ بوده‌اند. همچنین بنا بر نظرسنجی‌هایی که در این خصوص انجام شده است، فقط حدود 70 درصد از کارمندان توانایی شناسایی لینک‌ها و ایمیل‌های مخرب را دارند. بنابراین سازمان‌ها و تیم‌های امنیتی باید با نوشتن طرح‌های آگاهی‌بخشی امنیت سایبری جذاب و با برگزاری دوره‌های آموزشی و ارایه طرح‌های آگاهی‌بخشی، دانش امنیتی کارمندان خود را افزایش داده و آموزش‌های لازم را به آنها بدهند.

نحوه نوشتن طرح آگاهی‌بخشی امنیت سایبری برای سازمان‌ چگونه است؟

بدون شک هیچ سازمانی به دنبال ایجاد یک طرح آموزش و آگاهی‌بخشی ناکارآمد نیست. تمام سازمان‌ها مایل به جلب مشارکت کارمندان و آماده‌سازی آنها برای کار کردن به شیوه‌ای امن در چشم‌انداز تهدیدات سایبری امروزی هستند. با این وجود بسیاری از طرح‌ها و برنامه‌های آموزش امنیت سایبری با شکست مواجه می‌شوند.

در ادامه بعضی از مواردی که در دستیابی سازمان به اهداف طرح‌های آموزشی‌ و آگاهی‌بخشی‌تان و نوشتن طرح آگاهی‌بخشی امنیت سایبری کمک زیادی می‌کنند را مورد بررسی قرار می‌دهیم:

• جلب مشارکت کارمندان: اگر محتوای آموزشی شما به اندازه کافی جذاب نباشد، در ترغیب کارمندان به شرکت‌ و حضور در کلاس‌های آموزشی هرگز موفق نخواهید بود. یکسری از اقدامات که به شما در تولید محتوای جذاب آموزشی کمک می‌کنند، عبارتند از:
  1. بهتر است از نگاه کاربران و زاویه دید آنها مسائل را مورد بررسی قرار داده و به زبان آنها صحبت کنید. همچنین از به کارگیری اصطلاحات طنز غافل نشوید.
  2. ویدئوهای آموزشی پنج تا هفت دقیقه‌ای نسبت به فیلم‌های 45 دقیقه‌ای جذاب‌تر بوده و بهتر دقت مخاطب را به خود جلب می‌کنند. از این رو تلاش کنید که با استفاده از عکس‌ها، ویدئوها و آموزش‌های کوتاه دانش لازم را به مخاطبان‌تان ارایه دهید.

• به‌روزرسانی آموزش‌ها: سازمان‌ها باید مطالب و مفاهیم آموزشی را به صورت منظم به‌روزرسانی نموده و از ارایه مطالب قدیمی و خسته‌کننده جداً خودداری نمایند زیرا محیط‌های عملیاتی سازمان‌ها همواره در حال تغییر هستند. هکرها نیز همزمان در حال ابداع روش‌های جدید و ابزارهای پیچیده برای دستیابی به اهداف مخرب‌شان هستند. به همین خاطر آموزش‌ها باید به صورت پیوسته کامل‌تر شده و بر اساس آخرین تغییرات به‌روزرسانی شوند.
• استفاده از روش‌های آموزشی و آگاهی‌بخشی متنوع: روش یادگیری در هر فردی متفاوت است. باید سعی کنید از رویکردهای مختلف مثل برگزاری دوره‌های آموزشی آنلاین، ارسال خبرنامه‌های ایمیلی، انجام مکالمات کوتاه در جلسات گروهی، نمایش فیلم‌های آموزشی در هنگام صرف ناهار و غیره برای انتقال پیام‌های امنیتی استفاده کنید. با امتحان هر یک از این روش‌ها و ارزیابی تأثیرات آنها بر روی کارمندان می‌توانید رویکردهای کارآمد را حفظ نموده و همچنان از آنها برای ارایه آموزش‌های امنیتی استفاده نمایید.
• ارزیابی کارایی: برای ارزیابی میزان اثربخشی آموزش‌ها بر اساس اهداف آنها و آگاهی اعضای تیم، از ابزارهای خلاقانه و روش‌های کاربردی مثل شبیه‌سازی حملات فیشینگ استفاده کنید. امکان برگزاری شبیه‌سازی این حملات و انجام سایر حملات امنیتی از طریق شرکت‌های ارایه‌دهنده چنین خدماتی وجود دارد. همچنین بهتر است از طرح پرسش‌های کوتاه با پاسخ‌های واضح یا اینکه برگزاری آزمون‌های بسیار سخت خودداری کنید چرا که این سؤالات یا به اندازه‌ای ساده و راحت هستند که همگان می‌توانند به‌ راحتی و بدون حتی اندکی تفکر به آنها پاسخ دهند یا برعکس، بسیاری از کارمندان در آزمون رد خواهند شد.

همواره به این نکته مهم توجه داشته باشید که حتی طرح‌های آموزشی جذاب هم در صورت عدم تطبیق با نیازهای سازمان‌تان همچنان احتمال دارد با شکست مواجه شوند. بنابراین پیش از آماده‌سازی برنامه‌های آموزشی و ارایه طرح‌های آگاهی‌بخشی امنیتی، ابتدا باید به خوبی نیازهای سازمان‌تان را تشخیص داده و سپس بر اساس آنها آموزش‌های لازم را آماده و ارایه نمایید. در نوشتن طرح آگاهی‌بخشی امنیت سایبری لازم است به یاد داشته باشیم که تمامی طرح‌های آموزش و آگاهی‌بخشی باید شامل مفاهیم و مباحثی از قبیل حملات فیشینگ، مهندسی اجتماعی، نحوه انتخاب کلمات عبور پیچیده و منحصربه‌فرد، امنیت در شبکه‌های اجتماعی، امنیت پیام‌رسان‌های ارتباطی، امنیت ایمیل و سایر تهدیدات متداول سایبری باشند.

منبع: techtarget