طرحهای آموزش و آگاهیبخشی امنیت سایبری نقش بسیار مهمی در آگاهسازی کارمندان نسبت به ماهیت متغیر و چشمانداز پویای تهدیدات امنیتی و همچنین نقش هر یک از آنها در حفاظت از اطلاعات سازمان دارند. متأسفانه مدیران کسبوکارها و سازمانها معمولاً توجه چندانی به اثربخشی این طرحها نداشته و فقط یکسری برنامههای آموزشی روتین و تکراری را در سازمانشان برگزار میکنند. در حالی که آنها باید تیمهای امنیتی سازمانهایشان را ملزم به نوشتن طرحهای آگاهیبخشی امنیت سایبری و اجرای این طرحها کنند.
با توجه به عدم ایجاد طرحها و برنامههای امنیتی جذاب کارمندان نیز تمایل زیادی برای مشارکت در برنامههای آموزشی موجود از خود نشان نمیدهند. برای مثال آنها ممکن است ملزم به شرکت در دورههای آموزشی آنلاینی شوند که هیچ ارتباطی با حوزه تخصصشان ندارد. از این رو ویدئوهای آموزشی را در تبهای جدید مرورگر باز کرده و بلافاصله پس از پخش ویدئوها دوباره مشغول انجام کارهای خود میشوند.
دورههای آموزشی که در زمینه امنیت سایبری برگزار میشوند باید از جذابیت لازم برای تشویق و ترغیب کارمندان به منظور حضور مؤثر در کلاسها برخوردار باشند. در غیر این صورت طرحهای آموزشی با شکست مواجه شده و کارمندان هیچ دانشی را برای مقابله با حملات سایبری یا حفاظت از اطلاعات سازمانی کسب نخواهند کرد. در این صورت ممکن است حتی با وجود برگزاری دورههای آموزشی باز هم سازمان با خسارتهای جبرانناپذیری مواجه شود. نوشتن طرح آگاهیبخشی امنیت سایبری و اجرای برنامههای امنیت سایبری جذاب علاوه بر افزایش آگاهی دانش امنیتی کارمندان منجر به افزایش اعتبار سازمان شده و از بروز خسارتهای سنگین مالی نیز جلوگیری میکند.
چرا آموزش کارمندان در زمینه امنیت سایبری مهم است؟
کارمندان در صورت عدم آشنایی با تهدیدات امنیت سایبری، مخاطرات ناشی از آنها و همچنین نقش خود در راستای ایجاد و حفظ امنیت سازمانی ممکن است به صورت کاملاً غیرعمدی و با انجام اقدامات ناخواسته اصول امنیتی را نقض کنند. در نتیجه مهاجمان به راحتی میتوانند به حسابهای کاربری آنها دسترسی یافته یا بر روی سیستمهایشان بدافزارهای مدنظر خود را نصب کنند. نتیجه چنین اقدامی توسط هکرها منجر به بروز نشتهای اطلاعاتی شده و خسارات ناگواری را به بار خواهد آورد.
بر اساس نتایج گزارشهای منتشر شده، بیش از 80 درصد از حملات امنیتی در سال 2020 میلادی از نوع تهدیدات فیشینگ بودهاند. همچنین بنا بر نظرسنجیهایی که در این خصوص انجام شده است، فقط حدود 70 درصد از کارمندان توانایی شناسایی لینکها و ایمیلهای مخرب را دارند. بنابراین سازمانها و تیمهای امنیتی باید با نوشتن طرحهای آگاهیبخشی امنیت سایبری جذاب و با برگزاری دورههای آموزشی و ارایه طرحهای آگاهیبخشی، دانش امنیتی کارمندان خود را افزایش داده و آموزشهای لازم را به آنها بدهند.
نحوه نوشتن طرح آگاهیبخشی امنیت سایبری برای سازمان چگونه است؟
بدون شک هیچ سازمانی به دنبال ایجاد یک طرح آموزش و آگاهیبخشی ناکارآمد نیست. تمام سازمانها مایل به جلب مشارکت کارمندان و آمادهسازی آنها برای کار کردن به شیوهای امن در چشمانداز تهدیدات سایبری امروزی هستند. با این وجود بسیاری از طرحها و برنامههای آموزش امنیت سایبری با شکست مواجه میشوند.
در ادامه بعضی از مواردی که در دستیابی سازمان به اهداف طرحهای آموزشی و آگاهیبخشیتان و نوشتن طرح آگاهیبخشی امنیت سایبری کمک زیادی میکنند را مورد بررسی قرار میدهیم:
- جلب مشارکت کارمندان: اگر محتوای آموزشی شما به اندازه کافی جذاب نباشد، در ترغیب کارمندان به شرکت و حضور در کلاسهای آموزشی هرگز موفق نخواهید بود. یکسری از اقدامات که به شما در تولید محتوای جذاب آموزشی کمک میکنند، عبارتند از:
- بهتر است از نگاه کاربران و زاویه دید آنها مسائل را مورد بررسی قرار داده و به زبان آنها صحبت کنید. همچنین از به کارگیری اصطلاحات طنز غافل نشوید.
- ویدئوهای آموزشی پنج تا هفت دقیقهای نسبت به فیلمهای 45 دقیقهای جذابتر بوده و بهتر دقت مخاطب را به خود جلب میکنند. از این رو تلاش کنید که با استفاده از عکسها، ویدئوها و آموزشهای کوتاه دانش لازم را به مخاطبانتان ارایه دهید.
- بهروزرسانی آموزشها: سازمانها باید مطالب و مفاهیم آموزشی را به صورت منظم بهروزرسانی نموده و از ارایه مطالب قدیمی و خستهکننده جداً خودداری نمایند زیرا محیطهای عملیاتی سازمانها همواره در حال تغییر هستند. هکرها نیز همزمان در حال ابداع روشهای جدید و ابزارهای پیچیده برای دستیابی به اهداف مخربشان هستند. به همین خاطر آموزشها باید به صورت پیوسته کاملتر شده و بر اساس آخرین تغییرات بهروزرسانی شوند.
- استفاده از روشهای آموزشی و آگاهیبخشی متنوع: روش یادگیری در هر فردی متفاوت است. باید سعی کنید از رویکردهای مختلف مثل برگزاری دورههای آموزشی آنلاین، ارسال خبرنامههای ایمیلی، انجام مکالمات کوتاه در جلسات گروهی، نمایش فیلمهای آموزشی در هنگام صرف ناهار و غیره برای انتقال پیامهای امنیتی استفاده کنید. با امتحان هر یک از این روشها و ارزیابی تأثیرات آنها بر روی کارمندان میتوانید رویکردهای کارآمد را حفظ نموده و همچنان از آنها برای ارایه آموزشهای امنیتی استفاده نمایید.
- ارزیابی کارایی: برای ارزیابی میزان اثربخشی آموزشها بر اساس اهداف آنها و آگاهی اعضای تیم، از ابزارهای خلاقانه و روشهای کاربردی مثل شبیهسازی حملات فیشینگ استفاده کنید. امکان برگزاری شبیهسازی این حملات و انجام سایر حملات امنیتی از طریق شرکتهای ارایهدهنده چنین خدماتی وجود دارد. همچنین بهتر است از طرح پرسشهای کوتاه با پاسخهای واضح یا اینکه برگزاری آزمونهای بسیار سخت خودداری کنید چرا که این سؤالات یا به اندازهای ساده و راحت هستند که همگان میتوانند به راحتی و بدون حتی اندکی تفکر به آنها پاسخ دهند یا برعکس، بسیاری از کارمندان در آزمون رد خواهند شد.
همواره به این نکته مهم توجه داشته باشید که حتی طرحهای آموزشی جذاب هم در صورت عدم تطبیق با نیازهای سازمانتان همچنان احتمال دارد با شکست مواجه شوند. بنابراین پیش از آمادهسازی برنامههای آموزشی و ارایه طرحهای آگاهیبخشی امنیتی، ابتدا باید به خوبی نیازهای سازمانتان را تشخیص داده و سپس بر اساس آنها آموزشهای لازم را آماده و ارایه نمایید. در نوشتن طرح آگاهیبخشی امنیت سایبری لازم است به یاد داشته باشیم که تمامی طرحهای آموزش و آگاهیبخشی باید شامل مفاهیم و مباحثی از قبیل حملات فیشینگ، مهندسی اجتماعی، نحوه انتخاب کلمات عبور پیچیده و منحصربهفرد، امنیت در شبکههای اجتماعی، امنیت پیامرسانهای ارتباطی، امنیت ایمیل و سایر تهدیدات متداول سایبری باشند.
منبع: techtarget