روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ اگر از هر متخصص امنیت اطلاعات بپرسید چه چیزی علت بیشترین رخدادهای سایبری است، جواب تقریباً همیشه عامل انسانی خواهد بود. بیشتر حملات به کامپیوترها به دلیل بیدقتی و بیتوجهی کارمندان موفق میشوند؛ همینطور سهلانگاری و اشتباهاتی که مرتکب میشوند. در عین حال عامل انسانی سختترین تهدید برای کاهش یا مهار است زیرا شما با سیستم اطلاعاتی مطیع سر و کار ندارید بلکه صحبت بر سر یک انسان زنده است که مختار است دست به هر کاری بزند! توصیههای ما اغلب شامل این میشود که با کارندان تعامل داشته باشید و به آنها اطلاع دهید اما در عمل همیشه این کار سختتر خواهد بود. پس امروز قصد داریم توضیح دهیم چطور به طور جدیتری با کارمندان خود از امنیت سایبری بگویید. به این میگویند هنر ارتباطات داخلی امنیت سایبری. با ما همراه باشید.
چرا کارمندان امنیت سایبری را نادیده میگیرند؟
مشکل این است که امنیت سایبری برای بیشتر کارمندان شرکت یک اولویت نیست. آنها کلی کار برای انجام دادن دارند و شاید اصلاً وقت این را نداشته باشند که آن را موضوع مهمی تلقی کنند (برای آنها این یک مسئله فرعی و غیرمهم است). از این رو مهم است دو حقیقت را به یاد آورده و بپذیریم.
اول اینکه برای یک کارمند معمولی امنیت اطلاعات مشکلی ثانویه است. پس انتظار نداشته باشید ایمیلی در مورد خطرات استفاده مجدد از پسورد باعث ایجاد موجی از تغییرات پسورد شود یا ممویی در مورد دانلود پیوستهای مشکوک به توقف این پروسه ختم گردد. دوم اینکه آگاه باشید کارمندانی که امنیت سایبری برایشان در اولویت نیست (یا اصلاً هیچ اهمیتی برایشان ندارد) درک کنند شما دارید از چه صحبت میکنید. برای یک متخصص امنیت عباراتی چون «حمله هدفدار با استفاده از اسپیر فیشینگ» حاوی اطلاعات پیچیدهای نیست اما برای کارمند معمولی در بخش فروش، لاجیستیک یا حسابداری شاید این بیشتر به زبان کلینگان[1] شبیه باشد.
این دو فکت با هم اغلب باعث میشود متخصصین امنیت اطلاعات به این نتیجه برسند که مهار کردن این موضوع محال است پس تسلیم میشوند و خود را به اقدامات امنیت که فقط به حوزه نرمافزاری و سختافزاری مربوط میشود محدود میکنند. اما این قطعاً نه تنها اشتباه است که خطرناک هم هست. این سوال در ذهن پیش میآید که: چطور باید حرفمان به جان کارمندان بنشیند؟
امنیت اطلاعات + ارتباطات
خبر خوب اینکه شرکت شما به احتمال زیاد از قبل همه موارد لازم برای ایجاد ارتباط خوب و مؤثر را در مورد امنیت اطلاعات دارد. شاید متخصصانی داشته باشید که تهدیدها را درک میکنند و بلدند چطور آنها را متوقف سازند. و شما احتمالاً متخصصین ارتباط دارید که معمولاً در تیم منابع انسانی یافت میشود یا حتی بهتر در دپارتمان ارتباط داخلی (اگر این دپارتمان را داشته باشید). این را بدانید و برایش آماده باشید که شاید اولش آسان نباشد. چنین متخصصینی شاید در حوزه امنیت سایبری تسلط کافی نداشته باشند و یا شاید اصلاً خیلی عطش این را نداشته باشند به همه جزئیات بپردازند.
اما تسلیم نشوید: باید از میان آنها مناسبترین کاندیدا را برای به اصطلاح «بشارت» پیدا کنید. در حالت ایدهآل، آن فرد باید از قبل یک اهل فن باشد و اگر کسی را حاضر و آماده نداشتید باید سعی کنید کارمند جدیدی را استخدام کنید که از ارتباطات داخلی سر درآورده و پسزمینه فنی داشته باشد. چنین افرادی کم هستند اما ممکن است خوششانس باشید و یکی را پیدا کنید. وقتی پیدایشان کردید، ابتدا باید مهارتهای امنیت سایبریشان را ارتقا داده، بدانها آموزش دهید دنیا را از منشور امنیت اطلاعات ببینند. پلتفرم تعاملی Kaspersky Automated Security Awareness ما همان چیزی است که شما به آن نیاز دارید- حتی آموزش آزمایشی رایگان نیز به شما ارائه میدهد. لازمه کل اینها اعتماد است. افراد بخش آیتی به طور کلی و حرفههای دنیای امنیت اطلاعات به طور خاص بسیار کنترلگر هستند پس شاید باید مجبور شوند غرایض خود را رام کرده و بگذارند متخصصین ارتباطات هرجا مسئله به ارتباطات ربط پیدا کرد کارشان را انجام دهند.
از کجا باید شروع کرد؟
دپارتمان ارتباطات داخی (اگر نبود، منابع انسانی را در نظر بگیرید) معمولاً میدانند کدام کارمندان چه کاری را چگونه انجام میدهند. از این رو اگر دامنهای از تهدیدها را طوری که همتای شما بتواند درک کند مطرح کنید باید قادر باشند استراتژی ارتباطی مناسبی را توسعه دهند؛ بدینمعنا که تعیین کنند یک سری دپارتمانهای مشخص در معرض چه ریسکهایی قرار دارند و برخی حوزهها را به عنوان اولویت برای کارمندان خود توضیح دهند. انتظار موفقیت آنی نداشته باشید. غلبه بر فاز سوءتفاهم و سوءبرداشت برای خود چالشی بزرگ خواهد بود. در ادامه چکیدهای آوردهایم از صحبتهای آقای نیک سلبی رئیس اسبق تحقیقات و اطلاعات سایبری NYPD:
- همهچیز را در حالت ساده نگه دارید. در قلب کمپین NYPD تنها سادگی میبینید و این ویژگی بسیار کمککننده است.
- افراد را توانمند کنید. مهم است که در تیم، ارتباطات خوبی در مورد مسائل امنیتی داشته باشید و کارمندان متوجه شوند که در یک مورد خاص چه اقداماتی باید انجام دهند. دلیل این است که فروشنده فوق الذکر یا سایرکارمندان معمولی ما بدانند که هنگام مواجهه با ایمیل مشکوک به چه کسی مراجعه کند و در نتیجه چطور میشود جلوی هک را گرفت.
- نتایج را نشان دهید. ایده خوبی است که نشان دهید چطور با هم کار کردن نتیجه مثبتی میدهد. برای مثال هر از گاهی میتوانید در مورد حملاتی که جلویشان گرفته شد مموی داخلی درست کرده و ایمیل کنید و بابت کمکهای کارمندان به آنها پاداش دهید.
باری دیگر بگوییم که مجموعهای از آموزش های تعاملی میتواند نقطه شروع خوبی برای واقف کردن کارمندان نسبت به اهمیت امنیت سایبری، مشورت دادن به آنها و افزایش میزان آگاهی در مورد محدودیتها و الزاات امنیتی باشد. همانطور که بالاتر گفته شد، پلتفرم تعاملی Kaspersky Automated Security Awareness بهترین راهحل است. متحد جدید ارتباطات شرکتی شما میتواند به عنوان مدیر این آموزشها عمل کرده و از آنها برای افزایش آگاهی از تهدیدات و اقدامات حفاظتی در سراسر شرکت استفاده کند.
[1]یک زبان فراساخته است که توسط کلینگانها در مجموعهٔ علمی تخیلی پیشتازان فضا به کار گرفته میشود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
