اصل اول: عمل کرد درست کاربران در فضای سایبری
اصل اول: عمل کرد درست کاربران در فضای سایبری
بسیاری از سازمان ها و کسب وکار ها با کمک و همراهی مسئولین و مدیران امنیتی خود قادر به اجرا امنیت بالا بر روی شبکه های، رمزنگاری داده ها و امن نگهداشتن اطلاعات محرمانه کاربران و مشتریان هستند. اما اسیب پذیری اصلی که به ذهن مدییران معمولا نمیرسد کاربر نهایی سازمان یا کسب وکار است.
فرض کنیم که سازمان در اخرین و برترین نرم افزار امنیتی و بهترین نتیرو های IT سرمایه گذاری کرده است. حال باید شما رویکردی به کاربر نهایی خود داشته باشید که شامل بازاریابان، فروشندگان، کارمندان اداری و غیره میشود. این پرسنل به طور معمول امادگی برخورد با مواردی مانند معماری اجتماعی، phishing scam، و دیگر نقض ها را ندارند. این بخش اصلی مشکل در سازمان به شمار میرود. کاربران میتوانند ضعیف ترین لینک در سازمان از لحاظ امنیت باشند اما در همان حال میتوانند بزرگ ترین سرمایه برای شما باشند.
کاربران میدانند که دقیقآ از لحاظ امنیتی در پروسه ها و سیاست ها چه میگذرد و چه سیاست هایی باید دنبال شوند یا نادیده گرفته شوند. آنها میتوانند معیار موثری برای اقدامات امنیتی باشند اما کاربران را باید آموزش داد. آنها باید از انواع بدافزار (malware) و طریقه نصب و نفوذ آن، کلیک کردن بر روی لینک های ایمیلی، درخواست های بدافزار ها برای نصب و غیره آگاه باشند. آموزش به کاربران نیز شامل گزارش کردن وقایع یا دنبال کردن یک روند و پروسه خاص میباشد.
آموزش دادن به کاربران نهایی در مورد نقش خود در حفظ امنیت سازمانی یکی از موثرترین روش ها برای افزایش امنیت سازمانی و داشتن استراتژی تکامل یافته است. شما نیاز به یک کارشناس امنیتی برای طراحی دوره ای دارید که در ان همه موارد مانند شناسایی تهدید های معمولی، توسعه و غنی سازی اسم رمز، ریسک های مرتبط با BYOD و جلوگیری از نقض های امنیتی معمول را آموزش داده شود.
تمرکز اصلی باید بر روی تهدید های مستمر روزانه باشد که کاربر با انها مواجه شده و روش مدیریت یبر آنها پیاده سازی شود. کاربر نهایی باید بداند که یک ایمیل phishing چه مشخصه هایی دارد و اعتبار و هویت تاکتیک های مهندسی اجتماعی را چگونه میتوان تایید کرد. توصیه می شود کاربر نهایی فعالانه درگیر استراتژی های امنیتی سازمانی بشود. کورکورانه دنبال کردن دستورات رهبری سازمان بدون درک منطق این عملکرد ها نتیجه مطلوبی نخواهد داد.
امنیت یک راه دو طرفه است، ارتباطات مداوم نیاز دارد و اطلاعات باید share شود که این در خصوص حملات هدفمند بیشتر صحت دارد. مکالامات در مورد امنیت میتواند یک بخش از صحبت های روزمره تلقی شود تا کاربر نهایی متوجه شود امنیت امری است که همه باید نگران ان باشند. به غیر از ارسال ایمیل های خبری و برگزارری دوره های آموزشی میتوانیم از ارائه توصیه و مشاوره شخصی نیز استفاده کنیم. با ارائه گزارشات و مقالات در مورد حملات سایبری موفق میتوان به کارمندان کمک کرد تا حملات احتمالی را شناسایی کنند.
آموزش و دوره ها باید به پشتیبانی یک استراتژی قوی و ارائه پروسه هایی برای مدیریت تهدید ها در زمان شناسایی اجرا شود. برترین استراتژی امنیتی اجرا و حفظ رفتار های درست بوده و در نهایت مسئول آن کارمندان عملیاتی سازمان میباشند. در اکثر مواقع اسیب پذیری های سازمانی با بررسی و به روزرسانی دوره ای نرم افزار و رفتار درست امنیتی حل میشود. در زمان نقض از طریق مهندسی اجتماعی، فاکتور “اشتباه انسانی” را در پروسه ها، روند ها و مجوزهای داخلی باید محدود نمود.
البته که همه آموزش در دنیا نمیتواند که راه حل قطعی جلوگیری از حملات باشد. در مواقعی کاربر نهایی بر روی لینکی کلیک میکند، بدافزار نصب میکند و یک ویروس را فعال سازی مینماید. با داشتن یک برنامه برای گزارش سریع اسین گونه موارد، شناسایی و حذف مشکل میتوانید از امنیت داده ها و اطلاعات در سازمان اطمینان حاصل نمایید. کاربران باید بدانند چگونه نقض ها و حملات را گزارش کنند و این پروسه نیاز نیست که خیلی پیچیده باشد. اتوماسیون نمودن این پروسه به نفع سازمان است.
آموزش و پروسه ها باید با پشتیبانی از تکنولوژی صورت بگیرد. افراد شاید اولین خط دفاعی باشند اما تکنولوژی در اخرین جایگاه قرار دارد و برای عدم از دست رفتن داده ها در کانال ها، ایمیل، وب و نقاط پایانی باید از راه حل های ضد ویروس های ، ضد اسپم و adaptive data loss prevention پیشرفته استفاده کرد. در آخر امیزه ای از آموزش، پروسه ها و تکنولوژی میتواند ریسک های امنیت اطلاعات را به حداقل برساند.
