روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ آیا میدانستید برای مبارزه موفق با تهدیدهای سایبری باید از متخصصین منابع انسانی (HR[1]) کمک بگیرید؟ آیا برایتان تعجببرانگیز است؟ نباید باشد. مطمئناً متخصصین فنی آن بیرون وجود دارند که مسئولیتشان مدیریت امنیت سایبری روی سرور، کامپیوتر و سطوح نرمافزاری است؛ اما امنیت شرکت میتواند به تنهایی با همین تمهیدات تضمین شود. از این روست که میگوییم تمهیدات سازمانی نیز نیاز است. به طور خاص نیاز است فردی به کارمندان در خصوص ترفندهای مجرمان سایبری و نحوه مقابله با آنها را آموزش دهد. درست همین جاست که تجربه و مهارت متخصصین بخش منابع انسانی به کار میآید. با ما همراه بمانید تا از نقش مهم تیم منابع انسانی در حفظ امنیت سایبری برایتان بگوییم.
چرا صرف اقدامات فنی نمیتواند کافی باشد؟
برخی ممکن است بگویند «متخصصین آیتی و امنیت اطلاعات اساساً کارشان همین است!» و تا حدی هم درست است. دپارتمان امنیت یا آیتی شاید همه تلاشش را میکند تا ریسک یک حمله را پایین بیاورد و پیامدهای احتمالی آن را کم کند اما فقط یک خطای انسانی کافیست تا همه این تلاشها بر باد رود! در حقیقت همه کارمندان باید مسئله امنیتی را جدی بگیرند زیرا هر یک از آنها میتوانند ناخواسته اعتبار و پول شرکت خود را مورد خطر قرار دهند. فقط کافیست با یک سهلانگاری ساده خود را در معرض یک پیوست مخرب قرار دهند یا برای مثال در برابر پیام «پیغام از طرف رئیس» برای انتقال پول به اکانتی ناآشنا از خود ضعف نشان دهند. مجرمان سایبری همیشه نقطه اتکایشان روی اشتباهاتی که از کارمندان سر میزند و همینطور میزان ناهشیاریشان در این چند سال اخیر. فیشینگ اکنون به محبوبترین روش سرقت اطلاعات مهم تبدیل شده است. در فیشینگ اقداماتی را شاهد هستیم که با استفاده از مهندسی اجتماعی، ایمیلهای جعلی یا وبسایت فیک افراد را به افشای اطلاعات خود فریب میدهند. این روزها امنیت سازمانی به یکایک کارمندان بستگی دارد و شرکت نیز باید تک تک آنها را از قوانین امنیتی آگاه کند.
چرا دپارتمانهای آیتی و امنیت اطلاعات در تلاششان برای آموزش به همکاران به کمک نیاز دارند؟
آنها در جنبه فنی بسیار خوب عمل میکنند- کار با مردم نقش مرکزی در شرح وظایفشان ندارد مخصوصاً بخش آموزش به کارمندان. اگر در کاری که انجام میدهید خوب هستید لزوماً بدینمعنا نیست که میتوانید توضیح دهید به افراد بیرون زمینه کاری خود توضیح دهید دقیقاً دارید چه کار میکنید. آنچه برای یک متخصص امنیتی واضح است شاید برای مدیر فروش اصلاً قابل درک نباشد. برای همین است که دستورالعملها و گفتههای یک متخصص اغلب بخوبی درک نمیشود و نتایج مطلوبی هم از آن درنخواهد آمد. افزون بر این، یک سخنرانی معمولاً نمیتواند فرمت بهینهای از یادگیری را شکل دهد. آنطور که تجربه به ما نشان داده معدود افرادی در واقع به این روش میتوانند اطلاعات را پردازش کنند. مثل ایمنی آتش میماند- به نظر میرسد حیاتی است اما اغلب آن را امری رسمی تلقی میکنند.
حتی اگر کسی ظاهراً به سخنران گوش هم بدهد باز در بهترین حالت ممکن شاید طی چند روز بعدش 70 درصد آن گفتهها را از یاد ببرد. همشه بهتر است کارمند منابع انسانی مسئولیت این امر را بر عهده گیرد. او خوب میداند چطور اطلاعات را به کارمندان بدهد که بتوانند هضم و درکش کنند. این را هم نگوییم که تیمهای آیتی و امنیت اطلاعات پیشفرض درگیر مسائل روتین خود هستند –از پسوردهای فراموششده گرفته تا صدها نوتیفیکیشن از راهکارهای امنیتی که هر یک نشان از یک حمله میتوانند داشته باشند- و شاید اساساً وقت برای چنین کارهایی نداشته باشند. این یعنی برای تسکهای استراتژیک ناآشنا مانند آموزش آگاهی امنیتی منابع کافی وجود ندارد.
شرکت شما به یک قهرمان نیاز دارد
دیگر گمان داریم تا اینجای کار همهچیز دستتان آمده باشد: متخصصین منابع انسان در جنگ با تهدیدهای سایبری نقش الزامی و مهمی دارند. یک متخصص منابع انسانی همه چم و خم آموزش سازمانی را میداند. پس چه کسی بهت راز او که بخواهد اهمیت این مأموریت را به مدیریت انتقال دهد؟ و ما نیز به نوبه خود آمادهایم برای ارائه هر منبع و ابزاری که برای این تیم نیاز است. بعنوان بخشی از خدمات Kaspersky Security Awareness انواعی از برنامههای آموزشی برای متخصصین و شرکتهایی با سطوح و تجارب مختلف تدارک دیدهایم (از پایه تا به شدت پیشرفته و تخصصی). علیرغم اینکه این موضوع چندان هم ساده نیست اما برای استفاده از این سرویس نیازی نیست جهت ترتیبدادن مفاد آموزشی تخصص امنیت سایبری داشته باشید.
متخصصین ما همه اطلاعات لازم را آماده و نظاممند کردهاند و حتی فردی بدون تجربه در زمینه امنیت اطلاعات میتواند پروسه را مدیریت کند. بلاگ ما میتواند حکم منبع مکمل را داشته باشد؛ منبعی که به متخصص منابع انسانی کمک میکند در مورد جدیدترین رویکردهای مدرن و تهدیدهای سایبری بیاموزد و در نهایت بتواند به بقیه هم آن را آموزش دهد و بدینترتیب مقابله با تهدیدهایی از این جنس بخوبی مدیریت خواهد شد. ما هر از چندگاهی پستهای مرتبط با متخصصین منابع انسانی میگذاریم و همچنین قصد داریم متریال اضافی نیز نش دهیم که بتواند به این تیم کمک کند تا مورد متقاعدکنندهای برای مدیر شما باشد و از دپارتمان آیتی نیز حمایت کافی را بگیرد.
[1] Human Resources
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
