۱۳۹۶/۴/۲۶ امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)،ما بر این باور هستیم که ابزارهای فنی برای محافظت از کسب و کار در برابر تهدیدات سایبری کافی نیستند. به طور کلی ممکن است در بسیاری از موارد دانش کافی در مورد امنیت نادیده گرفته شود. به عنوان مثال مدیر یک شرکت تصور کند امنیت و رعایت آن تنها به بخش فنی و آی تی شرکت مربوط است و برای قسمت های دیگر لازمه ی آن را نادیده بگیرد. اما باید دانست که دانش پایه ای در زمینه ی سایبری و آگاهی از تهدیدات برای هر کارمند در یک شرکت واجب ضروری است و باید آن را مهم تلقی کرد. از همین رو در چند سال گذشته بسیاری از شرکت ها اهمیت این موضوع را به خوبی دانسته و طبق آمار ما 65% از آن ها به آموزش کارکنان در موضوع امنیت سایبری پرداخته اند.

با وجود تمام آموزش ها باز هم ممکن است عوارضی پیش آید که روی هیچ یک از آن ها حساب نمی کردیم. فردی که تصمیم می گیرد آگاهی کارمندان را افزایش دهد، لزوما شخصی برای آموزش مسائل مربوط به امنیت نیست. به خوبی می دانیم که خیلی از افراد با مشکلات سایبری آشنا هستند اما اینکه چه کسی این مشکلات را درک کند و با آن ها آشنا باشد و جنس تهدیدات را بداند، بهتر می تواند به دیگر کارمندان کمک کند و هشدارهای لازم را به آن ها بدهد.

درک مشکلات

بیایید تصور کنیم که شما مسئول بالا بردن سطح آگاهی کارمندان خود هستید. اول اینکه باید از خود بپرسید که آگاهی امنیت سایبری چیست؟ به راستی چیست؟ ما از شرکت B2B برای جمع آوری اطلاعات 5000 شرکت از سراسر جهان در رابطه با درک مشکلات امنیتی کمک گرفتیم. از این جمع آوری یافته های زیر را بدست آوردیم:

  • 46% از حوادث سایبری در سال گذشته ناشی از بی آگاهی کارمندانی بوده است که به صورت کاملا اتفاقی و ناخواسته امنیت سایبری را به خطر انداخته بودند؛
  • در بین شرکت هایی که تحت تاثیر نرم افزارهای مخرب قرار گرفتند، 53% از آن ها گزارش کرده اند که آلودگی بدون وجود کارمندان بی توجه هرگز رخ نمی داد و 36% از آن ها مقصر را مهندسی اجتماعی می دانستند که کارمندان را مجبور به اقدام کارهای ناخواسته می کردند؛
  • حملات هدفمند شامل فیشینگ و مهندسی اجتماعی در 28% از موارد موفقیت آمیز بود؛
  • در 40% از موارد، کارمندان سعی بر پنهان نگه داشتن حمله داشتند و با این کار آسیب شدیدتری را به سازمان و کل مجموعه زدند؛
  • تقریبا نیمی از پاسخ دهندگان در مورد اینکه کارمندان می توانند به صورت اتفاقی اطلاعات شرکت را از طریق دستگاه های تلفن همراه خود به بیرون از شرکت درز دهند و باعث افشای آن ها شود، ابراز نگرانی کردند.

برای اطلاعات بیشتر دراین باره و نحوه ی آموزش و البته اهمیت این آموزش ها در ادامه ی مطلب با ما همراه باشید:

آموزش آگاهی در مورد امنیت سایبری

اینکه چگونه این آموزش ها باید داده شود بخش بسیار مهمی از معادله است. در این مواقع اغلب دوره های آموزشی، سخنرانی ها و کارگاه های آموزشی برپا می شود.اما شاید هیچ یک از این دوره ها نتواند اهمیت واقعی "امنیت" را به کارمندان ثابت کند و جلسات متعدد بی فایده باشد.

به عنوان مثال، مسئله ی پنهان شده ی حادثه را در نظر بگیرید. شما می توانید با کارمندان خود جلسه ای را برپا سازید و از آن ها گزارش های متعدد رویدادهای امنیت سایبری را بخواهید. در غیر این صورت بعید نیست که آن ها مشکلات مختلف سایبری را که ناشی از بی احتیاطی خود آن ها است را برملاء سازند.

یک رویکرد دیگر این است که انگیزه را در آن ها ایجاد کنید. در بسیاری از موارد کارمندان با قوانین سخت و خشک مدیران خود در رابطه با امنیت و مسائل دیگر مواجه می شوند. اما آن ها فقط این قوانین را که به صورت نوشتاری یا به صورت قوانین دیگر شرکت درآمده است، مشاهده می کنند و هیچ کسی به آن ها توضیح دیگری نمی دهد. آیا نباید به آن ها هم حق بدهیم؟ در بسیاری از موارد کارمندان به آموزش هایی علاوه بر زمینه ی کاری خود نیاز دارند. شاید نیاز است که آن ها را با مفاهیم اولیه امنیت و دنیای سایبری آشنا سازیم. بی شک بسیاری از آن ها به موضوعات امنیتی علاقمند می شوند و در زندگی مجازی خودشان هم به کار خواهند برد.

آنچه که باید آموخت

برای ایستادگی در برابر خطرات سایبری پیچیده ی امروزی، یک شرکت باید به عنوان یک ارگانیسم سالم عمل کند و تیم های متعدد با وظایف مختلف داشته باشد. واضح تر بخواهیم توضیح دهیم تیم باید در مورد مسائل مختلف بدانند (نه فقط در حیطه ی کاری خود). مدیر شرکت می بایستی از خطرات آگاهی داشته باشد و از هزینه های بالقوه که صرف مسائل امنیتی می شود، مطلع باشد. تیم های مدیریتی متوسط باید درک روشنی از تمامی مسائل امنیتی و تهدیدات داشته باشند و با اقدامات مثبت خود در زمینه ی امنیت مقاومت سایبری خود را افزایش دهند. آن ها همچنین باید این مسائل را با دیگر کارمندان خود به اشتراک بگذارند و آن ها را در دانسته های امنیتی خود شریک کنند.

از همین رو ما مدام در تلاشیم تا بتوانیم دانش سایبری افراد را چه برای کاربران خانگی و چه برای کارمندان در سازمان ها و اداره ها افزایش دهیم.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.