ارزیابی، کنترل، پایش و سنجش اثربخشی جهت تغییر و جایگزینی روش های آموزشی و آگاهی بخشی
فراست چیست؟
آگاهی بخشی و ارتقای دانش منابع انسانی سازمانها، رسالت اصلی فراست است.
فراست، دپارتمانی تخصصی در حوزه آگاهی بخشی امنیت سایبری برای منابع انسانی سازمانها در کشور است که به عنوان بازوی اجرایی سازمان های دولتی و خصوصی و در کنار ساختار امنیت سایبری و دپارتمانهای مرتبط آنها به ایفای نقش موثر و کارآمد میپردازد.
برنامههای آگاهی بخشی امنیت سایبری بومی (فراست) ترکیبی از برنامههای آموزشی کاربردی و اثربخش است که با رعایت هارمونی در انتقال آموزههای مورد نظر به صورت یکپارچه به کار گرفته میشود.
ریسک سنجی و سنجش وضع موجود سازمانها در حوزه امنیت سایبری و آموزش مبتنی بر نقش منابع انسانی در جایگاه و با نقشهای مختلف، از جمله اقدامات فراست برای بهبود سطح امنیت سایبری در حوزه منابع انسانیاست.
این برنامه نوین، شالودهای از اسناد موسساتی همچون ISO، NIST،ISACA و نیز اسناد بالادستی همچون افتا و پدافند غیرعامل بوده که به ازاء هر سازمان، بومیسازی شده و به صورت کامل پیادهسازی میگردد.
دپارتمان فراست، با پشتوانه تجربهی ۱۵ سالهی شرکت پارس آوان،در ارائه خدمات مشاوره و تامین تجهیزات امنیت سایبری، به جهت رفع مشکلات و آسیبپذیریهای پیشگفته در حوزه منابع انسانی در بخش امنیت سایبری، ایجاد شده است. این دپارتمان وظیفهی برنامهریزی و اجرای برنامههای آگاهی بخشی امنیتی به همراهِ ارائه محتوا و پیامهای آموزشی به کلیه ردههای سازمانی را عهدهدار است.
برنامههای آگاهی بخشی امنیت سایبری بومی (فراست) ترکیبی از برنامههای آموزشی کاربردی و اثربخش است که با رعایت هارمونی در انتقال آموزههای مورد نظر به صورت یکپارچه به کار گرفته میشود.
ریسک سنجی و سنجش وضع موجود سازمانها در حوزه امنیت سایبری و آموزش مبتنی بر نقش منابع انسانی در جایگاه و با نقشهای مختلف، از جمله اقدامات فراست برای بهبود سطح امنیت سایبری در حوزه منابع انسانیاست.
این برنامه نوین، شالودهای از اسناد موسساتی همچون ISO، NIST،ISACA و نیز اسناد بالادستی همچون افتا و پدافند غیرعامل بوده که به ازاء هر سازمان، بومیسازی شده و به صورت کامل پیادهسازی میگردد.
دپارتمان فراست، با پشتوانه تجربهی ۱۵ سالهی شرکت پارس آوان،در ارائه خدمات مشاوره و تامین تجهیزات امنیت سایبری، به جهت رفع مشکلات و آسیبپذیریهای پیشگفته در حوزه منابع انسانی در بخش امنیت سایبری، ایجاد شده است. این دپارتمان وظیفهی برنامهریزی و اجرای برنامههای آگاهی بخشی امنیتی به همراهِ ارائه محتوا و پیامهای آموزشی به کلیه ردههای سازمانی را عهدهدار است.
ارتقا سطح دانش امنیت سایبری منابع انسانی
پیاده سازی دفاع در عمق در سازمانها
ایجاد لایه جدید امنیت سایبری
ایجاد سپر دفاعی در سطح منابع انسانی
کاهش صدمات و آسیب پذیری های ناشی از حملات سایبری جدید
ایجاد فرهنگ سایبری بومی
ارتقا سطح دانش زنجیره تامین کسب و کارهای مختلف
فراست را در یک نگاه ببینید، تا ضمن آگاهی با فرآیند اجرایی آن، ضرورت اجرایش را در سازمان ها بیشتر درک کنید.
تفاوت فراست با سازمان های مشاور یا دپارتمانهای درون سازمانی SAT
دپارتمان فراست، با تکیه بر تخصص نیروهای فنی فعال و پویا به صورت مستمر نسبت به شناسایی انواع آسیب های جدید سایبری و ارائه راهکارهای غلبه بر هر کدام فعالیت میکند و با تولید محتوا و ارائه برنامه های هشدار دهنده، برنامه ریزی و تعریف تاکتیکهای اثربخش و مناسب برای مقابله با بحرانهای امنیت سایبری در سطح منابع انسانی اقدام میکند.
مجری تمام برنامههای پیشنهادی و تدوینی فراست، کارشناسان این سازمان است و سازمانهای همکار میتوانند با تشکیل کمیته یا معرفی واحدی خاص نسبت به نظارت و کمک به تدوین برنامه ها اقدام کنند، در نتیجه، اجرا، پشتیبانی و پایش مستمر با کارشناسان دپارتمان فراست خواهدبود.
فراست با یکپارچگی در برنامه ریزی و اجرا، وجه تمایز خود را با دپارتمانهای موازی درونسازمانی و یا شرکتهای مشاور نشان میدهد.
مجری تمام برنامههای پیشنهادی و تدوینی فراست، کارشناسان این سازمان است و سازمانهای همکار میتوانند با تشکیل کمیته یا معرفی واحدی خاص نسبت به نظارت و کمک به تدوین برنامه ها اقدام کنند، در نتیجه، اجرا، پشتیبانی و پایش مستمر با کارشناسان دپارتمان فراست خواهدبود.
فراست با یکپارچگی در برنامه ریزی و اجرا، وجه تمایز خود را با دپارتمانهای موازی درونسازمانی و یا شرکتهای مشاور نشان میدهد.
گامهای متمایز و اجرایی فراست
- • پیاده سازی برنامه های آگاهی بخشی امنیت سایبری به صورت یک پلن جامع
- • پایش مستمر و ارزیابی به شیوههای مختلف جهت سنجش اثربخشی برنامهها
- • تغییر تاکتیک و روشها، بعد از سنجش و اریابی جهت بهبود رویه و کارآیی برنامهها
- • پیاده سازی و بازخورگیری از فرآیندهای اجرایی در هر مرحله
- • آسیب شناسی، ریسک سنجی و سنجش وضع موجود سازمان در حوزه امنیت سایبری
- • برنامه ریزی و تدوین نقشه جامع راه مبتنی بر فرهنگ بومی سازمان
- • تعریف ابزارهای نوین و اثربخش یادگیری و آموزش
- • تولید پیام و محتوای تخصصی و جذاب منطبق بر هر ابزار و روش آموزشی
- • تعریف شیوههای استاندارد و اثربخش انتقال پیام و انتشار محتوا در هر سطح
نحوه سنجش اثر بخشی
اجرای مانورهای پدافندی فرضی
اجرای انواع حملات پیش فرض موردی
برگزاری آزمونهای مثال محور و ملموس
اجرای بازی (گیمیفیکیشن) و تشویق و تنبیه پرسنل
استانداردهای بین المللی و اسناد بالادستی فراست
( مراجع برنامههای آگاهی بخشی امنیت سایبری)
آگاهی بخشی امنیت سایبری، از سرفصلهای آموزشی نظام جامع پدافند سایبری کشور است که احرای جامع ان توسط فراست، میتواند در تحقق اهداف سند راهبردی پدافند سایبری کشور، در سازمانها نقش بسزایی داشته باشد. با توجه به اینکه، آسیبپذیری امنیت سایبری در بخش منابع انسانی و کاربران در سالهای اخیر روند رو به رشدی داشته، تهاجمات و تهدیدهای سایبری با هدف قراردادن این لایه از سازمانها توانسته است بخش عظیمی از خواسته های خصمانه خود را محقق کند.
در صورتیکه اگر این لایه مهم از سازمان را توانمند نموده و آگاه سازی انجام شود، در مدیریت و کاهش تبعات ناشی از حملات و تهدیدهای سایبری موثر خواهیم بود.
اقدامات آگاهیبخشی در استانداردهای بین المللی بسیاری همچون ایزو ۲۷۰۰۱، استاندارد NIST 800-16 ،NIST 800-50، استاندارد موسسه اروپایی Enisa وجود دارد.
با توجه به اهمیت پیادهسازی استانداردهای امنیت شبکه، ایجاد سپر دفاعی در لایه نیروی انسانی امری لازم و مهم تلقی میشود، چراکه در همه این استانداردها به لزوم آگاهی بخشی امنیت سایبری اشاره شده است.
بی شک با توجه به حجم بالای حملات سایبری و آسیبپذیری در حوزه سرمایههای انسانی، نیاز به پیادهسازی آگاهیبخشی امنیت سایبری برای بسیاری از ارگانها محرض شده است و آن دسته از سازمانها و شرکتهای پیشرو و دانش محور که نسبت به اجرا و پیادهسازی این برنامهها گام برداشتهاند با استناد به همین اسناد بین المللی و اسناد بالادستی این مهم را اجرایی کردهاند. باید تاکید کرد که اجرای پلن کامل برنامههای فراست، فراتر از مندرجات و اسناد پیش گفته بوده لذا انتظار میرود با نگاهی متفاوت و دقیقتر فراست را بشناسید.
در صورتیکه اگر این لایه مهم از سازمان را توانمند نموده و آگاه سازی انجام شود، در مدیریت و کاهش تبعات ناشی از حملات و تهدیدهای سایبری موثر خواهیم بود.
اقدامات آگاهیبخشی در استانداردهای بین المللی بسیاری همچون ایزو ۲۷۰۰۱، استاندارد NIST 800-16 ،NIST 800-50، استاندارد موسسه اروپایی Enisa وجود دارد.
با توجه به اهمیت پیادهسازی استانداردهای امنیت شبکه، ایجاد سپر دفاعی در لایه نیروی انسانی امری لازم و مهم تلقی میشود، چراکه در همه این استانداردها به لزوم آگاهی بخشی امنیت سایبری اشاره شده است.
بی شک با توجه به حجم بالای حملات سایبری و آسیبپذیری در حوزه سرمایههای انسانی، نیاز به پیادهسازی آگاهیبخشی امنیت سایبری برای بسیاری از ارگانها محرض شده است و آن دسته از سازمانها و شرکتهای پیشرو و دانش محور که نسبت به اجرا و پیادهسازی این برنامهها گام برداشتهاند با استناد به همین اسناد بین المللی و اسناد بالادستی این مهم را اجرایی کردهاند. باید تاکید کرد که اجرای پلن کامل برنامههای فراست، فراتر از مندرجات و اسناد پیش گفته بوده لذا انتظار میرود با نگاهی متفاوت و دقیقتر فراست را بشناسید.
در زیر منابع و مراجع ملی و بین المللی مورد اشاره جهت مطالعه و کمک به درک اهمیت لزوم پیاده سازی فراست در سازمانها ارایه میگردد.
استانداردهای بین الملی
• استاندارد ایزو ۲۷۰۰۱
• استاندارد nist800-50
• استاندارد nist800-16
• استاندارد اروپایی ENISA
• استاندارد nist800-50
• استاندارد nist800-16
• استاندارد اروپایی ENISA
اسناد بالادستی
• سند راهبردی فضای تولید و تبادل اطلاعات کشور (پدافند سایبری)
• اساسنامه مرکز ملی فضای مجازی کشور
• آیین نامه نظام بانکداری الکترونیکی مصوب ۱۳۸۷
• اساسنامه مرکز ملی فضای مجازی کشور
• آیین نامه نظام بانکداری الکترونیکی مصوب ۱۳۸۷
چرا فراست؟
یکی از بزرگترین مخاطرههایی که در عصر جدید، امنیت اطلاعات را تهدید میکند، اغلب از درون سازمان یا شرکتها نشات میگیرد. آسیبپذیریهای داخلی یکی از خطرناکترین مخاطرات سایبری محسوب میشوند، چرا که عامل این تهدیدها افرادی هستند که از قبل با زیرساختهای شرکت آشنایی دارند.
این تهدیدها فقط به کارمندان ناراضی و جاسوسها مربوط نمیشوند، بلکه بیشتر مواقع منشا این آسیبپذیریهای سازمانی، کارمندان ناآگاهی هستند که قصد ایجاد مشکل ندارند و در دام روشهای مختلف حملات سایبری میافتند.
امروزه تمرکز مهاجمین بر کاربران ناآگاهی است که میتوانند با بازدید از سایتهای آلوده به بدافزار، پاسخ دادن به ایمیلهای فیشینگ، ذخیره اطلاعات ورود به حساب کاربری در یک محیط ناامن یا حتی ارایه اطلاعات حساس به مهندسین اجتماعی پشت خطوط تلفن، به شبکه و شرکت شما آسیبهای جبرانناپذیری وارد کنند. در پیاده سازی آگاهی بخشی امنیتی نیاز است طیف وسیعی از آسیبپذیریهای موجود در نظر گرفته شود.
در پیادهسازی آگاهی بخشی امنیت سایبری موارد بسیاری در سازمانها توسط کارشناسان ارزیابی میگردد تا ضعفهای عمومی هر سازمان مشخص شده و در گام بعد اقدامات اساسی در این حوزه، پیرامون موضوع مربوطه پیاده گردد.
بعضی از مهمترین نکات و بخشها در برنامه فراست که باید در برنامه فراست در نظر گرفته شوند، عبارتند از:
این تهدیدها فقط به کارمندان ناراضی و جاسوسها مربوط نمیشوند، بلکه بیشتر مواقع منشا این آسیبپذیریهای سازمانی، کارمندان ناآگاهی هستند که قصد ایجاد مشکل ندارند و در دام روشهای مختلف حملات سایبری میافتند.
امروزه تمرکز مهاجمین بر کاربران ناآگاهی است که میتوانند با بازدید از سایتهای آلوده به بدافزار، پاسخ دادن به ایمیلهای فیشینگ، ذخیره اطلاعات ورود به حساب کاربری در یک محیط ناامن یا حتی ارایه اطلاعات حساس به مهندسین اجتماعی پشت خطوط تلفن، به شبکه و شرکت شما آسیبهای جبرانناپذیری وارد کنند. در پیاده سازی آگاهی بخشی امنیتی نیاز است طیف وسیعی از آسیبپذیریهای موجود در نظر گرفته شود.
در پیادهسازی آگاهی بخشی امنیت سایبری موارد بسیاری در سازمانها توسط کارشناسان ارزیابی میگردد تا ضعفهای عمومی هر سازمان مشخص شده و در گام بعد اقدامات اساسی در این حوزه، پیرامون موضوع مربوطه پیاده گردد.
بعضی از مهمترین نکات و بخشها در برنامه فراست که باید در برنامه فراست در نظر گرفته شوند، عبارتند از:
امنیت رمز عبور
شبکههای بیسیم
امنیت فضای کار و میزکار
طبقهبندی و مدیریت دادهها
به اشتراکگذاری فایل و قوانین رونوشت برداری
بدافزار
پیامهای فریب آمیز
فیشینگ
بخشی از تهدیدات سایبری در حوزه منابع انسانی
فیشینگ
هنگام بحث و گفتگو درباره فیشینگ باید این اصطلاح و همچنین هدف آن به خوبی تشریح شود.
برای این بخش از آموزشهای امنیتی ارایه مثال و نمونه مهم است. لازم است بر اقدامهایی که باید از انجام آنها خودداری شود (مثل کلیک بر روی لینکهای داخل ایمیل، ارسال اطلاعات بانکی و رمز عبور از طریق ایمیل و غیره) تأکید شود تا افراد متوجه باشند که باید مراقب چه چیزهایی باشند. همچنین الزام کاربران به انجام آزمون Phishing IQ هم میتواند مفید باشد.
یکی از روشهای مهم ارایه شده توسط فراست اپلیکیشن سنجش هوش فیشینگ است. به این ترتیب میتوان نکات و نشانههایی که حاکی از یک حمله فیشینگ ایمیلی هستند را مشخص کرده و نمایش داد. یکی دیگر از موضوعهایی که باید به آن پرداخت، مبارزه با حملههای فیشینگ است.
چندین وب سایت، کاربران را تشویق به گزارش دادن و رهگیری وبسایتها و ایمیلهای جعلی میکنند. استفاده از مجموع روش های گفته شده و تحلیل نوع آسیبهای هر سازمان توسط دپارتمان فراست انجام میپذیرد.
برای این بخش از آموزشهای امنیتی ارایه مثال و نمونه مهم است. لازم است بر اقدامهایی که باید از انجام آنها خودداری شود (مثل کلیک بر روی لینکهای داخل ایمیل، ارسال اطلاعات بانکی و رمز عبور از طریق ایمیل و غیره) تأکید شود تا افراد متوجه باشند که باید مراقب چه چیزهایی باشند. همچنین الزام کاربران به انجام آزمون Phishing IQ هم میتواند مفید باشد.
یکی از روشهای مهم ارایه شده توسط فراست اپلیکیشن سنجش هوش فیشینگ است. به این ترتیب میتوان نکات و نشانههایی که حاکی از یک حمله فیشینگ ایمیلی هستند را مشخص کرده و نمایش داد. یکی دیگر از موضوعهایی که باید به آن پرداخت، مبارزه با حملههای فیشینگ است.
چندین وب سایت، کاربران را تشویق به گزارش دادن و رهگیری وبسایتها و ایمیلهای جعلی میکنند. استفاده از مجموع روش های گفته شده و تحلیل نوع آسیبهای هر سازمان توسط دپارتمان فراست انجام میپذیرد.
پیامهای فریب آمیز (Hoax)
در آموزشهای امنیتی باید به پیامهای فریب آمیز هم توجه داشت، زیرا خواندن و بازنشر این پیامها میتواند منجر به صرف زمان و منابع زیادی شود. همچنین در این بخش باید به انواع پیامهای فریب آمیز و نمونههای مختلف آن هم اشاره کرد. اشاره به پیامهای فریب آمیز پرکاربرد به آسانتر شدن هر چه بیشتر تشخیص این پیامها کمک میکند.
همچنین بهتر است مقایسهای بین ویروسها و این پیامهای فریب آمیز صورت بگیرد، زیرا این پیامها به صورت مکرر باز نشر میشوند. به علاوه، باید خطرات این پیامها به خوبی مورد بحث قرار بگیرد، زیرا برخی از آنها به کاربر هشدار میدهند که ویروسی در رایانه آنها پیدا شده و از آنها درخواست میکنند که بعضی از فایلهای سیستمی معتبر و گاهی مهم را حذف کنند.
همچنین باید پیشگیری از گسترش این پیامها نیز آموزش داده شود.
میتوان از انتشار این پیامها پیشگیری کرد پس بهتر است به کاربران گوشزد کرد اگر چیزی بدون مشکل و معتبر به نظر میرسد احتمالاً همینطور است و اگر چیزی مشکوک به نظر میرسد بهتر است آن را بررسی کنند.
همچنین بهتر است مقایسهای بین ویروسها و این پیامهای فریب آمیز صورت بگیرد، زیرا این پیامها به صورت مکرر باز نشر میشوند. به علاوه، باید خطرات این پیامها به خوبی مورد بحث قرار بگیرد، زیرا برخی از آنها به کاربر هشدار میدهند که ویروسی در رایانه آنها پیدا شده و از آنها درخواست میکنند که بعضی از فایلهای سیستمی معتبر و گاهی مهم را حذف کنند.
همچنین باید پیشگیری از گسترش این پیامها نیز آموزش داده شود.
میتوان از انتشار این پیامها پیشگیری کرد پس بهتر است به کاربران گوشزد کرد اگر چیزی بدون مشکل و معتبر به نظر میرسد احتمالاً همینطور است و اگر چیزی مشکوک به نظر میرسد بهتر است آن را بررسی کنند.
نشت اطلاعات
نشت اطلاعات از طریق ارائه اطلاعات کارمندان ناآگاه به صورت غیر مستقیم و یا حتی گم شدن فلش حاوی اطلاعات مالی یا مشتریان یک سازمان میتواند باشد.
عدم استفاده از رمز عبور امن یا در اختیار قرار دادن رمز عبور یا فلش کاری به افراد دیگر ، همگی می توانند زمینه ساز نشت و سواستفاده از اطلاعات باشد.
عدم استفاده از رمز عبور امن یا در اختیار قرار دادن رمز عبور یا فلش کاری به افراد دیگر ، همگی می توانند زمینه ساز نشت و سواستفاده از اطلاعات باشد.
سرقت اطلاعات
اگر روزی متوجه شوید که اطلاعات محرمانه سازمانتان به سرقت رفته و مورد سواستفاده قرار گرفته است، نه توسط هکرها بلکه توسط یکی از افراد سازمان، با یک کابوس مواجه خواهید شد، درست است؟
این یک ریسک و تهدید واقعی است که تمامی کارشناسان فنی تاکید و اعلام می کنند که سازمان ها باید مراقب خطر تهدیدات داخلی باشند.
فراست ضمن شناسایی آسیبهای امنیتی سازمانها، راهکارهای اثربخشی که مانع از بروز مشکلات فوق باشد را نیز ارائه میدهد و نسبت به پیاده سازی آن، راسا اقدام میکند.
این یک ریسک و تهدید واقعی است که تمامی کارشناسان فنی تاکید و اعلام می کنند که سازمان ها باید مراقب خطر تهدیدات داخلی باشند.
فراست ضمن شناسایی آسیبهای امنیتی سازمانها، راهکارهای اثربخشی که مانع از بروز مشکلات فوق باشد را نیز ارائه میدهد و نسبت به پیاده سازی آن، راسا اقدام میکند.
مهندسی اجتماعی
مهندسي اجتماعي، روشي غير فني براي شكستن امنيت سيستم يا شبكه است. فرآيند فریب كاربران يك سيستم و تحريك آنها براي دادن اطلاعاتي كه براي دور زدن مكانيزم هاي امنيتي استفاده مي شود را مهندسي اجتماعي گويند.
دانستن انواع روشهای مهندسي اجتماعي بسيار مهم است از آن جهت که هكر مي تواند از آن براي حمله به عنصر انساني سيستم استفاده كند. اين روش ميتواند براي جمع آوري اطلاعات قبل از حمله استفاده شود.
فراست با دانش تخصصی خود نسبت به شماساییی و ارائه راهکار برای مدیریت و مقابله با انواع مهندسی های اجتماعی اقدام نموده و با ارتقا دانش سایبری منابع انسانی و اموزش انواع روشهای مهندسی اجتماعی نسبت به کاهش خطرات و حملاتی از این دست اقدام خواهد نمود. گستره ی این حملات وسیع و پراکندگی آن بسیار است لذا هرگز نمیتوان با اکتفا به چند مورد خاص نسبت به مقابله با حملاتی از این دست مقاوم شد.
در نهایت، فراست میکوشد با بیان و تذکر پیامدهای قانونی به اشتراکگذاری و دانلود غیرقانونی فایل و نمونههای این چنینی، اقدامهای قانونی انجام شده علیه افرادی که این کار را انجام میدهند را نیز بازگو کند.
دانستن انواع روشهای مهندسي اجتماعي بسيار مهم است از آن جهت که هكر مي تواند از آن براي حمله به عنصر انساني سيستم استفاده كند. اين روش ميتواند براي جمع آوري اطلاعات قبل از حمله استفاده شود.
فراست با دانش تخصصی خود نسبت به شماساییی و ارائه راهکار برای مدیریت و مقابله با انواع مهندسی های اجتماعی اقدام نموده و با ارتقا دانش سایبری منابع انسانی و اموزش انواع روشهای مهندسی اجتماعی نسبت به کاهش خطرات و حملاتی از این دست اقدام خواهد نمود. گستره ی این حملات وسیع و پراکندگی آن بسیار است لذا هرگز نمیتوان با اکتفا به چند مورد خاص نسبت به مقابله با حملاتی از این دست مقاوم شد.
در نهایت، فراست میکوشد با بیان و تذکر پیامدهای قانونی به اشتراکگذاری و دانلود غیرقانونی فایل و نمونههای این چنینی، اقدامهای قانونی انجام شده علیه افرادی که این کار را انجام میدهند را نیز بازگو کند.
فارمینگ
فارمینگ، حمله هکری است که برای هدایت ترافیک یک وبسایت به سایتی دیگر انجام میشود.
در روش فارمینگ از آسیب پذیری های دی ان اس بهره برداری میشود به نحوی که تقاضای دی ان اس برای یک نام دامین، آی پی واقعی آن دامین تقاضا شده نبوده بلکه آی پی یک سایت تقلبی باشد و کاربران با کلیک بر روی لینک سایت تقلبی اطلاعات حساب یا رمز عبور و سایر اطلاعات کاربری خود را در اختیار هکرها قرار میدهند.
در روش فارمینگ از آسیب پذیری های دی ان اس بهره برداری میشود به نحوی که تقاضای دی ان اس برای یک نام دامین، آی پی واقعی آن دامین تقاضا شده نبوده بلکه آی پی یک سایت تقلبی باشد و کاربران با کلیک بر روی لینک سایت تقلبی اطلاعات حساب یا رمز عبور و سایر اطلاعات کاربری خود را در اختیار هکرها قرار میدهند.
جاسوسی و شنود مکالمات
یک میکروفون بسیار حساس در هر تلفن همراه وجود دارد که همواره قابلیت فعال شدن دارد. این میکروفون برای فعال شدن نیازی به برقراری تماس با گوشی، فعال شدن سیم کارت، و یا حتی روشن بودن تلفن همراه ندارد.
برخی گوشیهای تلفنهمراه برای تبادل صوت از الگوریتمهای رمزنگاری استفاده میکنند که این رمزنگاری برای هر کمپانی تولیدکننده گوشی متفاوت است. با توجه به اینکه تعداد شرکتهای سازنده محدود است، بنابراین امکان افشای الگوریتمهای رمزنگاری وجود دارد. فعال کردن انواعی از سیستمها، نیاز به نصب نرم افزار مربوطه بر روی تلفن همراه اشخاص دارد که به عنوان یک تجارت پرسود توسط برخی شرکتهای نرم افزاری انجام میگیرد.
ارسال و نصب برنامه فعالسازی میکروفون گوشی های تلفن همراه، ممکن است از طریق ارسال پیامک، بلوتوث و … انجام شود. در صورتی که فرد مهاجم بخواهد از روش ارسال پیامک برای نصب این نرم افزار مخفی استفاده نماید.
آگاهی نسبت به این موضوع که تنها با ارسال یک پیامک عمومی مانند تبریک سال نو به طیف وسیعی از مشترکان یک شهر و خواندن متن پیامک توسط مشترکان تلفن همراه، به فرد مهاجم در جایگذاری این جاسوس کوچک یاری میکنید از رسالتهای فراست است.
برخی گوشیهای تلفنهمراه برای تبادل صوت از الگوریتمهای رمزنگاری استفاده میکنند که این رمزنگاری برای هر کمپانی تولیدکننده گوشی متفاوت است. با توجه به اینکه تعداد شرکتهای سازنده محدود است، بنابراین امکان افشای الگوریتمهای رمزنگاری وجود دارد. فعال کردن انواعی از سیستمها، نیاز به نصب نرم افزار مربوطه بر روی تلفن همراه اشخاص دارد که به عنوان یک تجارت پرسود توسط برخی شرکتهای نرم افزاری انجام میگیرد.
ارسال و نصب برنامه فعالسازی میکروفون گوشی های تلفن همراه، ممکن است از طریق ارسال پیامک، بلوتوث و … انجام شود. در صورتی که فرد مهاجم بخواهد از روش ارسال پیامک برای نصب این نرم افزار مخفی استفاده نماید.
آگاهی نسبت به این موضوع که تنها با ارسال یک پیامک عمومی مانند تبریک سال نو به طیف وسیعی از مشترکان یک شهر و خواندن متن پیامک توسط مشترکان تلفن همراه، به فرد مهاجم در جایگذاری این جاسوس کوچک یاری میکنید از رسالتهای فراست است.
دیسکها و حافظه های به ظاهر معیوب
یکی از راههای دستیابی به اطلاعات، بازیابی دیسک و حافظه های معیوب است که به بهانه تعمیر آنها نسبت به بازیابی و بک آپگیری از اطلاعات اقدام میشود و کاربران و کارمندان در صورت عدم توجه به این موضوع میتوانند تهدید جدی را متوجه سازمان خود نمایند.
فراست میکوشد تا با شناخت گلوگاه های حساس و آسیبپذیر که بعضا جز کارهای معمول آنها میباشد نسبت به آگاهی بخشی در خصوص موارد فوق اقدام نماید.
فراست میکوشد تا با شناخت گلوگاه های حساس و آسیبپذیر که بعضا جز کارهای معمول آنها میباشد نسبت به آگاهی بخشی در خصوص موارد فوق اقدام نماید.
فریب پرسنل
یکی از شیوه های هک و دستیابی به اطلاعات سازمانی ایجاد شرایط اضطراری و در فشار قرار دادن کارمندان برای موضوعی خاص است.
ایجاد مشکل پیش فرض یا ساختگی و اجبار و بسترسازی برای برقراری با تماس قربانی که اغلب کارمندان هستند، مثل ارسال ویروس و هدایت به سایت آنتی ویروس و یا خود را کارمندان بخش آی تی یا فناوری اطلاعات معرفی کردن و…. از جمله اقدامات فریبکارانه برای دستیابی به اطلاعات کارکنان و پرسنل شرکت است.
هشدار و ارائه راهکارهای مقتضی و تعریف دستورالعمل های مربوط به نحوه مواجهه با مشکلات این چنینی از جمله کارهای عملیاتی دپارتمان فراست است.
ایجاد مشکل پیش فرض یا ساختگی و اجبار و بسترسازی برای برقراری با تماس قربانی که اغلب کارمندان هستند، مثل ارسال ویروس و هدایت به سایت آنتی ویروس و یا خود را کارمندان بخش آی تی یا فناوری اطلاعات معرفی کردن و…. از جمله اقدامات فریبکارانه برای دستیابی به اطلاعات کارکنان و پرسنل شرکت است.
هشدار و ارائه راهکارهای مقتضی و تعریف دستورالعمل های مربوط به نحوه مواجهه با مشکلات این چنینی از جمله کارهای عملیاتی دپارتمان فراست است.
مراحل اجرایی فراست
مرحله شناخت
شناسایی، بررسی، آسیب شناسی و ریسک سنجی سایبری سازمان ( ریسک سنجی)
مشاوره برنامه ریزی
مشاوره و تدوین نقشه جامع آگاهی بخشی، تولید محتوا و تعریف روش های آگاهی بخشی
تعریف پلن و تدوین نقشه جامع
تدوین برنامه زمانی، مکانی،محتوایی منطبق بر سلسله مراتب سازمانی و ریسک سنجی، تولید محتوا و تعریف روش های آگاهی بخشی
پیاده سازی
اجرا ،سازماندهی و پیادهسازی برنامه های تدوینی منطبق بر پلن
پایش و بازخورد
برخی از ابزارهای آگاهیبخشی امنیتی در فراست
یکی از بهترین راهها برای اطمینان از این که کارمندان شرکت مرتکب اشتباههای جبرانناپذیر نشوند، برگزاری برنامههایی برای آگاهی بخشی امنیتی در سطح شرکت است که برخی از این برنامهها در فراستف شامل موارد زیر است:
- برگزاری نشست و جلسات گروهی
- برگزاری کلاسهای حضوری یا مجازی
- طراحی وبسایت آگاهی بخشی امنیت سایبری
- نرم افزار موبایل فراست
- ارائه نکته و پیام های آموزشی و هشداری در قالب های مختلف
- آموزش تصویری شامل پوستر، استند و صفحه مانیتور کامیپوتر
- تنظیم و ارائه نکات و پیام های آموزشی و هشداری از طریق ایمیل و پیامک و شبکههای اجتماعی
- تدوین و انتشار گاهنامههای تخصصی هر صنعت
- برنامههای مالتی مدیا در غالب تهیه موشن و انیمیشن و گیمیفیکیشن
- برگزاری سمینار و همایشهای دورهای درون صنعتی
- تهیه فیلم، نصب و پخش از تلویزیون و فضاهای بصری موجود در سازمانها
- تدوین کتابچه و کتابهای صوتی دیجیتال و چاپی با همکاری کارشناسان و مدیران و کارمندان سازمانها
- برگزاری آزمونهای دورهای حضوری
- برگزاری آزمونهای دورهای غیرحضوری
- برگزاری برنامه های پدافندی فرضی
و بسیاری از موارد دیگر که میتوانند در بهبود امنیت سایبری سازمانها و دانش نیروی انسانی آنها موثر بوده و پیادهسازی رویهها و سیاستهای امنیتی را تسهیل نمایند.
یکی از بهترین راهها برای اطمینان از این که کارمندان شرکت مرتکب اشتباههای جبرانناپذیر نشوند،
برگزاری برنامههایی برای آگاهی بخشی امنیتی در سطح شرکت است که برخی از این برنامهها در فراستف شامل موارد زیر است:
• برگزاری نشست و جلسات گروهی
• طراحی وبسایت آگاهی بخشی امنیت سایبری
• نرم افزار موبایل فراست
• تدوین و انتشار گاهنامههای تخصصی هر صنعت
• آموزش تصویری شامل پوستر، استند و صفحه مانیتور کامیپوتر
• برنامههای مالتی مدیا در غالب تهیه موشن و انیمیشن و گیمیفیکیشن
• تنظیم و ارائه نکات و پیام های آموزشی و هشداری از طریق ایمیل و پیامک و شبکههای اجتماعی
• تدوین کتابچه و کتابهای صوتی دیجیتال و چاپی با همکاری کارشناسان و مدیران و کارمندان سازمانها
• برگزاری کلاسهای حضوری یا مجازی
• برگزاری سمینار و همایشهای دورهای درون صنعتی
• برگزاری آزمونهای دورهای حضوری
• برگزاری آزمونهای دورهای غیرحضوری
• برگزاری برنامه های پدافندی فرضی
• ارائه نکته و پیام های آموزشی و هشداری در قالب های مختلف
• تهیه فیلم، نصب و پخش از تلویزیون و فضاهای بصری موجود در سازمانها و بسیاری از موارد دیگر که میتوانند در بهبود امنیت سایبری سازمانها و دانش نیروی انسانی آنها موثر بوده و پیادهسازی رویهها و سیاستهای امنیتی را تسهیل نمایند.
• برگزاری نشست و جلسات گروهی
• طراحی وبسایت آگاهی بخشی امنیت سایبری
• نرم افزار موبایل فراست
• تدوین و انتشار گاهنامههای تخصصی هر صنعت
• آموزش تصویری شامل پوستر، استند و صفحه مانیتور کامیپوتر
• برنامههای مالتی مدیا در غالب تهیه موشن و انیمیشن و گیمیفیکیشن
• تنظیم و ارائه نکات و پیام های آموزشی و هشداری از طریق ایمیل و پیامک و شبکههای اجتماعی
• تدوین کتابچه و کتابهای صوتی دیجیتال و چاپی با همکاری کارشناسان و مدیران و کارمندان سازمانها
• برگزاری کلاسهای حضوری یا مجازی
• برگزاری سمینار و همایشهای دورهای درون صنعتی
• برگزاری آزمونهای دورهای حضوری
• برگزاری آزمونهای دورهای غیرحضوری
• برگزاری برنامه های پدافندی فرضی
• ارائه نکته و پیام های آموزشی و هشداری در قالب های مختلف
• تهیه فیلم، نصب و پخش از تلویزیون و فضاهای بصری موجود در سازمانها و بسیاری از موارد دیگر که میتوانند در بهبود امنیت سایبری سازمانها و دانش نیروی انسانی آنها موثر بوده و پیادهسازی رویهها و سیاستهای امنیتی را تسهیل نمایند.
مشاوره و برنامه ریزی
یکی از اهداف عمده فراست در طول ارایه خدمات، مشاوره است و در این مدت مشاورههای متعددی صورت خواهد گرفت. برای شروع فرایند آگاهیبخشی، در گام نخست باید ارزیابی اولیه توسط مهندسین و مدرسین فراست صورت گیرد.
این ارزیابی بر اساس نوع سازمان و نوع کار، تجزیه و تحلیل خواهد شد. با تجزیه و تحلیل این ارزیابی، تهدیدهای امنیتی محتمل پرخطر سازمان های مختلف و آسیبپذیریهای مربوط به کارکنان داخلی این سازمان مشخص خواهد شد.
آموزشها بر اساس ساختار و دانش پرسنل برنامه ریزی میشود.
از طریق ارزیابی اولیه، چالشها و نیازها مشخص شده و در گام بعد، با همکاری نماینده سازمان و همکاران شرکت فراست برنامه پیادهسازی آموزشهای آگاهیبخشی به صورت مدون و زمانبندی تهیه و تنظیم خواهد شد.
براساس تحقیقاتی که توسط کارشناسان فراست انجام شده است، پیاده سازی یک روش منحصربفرد آگاهیبخشی امنیتی و ارایه آن به تمام اصناف، سبب دلزدگی کارکنان خواهد شد و اثربخشی کار را کاهش میدهد چراکه دانش و نوع کار هر صنف با دیگری متفاوت است، همانطور که تهدید هر صنف متفاوت با تهدید صنف دیگر است.
نتایج کلیه ارزیابیها، در تهیه نقشه راه که توسط کارشناسان فراست صورت میگیرد، مفید و ارزنده خواهد بود. همچنین طول مدت قرارداد آموزشهای آگاهیبخشی امنیت سایبری، ارتباط مستقیم با نتایج ارزیابی اولیه دارد و برای اثربخشی آن نباید کیفیت را فدای زمان کرد.
چرا که در طول مدت قراراداد و حرکت بر روی زمانبندی تعیین شده و تغییرات جزئی بر اساس نیاز و چالش هر زمان، گامهایمان را مستحکم میکند و اثر بهتری از راندمان موفق اجرایی را خواهیم داشت.
علاوه بر لیست خدمات ذکر شده در صفحه قبل، سازمانهای مختلف خدمات تکمیلی دیگری نیز نیاز خواهند داشت که در پروپوزال تکمیلی تهیه خواهد شد.
این ارزیابی بر اساس نوع سازمان و نوع کار، تجزیه و تحلیل خواهد شد. با تجزیه و تحلیل این ارزیابی، تهدیدهای امنیتی محتمل پرخطر سازمان های مختلف و آسیبپذیریهای مربوط به کارکنان داخلی این سازمان مشخص خواهد شد.
آموزشها بر اساس ساختار و دانش پرسنل برنامه ریزی میشود.
از طریق ارزیابی اولیه، چالشها و نیازها مشخص شده و در گام بعد، با همکاری نماینده سازمان و همکاران شرکت فراست برنامه پیادهسازی آموزشهای آگاهیبخشی به صورت مدون و زمانبندی تهیه و تنظیم خواهد شد.
براساس تحقیقاتی که توسط کارشناسان فراست انجام شده است، پیاده سازی یک روش منحصربفرد آگاهیبخشی امنیتی و ارایه آن به تمام اصناف، سبب دلزدگی کارکنان خواهد شد و اثربخشی کار را کاهش میدهد چراکه دانش و نوع کار هر صنف با دیگری متفاوت است، همانطور که تهدید هر صنف متفاوت با تهدید صنف دیگر است.
نتایج کلیه ارزیابیها، در تهیه نقشه راه که توسط کارشناسان فراست صورت میگیرد، مفید و ارزنده خواهد بود. همچنین طول مدت قرارداد آموزشهای آگاهیبخشی امنیت سایبری، ارتباط مستقیم با نتایج ارزیابی اولیه دارد و برای اثربخشی آن نباید کیفیت را فدای زمان کرد.
چرا که در طول مدت قراراداد و حرکت بر روی زمانبندی تعیین شده و تغییرات جزئی بر اساس نیاز و چالش هر زمان، گامهایمان را مستحکم میکند و اثر بهتری از راندمان موفق اجرایی را خواهیم داشت.
علاوه بر لیست خدمات ذکر شده در صفحه قبل، سازمانهای مختلف خدمات تکمیلی دیگری نیز نیاز خواهند داشت که در پروپوزال تکمیلی تهیه خواهد شد.
دورههای آموزشی و سمینارها
فراست برای بهینهتر کردن خدمات آموزشی خود، دورههای آموزشی حضوری، سمینار و وبینار را نیز ارایه میکند.
تعداد این دورهها بر اساس نوع سازمان و تعداد پرسنل متفاوت خواهد بود، به طور کلی، برخی از آموختهها جنبه عمومی دارد و همگان باید از آن موارد بهره گیرند. نکات مهمی نظیر چگونگی ساخت رمز عبور قدرتمند، روشهای جلوگیری از مهندسی اجتماعی و موارد مشابه برای همه افراد سازمان مهم میباشد، اما در برخی موارد دیگر، آموختهها، بر اساس سلسله بندی طبقات سازمانی تهیه میشود که با توجه به گستردگی سازمان های مختلف این آموزشها میتواند به صورت آنلاین یا آفلاین ارایه گردد.
آموزش امنیت سایبری، برای مدیران عالی رتبه، آموزشهای امنیتی برای پرسنل فناوری اطلاعات و آموزشهای امنیت سایبری برای کارمندان بخشهای متفاوت، به صورت مجزا سفارشیسازی میشود.
کارشناسان دپارتمان فراست پس از آنالیز، مخاطرات و نیازهای سازمان، آموزشهای تکمیلی را پیشنهاد خواهند داد، این امر در پروپوزال دوم به طور مبسوط به نماینده سازمان ارایه خواهد شد.
در صورت نیاز سازمان، این آموزشها میتواند به صورت سمینارهای یک یا دو روزه ارایه گردد تا آموختههای غنی را به قشر متناسب با آن سمینار ارایه داد. کلیه دورهها با کیفیت مناسب، ذخیرهسازی و مونتاژ شده و رویسیدی ذخیره میشود و در اختیار سازمان قرار میگیرد.
سپس در تمام بخشهای فیلم، نام و لوگوی سازمان های مختلف تعبیه میشود تا در صورت لزوم این دوره را بتوان در اختیار کارمندان جدیدالورود و یا کارمندانی که در ماموریت هستند قرار داد. روش دیگر ایجاد محتوای آفلاین مختص همان سازمان است. برخی از دورهها پیرامون آگاهیبخشی امنیتی ذکر گردیده است، شایان ذکر است دورههای تخصصی و سفارشی برای سازمان های مختلف قابل تعریف و اجرا میباشد.
تعداد این دورهها بر اساس نوع سازمان و تعداد پرسنل متفاوت خواهد بود، به طور کلی، برخی از آموختهها جنبه عمومی دارد و همگان باید از آن موارد بهره گیرند. نکات مهمی نظیر چگونگی ساخت رمز عبور قدرتمند، روشهای جلوگیری از مهندسی اجتماعی و موارد مشابه برای همه افراد سازمان مهم میباشد، اما در برخی موارد دیگر، آموختهها، بر اساس سلسله بندی طبقات سازمانی تهیه میشود که با توجه به گستردگی سازمان های مختلف این آموزشها میتواند به صورت آنلاین یا آفلاین ارایه گردد.
آموزش امنیت سایبری، برای مدیران عالی رتبه، آموزشهای امنیتی برای پرسنل فناوری اطلاعات و آموزشهای امنیت سایبری برای کارمندان بخشهای متفاوت، به صورت مجزا سفارشیسازی میشود.
کارشناسان دپارتمان فراست پس از آنالیز، مخاطرات و نیازهای سازمان، آموزشهای تکمیلی را پیشنهاد خواهند داد، این امر در پروپوزال دوم به طور مبسوط به نماینده سازمان ارایه خواهد شد.
در صورت نیاز سازمان، این آموزشها میتواند به صورت سمینارهای یک یا دو روزه ارایه گردد تا آموختههای غنی را به قشر متناسب با آن سمینار ارایه داد. کلیه دورهها با کیفیت مناسب، ذخیرهسازی و مونتاژ شده و رویسیدی ذخیره میشود و در اختیار سازمان قرار میگیرد.
سپس در تمام بخشهای فیلم، نام و لوگوی سازمان های مختلف تعبیه میشود تا در صورت لزوم این دوره را بتوان در اختیار کارمندان جدیدالورود و یا کارمندانی که در ماموریت هستند قرار داد. روش دیگر ایجاد محتوای آفلاین مختص همان سازمان است. برخی از دورهها پیرامون آگاهیبخشی امنیتی ذکر گردیده است، شایان ذکر است دورههای تخصصی و سفارشی برای سازمان های مختلف قابل تعریف و اجرا میباشد.
آگاهیبخشی امنیت سایبر به سبک کلاس درس سنتی! بلی یا خیر؟
استفاده از محیط کلاس درس برای آموزش مباحث امنیتی مزایایی از جمله تعاملیتر شدن آموزش و امکان پاسخ مدرس به پرسشهای فراگیران را در همان لحظه دارد.
میتوان پس از ارایه مطالب، زمانی را به پرسش و پاسخ اختصاص داد و اطلاعات تماس مدرس و یا دپارتمان مسئول را برای پاسخ به سوالات در اختیار شرکتکنندگان و کارمندان قرار داد تا در صورت بروز سوال و پرسش در آینده بتوانند از طریق این راه های ارتباطی، پاسخ پرسش خود را بیابند اما از انجا که در آگاهیبخشی امنیت سایبری به روش فراست، باید با عمق ذهن مخاطبان، ارتباط برقرار نمود،نیاز است در پیادهسازی آن، محصولات و روشهای مختلفی تدوین و مدنظر قرار گیرد که با تجه به فرهنگ هر سازمان و پرسنل و دپارتمانهای ان متفاوت خواهد بود.
همانطور که پیشتر ذکر شد یکی از گامهای موثر ارایه دورههای امنیتی، آموزش حضوری است. فراست علاوه بر ارایه و برگزاری دورههای متنوع در زمینه آگاهیبخشی، دورههای آموزشی آنلاین مبتنی بر وب را نیز ارایه میکند تا در صورت گستردگی محدوده جغرافیایی بتوان کلاسهای آنلاین را برای همه همکاران در سطح ایران فراهم نمود.
میتوان پس از ارایه مطالب، زمانی را به پرسش و پاسخ اختصاص داد و اطلاعات تماس مدرس و یا دپارتمان مسئول را برای پاسخ به سوالات در اختیار شرکتکنندگان و کارمندان قرار داد تا در صورت بروز سوال و پرسش در آینده بتوانند از طریق این راه های ارتباطی، پاسخ پرسش خود را بیابند اما از انجا که در آگاهیبخشی امنیت سایبری به روش فراست، باید با عمق ذهن مخاطبان، ارتباط برقرار نمود،نیاز است در پیادهسازی آن، محصولات و روشهای مختلفی تدوین و مدنظر قرار گیرد که با تجه به فرهنگ هر سازمان و پرسنل و دپارتمانهای ان متفاوت خواهد بود.
همانطور که پیشتر ذکر شد یکی از گامهای موثر ارایه دورههای امنیتی، آموزش حضوری است. فراست علاوه بر ارایه و برگزاری دورههای متنوع در زمینه آگاهیبخشی، دورههای آموزشی آنلاین مبتنی بر وب را نیز ارایه میکند تا در صورت گستردگی محدوده جغرافیایی بتوان کلاسهای آنلاین را برای همه همکاران در سطح ایران فراهم نمود.
آموزش مجازی
یکی دیگر از راهکارهای دورههای آموزشی ارایه محتوای آفلاین است. محتوای آفلاین به فراخور سازمان و بر اساس نیازهای آن تهیه خواهد شد. این دوره محتوایی مبتنی بر وب دارد و در این روش از انواع روشهای مختلف مثل بازیهای شبیهسازی شده و نقشآفرینی فراگیران استفاده میشود تا تعاملات در کلاس از حالت یکطرفه بودن خارج شده و بیشتر حالت گفت و شنودی پیدا کند.
در پیادهسازی آگاهیبخشی برای سازمانها، به سبک ارایه آموزش از این طریق هیچ محدودیتی وجود ندارد و نوع آموزش بر اساس نیاز سازمان انتخاب و نوع محتوا بر اساس ردههای سازمان و نوع دپارتمانها سفارشیسازی میشود.
مدت زمان ارایه این آموزشها هم میتواند بسیار متنوع باشد. مدت زمان آموزش بستگی به اثربخشی و گستردگی مطالب مورد بحث دارد. به بیان دیگر، مدت زمان این آموزشها ارتباط مستقیمی با نوع شرکتکنندگان، محتوای مربوطه و گستردگی جغرافیایی سازمان و منطقه جغرافیایی شرکت دارد.
کارشناسان آموزش شرکت با استفاده از دانش مدیریت آموزشی خود تجزیه و تحلیل ساعت مورد نیاز را بر اساس پارامترهای ذکر شده ارزیابی می کنندو در نهایت، مدت زمان مورد نیاز و مدت زمان اجرای برنامه در سازمان مربوطه ارایه خواهد شد.
در پیادهسازی آگاهیبخشی برای سازمانها، به سبک ارایه آموزش از این طریق هیچ محدودیتی وجود ندارد و نوع آموزش بر اساس نیاز سازمان انتخاب و نوع محتوا بر اساس ردههای سازمان و نوع دپارتمانها سفارشیسازی میشود.
مدت زمان ارایه این آموزشها هم میتواند بسیار متنوع باشد. مدت زمان آموزش بستگی به اثربخشی و گستردگی مطالب مورد بحث دارد. به بیان دیگر، مدت زمان این آموزشها ارتباط مستقیمی با نوع شرکتکنندگان، محتوای مربوطه و گستردگی جغرافیایی سازمان و منطقه جغرافیایی شرکت دارد.
کارشناسان آموزش شرکت با استفاده از دانش مدیریت آموزشی خود تجزیه و تحلیل ساعت مورد نیاز را بر اساس پارامترهای ذکر شده ارزیابی می کنندو در نهایت، مدت زمان مورد نیاز و مدت زمان اجرای برنامه در سازمان مربوطه ارایه خواهد شد.
وبسایتهای آگاهیبخشی امنیتی
یکی دیگر از راههای پیادهسازی برنامه آگاهیبخشی امنیتی در فراست، طراحی وبسایت آگاهیسازی در زمینه امنیت سایبری به فراخور نوع فعالیت یا نیاز هر سازمان است.
دپارتمان فراست، وبسایتی را برای عموم قرار داده است تا درباره تهدیدهای سایبری اطلاعاتی انعکاس پیدا کند و این دپارتمان میتواند برای سازمان¬های مختلف اخبار سایبری مربوط به آن سازمان را تهیه و ویرایش نماید و در وبسایت همان سازمان یا ساب دامین وب سایت فراست با نام اختصاصی همان صنعت یا سازمان منتشر کند.
یک روش دیگر، ارایه محتوای مربوطه به مسئول وبسایت است. چنین وبسایتی میتواند از بخشهای مختلفی تشکیل شده باشد که هر یک به یکی از مطالب آموزشی (مثل بدافزار، کلاهبرداری، به اشتراکگذاری فایل، قوانین رونوشتبرداری و غیره) اختصاص داده شوند. یک روش موثر و کارا، آگاهی-بخشی انتشار انواع ویدیو، اخبار، مقالات و لینکهای بیرونی مفید است که کاربران را در افزایش اطلاعات آگاهیبخشی امنیت سایبر یاری میدهد.
دپارتمان فراست، وبسایتی را برای عموم قرار داده است تا درباره تهدیدهای سایبری اطلاعاتی انعکاس پیدا کند و این دپارتمان میتواند برای سازمان¬های مختلف اخبار سایبری مربوط به آن سازمان را تهیه و ویرایش نماید و در وبسایت همان سازمان یا ساب دامین وب سایت فراست با نام اختصاصی همان صنعت یا سازمان منتشر کند.
یک روش دیگر، ارایه محتوای مربوطه به مسئول وبسایت است. چنین وبسایتی میتواند از بخشهای مختلفی تشکیل شده باشد که هر یک به یکی از مطالب آموزشی (مثل بدافزار، کلاهبرداری، به اشتراکگذاری فایل، قوانین رونوشتبرداری و غیره) اختصاص داده شوند. یک روش موثر و کارا، آگاهی-بخشی انتشار انواع ویدیو، اخبار، مقالات و لینکهای بیرونی مفید است که کاربران را در افزایش اطلاعات آگاهیبخشی امنیت سایبر یاری میدهد.
نرم افزار موبایل فراست آموزش و پایش از طریق اپلیکیشن موبایل فراست
روش دیگر که مکمل روش قبل است ارایه نرمافزار مبتنی بر موبایل است که با پایگاه داده آگاهیبخشی امنیت سایبری همسو شده تا بتواند در اختیار کاربران قرار گیرد. یکی از مدلهای پیادهسازی آگاهیبخشی، ارایه یک برنامه خودآموز است که کاربران در آن ثبت نام کرده و مراحل آن را طی میکنند و در انتهای هر بخش نیز برای اطمینان از درک مطالب، به چند سؤال کوتاه پاسخ میدهند. این کار میتواند با پورتال سازمانی نیز همگون شود تا نتایج آزمونها و نیز نوع محتوای خوانده شده توسط مدیران گزارشگیری شود.
در این حالت، اطلاعات گزارش شده از صفحه ورود میتواند مشخص کند که کدام یک از کاربران، دوره آموزشی را گذراندهاند و یا مهمتر این که کدام یک از آنها هنوز این دوره را نگذراندهاند. در چرخه کار میتوان سیستم را با پیامکها ادغام نمود تا به کاربران خاطر نشان شود که محتوای مورد نظر را مطالعه کنند.
فراست در این روش یک گام دیگر نیز برداشته است و آن ایجاد صفحه سوالات پرتکرار است.
برای پاسخ به سؤالهای پرتکرار، پاسخهایی درج میشود. ایجاد لینک ارتباطی برای پرسیدن سوال جدید و پاسخ به آن سوال میتواند بحث آگاهیبخشی را رونق بخشد. باید به این نکته توجه نمود که یکی از روشهای مفید در آگاهیرسانی و یادگیری امتحان و سنجش است.
در این حالت، اطلاعات گزارش شده از صفحه ورود میتواند مشخص کند که کدام یک از کاربران، دوره آموزشی را گذراندهاند و یا مهمتر این که کدام یک از آنها هنوز این دوره را نگذراندهاند. در چرخه کار میتوان سیستم را با پیامکها ادغام نمود تا به کاربران خاطر نشان شود که محتوای مورد نظر را مطالعه کنند.
فراست در این روش یک گام دیگر نیز برداشته است و آن ایجاد صفحه سوالات پرتکرار است.
برای پاسخ به سؤالهای پرتکرار، پاسخهایی درج میشود. ایجاد لینک ارتباطی برای پرسیدن سوال جدید و پاسخ به آن سوال میتواند بحث آگاهیبخشی را رونق بخشد. باید به این نکته توجه نمود که یکی از روشهای مفید در آگاهیرسانی و یادگیری امتحان و سنجش است.
تولید پیام و محتوای آموزشی اثربخش
با استفاده از نکتههای آموزشی، بیشتر به عنوان یک مکمل برای آموزشهای اصلی (آموزش به سبک کلاس یا آموزش آنلاین) محسوب میشود و نباید آن را به تنهایی به عنوان ابزاری آموزشی استفاده کرد. در پیادهسازی آگاهی بخشی امنیت سایبری به سبک فراست، این نکات به صورت پیامکهای تلفنی، ایجاد تصاویر برای پسزمینه صفحه نمایش و درج نکته مربوطه و موارد مشابه و نوین دیگر ارایه میشود. این بخش از آموزش، مکمل آموزشهای دیگر است تا کاربران نکات کلیدی را فراموش نکنند.
این نکتههای مفید میتوانند به صورت تذکرها و یادآوریهایی باشند که در روشهای دیگر به ایشان آموزش داده شده است.
به عنوان مثال، عبارت “هرگز رمز عبورتان را در جایی قرار ندهید که افراد دیگر امکان مشاهده یا دسترسی به آن را داشته باشند” را برای کاربر نمایش میدهیم و یا نکات دیگری نظیر “یادآوری تغییر رمز عبور” یا “اجرای اسکن آنتیویروس” از جمله نکاتی هستند که در برنامه فراست به طرق مختلف به کاربران ارایه میشود.
این نکتههای مفید میتوانند به صورت تذکرها و یادآوریهایی باشند که در روشهای دیگر به ایشان آموزش داده شده است.
به عنوان مثال، عبارت “هرگز رمز عبورتان را در جایی قرار ندهید که افراد دیگر امکان مشاهده یا دسترسی به آن را داشته باشند” را برای کاربر نمایش میدهیم و یا نکات دیگری نظیر “یادآوری تغییر رمز عبور” یا “اجرای اسکن آنتیویروس” از جمله نکاتی هستند که در برنامه فراست به طرق مختلف به کاربران ارایه میشود.
آموزش تصویری
ابزارهای آموزشی تصویری هم، از جمله گزینههایی هستند که نباید آنها را به عنوان تنها ابزار آموزشی استفاده کرد، بلکه این ابزارها بیشتر حالت مکمل دارند. در آموزشهای بصری کوتاه مدت، با خلق و طراحی یک تصویر یا پیامدر مسیرهایی که تردد یا حضور منابع انسانی در آن بالاست، نظیر اتاق انتظار،آسانسور، راهروهاو یا راه پلهها در قالب پوستر یا موشن گرافیاستفاده میشود.
به عنوان نمونه، پوستر امنیتی در رابطه با رمز عبور تهیه می شود که در آن رمز عبور را با مسواک مقایسه میشود. در این پوسترها نسبت به تغییر مکرر رمزهای عبور و عدم اشتراک و استفاده آن برای سایر اکانتها، به کاربران تذکر داده شده است.
بروشورهای آموزشی
بخش دیگری از آموزشهای قابل ارائه در دپارتمان فراست، انتقال نکات امنیتی به صورت بروشورهای اموزشی است. تولید و درج پیامهای یکپارچه ی حاوینکات امنیتی مهم و قابل توجه روی ابزارهایی که برای منابع انسانی پرکاربرد هستند مثل خودکار یا جاکلیدی از دیگر اقدامات مورد نظر میتواند باشد. در نمونه بروشور زیر بایدها و نبایدهای اساسی که نیاز است کارکنان برای امنیت رمز عبور بدانند، ذکر شده است.
دیگر وسایل تبلیغاتی نظیر لیوان، تقویم رومیزی و … نیز می¬توانند به صورت مکمل برای این مهم استفاده شوند.
تدوین و ارائه گاهنامههای تخصصی هر صنعت
روش دیگر انتقال مفاهیم آگاهی بخشی امنیتی در دپارتمان فراست، تهیه مجلات و گاهنامهها است. در این مجلات با توجه به نیاز سازمان، گزارشات، مقالات و اطلاعاتی پیرامون آسیبپذیریهای سازمان مطرح میشود. همچنین اخبار فناوری اطلاعات، تهدیدهای نوین، آسیبپذیری محیط سایبری و اقدامات پیشگیرانه برای ارتقا امنیت ساییری معرفی شده و توضیح داده خواهد شد. ارایه گرافیک بهینه و مطالب وزین و جذاب در گاهنامهها از رویکردهای اساسی در فرایند آگاهیبخشی امنیت سایبری است. این مجلات بر اساس طیف سازمان و نوع کار و همچنین نوع دپارتمان سفارشیسازی میشود و امکان بهینهسازی بر اساس موقعیت و سلسله مراتب سازمان امکان پذیر است.
تهیه موشن و انیمیشن
یکی از روشهای مفید در انتقال مفاهیم علمی، تهیه محتوای مالتی مدیای کاربر پسند است. محتوای مالتی مدیا با ذهن کاربر ارتباط مناسب برقرار کرده و میتواند نظر او را جلب کند.
در موشن گرافی،مفهوم آسیبپذیری و یامخاطرات سایبری در قالب داستان،معرفی شده و روشهای پیشگیری یا مقابله با آن نیز حین داستان، تشریح میشود. به طور مثال، برای آموزش کاربر با مفهومی نظیر مهندسی اجتماعی درمبادی ورودی انیمیشن زیر تهیه شده است.
در موشن گرافی،مفهوم آسیبپذیری و یامخاطرات سایبری در قالب داستان،معرفی شده و روشهای پیشگیری یا مقابله با آن نیز حین داستان، تشریح میشود. به طور مثال، برای آموزش کاربر با مفهومی نظیر مهندسی اجتماعی درمبادی ورودی انیمیشن زیر تهیه شده است.
سمینارها و کنفرانسها
روش دیگر پیشنهادی در برنامه آگاهیبخشی امنیت سایبری، برگزاری کنفرانس ها در تهران و یا مراکز اصلی استانی مربوط به سازمان های مختلف است که با محتوای تخصصی و سفارشی اجرا گردد. این آموزشها میتواند برای آموزش پرسنل در راستای تقویت امنیت محیط سایبر، ارتقا دانش سایبری مدیران شعب برای محافظت از دادهها ، امن سازی سیستم های حفاظت الکترونیک، استاندارهای متداول حفظ حریم شخصی، اصول مهندسی اجتماعی و موارد متعدد دیگر باشد.
محتوای این کنفرانسها بر اساس برنامه فراستی صورت خواهد پذیرفت، بدین معنا که در پیادهسازی برنامه مدیریت پروژه آگاهیبخشی امنیتی، محتوای پوسترها، خبرنامهها ، بروشورها، کلاسهای آنلاین و آفلاین و سمینارها به صورت افقی و عمودی با هم در رابطه هستند. این رابطه توسط مدیران آموزش با تجربه در دپارتمان فراست پیاده سازی میگردد.
لازم به توضیح است که برای سازمان های مختلف موضوع های مختلفی در کنفرانس ها می تواند ارایه شود:
• کشف مهندسی اجتماعی در شعب
• چگونگی جمع آوری دادهها در شعب از طریق پیشخوان
• اصول مدیریت صحیح پرسنل هر شعبه از دید سایبر
• امن سازی دستگاههای پرداخت و شناخت روشهای اسکیمینگ
لازم به توضیح است که برای سازمان های مختلف موضوع های مختلفی در کنفرانس ها می تواند ارایه شود:
• کشف مهندسی اجتماعی در شعب
• چگونگی جمع آوری دادهها در شعب از طریق پیشخوان
• اصول مدیریت صحیح پرسنل هر شعبه از دید سایبر
• امن سازی دستگاههای پرداخت و شناخت روشهای اسکیمینگ
تلویزیون اختصاصی امنیت سازمانی
تلویزیون اختصاصی امنیت سازمانی
فراست در راستای ارایه آموزههای امنیت سایبری برای نهادینهسازی در بین پرسنل سازمانها، با استفاده از تمام بسترهای ممکن و برای دستیابی به هدف خود یعنی آگاهی تمام پرسنل یک سازمان، اقدام به راهاندازی تلویزیون اختصاصی فراست نموده است.
استفاده از شبکههای دیجیتال ساینیج به صورت انحصاری در سازمانهای مختلف، آموزش روزمره، هفتگی، ماهانه را برای مدیران و پرسنل بهینهتر و اثر بخشتر میسازد.
در روش پیاده سازی ساینیج، نکات کلیدی با طرح مناسب به کاربر انتقال می¬یابد. شکل 4 16 نمونه ای از فیلم 30 دقیقهای پیادهسازی شده در یکی از پروژه¬های فراست را نشان می¬دهد.
کتاب های الکترونیک / کتاب های چاپی / کتاب های صوتی
بر اساس نقشه راه مشخص شده در گام اول آگاهیبخشی امنیتی، کارشناسان فراست مطالب و مباحثی که در آن سازمان ضعف بیشتری دارد را به صورت کتاب با توضیحات بیشتر عرضه میکند.
این کتابها به صورتهای الکترونیک و یا چاپ شده قابل عرضه میباشد، همچنین در صورت نیاز میتوان این کتابها را در قالب کتاب صوتی فراهم نمود تا کارمندان در مسیر منزل یا محل کار به آن گوش دهند.
محتوای کتاب دقیقاً بر اساس نیاز سازمان سفارشی سازی میشود و در آن از تصاویر و یا المانهای سازمان های مختلف استفاده خواهد شد. در پروپوزال بعدی نام برخی از کتابها بهسازمان های مختلف اشاره خواهد شد.
این کتابها به صورتهای الکترونیک و یا چاپ شده قابل عرضه میباشد، همچنین در صورت نیاز میتوان این کتابها را در قالب کتاب صوتی فراهم نمود تا کارمندان در مسیر منزل یا محل کار به آن گوش دهند.
محتوای کتاب دقیقاً بر اساس نیاز سازمان سفارشی سازی میشود و در آن از تصاویر و یا المانهای سازمان های مختلف استفاده خواهد شد. در پروپوزال بعدی نام برخی از کتابها بهسازمان های مختلف اشاره خواهد شد.
آزمونهای دورهای
فراست همگام با متدولوژی آموزش، آزمونهای دورهای را نیز در فرایند خود قرار داده است. آزمونهای دورهای مکمل کلیه آموزشهای فراگیر یا حضوری میباشد. همواره برای تکمیل فرایند آموزش و حکاکی آن در ذهن نیاز است آزمونهای دورهای صورت پذیرد تا کاربران به ارزیابی سواد امنیتی اطلاعاتی خود در مدت قرار داد بپردازند و برای پیشبرد اهداف اولیه و گامهای بعدی در نقشه راه، نتایج آزمون کاربران تجزیه و تحلیل شده و گزارش آنها تهیه میشود. پس از تهیه گزارشهای تجزیه و تحلیل، در یک جلسه با حضور نماینده سازمان و کارشناسان فراست، در صورت نیاز تغییرات را در فرایند کار اعمال خواهند نمود چرا که شاید ضعفهای جدید هویدا شده و یا تهدید جدیدتر شمشیر خود را بران نماید.
کلیه آزمونها بر اساس استانداردهای بین المللی بومی شده، تنظیم میشوند. برای تشویق کارمندان و اثربخشی بیشتر، طرحهای تشویقی برای بهترین نمره در نظر گرفته شده است که این طرحها با همکاری فراست و سازمان مربوطه ارایه خواهد شد. این امر سبب سنجش اثربخشی در هر فاز شده و میتواند راندمان آگاهیبخشی امنیت سایبری پرسنل را در کوتاه مدت و یا دراز مدت افزایش دهد.
نتیجه اجرای فراست در سازمانها
با فراست سازمانی چاپک و بازدارنده نسبت به حملات سایبری خواهید داشته که دستاوردهای زیر تنها بخشی از اثرات پیاده سازی آن در سازمانها خواهد بود.
1. تحقق بخش هایی از اهداف سند راهبری پدافند سایبری کشور در تمام سطوح سازمان ها.
2. پیشرو در اجرای مفاد موجود در اساسنامه مرکز ملی فضای مجازی و سند راهبردی تولید و تبادل اطلاعات و بقیه دستورالعملهای بالادستی در حوزه سایبری
3. دارای لایه سایبری امن و جدید امنیتی در سطح کلیه کاربران
4. دارای دانش و فرهنگ سایبری روزآمد و بومی
5. افزایش سطوح پایش، کنترل و دفع تهدیدات و حملات با کاهش هزینه ها از طریق آموزش مستمر و پایش، آسیب شناسی، ریسک سنجی و ارائه راهکار های جدید و اثربخش امنیتی
6. تدوین و پیاده سازی نظام نامه امنیت سایبری
7. مستندسازی کلیه فرآیندها و نیل به اجرای استانداردهای امنیتی اثربخش و کاربردی
8. مانیتورینگ و اخذ گزارشات جامع مدیریتی از وضعیت موجود و بهبودهای احتمالی در حوزه های مختلف
9. بررسی، تحلیل و پیاده سازی پیشنهادات درون سازمانی، جهت بومی و پیاده سازی، با ابزارهای مختلف به منابع انسانی
10. توانمندسازی منابع انسانی و ارتقا دانش سایبری ایشان
11. کاهش خطاهای انسانی در امنیت سایبری و افزایش راندمان کاری پرسنل
وجود برنامههای آموزشی امنیت سایبری که به درستی پیادهسازی شدهاند برای هر شرکتی ضرورت دارد. آموزش درست و مناسب کاربران درباره علایم هشدار، روشهای پیشگیری و روشهای کاهش تأثیر حملههای سایبری، به تنهایی میتواند مانع بسیاری از مشکلاتی شود که بر زیرساختها و کل شرکت تأثیرگذار هستند. باید به کارمندان گوشزد کرد که آنها باید اولین خط دفاعی شرکت باشند.
مسلماً هزینه این برنامهها با آموزش کاربران درباره اقدامهای قابل انجام جهت پیشگیری از حملههای مخرب و اقدامهای قابل انجام در صورت رخ دادن چنین حوادثی، جبران خواهد شد. البته نمیتوان آموزش آگاهی بخشی امنیت سایبری را تنها راهکار امنیتی در نظر گرفت، بلکه این برنامه، یکی از لایههای امنیتی مهمی است که باید آن را به راهکارهای امنیتی متعارف سازمانها اضافه کرد.
2. پیشرو در اجرای مفاد موجود در اساسنامه مرکز ملی فضای مجازی و سند راهبردی تولید و تبادل اطلاعات و بقیه دستورالعملهای بالادستی در حوزه سایبری
3. دارای لایه سایبری امن و جدید امنیتی در سطح کلیه کاربران
4. دارای دانش و فرهنگ سایبری روزآمد و بومی
5. افزایش سطوح پایش، کنترل و دفع تهدیدات و حملات با کاهش هزینه ها از طریق آموزش مستمر و پایش، آسیب شناسی، ریسک سنجی و ارائه راهکار های جدید و اثربخش امنیتی
6. تدوین و پیاده سازی نظام نامه امنیت سایبری
7. مستندسازی کلیه فرآیندها و نیل به اجرای استانداردهای امنیتی اثربخش و کاربردی
8. مانیتورینگ و اخذ گزارشات جامع مدیریتی از وضعیت موجود و بهبودهای احتمالی در حوزه های مختلف
9. بررسی، تحلیل و پیاده سازی پیشنهادات درون سازمانی، جهت بومی و پیاده سازی، با ابزارهای مختلف به منابع انسانی
10. توانمندسازی منابع انسانی و ارتقا دانش سایبری ایشان
11. کاهش خطاهای انسانی در امنیت سایبری و افزایش راندمان کاری پرسنل
وجود برنامههای آموزشی امنیت سایبری که به درستی پیادهسازی شدهاند برای هر شرکتی ضرورت دارد. آموزش درست و مناسب کاربران درباره علایم هشدار، روشهای پیشگیری و روشهای کاهش تأثیر حملههای سایبری، به تنهایی میتواند مانع بسیاری از مشکلاتی شود که بر زیرساختها و کل شرکت تأثیرگذار هستند. باید به کارمندان گوشزد کرد که آنها باید اولین خط دفاعی شرکت باشند.
مسلماً هزینه این برنامهها با آموزش کاربران درباره اقدامهای قابل انجام جهت پیشگیری از حملههای مخرب و اقدامهای قابل انجام در صورت رخ دادن چنین حوادثی، جبران خواهد شد. البته نمیتوان آموزش آگاهی بخشی امنیت سایبری را تنها راهکار امنیتی در نظر گرفت، بلکه این برنامه، یکی از لایههای امنیتی مهمی است که باید آن را به راهکارهای امنیتی متعارف سازمانها اضافه کرد.
ابعاد امنیت سایبری در سازمانها
در پیادهسازی فرایند آگاهیبخشی امنیت سایبری لازم است ابعاد و بخشهای مختلف مد نظر قرار گیرند. موضوعهای مورد بحث در برنامه اگاهی بخشی امنیت سایبری میتواند رویکرد و مطالبی مانند شکل را پوشش دهد.
باید به این نکته توجه کرد که مطرح شدن این موضوع کمک میکند تا کارمندان با دلایل اهمیت آموزش امنیت آشنا شده و آنها را برای پیشگیری از وقوع حوادث به کار برند.
همچنین مدیران ارشد سازمان نیز با لایه ها و ابعاد مختلف اثربخش در حوزه امنیت سایبری آشنا میشوند.
باید به این نکته توجه کرد که مطرح شدن این موضوع کمک میکند تا کارمندان با دلایل اهمیت آموزش امنیت آشنا شده و آنها را برای پیشگیری از وقوع حوادث به کار برند.
همچنین مدیران ارشد سازمان نیز با لایه ها و ابعاد مختلف اثربخش در حوزه امنیت سایبری آشنا میشوند.
سوالات متداول امنیتی
بند الف.7.2.2 از استاندارد ISO27001 به SAT میپردازد، محدود بودن فضای کاری در این بخش و نیز عدم استمرار و زمان بر بودن پروسه پیادهسازی این استاندارد و زمان کمی که برای اجرای مستمر و اثربخش SAT در نظر گرفته میشود، بر لزوم اجرای فراست تاکید میکند تا برای افزایش اثربخشی در این حوزه، نسبت به ایجاد لایه جدید امنیت سایبری در سطح منابع انسانی اقدام شود و محدوده فعالیت آگاهی بخشی امنیت منابع انسانی را فراتر از روش های معمول باشد. آسیب شناسی سایبری، برنامه ریزی و ارائه برنامه های متنوع و به روز آموزشی منطبق بر متدولوژیهای روز دنیا ، ارزیابی و پایش، اجرای پدافندهای هماهنگ و تغییر روش و تاکتیکهای آموزشی و محتوایی در فراست برای هر سازمان بومی خواهد شد.
یکی از دغدغههای مدیران در عصر جدید حفظ اطلاعات، برند و اعتبار سازمان خود میباشد و حملات سایبری جدید ضمن هدف قرار دادن اطلاعات به تخریب برند و اعتبار کسب و کارهای مختلف در بازار رقابتی میپردازد. از این رو شایسته است که مدیران با در نظر گرفتن تمام جوانب برای حفاظت از امنیت سازمان، نسبت به تقویت ضعیفترین لایه امنیتی که کاربران و منابع انسانی است اقدام کنند. از جمله آسیبهایی که همه روزه در صدر اخبار تهدیدات سایبری سازمانها قرار میگیرد میتوان به موارد زیر اشاره کرد، فیشینگ و ایمیل آلوده، پیامک حاوی لینک آلوده، سایت جعلی، لینک آلوده، رمز عبور ساده، ارائه اطلاعات کاربری خود به دوستان یا همکاران، نشت اطلاعات در شبکه های اجتماعی، اسمیشینگ، ویشینگ، مهندسی اجتماعی و … اشاره کرد.
فراست تمام آسیب های سازمان شما را می سنجد و ضمن تحلیل و ریسکسنجی نسبت به برنامه ریزی برای هر ریسک با روشهای نوین اقدام میکند.
بله فراست ایجاد یک لایه جدید امنیتی در سطح منابع انسانی و رفتارها و عملکرد ایشان است که هیچ نرم افزار و سخت افزاری برایمدیریت و کاهش ریسک ان وجود ندارد و اگاهی بخشی با برنامه و مدون تنها راه ایجاد این لایه است. همچنین با فراست استراتيی دفاع در عمق را در سازمان ها پیاده سازی خواهیم نمود.
آموزش سرفصلهایی ست که به صورت کلی تعریف می شود و بعضا به دلیل کلی بودن سرفصل ها و کوتاه بودن مقطع های ارائه و روش های سنتی اثربخشی کم و محدودی داشته، اما فراست برنامه هایی است که آموزش هدفمند و اثربخش را پیاده سازی می کند به نحوی که در پایش مستمر، روش های آموزش و حتی محتواها و پیام ها را تغییر و در بلندمدت کارمندان را به لایه ای جدید در امنیت سایبری در سطح سازمان و اجتماع تبدیل خواهد کرد.
برای تمام سازمان هایی که بانک اطلاعاتی مشتریان یا همکاران برایشان ارزشمند است، چرا که فراست بای هر سازمانی با توجه به نوع فعالیت، جامعه هدف، تعدااد پرسنل و حتی نوع شغل و محدوده های جغرافیایی متفاوت، برنامه های مدون و شخصی تدوین می کند و تمام آسیب های احتمالی کسب و کارها را شناسایی و برای هر یک راهکار بهینه را تدوین و پیاده سازی می کند.
بله در سازمان هایی که ISMS پیاده سازی شده باشد با توجه به دارا بودن بلوغ سازمانی و وجود ساختار SAT در آن سازمان ها، استفاده از فراست کمک شایانی بر تداوم و اجرای دقیق برنامه اگاهی بخشی خواهد کرد. چرا که SAT یکی از بندهایی است که در ISMS نیز مورد نیاز بوده از این رو، نیاز هست که با توجه به ضرورت پیاده سازی و اجرای فراست به صورت جداگانه و با درجه اهمیت بیشتری نسبت به پیاده سازی آن اقدام شود چرا که برند و استراتيی سازمان ارتباط مستقیمی با فراست و نوع نکاه مدیران به پیاده سازی ان دارد.
ایجاد لایه جدید امینت سایبری و مصونیت در مقابل حملات مداوم و به روز سایبری
ارتقا دانش سایبری منابع انسانی
پیاده سازی استراتژی دفاع در عمق برای سازمان های پیشرو در حوزه امنیت سایبری
با توجه به استراتژی سازمانها تشکیل یک کمیته یا دپارتمان و یا واگذاری مسئولیت به یک کارشناس یا مدیر آن هم فقط برای نظارت بر اجرا و پیاده سازی برنامه ها پیشنهاد می گردد چرا که کلیه کارهای مربوط به فراست طبق قرارداد توسط تیم اجرایی و کارشناسان مربوط به همین دپارتمان در خارج از سازمان انجام می پذیرد و وقت و انريی و نیروی سازمان ها برای پیاده سازی در گیر نخواهد شد.
