لزوم آگاهیبخشی امنیتی در سازمان
چگونگی ارتقا آگاهی امنیتی و پیروی از سیاستهای امنیتی در میان کارمندان
آگاهیبخشی امنیتی افراد درون سازمانها از دغدغه های مدیران و متخصصان امنیت می باشد. امروزه شاهد تلاشهای زیادی برای تعیین سیاستهای امنیت سایبری و امنیت IT هستیم؛ اما وضع مقررات امنیتی به تنهایی نمیتواند وجود امنیت در داخل یک سازمان را تضمین کند. سازمانهای مسئولیتپذیر از وظیفه خود در زمینه اطلاعرسانی درباره سیاستهای امنیتی به روشی جذاب برای کارمندان آگاه هستند. مدل سنتیای که در آن یک سمینار یا نشست سالانه در رابطه با امنیت برگزار میشد و تنها منبع آموزش کارمندان بود، ناکارآمد و غیرجذاب است.
برای این که بتوانید امنیت IT را در سازمان خودتان به نحو مؤثر ایجاد و تقویت کرده و آن را به تمامی کارمندان انتقال بدهید باید واقعا کارمندان را به سیاست خود و پیروی از آن جذب کنید. این امر با افزایش آگاهی بخشی موثر است.
وظیفه شما در این زمینه به سه رویکرد کلی تقسیم میشود که باید حین ایجاد استراتژیهای امنیتی آنها را در نظر بگیرید:
- سرویسهای مهم و حیاتی IT و سیاست امنیت IT خود را در برنامه پذیرش کارمندان جدید در نظر داشته باشید.
- سعی کنید از طریق بازی گونهسازی و سایر روشهای خلاقانه کارمندان را به سیاستهای امنیت IT جذب کنید.
- سیاستهای خود را بهروزرسانی کرده و دائما آنها را تمرین کنید. حوزه امنیت IT به طور مداوم در حال رشد و تکامل است بنابراین نیازهای سیاستی شما هم به همین ترتیب تغییر میکنند. بهترین روش برای همسو نگه داشتن کارمندان با این تغییرات، آموزش امنیتی منظم و تمرینهای عملی برای افزایش آگهی آنها است.
مشخص کردن اهمیت امنیت IT در برنامههای پذیرش کارمندان جدید
اگر اهمیت آگاهی از سیاستهای امنیت اطلاعات و سازگاری با آنها در فرایند ورود کارمندان جدید برای توابع و فرایندهای کمپانی شفافسازی شده باشد، این دیدگاه در کارمندان ایجاد میشود که امنیت سایبری و IT اهمیت مشابهی با سایر عملیات اساسی تجاری دارند.
در طراحی برنامه پذیرش کارمندان باید بخشهای مختلف سیاست امنیتی از جمله سیاستهای مربوط به دستگاهها، الزامات نرمافزاری، استانداردهای مربوط به پسورد، استفاده از شبکه و غیره در نظر گرفته شوند. علاوه بر مشخص کردن حوزه سیاست امنیتی، روشهایی را که کارمندان شما برای پیروی از این سیاستها و مطابقت با استانداردهای تعیین شده باید از آنها پیروی کنند مشخص کنید.
اگر بتوانید روشهای مورد انتظار برای حفظ امنیت IT را حین فرایند معرفی کارمندان جدید به کمپانی، مشخص کنید احتمال پیروی از این روشها توسط این کارمندان جدید با گذشت زمان بیشتر میشود.
انگیزههایی برای جذب کارمندان به سیاستهای امنیتی سازمان خود ایجاد کنید
قطعا از کارمندان انتظار میرود که به الزامات ذکر شده در سیاست سازمان پایبند باشند؛ اما نباید از رفتارهای خوب کارمندان در این زمینه چشمپوشی کرد.
با ایجاد انگیزههایی برای کارمندان میتوانید توجه و علاقه آنها را حفظ کرده و آگاهی و مشارکت آنها را در سیاستهای امنیت IT افزایش دهید. یکی از گرایشهایی که به تازگی در این زمینه مشاهده میشود، بازیگونهسازیِ آموزش امنیتی است که در این فرایند ویژگیها و امکانات رقابتی و محکزنی به سیاست امنیتی اضافه میشود.
برای مثال، میتوانید دانش کارمندان خود را در رابطه با سیاستهای امنیتی با انگیزههایی مرتبط به عملکردشان بررسی کنید. میتوان در چنین بررسیهایی سؤالاتی در رابطه با این که برای مثال وقتی کارمندان با یک ایمیل مشکوک روبهرو میشوند باید چه اقدامی انجام دهند یا چطور یک دستگاه جدید را در شبکه داخلی سازمان ثبت کنند، پرسیده شود. اگر کارمندی موفق شد به تمام سؤالات پاسخ صحیح بدهد، میتوان به او یک کارت هدیه برای صرف ناهار در یک رستوران یا کارت شرکت در یک قرعهکشی بزرگ را هدیه داد.
فرایند طراحی طرحهای بازی گونهسازی، نسبتا آسان است اما تغییر چشمگیری در میزان تعامل و جذب کارمندان به سیاستهای امنیت IT ایجاد میکند. قطعا هزینهای که شما صرف ایجاد انگیزه برای پیروی از سیاستهای امنیتی میکنید، با هزینه یک رخنه اطلاعاتی یا نقص عملکرد سیستمهای IT در اثر خطای ناخواسته یک کارمند، قابل مقایسه نیست.
آموزش را به صورت پایدار ادامه بدهید
آموزش دائم کارمندان در راستای افزایش آگاهیبخشی امنیتی آنها در رابطه با سیاستهای امنیتی از بهترین روشهای امنیتی است که در چشماندازهای امنیتی امروزی که رشد و تکامل سریعی هم دارند، بسیار حیاتی است.
فراهم کردن آموزشهای به روز در رابطه با خطرات امنیتی، بروز تغییرات در سیاستهای سازمان شما برای مقابله با این خطرات و وظایف کارمندان برای تطبیق با این سیاستهای جدید به حفظ آگاهی کارمندان از این سیاستها و پیروی از آنها کمک میکند.
اگر بتوانید تلاشهای آموزشی خود را به صورت شخصی طراحی کنید، احتمال پذیرش و پیروی از این سیاستها توسط کارمندان بهشدت افزایش پیدا میکند. قطعا اثرات آگاهی امنیتی پس از اتمام ساعات کاری به اتمام نمیرسد. با پیروی از یک رویکرد شخصی و یکپارچه برای برنامه آموزشی خود میتوانید فایروالهای انسانی قویای ایجاد کنید.
برای امنیت IT سرمایهگذاری کنید
همه روشهایی که برای آگاهیبخشی امنیتی به آنها اشاره کردیم – آموزش در بدو ورود، ایجاد انگیزه در کارمندان، بهروزرسانیهای مکرر و آموزش پایدار روشهای مؤثری برای تقویت امنیت IT از طریق کارمندان محسوب میشوند؛ اما تمامی این روشها مستلزم این هستند که کمپانی شما زمان و منابع لازم را صرف جذب و تعامل کارمندان و تلاش برای درک اهمیت امنیت در حفظ حیات کسبوکار شما کند.
قطعا این سرمایهگذاری ارزشمند خواهد بود. کارمندانی آگاه و آموزشدیده که از سیاستهای امنیتی پیروی کنند میتوانند با اجتناب از خطاهای امنیتی متداولی که بسیاری از کارمندان مرتکب میشوند، منجر به صرفهجویی زیادی در هزینههای سازمان شوند.