روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اگر از هر متخصص امنیت اطلاعات بپرسید چه چیزی علت بیشترین رخدادهای سایبری است، جواب تقریباً همیشه عامل انسانی خواهد بود. بیشتر حملات به کامپیوترها به دلیل بی‌دقتی و بی‌توجهی کارمندان موفق می‌شوند؛ همینطور سهل‌انگاری و اشتباهاتی که مرتکب می‌شوند. در عین حال عامل انسانی سخت‌ترین تهدید برای کاهش یا مهار است زیرا شما با سیستم اطلاعاتی مطیع سر و کار ندارید بلکه صحبت بر سر یک انسان زنده است که مختار است دست به هر کاری بزند! توصیه‌های ما اغلب شامل این می‌شود که با کارندان تعامل داشته باشید و به آن‌ها اطلاع دهید اما در عمل همیشه این کار سخت‌تر خواهد بود. پس امروز قصد داریم توضیح دهیم چطور به طور جدی‌تری با کارمندان خود از امنیت سایبری بگویید. به این می‌گویند هنر ارتباطات داخلی امنیت سایبری. با ما همراه باشید.

چرا کارمندان امنیت سایبری را نادیده می‌گیرند؟

مشکل این است که امنیت سایبری برای بیشتر کارمندان شرکت یک اولویت نیست. آن‌ها کلی کار برای انجام دادن دارند و شاید اصلاً وقت این را نداشته باشند که آن را موضوع مهمی تلقی کنند (برای آن‌ها این یک مسئله فرعی و غیرمهم است). از این رو مهم است دو حقیقت را به یاد آورده و بپذیریم.

اول اینکه برای یک کارمند معمولی امنیت اطلاعات مشکلی ثانویه است. پس انتظار نداشته باشید ایمیلی در مورد خطرات استفاده مجدد از پسورد باعث ایجاد موجی از تغییرات پسورد شود یا ممویی در مورد دانلود پیوست‌های مشکوک به توقف این پروسه ختم گردد. دوم اینکه آگاه باشید کارمندانی که امنیت سایبری برایشان در اولویت نیست (یا اصلاً هیچ اهمیتی برایشان ندارد) درک کنند شما دارید از چه صحبت می‌کنید. برای یک متخصص امنیت عباراتی چون «حمله هدف‌دار با استفاده از اسپیر فیشینگ» حاوی اطلاعات پیچیده‌ای نیست اما برای کارمند معمولی در بخش فروش، لاجیستیک یا حسابداری شاید این بیشتر به زبان کلینگان[1] شبیه باشد.

این دو فکت با هم اغلب باعث می‌شود متخصصین امنیت اطلاعات به این نتیجه برسند که مهار کردن این موضوع محال است پس تسلیم می‌شوند و خود را به اقدامات امنیت که فقط به حوزه نرم‌افزاری و سخت‌افزاری مربوط می‌شود محدود می‌کنند. اما این قطعاً نه تنها اشتباه است که خطرناک هم هست. این سوال در ذهن پیش می‌آید که: چطور باید حرف‌مان به جان کارمندان بنشیند؟

امنیت اطلاعات + ارتباطات

 خبر خوب اینکه شرکت شما به احتمال زیاد از قبل همه موارد لازم برای ایجاد ارتباط خوب و مؤثر را در مورد امنیت اطلاعات دارد. شاید متخصصانی داشته باشید که تهدیدها را درک می‌کنند و بلدند چطور آن‌ها را متوقف سازند. و شما احتمالاً متخصصین ارتباط دارید که معمولاً در تیم منابع انسانی یافت می‌شود یا حتی بهتر در دپارتمان ارتباط داخلی (اگر این دپارتمان را داشته باشید). این را بدانید و برایش آماده باشید که شاید اولش آسان نباشد. چنین متخصصینی شاید در حوزه امنیت سایبری تسلط کافی نداشته باشند و یا شاید اصلاً خیلی عطش این را نداشته باشند به همه جزئیات بپردازند.

اما تسلیم نشوید: باید از میان آن‌ها مناسب‌ترین کاندیدا را برای به اصطلاح «بشارت» پیدا کنید. در حالت ایده‌آل، آن فرد باید از قبل یک اهل فن باشد و اگر کسی را حاضر و آماده نداشتید باید سعی کنید کارمند جدیدی را استخدام کنید که از ارتباطات داخلی سر درآورده و پس‌زمینه فنی داشته باشد. چنین افرادی کم هستند اما ممکن است خوش‌شانس باشید و یکی را پیدا کنید. وقتی پیدایشان کردید، ابتدا باید مهارت‌های امنیت سایبری‌شان را ارتقا داده، بدان‌ها آموزش دهید دنیا را از منشور امنیت اطلاعات ببینند. پلت‌فرم تعاملی  Kaspersky Automated Security Awareness ما همان چیزی است که شما به آن نیاز دارید- حتی آموزش آزمایشی رایگان نیز به شما ارائه می‌دهد. لازمه کل این‌ها اعتماد است. افراد بخش آی‌تی به طور کلی و حرفه‌های دنیای امنیت اطلاعات به طور خاص بسیار کنترل‌گر هستند پس شاید باید مجبور شوند غرایض خود را رام کرده و بگذارند متخصصین ارتباطات هرجا مسئله به ارتباطات ربط پیدا کرد کارشان را انجام دهند.

از کجا باید شروع کرد؟

دپارتمان ارتباطات داخی (اگر نبود، منابع انسانی را در نظر بگیرید) معمولاً می‌دانند کدام کارمندان چه کاری را چگونه انجام می‌دهند. از این رو اگر دامنه‌ای از تهدیدها را طوری که همتای شما بتواند درک کند مطرح کنید باید قادر باشند استراتژی ارتباطی مناسبی را توسعه دهند؛ بدین‌معنا که تعیین کنند یک سری دپارتمان‌های مشخص در معرض چه ریسک‌هایی قرار دارند و برخی حوزه‌ها را به عنوان اولویت برای کارمندان خود توضیح دهند. انتظار موفقیت آنی نداشته باشید. غلبه بر فاز سوءتفاهم و سوءبرداشت برای خود چالشی بزرگ خواهد بود. در ادامه چکیده‌ای آورده‌ایم از صحبت‌های آقای نیک سلبی رئیس اسبق تحقیقات و اطلاعات سایبری NYPD:

•         همه‌چیز را در حالت ساده نگه دارید. در قلب کمپین NYPD تنها سادگی می‌بینید و این ویژگی بسیار کمک‌کننده است.
•         افراد را توانمند کنید. مهم است که در تیم، ارتباطات خوبی در مورد مسائل امنیتی داشته باشید و کارمندان متوجه شوند که در یک مورد خاص چه اقداماتی باید انجام دهند. دلیل این است که فروشنده فوق الذکر یا  سایرکارمندان معمولی ما بدانند که هنگام مواجهه با ایمیل مشکوک به چه کسی مراجعه کند و در نتیجه چطور می‌شود جلوی هک را گرفت.
•         نتایج را نشان دهید. ایده خوبی است که نشان دهید چطور با هم کار کردن نتیجه مثبتی می‌دهد. برای مثال هر از گاهی می‌توانید در مورد حملاتی که جلویشان گرفته شد مموی داخلی درست کرده و ایمیل کنید و بابت کمک‌های کارمندان به آن‌ها پاداش دهید.

باری دیگر بگوییم که مجموعه‌ای از آموزش های تعاملی می‌تواند نقطه شروع خوبی برای واقف کردن کارمندان نسبت به اهمیت امنیت سایبری، مشورت دادن به آن‌ها و افزایش میزان آگاهی در مورد محدودیت‌ها و الزاات امنیتی باشد. همانطور که بالاتر گفته شد، پلت‌فرم تعاملی Kaspersky Automated Security Awareness بهترین راه‌حل است. متحد جدید ارتباطات شرکتی شما می‌تواند به عنوان مدیر این آموزش‌ها عمل کرده و از آنها برای افزایش آگاهی از تهدیدات و اقدامات حفاظتی در سراسر شرکت استفاده کند.

[1]یک زبان فراساخته است که توسط کلینگانها در مجموعهٔ علمی تخیلی پیشتازان فضا به کار گرفته می‌شود. 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.