آگاهی رسانی امنیت (Security awareness) چیست؟

آگاهی رسانی امنیت ترکیبی از داشتن دانش و انجام کارهای که افراد یک سازمان یا یک کسب ‌وکار باید در قبال اطلاعات و دارایی‌های امنیتی انجام دهند.

 در واقع آگاهی رسانی امنیت سایبری شامل توجه به امنیت سایبری در موقعیت‌های روزمره است. آگاهی از خطرات وب‌گردی، چک کردن ایمیل و ارتباطات آنلاین، همه از بخش‌های آگاهی رسانی امنیت سایبری هستند. مدیران یک سازمان باید مطلع باشند که آگاهی رسانی امنیت یک امر ضروری است.

هنگامی که کارکنان یک سازمان از امنیت سایبری آگاه باشند، به این معنی است که آنها می‌دانند که تهدیدات سایبری چیست، و متوجه اثرات یک حمله سایبری بر کسب‌وکار آنها و اقدامات لازم برای کاهش خطرات و جلوگیری از نفوذ جرایم سایبری به فضای کاری آنلاین آنها هستند.

ایجاد یک فرهنگ و دانش در مورد آگاه رسانی امنیت سایبری در سازمان به این معنی نیست که خطر سرقت اطلاعات یا جرایم سایبری را به طور کامل در سازمان خود از بین خواهید برد. بدافزارها رشد کرده‌اند و با هر بار توسعه ی جدید، پیچیده‌تر می‌شوند و ما انتظار داریم که شاهد تکامل و رشد تهدیدات سایبری و بدافزارها باشیم.

گزارشی https://www.darkreading.com که در سال 2005 روزانه 123 نوع جدید بدافزار پیدا ‌می‌شود. در طول آن سال، 10000 مورد از این تهدیدات، انواع جدید بدافزار بودند. 11 سال بعد، تحقیقات نشان داد که در هر ثانیه، چهار مدل جدید بدافزار مخرب در سه ماهه سوم سال 2016 کشف می‌شود نکته  مهم این است که تاکید کنیم اینها انواعی از بد افزارها بودند که شرکت‌های امنیت سایبری پیدا و شناسایی کرده بودند.

با رشد انواع بدافزارهای جدید، شرکت‌ها باید اطمینان حاصل کنند که اقدامات امنیتی را به‌درستی اجرا می‌کنند به کارکنان خودآموزش می‌دهند و هر نقطه‌ضعفی را که آنها را در برابر حمله آسیب‌پذیر می‌کند، از بین می‌برند.

آگاهی رسانی امنیت

همان‌طور که همه ما می‌دانیم افراد ضعیف‌ترین حلقه در زنجیره امنیت هستند و شروع‌کننده بسیاری از نقص‌های امنیت اطلاعات در سازمان هستند تصور اشتباهی که وجود دارد این است که معمولا بخش IT یا امنیت مسئول امنیت داده‌های مهم اطلاعاتی در نظر گرفته می‌شود باید به کارمندان یک سازمان گفته شود که بخش امنیت فناوری اطلاعات در سازمان تنها مسئول نیست بلکه امنیت اطلاعات‌‌های یک سازمان مسئولیت همه و در هر سطحی از سلسله مراتب است.

در مورد اسپلانک بخوانید.

برنامه‌های مؤثر برای آگاهی رسانی امنیت

روش‌های رسیدن بهآگاهی رسانی امنیت برای همه کارکنان سازمان با روش‌های مختلفی قابل دستیابی است، اما همه آنها چندان مؤثر نیستند و گاهی اوقات نیازهای سازمان را برآورده نمی‌کنند بلکه باید این روش‌ها با هم اجرا شوند تابه یک برنامه جامع آگاهی امنیتی منجر شوند هرچند که سازمان‌ها می‌توانند هرکدام از این راهکارها را برای یک راه‌حل حیاتی برای سازمان خود بدون درنظرگرفتن راهکارهای جامع در نظر بگیرند

همه این روش‌ها یک پیام اصلی دارند و آن این است که: کارکنان و رفتار آنها مسئول، امنیت اطلاعات سازمان است

در این مقاله به چند روش برای انتقال پیام آگاهی رسانی امنیت در سازمان‌ها اشاره می‌کنیم :

  • آموزش آگاهی رسانی امنیت اطلاعات
  • آگاهی‌رسانی امنیت اطلاعات از روش مبتنی بر رایانه
  • خدمات آگاهی و ابزارهای یادآوری آن

آموزش آگاهی رسانی امنیت

این  روش بسیار کارآمد و مؤثرترین روش برای جذب کاربران در محیط آموزش است. این روش کمک می‌کند تا موضوع و مطالب امنیتی به‌صورت تعاملی توضیح داده شود. مطالبی که در جلسات گفته می‌شود ممکن است باتوجه‌به مشخصات مخاطب متفاوت باشد. معمولاً مخاطبانآگاهی رسانی منیت را می‌توان به دسته‌ مخاطب‌‌های زیر تقسیم کرد:

مدیران

مدیران حامی نهایی و مهم‌ترین حامی برنامه آگاهی از امنیت هستند. آنها نیاز بسیار خاصی به درک اهداف برنامه آگاهی و نقش امنیت در دستیابی به اهداف تجاری آنها دارد.

آگاهی رسانی امنیت (Security awareness) چیست؟

ار‌ائه خدمات به مدیران باید بر روی تهدیدات امنیتی متمرکز باشد که سازمان ممکن است در کوتاه‌مدت یا طولانی‌مدت با آنها مواجه می‌شود. باید به طور واضح به مدیران اعلام شود که بدون حمایت آن‌ها سازمان و کارکنان قادر به محافظت از اطلاعات سازمان وجود ندارد. اشتباهات برجسته‌ای که توسط مدیران ارشد یک سازمان ممکن است رخ‌داده شود عبارت‌اند از:

  • مشکلات امنیتی را نادیده می‌گیرند
  • قادر نیستند اهمیت اطلاعات مهم را شناسایی کنند
  • اولویت آنها محصولات امنیتی جدید است
  • عدم درک رابطه امنیت اطلاعات با کسب‌وکار آنها
  • عدم ارائه آموزش و زمان دادن به کارکنان خود
  • راه‌حل پیاده‌سازی

کارمندان

کارمندان معمولاً مسئول حفاظت کلی ازامنیت اطلاعات نیستند اطلاعات آنها و اطلاعاتی که با آن سروکار دارندباید در محیط ایمن باشد. کارمندان درگیر فعالیت‌‌های روزانه هستند و از داده‌‌ها برای انجام کارهای خود استفاده ‌می‌کنند. این نوع مخاطب نیاز به درک دقیق تهدیدات امنیت اطلاعات، آسیب‌‌های ناشی از تهدیداتی که اطلاعات دارند و راه حل‌‌هایی برای کاهش آسیب دارد. آنها همچنین باید با سیاست‌‌ها و رویه‌‌هایی که به آنها در تضمین عملکرد و امنیت کمک ‌می‌کند آشنا باشند.

پیامی که باید به کاربران باید همیشه گوشزد کرد  :

هر زمان که مشکلی پیش آمد یا سؤالی داشتید با بخش امنیت اطلاعات خود مشورت کنید. در اینجا برخی از اشتباهات کارمندان سازمان وجود دارد که اگر به موارد برجسته آنها بخواهیم اشاره کنیم :

  • نقص سیاست‌‌های امنیتی سازمان
  • باز کردن پیوست ایمیل‌‌های ناشناخته
  • نصب نرم افزار ها از منبع‌‌های نامعتبر
  • بازدید از وب سایت‌‌های مشکوک
  • عدم گزار ش ندادن از حواث امنیتی
  • قربانی شدن در مهندسی اجتماعی مانند فیشینگ و … (social engineering)

کارکنان امنیتی

اکثراً درک ‌می‌شود که افراد فنی نیازی به آگاهی رسانی از امنیت ندارند آگاهی از آنجایی که آنها کسانی بودند که سیستم را طراحی کردند، پس چرا باید آنها را برای جلسات آگاهی اولیه فراخواند؟ هدف از جلسه آگاهی رسانی از امنیت برای افراد فنی این است که به آنها توضیح دهد که چگونه فناوری به کسب و کار کمک ‌می‌کند و چه چیزی برای محافظت از تجارت و فناوری لازم است.

همانطور که قبلاً بحث شد، برنامه آگاهی از امنیت به این معنی نیست که برای همه یک اندازه مناسب باشد، بلکه موضوعات باید بر اساس مشخصات مخاطبان سفارشی شوند.

آگاهی رسانی امنیت اطلاعات از روش کارگاه آنلاین امنیت

برخی از شرکت‌‌ها برنامه و پلتفرم آگاهی رسانی از امنیت را برای کاربران یک سازمان برای استفاده آسان و همیشه در دسترس قرار ‌می‌دهند. آنها یک برنامه کامپیوتری طراحی ‌می‌کنند و آن را در شبکه سازمان  نصب ‌می‌کنند که همیشه در دسترس است. با استفاده از این رویکرد کارگاه آموزشی آنلاین ، کارکنان ‌می‌توانند در اوقات فراغت خود به آن دسترسی داشته باشند و سپس به تنهایی موضوعات مورد علاقه خود را بیاموزند. برنامه‌‌های کاربردی کامپیوتر عمدتاً دو ماژول اصلی را پوشش ‌می‌دهند و با سیاست‌‌های امنیتی شرکت مطابقت دارند.

ماژول اول

 یک خود ارزیابی با استفاده از فرم نظرسنجی است. این به کاربران کمک ‌می‌کند تا ارزیابی کنند که در چه مواردی خط مشی‌‌های امنیتی سازمان خود را درک نمی‌کنند. این یک تکنیک خوب برای کاربران برای تجزیه و تحلیل نقاط قوت، ضعف و انطباق با برنامه آگاهی رسانی سازمان است تا سازمان بتوانند آموزش‌‌های مرتبط لا نقص آنها در پلتفرم ارائه دهند.

 ماژول دوم

 معمولاً در مورد آموزش مسائل امنیتی است، این به کاربران کمک ‌می‌کند تا سیاست‌‌ها و رویه‌‌های امنیتی شرکت را یاد بگیرند و آموزش دهند.

از انجایی که یکی از خدمات بارز شرکت فناوری راه نو سورین در حوزه آگاهی رسانی امنیت است پلتفرمی با نام سکتور ارائه داده ،که سعی شده است در این کارگاه آموزش‌‌های از امنیت مواردی که طول روز افراد ممکن است افراد با آن روبه رو شوند آورده شده است. اگر بخواهیم به قابلیت‌‌ها این پلتفرم کار امد اشاره کنیم ‌می‌توانیم به طراحی آموزش و طراحی آزمون اشاره کرد در ضمت داخل این محصول شما ‌می‌توانید مطالب امنیتی به روز را در سطح‌‌های مختلف مطالعه کنید.

یکی دیگر از قابلیت‌‌های سکتور برای مشتاق کردن کارمندان یک سازمان به آموزش  از توکن‌‌های برای جایزه به افراد در قابل قبولی در ازمون‌‌ها و دادن گواهینامه اشاره کرد.

در ادامه به برخی از موضوعاتی  که آموزش آنها ‌می‌تواند مهم باشد اشاره ‌می‌کنیم:

  • ساخت رمز عبور
  • استفاده از اینترنت
  • کلاهبرداری تلفنی
  • امنیت فیزیکی
  • استفاده از ایمیل
  • ویروس‌‌ها
  • امنیت دسکتاپ
  • مهندسی اجتماعی
  • جعل هویت

آگاهی رسانی امنیت

خدمات آگاهی و ابزارهای یادآوری

همانطور که قبلاً بارها بحث شد، آگاهی رسانی امنیت یک فرآیند مستمر است و باید بخشی از وظایف شغلی و محیط کار کارکنان باشد. استفاده از ابزارهای یادآور یکی از روش‌هایی است که کارکنان را در مورد موضوعات آگاهی امنیتی به‌روز نگه می‌دارد و هر از چند گاهی به آنها یادآوری می‌کند. اگر بخواهیم به برخی از ابزارهای یادآوری اشاره کنیم ‌می‌توانیم  از موارد زیر نام ببریم که سازمان‌‌ها بسته به نیاز خود ‌می‌توانند از آنها استفاده کنند .

معرفی کردن از چند رسانه

این ابزار  یک ابزار خوب و تعاملی است که کارمندان ‌می‌توانند از اموزش‌‌های که قبلا  به آنها پرداخته شده است  ازآنها استفاده کنند همچنین این روش برای آموزش از راه دور است  و مناسب سازمان‌‌های که آموزش برای آنها مقرون به صرفه نیست.

دفترچه امنیتی

اکثر افراد در سازمان خواندن نسخه چاپی را به جای فرمت الکترونیکی راحت ‌می‌دانند. جزوه در این مورد ابزاری موثر برای انتقال پیام آگاهی رسانی  امنیت اطلاعات، هدف سازمان و مسئولیت کاربر در حفاظت از دارایی‌‌های اطلاعاتی است. این کتابچه همچنین ‌می‌تواند حاوی تصاویر مربوط به امنیت اطلاعات، نقل قول‌‌ها و مطالعات موردی برای آموزش کارکنان باشد.

پوسترهای امنیت

به طور گسترده گفته ‌می‌شود که تصاویر برای انتقال پیام به افراد مختلف جامعه موثرتر هستند. مردم بیشتر مستعد دیدن نمایش گرافیکی هستند و احساس خوشحالی ‌می‌کنند. سازمان ‌می‌تواند پوسترهایی را با موضوعات امنیتی مختلف طراحی کند و در مکان‌‌های عمو‌می‌مانند ورودی، ، سالن غذاخوری، ، و نزدیک آبسردکن‌‌های و کان‌‌های که رفت آمد در آن قسمت‌‌های  سازمان  بیشتر قرار دهد.

محافظ صفحه نمایش (Screen savers)

Screen saver Screen ایده خوبی برای تبلیغ پیام‌‌های امنیتی باشد. تقریباً همه کارکنان یک سازمان از رایانه استفاده ‌می‌کنند و اسکرین سیور دارند که در حالت بیکار بودن رایانه ظاهر ‌می‌شوند. اسکرین سیور ها  را ‌می‌توان با استفاده از پیام‌‌های آگاهی امنیتی، نقل قول‌‌ها یا نمایش گرافیکی مسائل مربوط به امنیت توسعه داد و بر روی رایانه کارمند نصب کرد.

فرستادن ایمیل

 مقرون به صرفه ترین ابزار برای یادآوری کاربران در مورد آگاهی امنیتی، یک پیام ایمیل است. ایمیل یک وسیله ارتباطی پرکاربرد است و بیشتر کارکنان یک بار در روز به ایمیل دسترسی دارند. ارسال ایمیل به صورت دوره ای حاوی یادآوری آگاهی امنیتی ابزار خوب و موثری است.

تبلیغات با مسائل امنیتی

اقلام هدیه و ابزارهای تبلیغاتی مانند مداد، خودکار، پاک کن، دفترچه یادداشت، پد ماوس، جاکلیدی، فنجان یا لیوان و غیره را ‌می‌توان با عبارات امنیتی، نقل قول‌‌ها و تصاویر چاپ کرد و بین مردم توزیع کرد.

خبرنامه‌‌های امنیتی

بسیاری از سازمان‌‌های بزرگ خبرنامه رسمی ماهانه یا فصلی را منتشر ‌می‌کنند. افزودن اخبار و پیام‌‌های مرتبط با امنیت در آن خبرنامه و دادن نسخه رایگان به همه کارمندان ‌می‌تواند یک یادآوری موثر باشد.