آگاهی رسانی امنیت (Security awareness) چیست؟
آگاهی رسانی امنیت ترکیبی از داشتن دانش و انجام کارهای که افراد یک سازمان یا یک کسب وکار باید در قبال اطلاعات و داراییهای امنیتی انجام دهند.
در واقع آگاهی رسانی امنیت سایبری شامل توجه به امنیت سایبری در موقعیتهای روزمره است. آگاهی از خطرات وبگردی ، چک کردن ایمیل و ارتباطات آنلاین، همه از بخشهای آگاهی رسانی امنیت سایبری هستند. مدیران یک سازمان باید مطلع باشند که آگاهی رسانی امنیت یک امر ضروری است.
هنگامی که کارکنان یک سازمان از امنیت سایبری آگاه باشند، به این معنی است که آنها میدانند که تهدیدات سایبری چیست، و متوجه اثرات یک حمله سایبری بر کسبوکار آنها و اقدامات لازم برای کاهش خطرات و جلوگیری از نفوذ جرایم سایبری به فضای کاری آنلاین آنها هستند.
ایجاد یک فرهنگ و دانش در مورد آگاه رسانی امنیت سایبری در سازمان به این معنی نیست که خطر سرقت اطلاعات یا جرایم سایبری را به طور کامل در سازمان خود از بین خواهید برد. بدافزارها رشد کردهاند و با هر بار توسعه ی جدید، پیچیدهتر میشوند و ما انتظار داریم که شاهد تکامل و رشد تهدیدات سایبری و بدافزارها باشیم.
گزارشی https://www.darkreading.com که در سال 2005 روزانه 123 نوع جدید بدافزار پیدا میشود. در طول آن سال، 10000 مورد از این تهدیدات، انواع جدید بدافزار بودند. 11 سال بعد، تحقیقات نشان داد که در هر ثانیه، چهار مدل جدید بدافزار مخرب در سه ماهه سوم سال 2016 کشف میشود نکته مهم این است که تاکید کنیم اینها انواعی از بد افزارها بودند که شرکتهای امنیت سایبری پیدا و شناسایی کرده بودند.
با رشد انواع بدافزارهای جدید، شرکتها باید اطمینان حاصل کنند که اقدامات امنیتی را بهدرستی اجرا میکنند به کارکنان خودآموزش میدهند و هر نقطهضعفی را که آنها را در برابر حمله آسیبپذیر میکند، از بین میبرند.
همانطور که همه ما میدانیم افراد ضعیفترین حلقه در زنجیره امنیت هستند و شروعکننده بسیاری از نقصهای امنیت اطلاعات در سازمان هستند تصور اشتباهی که وجود دارد این است که معمولا بخش IT یا امنیت مسئول امنیت دادههای مهم اطلاعاتی در نظر گرفته میشود باید به کارمندان یک سازمان گفته شود که بخش امنیت فناوری اطلاعات در سازمان تنها مسئول نیست بلکه امنیت اطلاعاتهای یک سازمان مسئولیت همه و در هر سطحی از سلسله مراتب است.
در مورد اسپلانک بخوانید.
برنامههای مؤثر برای آگاهی رسانی امنیت
روشهای رسیدن بهآگاهی رسانی امنیت برای همه کارکنان سازمان با روشهای مختلفی قابل دستیابی است، اما همه آنها چندان مؤثر نیستند و گاهی اوقات نیازهای سازمان را برآورده نمیکنند بلکه باید این روشها با هم اجرا شوند تابه یک برنامه جامع آگاهی امنیتی منجر شوند هرچند که سازمانها میتوانند هرکدام از این راهکارها را برای یک راهحل حیاتی برای سازمان خود بدون درنظرگرفتن راهکارهای جامع در نظر بگیرند
همه این روشها یک پیام اصلی دارند و آن این است که: کارکنان و رفتار آنها مسئول، امنیت اطلاعات سازمان است
در این مقاله به چند روش برای انتقال پیام آگاهی رسانی امنیت در سازمانها اشاره میکنیم :
- آموزش آگاهی رسانی امنیت اطلاعات
- آگاهیرسانی امنیت اطلاعات از روش مبتنی بر رایانه
- خدمات آگاهی و ابزارهای یادآوری آن
آموزش آگاهی رسانی امنیت
این روش بسیار کارآمد و مؤثرترین روش برای جذب کاربران در محیط آموزش است. این روش کمک میکند تا موضوع و مطالب امنیتی بهصورت تعاملی توضیح داده شود. مطالبی که در جلسات گفته میشود ممکن است باتوجهبه مشخصات مخاطب متفاوت باشد. معمولاً مخاطبانآگاهی رسانی منیت را میتوان به دسته مخاطبهای زیر تقسیم کرد:
مدیران
مدیران حامی نهایی و مهمترین حامی برنامه آگاهی از امنیت هستند. آنها نیاز بسیار خاصی به درک اهداف برنامه آگاهی و نقش امنیت در دستیابی به اهداف تجاری آنها دارد.
ارائه خدمات به مدیران باید بر روی تهدیدات امنیتی متمرکز باشد که سازمان ممکن است در کوتاهمدت یا طولانیمدت با آنها مواجه میشود. باید به طور واضح به مدیران اعلام شود که بدون حمایت آنها سازمان و کارکنان قادر به محافظت از اطلاعات سازمان وجود ندارد. اشتباهات برجستهای که توسط مدیران ارشد یک سازمان ممکن است رخداده شود عبارتاند از:
- مشکلات امنیتی را نادیده میگیرند
- قادر نیستند اهمیت اطلاعات مهم را شناسایی کنند
- اولویت آنها محصولات امنیتی جدید است
- عدم درک رابطه امنیت اطلاعات با کسبوکار آنها
- عدم ارائه آموزش و زمان دادن به کارکنان خود
- راهحل پیادهسازی
کارمندان
کارمندان معمولاً مسئول حفاظت کلی ازامنیت اطلاعات نیستند اطلاعات آنها و اطلاعاتی که با آن سروکار دارندباید در محیط ایمن باشد. کارمندان درگیر فعالیتهای روزانه هستند و از دادهها برای انجام کارهای خود استفاده میکنند. این نوع مخاطب نیاز به درک دقیق تهدیدات امنیت اطلاعات، آسیبهای ناشی از تهدیداتی که اطلاعات دارند و راه حلهایی برای کاهش آسیب دارد. آنها همچنین باید با سیاستها و رویههایی که به آنها در تضمین عملکرد و امنیت کمک میکند آشنا باشند.
پیامی که باید به کاربران باید همیشه گوشزد کرد :
هر زمان که مشکلی پیش آمد یا سؤالی داشتید با بخش امنیت اطلاعات خود مشورت کنید. در اینجا برخی از اشتباهات کارمندان سازمان وجود دارد که اگر به موارد برجسته آنها بخواهیم اشاره کنیم :
- نقص سیاستهای امنیتی سازمان
- باز کردن پیوست ایمیلهای ناشناخته
- نصب نرم افزار ها از منبعهای نامعتبر
- بازدید از وب سایتهای مشکوک
- عدم گزار ش ندادن از حواث امنیتی
- قربانی شدن در مهندسی اجتماعی مانند فیشینگ و … (social engineering)
کارکنان امنیتی
اکثراً درک میشود که افراد فنی نیازی به آگاهی رسانی از امنیت ندارند آگاهی از آنجایی که آنها کسانی بودند که سیستم را طراحی کردند، پس چرا باید آنها را برای جلسات آگاهی اولیه فراخواند؟ هدف از جلسه آگاهی رسانی از امنیت برای افراد فنی این است که به آنها توضیح دهد که چگونه فناوری به کسب و کار کمک میکند و چه چیزی برای محافظت از تجارت و فناوری لازم است.
همانطور که قبلاً بحث شد، برنامه آگاهی از امنیت به این معنی نیست که برای همه یک اندازه مناسب باشد، بلکه موضوعات باید بر اساس مشخصات مخاطبان سفارشی شوند.
آگاهی رسانی امنیت اطلاعات از روش کارگاه آنلاین امنیت
برخی از شرکتها برنامه و پلتفرم آگاهی رسانی از امنیت را برای کاربران یک سازمان برای استفاده آسان و همیشه در دسترس قرار میدهند. آنها یک برنامه کامپیوتری طراحی میکنند و آن را در شبکه سازمان نصب میکنند که همیشه در دسترس است. با استفاده از این رویکرد کارگاه آموزشی آنلاین ، کارکنان میتوانند در اوقات فراغت خود به آن دسترسی داشته باشند و سپس به تنهایی موضوعات مورد علاقه خود را بیاموزند. برنامههای کاربردی کامپیوتر عمدتاً دو ماژول اصلی را پوشش میدهند و با سیاستهای امنیتی شرکت مطابقت دارند.
ماژول اول
یک خود ارزیابی با استفاده از فرم نظرسنجی است. این به کاربران کمک میکند تا ارزیابی کنند که در چه مواردی خط مشیهای امنیتی سازمان خود را درک نمیکنند. این یک تکنیک خوب برای کاربران برای تجزیه و تحلیل نقاط قوت، ضعف و انطباق با برنامه آگاهی رسانی سازمان است تا سازمان بتوانند آموزشهای مرتبط لا نقص آنها در پلتفرم ارائه دهند.
ماژول دوم
معمولاً در مورد آموزش مسائل امنیتی است، این به کاربران کمک میکند تا سیاستها و رویههای امنیتی شرکت را یاد بگیرند و آموزش دهند.
از انجایی که یکی از خدمات بارز شرکت فناوری راه نو سورین در حوزه آگاهی رسانی امنیت است پلتفرمی با نام سکتور ارائه داده ،که سعی شده است در این کارگاه آموزشهای از امنیت مواردی که طول روز افراد ممکن است افراد با آن روبه رو شوند آورده شده است. اگر بخواهیم به قابلیتها این پلتفرم کار امد اشاره کنیم میتوانیم به طراحی آموزش و طراحی آزمون اشاره کرد در ضمت داخل این محصول شما میتوانید مطالب امنیتی به روز را در سطحهای مختلف مطالعه کنید.
یکی دیگر از قابلیتهای سکتور برای مشتاق کردن کارمندان یک سازمان به آموزش از توکنهای برای جایزه به افراد در قابل قبولی در ازمونها و دادن گواهینامه اشاره کرد.
در ادامه به برخی از موضوعاتی که آموزش آنها میتواند مهم باشد اشاره میکنیم:
- ساخت رمز عبور
- استفاده از اینترنت
- کلاهبرداری تلفنی
- امنیت فیزیکی
- استفاده از ایمیل
- ویروسها
- امنیت دسکتاپ
- مهندسی اجتماعی
- جعل هویت
خدمات آگاهی و ابزارهای یادآوری
همانطور که قبلاً بارها بحث شد، آگاهی رسانی امنیت یک فرآیند مستمر است و باید بخشی از وظایف شغلی و محیط کار کارکنان باشد. استفاده از ابزارهای یادآور یکی از روشهایی است که کارکنان را در مورد موضوعات آگاهی امنیتی بهروز نگه میدارد و هر از چند گاهی به آنها یادآوری میکند. اگر بخواهیم به برخی از ابزارهای یادآوری اشاره کنیم میتوانیم از موارد زیر نام ببریم که سازمانها بسته به نیاز خود میتوانند از آنها استفاده کنند .
معرفی کردن از چند رسانه
این ابزار یک ابزار خوب و تعاملی است که کارمندان میتوانند از اموزشهای که قبلا به آنها پرداخته شده است ازآنها استفاده کنند همچنین این روش برای آموزش از راه دور است و مناسب سازمانهای که آموزش برای آنها مقرون به صرفه نیست.
دفترچه امنیتی
اکثر افراد در سازمان خواندن نسخه چاپی را به جای فرمت الکترونیکی راحت میدانند. جزوه در این مورد ابزاری موثر برای انتقال پیام آگاهی رسانی امنیت اطلاعات، هدف سازمان و مسئولیت کاربر در حفاظت از داراییهای اطلاعاتی است. این کتابچه همچنین میتواند حاوی تصاویر مربوط به امنیت اطلاعات، نقل قولها و مطالعات موردی برای آموزش کارکنان باشد.
پوسترهای امنیت
به طور گسترده گفته میشود که تصاویر برای انتقال پیام به افراد مختلف جامعه موثرتر هستند. مردم بیشتر مستعد دیدن نمایش گرافیکی هستند و احساس خوشحالی میکنند. سازمان میتواند پوسترهایی را با موضوعات امنیتی مختلف طراحی کند و در مکانهای عمومیمانند ورودی، ، سالن غذاخوری، ، و نزدیک آبسردکنهای و کانهای که رفت آمد در آن قسمتهای سازمان بیشتر قرار دهد.
محافظ صفحه نمایش (Screen savers)
Screen saver Screen ایده خوبی برای تبلیغ پیامهای امنیتی باشد. تقریباً همه کارکنان یک سازمان از رایانه استفاده میکنند و اسکرین سیور دارند که در حالت بیکار بودن رایانه ظاهر میشوند. اسکرین سیور ها را میتوان با استفاده از پیامهای آگاهی امنیتی، نقل قولها یا نمایش گرافیکی مسائل مربوط به امنیت توسعه داد و بر روی رایانه کارمند نصب کرد.
فرستادن ایمیل
مقرون به صرفه ترین ابزار برای یادآوری کاربران در مورد آگاهی امنیتی، یک پیام ایمیل است. ایمیل یک وسیله ارتباطی پرکاربرد است و بیشتر کارکنان یک بار در روز به ایمیل دسترسی دارند. ارسال ایمیل به صورت دوره ای حاوی یادآوری آگاهی امنیتی ابزار خوب و موثری است.
تبلیغات با مسائل امنیتی
اقلام هدیه و ابزارهای تبلیغاتی مانند مداد، خودکار، پاک کن، دفترچه یادداشت، پد ماوس، جاکلیدی، فنجان یا لیوان و غیره را میتوان با عبارات امنیتی، نقل قولها و تصاویر چاپ کرد و بین مردم توزیع کرد.
خبرنامههای امنیتی
بسیاری از سازمانهای بزرگ خبرنامه رسمی ماهانه یا فصلی را منتشر میکنند. افزودن اخبار و پیامهای مرتبط با امنیت در آن خبرنامه و دادن نسخه رایگان به همه کارمندان میتواند یک یادآوری موثر باشد.