با وجود پیشرفتهای بزرگ در زمینه فناوری در دهههای اخیر، هنوز چیزی جای عقل سلیم و قدرت تشخیص انسان را نگرفته است. در واقع عملگرایی، عقل سلیم و قدرت تشخیص چند ارزشی هستند که هنوز امکان توسعه در کد نرمافزاری یا هوش مصنوعی ندارند.
حقیقت این است که شما نمیتوانید شهود را خودکارسازی کنید. این در حالی است که کار عمده پاسخگویی به رخداد متکی بر شهود شما و هر یک از کارمندان مربوطه است. برای مثال زمانی که یک ایمیل دریافت میکنید، باید بتوانید طبق شهود و بینش خود متوجه شوید که چیزی در آن ایمیل درست به نظر نمی رسد.
تشخیص نادرست، اشتباهات و نادیدهانگاریهای شخصی باعث بروز نفوذهای احتمالی میشود. کلیک بر روی پیوند تعبیه شده در یک ایمیل یا کلاهبرداری مهندسی اجتماعی از طریق تلفن از جمله این موارد هستند. هدف شما کاهش تعداد و تأثیر این موارد است.
اگرچه آگاهیرسانی امنیت یا Security Awareness، کار سادهای نیست و برای این امر، نیاز به یک برنامه آموزشی آگاهیبخشی امنیت اطلاعات وجود دارد. آموزش آگاهیرسانی امنیت اطلاعات ممکن است خستهکننده و کسالتآور به نظر برسد ولی جای نگرانی نیست. تعدادی ابزار، منابع و ایدههای اجرایی وجود دارند که میتوانند این آموزش را برای کارمندان شما مؤثر و جذاب کنند. ما در این مقاله به این موضوع میپردازیم.
تفاوت بین آموزش پاسخ به رخداد و آموزش آگاهیرسانی امنیت
توصیه ما این است که دو برنامه آموزشی متفاوت داشته باشید: یکی برای همه کارکنان و دیگری به طور خاص برای تیم پاسخ به رخداد(CSIRT) . آموزش پاسخ به رخداد باید بر تمام جنبههای کاراز جمله فرآیند پاسخ به رخداد (IR) و همچنین مهارتهای فنی خاص مانند برنامهنویسی، مدیریت سیستمها و تجزیهوتحلیل کد متمرکز باشد.
در این مقاله، ما بر روی موضوع گستردهتری با عنوان آموزش آگاهیرسانی امنیت تمرکز میکنیم، زیرا مشاهده کردهایم که بهبود آگاهیرسانی امنیت همه افراد شرکت، تأثیر زیادی در کاهش تعداد و هزینههای رخدادهای امنیتی دارد. ما همچنین امیدواریم که این مقاله یک منبع غنی برای آموزش اعضای تیم پاسخ به رخداد شما فراهم کند.
آنچه کارمندان باید در مورد امنیت بدانند
هدف اصلی ما برای آموزش آگاهیرسانی امنیت، کاهش تعداد و تأثیر رخدادهای امنیتی پرخطر است. حملات فیشینگ و فیشینگ نیزهای (Spear-Phishing) از جمله مهمترین این خطرها هستند.
حملات فیشینگ و فیشینگ نیزهای رایجترین روشی است که با فریب دادن کارمندان شما میتوانند شرکت شما را در معرض خطر قرار دهند. کلاهبرداریهای مهندسی اجتماعی یکی از مهمترین راههای نفوذ به شرکتها هستند.
تفاوت اصلی بین فیشینگ و فیشینگ نیزهای در این است که فیشینگ نیزهای سفارشی شده و برای یک کارمند و شرکت خاص طراحی میشود، در حالی که حملات فیشینگ عمومیتر و سادهتر هستند.
دفاع در برابر هر دو نوع حمله مستلزم هوشیاری و آگاهی از جانب هر کارمند است. به جای آموزش جنبههای فنی نحوه عملکرد فیشینگ یا موضوعات مبهم مانند تفاوتهای بین Rootkit، بات و ثبتکننده لاگ صفحهکلید (KeyLogger) بر روی آموزش مهارتها و تشخیص درست تمرکز کنید.
چند نمونه از کلاهبرداریهای فیشینگ و فیشینگ نیزهای را به کارمندان نشان دهید و آنها را تشویق کنید که حتی اگر فرستنده ایمیل را میشناسند، باز هم محتاط باشند. همچنین ممکن است بخواهید حملات فیشینگ شبیهسازی شده را برای آموزش کارکنان در مورد رفتارهای امنیتی مناسب، اندازهگیری اثربخشی برنامه آموزشی خود و شناسایی هرگونه شکاف دانش (بین چیزی که کارمندانتان میدانند و چیزی که باید بدانند) در نظر بگیرید.
اهداف و معیارهای آگاهیرسانی امنیت
چگونه میزان آگاهی یک فرد را اندازهگیری میکنید؟ با عملکرد فرد یا با کاهش تعداد رخدادهای امنیتی و مواجهههایی که مجبور به پاسخگویی هستید؟
معیارهای امنیتی مناسب معیارهایی هستند که عملکرد افراد و صحت آن را نشان میدهند. در اینجا چند شاخص برای افزایش آگاهی و آموزش مؤثر آورده شده است:
- تیکتهای Help Desk را بررسی و دنبال کنید و انتظار داشته باشید که شاهد افزایش تعداد کارمندانی باشید که رویدادها و فعالیتهای مشکوک را گزارش میکنند. این لزوما به این دلیل نیست که رویدادهای مشکوک بیشتری اتفاق میافتد، بلکه به این دلیل است که کارکنان نسبت به آنها حساستر شدهاند.
- روشهای آموزشی غیرسنتی مانند تمرینهای شبیهسازی را برای آزمایش مقاومت کارمند در برابر کلاهبرداریهای مهندسی اجتماعی امتحان کنید و سپس پیشرفت را بهصورت فصلی اندازهگیری کنید.
هفت نکته مهم در آگاهیرسانی امنیت اطلاعات
- حمایت تیم مدیریت را بدست بیاورید
این یک حقیقت کلی است که تیم مدیریت بر کل شرکت، هر تیم و هر پروژه تأثیرگذار هستند. اگر میخواهید برنامه آموزشی آگاهی از امنیت شما موفقیتآمیز باشد، تیم مدیریت را در هر مرحله درگیر کنید و از آنها مشارکت و حمایت آشکار بخواهید.
- فرهنگ، زمینه و تداوم امور ضروری هستند
سعی کنید فرهنگی را در شرکت خود القا کنید که در آن همه افراد، امنیت را به عنوان بخشی از شغل خود میبینند. تنها به یکبار آموزش امنیت اکتفا نکنید و به دنبال آموزش لحظهای در فعالیتهای روزانه کسبوکار خود باشید. برای مثال، تمرینهای شبیهسازی حمله، یکی از اززشمندترین روشهای آموزشی هستند که زمینه را برای موقعیتهای مخاطرهآمیز واقعی فراهم میکنند.
- آموزش باید واضح باشد، از سناریوها و برنامههای کاربردی دنیای واقعی استفاده کنید
شما در تلاش برای افزایش آگاهی و تغییر رفتار کارمندان خود هستید، پس هر چقدر واقعیتر، مرتبطتر و قانعکنندهتر این کار را انجام دهید، موفقتر خواهید بود. مسائل را بیشازحد پیچیده نکنید و سعی نکنید به هر موقعیت ممکن بپردازید، زیرا این امر به سادگی امکانپذیر نیست.
- سعی کنید از فهرست طولانی و خستهکننده «نبایدها» اجتناب کنید
به جای استفاده از لیست «نبایدها» از رویکرد آموزشی مبتنی بر سناریو و نحوه انجام کارها بصورت ایمن استفاده کنید. به یاد داشته باشید که هدف شما القای مهارتها و عادات خوب به جای حفظ کردن طوطیوار یک لیست است. محتوا را بهروز و جذاب نگه دارید تا کارمندان همیشه آن را به خاطر بیاورند.
- دلایل خوبی ارائه دهید و رهنمودهای امنیتی را توضیح دهید
ممکن است کاربران از خط مشیهای رمز عبور شکایت کنند. به آنها توضیح دهید که چرا اطلاعات اعتباری یک کاربر بسیار ارزشمند هستند و محافظت از آنها چقدر مهم است. هنگامی که یک کارمند بفهمد چرا برخی از کنترلهای امنیتی وجود دارد، به احتمال زیاد به آنها احترام میگذارد و اصول مشابهی را برای هر موقعیت جدید پرخطر اعمال میکند.
- آگاهیرسانی امنیت باید مبتنی بر نقش باشد
آموزش زمانی معنادار است که با نقش کارمندان در شرکت و خطراتی که در ایفای آن نقش با آن مواجه هستند، ارتباط تنگاتنگی داشته باشد. به عنوان مثال، یک شخص در بخش فروش در مورد نحوه محافظت از دادهها و تجهیزات شرکت حین سفر نسبت به فردی که در زمینه فنی فعالیت میکند، به آموزش بیشتری نیاز دارد.
- با استفاده از روشها و قالبهای متعدد خلاقیت ایجاد کنید
هیچ رویکرد واحدی برای آگاهیرسانی امنیت وجود ندارد و هیچ ابزار آموزشی واحدی وجود ندارد که همه موضوعات یا مخاطبان را در خود جای دهد. همچنین اکثر شرکتها دریافتهاند که رویکرد آموزش بر اساس پاورپوینت، دیگر کار نمیکند. بنابراین با توجه به فرهنگ سازمانی شرکت خود به فکر یک بازی برای آگاهیرسانی امنیت به کارکنان باشید. از خبرنامهها، پوسترها، وبلاگها و سایر رسانهها به عنوان راههایی برای انتشار پیام استفاده کنید.