با وجود پیشرفت‌های بزرگ در زمینه فناوری در دهه‌های اخیر، هنوز چیزی جای عقل سلیم و قدرت تشخیص انسان را نگرفته است. در واقع عمل‌گرایی، عقل سلیم و قدرت تشخیص چند ارزشی هستند که هنوز امکان توسعه در کد نرم‌افزاری یا هوش مصنوعی ندارند.

حقیقت این است که شما نمی‌توانید شهود را خودکارسازی کنید. این در حالی است که کار عمده پاسخگویی به رخداد متکی بر شهود شما و هر یک از کارمندان مربوطه است. برای مثال زمانی که یک ایمیل دریافت می‌کنید، باید بتوانید طبق شهود و بینش خود متوجه شوید که چیزی در آن ایمیل درست به نظر نمی رسد.

تشخیص نادرست، اشتباهات و نادیده‌انگاری‌های شخصی باعث بروز نفوذهای احتمالی می‌شود. کلیک بر روی پیوند تعبیه شده در یک ایمیل یا کلاهبرداری مهندسی اجتماعی از طریق تلفن از جمله این موارد هستند. هدف شما کاهش تعداد و تأثیر این موارد است.

اگرچه آگاهی‌رسانی امنیت یا Security Awareness، کار ساده‌ای نیست و برای این امر، نیاز به یک برنامه آموزشی آگاهی‌بخشی امنیت اطلاعات وجود دارد. آموزش آگاهی‌رسانی امنیت اطلاعات ممکن است خسته‌کننده و کسالت‌آور به نظر برسد ولی جای نگرانی نیست. تعدادی ابزار، منابع و ایده‌های اجرایی وجود دارند که می‌توانند این آموزش را برای کارمندان شما مؤثر و جذاب کنند. ما در این مقاله به این موضوع می‌پردازیم.

تفاوت بین آموزش پاسخ به رخداد و آموزش آگاهی‌رسانی امنیت

توصیه ما این است که دو برنامه آموزشی متفاوت داشته باشید: یکی برای همه کارکنان و دیگری به طور خاص برای تیم پاسخ به رخداد(CSIRT) . آموزش پاسخ به رخداد باید بر تمام جنبه‌های کاراز جمله فرآیند پاسخ به رخداد (IR) و همچنین مهارت‌های فنی خاص مانند برنامه‌نویسی، مدیریت سیستم‌ها و تجزیه‌و‌تحلیل کد متمرکز باشد.

در این مقاله، ما بر روی موضوع گسترده‌تری با عنوان آموزش آگاهی‌رسانی امنیت تمرکز می‌کنیم، زیرا مشاهده کرده‌ایم که بهبود آگاهی‌رسانی امنیت همه افراد شرکت، تأثیر زیادی در کاهش تعداد و هزینه‌های رخدادهای امنیتی دارد. ما همچنین امیدواریم که این مقاله یک منبع غنی برای آموزش اعضای تیم پاسخ به رخداد شما فراهم کند.

آنچه کارمندان باید در مورد امنیت بدانند

هدف اصلی ما برای آموزش آگاهی‌رسانی امنیت، کاهش تعداد و تأثیر رخدادهای امنیتی پرخطر است. حملات فیشینگ و فیشینگ نیزه‌ای (Spear-Phishing) از جمله مهمترین این خطرها هستند.

حملات فیشینگ و فیشینگ نیزه‌ای رایج‌ترین روشی است که با فریب دادن کارمندان شما می‌توانند شرکت شما را در معرض خطر قرار دهند. کلاهبرداری‌های مهندسی اجتماعی یکی از مهمترین راه‌های نفوذ به شرکت‌ها هستند.

تفاوت اصلی بین فیشینگ و فیشینگ نیزه‌ای در این است که فیشینگ نیزه‌ای سفارشی شده و برای یک کارمند و شرکت خاص طراحی می‌شود، در حالی که حملات فیشینگ عمومی‌تر و ساده‌تر هستند.

دفاع در برابر هر دو نوع حمله مستلزم هوشیاری و آگاهی از جانب هر کارمند است. به جای آموزش جنبه‌های فنی نحوه عملکرد فیشینگ یا موضوعات مبهم مانند تفاوت‌های بین Rootkit، بات و ثبت‌کننده لاگ صفحه‌کلید (KeyLogger) بر روی آموزش مهارت‌ها و تشخیص درست تمرکز کنید.

چند نمونه از کلاهبرداری‌های فیشینگ و فیشینگ نیزه‌ای را به کارمندان نشان دهید و آن‌ها را تشویق کنید که حتی اگر فرستنده ایمیل را می‌شناسند، باز هم محتاط باشند. همچنین ممکن است بخواهید حملات فیشینگ شبیه‌سازی شده را برای آموزش کارکنان در مورد رفتارهای امنیتی مناسب، اندازه‌گیری اثربخشی برنامه آموزشی خود و شناسایی هرگونه شکاف دانش (بین چیزی که کارمندانتان می‌دانند و چیزی که باید بدانند) در نظر بگیرید.

اهداف و معیارهای آگاهی‌رسانی امنیت

چگونه میزان آگاهی یک فرد را اندازه‌گیری می‌کنید؟ با عملکرد فرد یا با کاهش تعداد رخدادهای امنیتی و مواجهه‌هایی که مجبور به پاسخگویی هستید؟

معیارهای امنیتی مناسب معیارهایی هستند که عملکرد افراد و صحت آن را نشان می‌دهند. در اینجا چند شاخص برای افزایش آگاهی و آموزش مؤثر آورده شده است:

• تیکت‌های Help Desk را بررسی و دنبال کنید و انتظار داشته باشید که شاهد افزایش تعداد کارمندانی باشید که رویدادها و فعالیت‌های مشکوک را گزارش می‌کنند. این لزوما به این دلیل نیست که رویدادهای مشکوک بیشتری اتفاق می‌افتد، بلکه به این دلیل است که کارکنان نسبت به آن‌ها حساس‌تر شده‌اند.
• روش‌های آموزشی غیرسنتی مانند تمرین‌های شبیه‌سازی را برای آزمایش مقاومت کارمند در برابر کلاهبرداری‌های مهندسی اجتماعی امتحان کنید و سپس پیشرفت را به‌صورت فصلی اندازه‌گیری کنید.

هفت نکته مهم در آگاهی‌رسانی امنیت اطلاعات

1. حمایت تیم مدیریت را بدست بیاورید

این یک حقیقت کلی است که تیم مدیریت بر کل شرکت، هر تیم و هر پروژه تأثیرگذار هستند. اگر می‌خواهید برنامه آموزشی آگاهی از امنیت شما موفقیت‌آمیز باشد، تیم مدیریت را در هر مرحله درگیر کنید و از آن‌ها مشارکت و حمایت آشکار بخواهید.

2. فرهنگ، زمینه و تداوم امور ضروری هستند

سعی کنید فرهنگی را در شرکت خود القا کنید که در آن همه افراد، امنیت را به عنوان بخشی از شغل خود می‌بینند. تنها به یک‌بار آموزش امنیت اکتفا نکنید و به دنبال آموزش لحظه‌ای در فعالیت‌های روزانه کسب‌و‌کار خود باشید. برای مثال، تمرین‌های شبیه‌سازی حمله، یکی از اززشمندترین روش‌های آموزشی هستند که زمینه را برای موقعیت‌های مخاطره‌آمیز واقعی فراهم می‌کنند.

3. آموزش باید واضح باشد، از سناریوها و برنامه‌های کاربردی دنیای واقعی استفاده کنید

شما در تلاش برای افزایش آگاهی و تغییر رفتار کارمندان خود هستید، پس هر چقدر واقعی‌تر، مرتبط‌تر و قانع‌کننده‌تر این کار را انجام دهید، موفق‌تر خواهید بود. مسائل را بیش‌ازحد پیچیده نکنید و سعی نکنید به هر موقعیت ممکن بپردازید، زیرا این امر به سادگی امکان‌پذیر نیست.

4. سعی کنید از فهرست طولانی و خسته‌کننده «نبایدها» اجتناب کنید

به جای استفاده از لیست «نبایدها» از رویکرد آموزشی مبتنی بر سناریو و نحوه انجام کارها بصورت ایمن استفاده کنید. به یاد داشته باشید که هدف شما القای مهارت‌ها و عادات خوب به جای حفظ کردن طوطی‌وار یک لیست است. محتوا را به‌روز و جذاب نگه دارید تا کارمندان همیشه آن را به خاطر بیاورند.

5. دلایل خوبی ارائه دهید و رهنمودهای امنیتی را توضیح دهید

ممکن است کاربران از خط مشی‌های رمز عبور شکایت کنند. به آن‌ها توضیح دهید که چرا اطلاعات اعتباری یک کاربر بسیار ارزشمند هستند و محافظت از آن‌ها چقدر مهم است. هنگامی که یک کارمند بفهمد چرا برخی از کنترل‌های امنیتی وجود دارد، به احتمال زیاد به آن‌ها احترام می‌گذارد و اصول مشابهی را برای هر موقعیت جدید پرخطر اعمال می‌کند.

6. آگاهی‌رسانی امنیت باید مبتنی بر نقش باشد

آموزش زمانی معنادار است که با نقش کارمندان در شرکت و خطراتی که در ایفای آن نقش با آن مواجه هستند، ارتباط تنگاتنگی داشته باشد. به عنوان مثال، یک شخص در بخش فروش در مورد نحوه محافظت از داده‌ها و تجهیزات شرکت حین سفر نسبت به فردی که در زمینه فنی فعالیت می‌کند، به آموزش بیشتری نیاز دارد.

7. با استفاده از روش‌ها و قالب‌های متعدد خلاقیت ایجاد کنید

هیچ رویکرد واحدی برای آگاهی‌رسانی امنیت وجود ندارد و هیچ ابزار آموزشی واحدی وجود ندارد که همه موضوعات یا مخاطبان را در خود جای دهد. همچنین اکثر شرکت‌ها دریافته‌اند که رویکرد آموزش بر اساس پاورپوینت، دیگر کار نمی‌کند. بنابراین با توجه به فرهنگ سازمانی شرکت خود به فکر یک بازی برای آگاهی‌رسانی امنیت به کارکنان باشید. از خبرنامه‌ها، پوسترها، وبلاگ‌ها و سایر رسانه‌ها به عنوان راه‌هایی برای انتشار پیام استفاده کنید.