آگاهی رسانی امنیتی | راهنمای گامبهگام SAT برای مدیران سازمانها
آموزش
آیا پول هنگفتی برای خرید محصولات امنیت شبکه خرج کردهاید و هنوز هم شبکه سازمان شما هک میشود؟ به احتمال زیاد، مشکل سازمان شما، ناآگاهی سایبری کارکنان و سوء استفاده هکرها از اشتباهات پرسنل شما است. در واقع، به استناد مطالعه پروفسور Jeff Hancock در سال ۲۰۲۰ در دانشگاه استنفورد انجام شده است، حدود ۸۸ درصد از موارد نقض داده به دلیل خطاهای انسانی هستند. در چنین شرایطی، هر سازمانی باید برنامهای برای آگاهی رسانی امنیتی (SAT) برای آگاهسازی سایبری کارکنان خود داشته باشد. در این مقاله، برای شما توضیح میدهیم که SAT چیست، چرا ضرورت دارد و یک برنامه آگاهی رسانی امنیتی سایبری کامل باید چه مواردی را پوشش دهد. با سایبرنو همراه باشید.
عناوینی که در ادامه میخوانید:
آگاهی رسانی امنیتی (SAT) چیست؟
چرا آگاهی رسانی امنیتی ضروری است؟
مؤلفههای اصلی آگاهی رسانی امنیتی کدامند؟
چطور آگاهی رسانی امنیتی را به بهترین شکل اجرا کنیم؟
آگاهی رسانی امنیتی (SAT) چیست؟
آگاهی رسانی امنیتی (Security Awareness Training) که به اختصار SAT نامیده میشود، نوعی برنامه آموزشی است که برای آگاهسازی کارکنان سازمانها و افراد دارای دسترسیها و مسئولیتهای حساس در رابطه با تهدیدات سایبری و چگونگی حفاظت اطلاعات اجرا میشود.
در گذشتهای نزدیک، برگزاری برنامههای آگاهی رسانی امنیتی، نوعی اقدام لوکس و غیر ضروری به نظر میرسید که فقط بعضی از سازمانهای بزرگ آن را انجام میدادند. امروزه، با وابستگی هر چه بیشتر سازمانهای دولتی و خصوصی به فناوری اطلاعات و نیز با گسترش روز به روز تهدیدات سایبری، اجرای منظم برنامههای SAT برای هر سازمانی در مقیاس متوسط تا بزرگ، ضروری به نظر میرسد.
بعضی از سازمانهای بزرگ که دارای تیمهای امنیتی تخصصی هستند، نیازی به برونسپاری برنامه آگاهی رسانی امنیتی ندارند و میتوانند از ظرفیت نیروی انسانی تیمهای امنیتی خود برای چنین برنامههایی استفاده کنند. در مقابل، سازمانهای کوچک و متوسط که فاقد تیم امنیتی هستند، باید برنامههای آگاهی رسانی امنیتی را به یک شرکت امنیت سایبری برونسپاری کنند.
هدف اصلی آگاهی رسانی امنیتی، ایجاد آگاهی نسبت به تهدیدات سایبری در تمامی کارکنان سازمان، از کارمندان با پایینترین دسترسی گرفته تا مدیران با بیشترین دسترسی است. بدین ترتیب، سهم خطای انسانی در رویدادهای امنیتی کاهش پیدا میکند. البته، توجه داشته باشید که SAT تنها قطعه کوچکی از پازل امنیت سایبری سازمان شما است و تنها در صورتی مؤثر خواهد بود که دیگر قطعات این پازل پیچیده، شامل پیکربندی درست شبکه، استقرار راهکارهای امنیت شبکه، نظارت بر فعالیتهای درونشبکه و ... همگی در جای درست خودشان قرار داشته باشند.
چرا آگاهی رسانی امنیتی ضروری است؟
همانطور که گفتیم، دلیل اصلی هک شدن سازمانها، اشتباهات امنیتی کارکنان آنها است. در واقع، هکرها با روشهای مهندسی اجتماعی، کارکنان سازمانها را به گونهای فریب میدهند تا مرتکب اشتباهی امنیتی شوند؛ این اشتباه میتواند کلیک کردن روی یک لینک آلوده یا اتصال یک دستگاه USB آلوده به کامپیوتری متصل به شبکه سازمان باشد. در هر صورت، تکنیکهای هک به روش مهندسی اجتماعی، بسیار گسترده هستند و روز به روز به پیچیدگی آنها اضافه میشود.
همچنین، این روزها که شبکههای اجتماعی بخش جداییناپذیری از زندگی مردم را تشکیل میدهند، تهدیدات سایبری بیشتری کارکنان و سازمان شما را تهدید میکنند. امروزه، هکرها و مجرمین سایبری در شبکههای اجتماعی با تکنیکهایی مثل کت فیشینگ، در کمین کارکنان سازمانها نشستهاند تا آنها را تخلیه اطلاعاتی کنند و با فریب دادن آنها، به شبکه سازمان شما نفوذ کنند.
حوادث امنیتی مانند نقض داده، نه تنها میتوانند خسارتهای مالی سنگینی بر شرکتهای خصوصی تحمیلکنند، بلکه باعث صدمات جبرانناپذیری به هویت و اعتبار سازمانها، چه شرکتهای خصوصی و چه سازمانهای دولتی وارد میکنند. همچنین، در بعضی موارد، این رویدادها در سازمانهای دولتی مهم میتوانند با نشت اطلاعات محرمانه بحرانهای سیاسی و امنیتی جدی ایجاد کنند.
بنابراین، ضرورت دارد که تمامی سازمانهای دولتی و خصوصی در هر مقیاسی، برنامههای آگاهی رسانی امنیتی را برای کارکنان خود برگزار کنند.
مؤلفههای اصلی آگاهی رسانی امنیتی کدامند؟
آگاهی رسانی امنیتی (SAT) نسخه از پیش تعیینشده و مشخصی ندارد که برای همه سازمانها مناسب باشد، بلکه هر سازمانی، بر اساس نوع فعالیتی که انجام میدهد، سطح حساسیت دادههایی که نگهداری میکند، تعداد پرسنلی که دارد، نوع شبکهای که از آن استفاده میکند و موارد دیگر، باید برنامه آگاهی رسانی امنیتی خاص خودش را داشته باشد. با این حال، بعضی از مؤلفهها در آگاهی رسانی امنیتی، تقریبا همهشمول هستند و در تمامی برنامههای آگاهی رسانی باید مورد توجه قرار بگیرند. مهمترین مؤلفههای هر برنامه آگاهی رسانی امنیتی به شرح زیر هستند:
آگاهیرسانی نسبت به حملات فیشینگ (phishing)
باید به کارکنان آموزش داده شود که چطور حملات فیشینگ مانند ایمیلهای مشکوک، وبسایتهای فیشینگ، تماسهای تلفنی با هدف تخلیه اطلاعاتی و ... را شناسایی و دفع کنند.
مدیریت گذرواژه
گذرواژههای ضعیف و به سرقترفته، بالاترین نقش را در رخدادهای نقض داده دارند. باید به کارکنان آموزش داده شود که قوی بودن گذرواژه و محافظت از آن تا چه اندازه میتواند مهم باشد و انتخاب گذرواژهای ضعیف یا محافظت نکردن از گذرواژههایی که برای ورود به سیستمهای سازمان مورد استفاده قرار میگیرند، میتواند چه تبعات سنگینی برای سازمان و برای شخص بر جای بگذارد. همچنین، باید استفاده از ابزارهای مدیریت گذرواژه به کارکنان آموزش داده شود.
امنیت دستگاه
یکی از بخشهای اصلی هر برنامه آگاهی رسانی امنیتی، باید نحوه استفاده امن از دستگاههای متصل به شبکه سازمان، شامل کامپیوترهای سازمانی یا گوشیهای موبایل شخصی باشد که کارکنان از آنها برای انجام کارهای سازمانی استفاده میکنند یا با آنها به شبکه سازمان متصل میشوند.
گزارش رخدادهای امنیتی
باید نحوه تشخیص رخدادهای امنیتی به کارکنان آموزش داده شود و از آنها خواسته شود تا هر گونه رخداد مشکوک را به مدیران خود گزارش دهند.
امنیت در شبکههای اجتماعی
کارکنان باید نسبت به تهدیدات امنیتی که در فضای مجازی و شبکههای اجتماعی در کمین آنها نشستهاند، آگاهسازی شوند. مهندسی اجتماعی در شبکههای اجتماعی یکی از روشهای اصلی هکرها برای تخلیه اطلاعاتی کارکنان سازمانها یا نفوذ به دستگاههای شخصی یا سازمانی آنها است. بنابراین، نحوه تشخیص حملات مهندسی اجتماعی و مقابله با چنین حملاتی به کارکنان آموزش داده شود.
چطور آگاهی رسانی امنیتی را به بهترین شکل اجرا کنیم؟
آگاهی رسانی امنیتی باید:
۱- به طور منظم و دورهای اجرا شود: تنها اجرای یک بار برنامه آگاهی رسانی امنیتی به هیچ عنوان کافی نیست زیرا تهدیدات سایبری به سرعت تکامل پیدا میکنند و باید آموزشها نیز متناسب با این سرعت بالا تکامل تهدیدات، بروزرسانی شوند. همچنین، سازمانها کارکنان جدیدی را استخدام میکنند که در برنامههای پیشین آگاهی امنیتی حضور نداشتهاند.
۲- باید با مانور سایبری و تست نفوذ مهندسی اجتماعی همراه باشد: هر برنامه آموزشی باید نوعی آزمون داشته باشد تا میزان اثربخشی آن مشخص شود. در مورد آگاهی رسانی امنیتی نیز باید با اجرای دورهای مانور سایبری و تست نفوذ مهندسی اجتماعی، میزان آگاهی سایبری کارکنان و اثربخشی برنامههای SAT را به صورت دورهای سنجید.
۳- شامل روشهای آموزشی چندرسانهای باشد: به یاد داشته باشید که افراد مختلف، الگوهای یادگیری متفاوتی دارند و بنابراین، باید از تکنیکها و روشهای آموزشی متنوعی مثل استفاده از ویدئو، پاوروینت، پادکست و ... در برنامههای آگاهی رسانی امنیتی استفاده شود تا همه کارکنان به خوبی آموزشهای لازم را دریافت کنند. همچنین، برنامهآموزشی باید تعاملی باشد و برای مثال، تمریناتی به کارکنان داده شود تا آنها را حل کنند.
۴- فضای مثبتی در سازمان ایجاد کند: برنامه آگاهی رسانی امنیتی نباید جو سازمان را مخوف و امنیتی کند و تلاش داشته باشد تا کارکنان را بترساند. این برنامه باید فضایی ایجاد کند که کارکنان با داشتن حس آرامش و امنیت بتوانند تصمیماتی با آگاهی امنیتی بگیرند و در ازای رفتار امنیتی مثبت خود، پاداش دریافت کنند. برای مثال، گزارش دادن رخدادهای مشکوک با نوعی پاداش به کارکنان همراه باشد.
۵- مدیران ارشد سازمان باید در برنامه حضور داشته باشند: یکی از مهمترین رازهای موفقیت هر برنامه آگاهی رسانی امنیتی این است که مدیران ارشد سازمان نیز در کنار کارکنان ردههای پایینتر سازمان در برنامه حضور داشته باشند. این موضوع سبب میشود تا کارکنان برنامه را جدیتر بگیرند.
