امروزه خطای انسانی به عنوان مهمترین عامل نقض امنیت داده شناخته شده است و تحقیقات نشان داده که این خطا در 95% موارد باعث به خطر افتادن امنیت اطلاعات میشود پس مدیریت صحیح پرسنل یک سازمان در جهت دوری از این تهدید و رعایت امنیت بسیار ضروری است.
یکی از بهترین شیوههای مدیریت مؤثر (human risk management (HRM آن است که روشهای نوین شناسایی و مقابله با ریسکهای جدید بهصورت مداوم به کارکنان آموزش داده شود.
برای اجرای این شیوه، پرداختن به موضوعات کلی به شما کمک نخواهد کرد. ما در این مقاله سعی میکنیم آن موضوعاتی را مطرح کنیم که باید در سال جدید رعایت کنید تا امنیت اطلاعات شما حفظ شود و همچنین میآموزید که چه نکاتی برای آموزش به پرسنل سازمانتان مناسب است.
مهمترین سرفصلهای آموزشی، برای آگاهی از امنیت دادهها در سال جدید، چه موضوعاتی هستند؟
1.Phishing attacks (حملات فیشینگ)
فیشینگ یکی از روشهایی است که هکرها بیشتر برای حملات سایبری استفاده میکنند. بر اساس اطلاعات سایت zdnet حملات فیشینگ که در سال 2020 به دلیل پاندمی کرونا و دورکاری دوبرابر شده بود در سال 2021 نیز افزایش پیدا کرد و باعث سخت شدن کار برای سازمانها شد.
اما چرا فیشینگ برای سال جدید هم یک تهدید حساب میشود؟
یکی از دلایل اصلی، پیچیدهتر شدن این نوع حملات است. هکرها اکنون از تکنیکهای هوشمندانهتری برای فریب کارمندان و به خطر انداختن دادههای حساس یا ایجاد پیوستهای مخرب استفاده میکنند.
بهعنوانمثال، ایمیل توافقنامه تجاری (business email compromise – BEC) یکشکل رایج از فیشینگ است که با هدفگذاری روی یک فرد خاص – مانند مدیران ارشد یک شرکت – انجام میشود به این شکل که افراد مؤثر سازمان شناسایی شده و این ایمیل برای آنها ارسال میگردد تا تشخیص آن از یک ایمیل واقعی بسیار دشوارتر باشد. همانطور که مشخص است این کار بسیار هوشمندانه بوده و گویای این موضوع است که چرا میزان تأثیر حملات فیشینگ دوبرابر شدهاند.
کارکنان شما نیاز به آموزش منظم در خصوص این شیوههای مدرن حملات فیشینگ دارند.
2.Removable media (تجهیزات حمل اطلاعات)
روزانه سازمانها از تجهیزات حمل اطلاعات برای جابهجایی دادههای سازمانی استفاده میکنند. تجهیزات حمل اطلاعات، ابزاری هستند که میتوان بهوسیله آنها دادهها را کپی کرده و از دستگاهی به دستگاه دیگر انتقال داد. بهعنوانمثال هارد و USBهایی که حاوی بدافزار هستند زمانی که در اختیار کاربران قرار بگیرند و به سیستم کاربر متصل شوند میتوانند آن سیستم را آلوده کنند و بهصورت اتوماتیک فعالیتهای مخربی را انجام دهند.
شرکت blancco در تحقیق جالبی که انجام داده است عنوان کرده محققان این شرکت تعداد 300 عدد USB را در نزدیکی محوطه دانشگاه ایلی نویز Urbana-Champaign بر روی زمین قرار دادهاند و در کمال تعجب مشاهده شد که نه تنها 45% از این USBها توسط افراد از روی زمین برداشته شدند بلکه روی فایلهایی که در داخل آنها کپی شده بود نیز کلیک کردند!
شرکتها بنا به دلایل زیادی مجبور به استفاده از این تجهیزات هستند لذا کارمندان باید استفاده امن از این ابزار را درک کنند و برای استفاده درست و مسئولانه از آنها آموزش ببینند. اطلاعات، چه شخصی باشند و چه شرکتی، ارزشمند هستند.
USBها، کارتهای حافظه SD ،CDها و گوشیهای هوشمند جزو این تجهیزات هستند. شما باید جهت حفظ امنیت دادهها، به کارمندان خود آموزش دهید تا این ابزار را بشناسند و درباره چرایی استفاده از آن آگاهی داشته باشند و همچنین نحوه جلوگیری از گمشدن یا دزدیده شدن، آلودگی به بدافزار و اجازه کپیبرداری از آنها را بدانند
3.Passwords and Authentication (رمز عبور و احراز هویت)
یک موضوع بسیار ساده که معمولاً نادیده گرفته میشود ولی میتواند کمک زیادی به حفظ امنیت داده در سازمان شما کند، توجه به امنیت رمز عبور است. هکرها معمولاً برای دستیابی به اطلاعات شما، رمز عبور را حدس میزنند. استفاده از رمزهای عبور ساده یا داشتن الگوهای رمز عبور قابل تشخیص برای دیگران میتواند دسترسی مجرمان سایبری به طیف وسیعی از اطلاعات شما را آسان کند. هکرها میتوانند اطلاعات شما را به همه نشان دهند و یا بفروشند.
انتخاب رمز عبورهای پیچیدهتر و در اختیار قرار ندادن رمز عبور به دیگران و یا استفاده از امکان احراز هویت دومرحلهای میتواند از اطلاعات شما در برابر مهاجمان محافظت کند.
4.Physical security (امنیت فیزیکی)
اگر شما از آن دسته افرادی هستید که رمز عبور خود را روی برگههای یادداشت روی میز میچسبانید، بهتر است بگوییم که وقت آن رسیده تا آنها را دور بریزید. اگرچه بسیاری از حملات از طریق رسانههای دیجیتالی انجام میشوند، اما حفظ امنیت اسناد فیزیکی برای حفظ امنیت دادههای شما حیاتی است.
باید بدانید که بازماندن فایلها و کامپیوترها و نوشتن پسورد در نزدیکی سیستمها خطرناک است. با اجرای سیاست “میز پاک” (clean-desk policy)، خطر سرقت یا کپیکردن اسناد را میتوان به میزان قابلتوجهی کاهش داد.
سیاست میز پاک به معنی حذف و بایگانی روزانه اطلاعات حساس کاری از روی میز شماست. لازم است هر زمان که از سیستم خود دور میشوید، آن را خاموش کنید.
5.Mobile Device Security (امنیت موبایل)
تغییرات فناوریهای IT باعث شده تا حفظ امنیت دادهها پیچیدهتر شود. این موضوع که امروزه افراد میتوانند در حال حرکت و با موبایل خود کارهای زیادی را انجام دهند، حفظ امنیت را سختتر کرده است. این شیوه کار میتواند برای بسیاری از شرکتها مقرونبهصرفه باشد ولی مخصوصاً در زمان مأموریت کاری و یا انجام دورکاری، ریسک را بالا میبرد. ظهور پلتفرمهای غیراستاندارد تلفن همراه، خطر آلودگی به بدافزار را افزایش میدهد که میتواند منجر به نقض امنیت شود.
دستگاههای موبایل باید دارای رمز عبور و احراز هویت بیومتریک باشند تا دسترسی به اطلاعات آنها در زمان گمشدن و یا دزدیده شدن سختتر باشد.
بهترین روش آن است که کارکنان ملزم به امضای یک پروتکل نحوه استفاده از موبایل در داخل شرکت باشند.
6.Working Remotely (دورکاری)
با شیوع کرونا در سال 2021، نیاز آشکار به دورکاری همراه با افزایش جذب در شرکتها، منجر به این شد که بسیاری از آنها گامهایی جدی به سمت سیاستهای کاری از راه دور بهصورت تماموقت بردارند. . طبق مطالعاتی که در سایتmerchantsavvy انجام شده دورکاری میتواند برای شرکتها مثبت و برای کارکنان انگیزهبخش باشد و باعث افزایش بهره وری شود. درصورتیکه آموزشهای لازم در مورد تهدید و خطراتی که دورکاری میتواند برای سازمان ایجاد کند به کارکنان آموزش داده نشده باشد، این فرآیند میتواند تهدیدی برای امنیت دادههای سازمان شود.
سیستمهای شخصی که برای مقاصد کاری استفاده میشوند باید قفل داشته باشند و نرمافزار آنتیویروس بر روی آنها نصب و بروز شده باشد. اگر شرکتی به دنبال گسترش فرهنگ دورکاری است، باید بر آموزش کارمندان در مورد شیوههای کاری ایمن تمرکز کند.
با ورود به سال جدید، احتمالاً رویه افزایش دورکاری ادامه خواهد داشت. اگرچه امیدواریم شاهد بازگشایی دفاتر و بازگشت به زندگی عادی باشیم، اما همچنان شرکتها به طور فزایندهای کارمندان دورکار را استخدام خواهند کرد و افراد زیادی ممکن است ترجیح دهند به این روش کار کنند.
7.Public Wi-Fi (وایفای عمومی)
برخی از کارمندان که نیاز به دورکاری، سفر با قطار و کار در حال حرکت دارند؛ ممکن است نیاز به آموزش بیشتری درباره نحوه استفاده امن از خدمات Wi-Fi عمومی داشته باشند. شبکههای وایفای عمومی جعلی که اغلب در مراکز عمومی بهعنوان وایفای رایگان ارائه میشوند، میتوانند کاربران را وادار به واردکردن اطلاعات خود در یک سرور عمومی غیر امن کنند که این کار با توجه به ناامن بودن توصیه نمیشود و به کاربران پیشنهاد میگردد تا در صورت نیاز از اینترنت شخصی و یا سیستم HOTSPOT موبایل خود استفاده کنند.
آموزش کاربران در مورداستفاده امن از Wi-Fi عمومی و نحوه شناسایی آن، امکان وقوع خطر را به حداقل میرساند.
8.Cloud Security (امنیت ابری)
رایانش ابری نحوه ذخیره و دسترسی به دادههای کسبوکارها را متحول کرده است. بااینحال با ذخیره و پردازش حجم زیادی از اطلاعات، خطر آلوده شدن و حملات سایبری در رایانش ابری وجود دارد. انتخاب فضای ذخیرهسازی و ارائهدهنده خدمات ابری مناسب میتواند راهی بسیار ایمن و مقرونبهصرفه برای ذخیره دادههای شرکت شما بهصورت امن باشد.
همانطور که گفته شد، اشتباه کاربری بیشتر از فضای ذخیرهسازی ابری باعث به خطر افتادن اطلاعات میشود. گارتنر پیشبینی میکند که تا سال آینده، 99 درصد از تمام حوادث امنیتی ابری به دلیل خطای انسانی خواهد بود.
9.Social Media (رسانههای اجتماعی)
همه ما بخشهای زیادی از زندگی خود را در رسانههای اجتماعی به اشتراک میگذاریم؛ از تعطیلات گرفته تا رویدادها و محیط کار. اما اشتراکگذاری بیش از حد باعث دردسترسبودن اطلاعات حساس شما میشود و این امر برای حفظ امنیت داده خطرناک است.
آموزش کارکنان در مورد محافظت از حریم خصوصی در شبکههای اجتماعی و جلوگیری از انتشار اطلاعات عمومی شرکت، خطر دستیابی هکرها به اطلاعات شما را کاهش میدهد.
10.Internet and Email (اینترنت و ایمیل)
برخی از کارمندان ممکن است تا کنون با استفاده از ایمیلهایی با پسورد ساده و تکراری، در دام هکرها افتاده باشند. طبق مطالعاتی که در سایتSecurityboulevard انجام شده نشان میدهد که 59٪ کاربران از رمز عبور یکسانی برای همه حسابهای کاربری خود استفاده میکنند. این بدان معنی است که اگر یک حساب در معرض خطر قرار بگیرد، هکر میتواند از این رمز عبور در حسابهای کاری و رسانههای اجتماعی دیگر استفاده کرده و به تمام اطلاعات کاربر در این حسابها دسترسی پیدا کند.
اغلب وبسایتهای غیرمجاز، نرمافزار رایگان آلوده به بدافزار ارائه میدهند، به همین دلیل برنامهها را باید تنها از منابع مطمئن تهیه کرد و به این شکل از اطلاعات موجود بر روی سیستمها در برابر نصب هرگونه نرمافزار مخرب جلوگیری نمود. اگرچه ممکن است ساده و بدیهی به نظر برسد اما باید یادآوری کنیم که آموزش کارکنان در مورد استفاده از اینترنت و برنامههای ایمن باید بخش اصلی فرهنگسازی در سازمان شما باشد.
در سالهای اخیر، اطلاعات خصوصی افراد و شرکتها حتی از طریق وبسایتهای بزرگ هم به بیرون راه پیدا کرده است که نشان میدهد اگر اطلاعات شما نیز بر بستر این شرکتها قرار داشت، میتوانست عمومی شود.
11.Social Engineering (مهندسی اجتماعی)
مهندسی اجتماعی سوءاستفاده از اطمینان و یا فریب افراد باهدف دسترسی به اطلاعات محرمانه و در مرحله بعد سوءاستفاده از این اطلاعات است. مهندسی اجتماعی تکنیک رایجی است که مجرمان اینترنتی برای جلب اعتماد کارمندان استفاده میکنند. در این روش با ارائه پیشنهادهای وسوسهانگیز یا استفاده از جعل هویت برای دسترسی به اطلاعات شخصی اقدام میشود. برای مبارزه با این تهدیدها، کارکنان شما باید در مورد موضوعات روز امنیتی و رایجترین تکنیکهای مهندسی اجتماعی و روانشناسی آموزش ببینند.
بهعنوانمثال مجرمان اینترنتی درپوشش یک مشتری معتبر ظاهر میشوند و یا با پیشنهادهای جذاب سعی در گرفتن اطلاعات از یک شرکت را دارند. افزایش آگاهی کارکنان شما در خصوص این روشها بسیار مهم است.
12.Security at Home (امنیت در منزل)
متأسفانه با عدم حضور فیزیکی در محل کار، تهدیدها متوقف نمیشوند. بسیاری از شرکتها به کارمندان خود اجازه میدهند از کامپیوترهای شخصی خود استفاده کنند که روشی عالی برای صرفهجویی در هزینهها است و امکان کار بهصورت پارهوقت را هم فراهم میکند.
بااینحال، این کار میتواند خطرناک هم باشد. بهعنوانمثال اگر پسورد این سیستمها شناسایی شود و یا برنامه غیراستانداردی در این دستگاههای شخصی نصب شود، میتوانند امنیت دادههای شرکت را هم به خطر بیندازد. یکی از مواردی که میتواند دراینخصوص خطراتی جدی را برای سازمان ایجاد کند عدم استفاده از VPNهای معتبر است که توسط هر شرکت برای استفاده راحت و امن ارائه میگردد.
مطالعهای که توسط Propeller انجام شد نشان داد که نرخ کلیک کمپینهای فیشینگی که برای دراپباکس هدفگذاری شده بود، 13.6 درصد بوده است. افزایش آگاهی کارکنان در بهاشتراکگذاری فایلهای رمزگذاری شده این نوع خطرها را کاهش میدهد.
جمعبندی
شرکتها به منظور رعایت موضوعات امنیتی و استاندارها، لازم است کارکنان خود را آموزش دهند و در کنار آن با وضع مقررات خاص از فاش شدن اطلاعات سازمانی جلوگیری کنند. کارکنان نیز باید قوانین امنیت دادهها، موضوعات مالی و مالیات و… را یاد بگیرند. آگاهسازی کارکنان در سازمان باید بهمرور تبدیل به فرهنگ شود و این فرهنگسازی میتواند از طریق تهیه ویدئو برای کارکنان یا تشکیل گروههای تعاملی کوچک اتفاق بیفتد.
حملات فیشینگ، USB ها، کارتهای حافظه SD، CDها، گوشیهای هوشمند، استفاده از رمزهای عبور ساده و یادداشت کردن آنها و لزوم استفاده از اینترنت امن و رعایت نکات امنیتی حتی در منزل و سیستمهای شخصی از جمله اطلاعاتی بودند که در این مقاله به آنها پرداختیم که آگاهی از آنها برای همه شرکتها و کارکنانشان ضروری است.
این مقاله را به اشتراک بگذارید
