روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ آیا می‌دانستید برای مبارزه موفق با تهدیدهای سایبری باید از متخصصین منابع انسانی (HR[1]) کمک بگیرید؟ آیا برایتان تعجب‌برانگیز است؟ نباید باشد. مطمئناً متخصصین فنی آن بیرون وجود دارند که مسئولیت‌شان مدیریت امنیت سایبری روی سرور، کامپیوتر و سطوح نرم‌افزاری است؛ اما امنیت شرکت می‌تواند به تنهایی با همین تمهیدات تضمین شود. از این روست که می‌گوییم تمهیدات سازمانی نیز نیاز است. به طور خاص نیاز است فردی به کارمندان در خصوص ترفندهای مجرمان سایبری و نحوه مقابله با آن‌ها را آموزش دهد. درست همین جاست که تجربه و مهارت متخصصین بخش منابع انسانی به کار می‌آید. با ما همراه بمانید تا از نقش مهم تیم منابع انسانی در حفظ امنیت سایبری برایتان بگوییم.

چرا صرف اقدامات فنی نمی‌تواند کافی باشد؟

برخی ممکن است بگویند «متخصصین آی‌تی و امنیت اطلاعات اساساً کارشان همین است!» و تا حدی هم درست است. دپارتمان امنیت یا آی‌تی شاید همه تلاشش را می‌کند تا ریسک یک حمله را پایین بیاورد و پیامدهای احتمالی آن را کم کند اما فقط یک خطای انسانی کافیست تا همه این تلاش‌ها بر باد رود! در حقیقت همه کارمندان باید مسئله امنیتی را جدی بگیرند زیرا هر یک از آن‌ها می‌توانند ناخواسته اعتبار و پول شرکت خود را مورد خطر قرار دهند. فقط کافیست با یک سهل‌انگاری ساده خود را در معرض یک پیوست مخرب قرار دهند یا برای مثال در برابر پیام «پیغام از طرف رئیس» برای انتقال پول به اکانتی ناآشنا از خود ضعف نشان دهند. مجرمان سایبری همیشه نقطه اتکایشان روی اشتباهاتی که از کارمندان سر می‌زند و همینطور میزان ناهشیاری‌شان در این چند سال اخیر. فیشینگ اکنون به محبوب‌ترین روش سرقت اطلاعات مهم تبدیل شده است. در فیشینگ اقداماتی را شاهد هستیم که با استفاده از مهندسی اجتماعی، ایمیل‌های جعلی یا وبسایت فیک افراد را به افشای اطلاعات خود فریب می‌دهند. این روزها امنیت سازمانی به یکایک کارمندان بستگی دارد و شرکت نیز باید تک تک آن‌ها را از قوانین امنیتی آگاه کند.

چرا دپارتمان‌های آی‌تی و امنیت اطلاعات در تلاش‌شان برای آموزش به همکاران به کمک نیاز دارند؟

 آن‌ها در جنبه فنی بسیار خوب عمل می‌کنند- کار با مردم نقش مرکزی در شرح وظایفشان ندارد مخصوصاً بخش آموزش به کارمندان. اگر در کاری که انجام می‌دهید خوب هستید لزوماً بدین‌معنا نیست که می‌توانید توضیح دهید به افراد بیرون زمینه کاری خود توضیح دهید دقیقاً دارید چه کار می‌کنید. آنچه برای یک متخصص امنیتی واضح است شاید برای مدیر فروش اصلاً قابل درک نباشد. برای همین است که دستورالعمل‌ها و گفته‌های یک متخصص اغلب بخوبی درک نمی‌شود و نتایج مطلوبی هم از آن درنخواهد آمد. افزون بر این، یک سخنرانی معمولاً نمی‌تواند فرمت بهینه‌ای از یادگیری را شکل دهد. آنطور که تجربه به ما نشان داده معدود افرادی در واقع به این روش می‌توانند اطلاعات را پردازش کنند. مثل ایمنی آتش می‌ماند- به نظر می‌رسد حیاتی است اما اغلب آن را امری رسمی تلقی می‌کنند.

حتی اگر کسی ظاهراً به سخنران گوش هم بدهد باز در بهترین حالت ممکن شاید طی چند روز بعدش 70 درصد آن‌ گفته‌ها را از یاد ببرد. همشه بهتر است کارمند منابع انسانی مسئولیت این امر را بر عهده گیرد. او خوب می‌داند چطور اطلاعات را به کارمندان بدهد که بتوانند هضم و درکش کنند. این را هم نگوییم که تیم‌های آی‌تی و امنیت اطلاعات پیش‌فرض درگیر مسائل روتین خود هستند –از پسوردهای فراموش‌شده گرفته تا صدها نوتیفیکیشن از راهکارهای امنیتی که هر یک نشان از یک حمله می‌توانند داشته باشند- و شاید اساساً وقت برای چنین کارهایی نداشته باشند. این یعنی برای تسک‌های استراتژیک ناآشنا مانند آموزش آگاهی امنیتی منابع کافی وجود ندارد.

شرکت شما به یک قهرمان نیاز دارد

دیگر گمان داریم تا اینجای کار همه‌چیز دستتان آمده باشد: متخصصین منابع انسان در جنگ با تهدیدهای سایبری نقش الزامی و مهمی دارند. یک متخصص منابع انسانی همه چم و خم آموزش سازمانی را می‌داند. پس چه کسی بهت راز او که بخواهد اهمیت این مأموریت را به مدیریت انتقال دهد؟ و ما نیز به نوبه خود آماده‌ایم برای ارائه هر منبع و ابزاری که برای این تیم نیاز است. بعنوان بخشی از خدمات Kaspersky Security Awareness انواعی از برنامه‌های آموزشی برای متخصصین و شرکت‌هایی با سطوح و تجارب مختلف تدارک دیده‌ایم (از پایه تا به شدت پیشرفته و تخصصی). علی‌رغم اینکه این موضوع چندان هم ساده نیست اما برای استفاده از این سرویس نیازی نیست جهت ترتیب‌دادن مفاد آموزشی تخصص امنیت سایبری داشته باشید.

متخصصین ما همه اطلاعات لازم را آماده و نظام‌مند کرده‌اند و حتی فردی بدون تجربه در زمینه امنیت اطلاعات می‌تواند پروسه را مدیریت کند. بلاگ ما می‌تواند حکم منبع مکمل را داشته باشد؛ منبعی که به متخصص منابع انسانی کمک می‌کند در مورد جدیدترین رویکردهای مدرن و تهدیدهای سایبری بیاموزد و در نهایت بتواند به بقیه هم آن را آموزش دهد و بدین‌ترتیب مقابله با تهدیدهایی از این جنس بخوبی مدیریت خواهد شد. ما هر از چندگاهی پست‌های مرتبط با متخصصین منابع انسانی می‌گذاریم و همچنین قصد داریم متریال اضافی نیز نش دهیم که بتواند به این تیم کمک کند تا مورد متقاعدکننده‌ای برای مدیر شما باشد و از دپارتمان آی‌تی نیز حمایت کافی را بگیرد.

[1] Human Resources

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.