التدريب على التوعية بالأمن السيبراني: ما هو وما هو الأفضل؟

الطابع الزمني: 7 حزيران (يونيو) 2022 ، الساعة 5:30 صباحًا
عقدة المصدر: 1589218

امنح الموظفين المعرفة اللازمة لاكتشاف علامات التحذير من هجوم إلكتروني وفهم متى قد يعرضون البيانات الحساسة للخطر

هناك قول مأثور قديم في الأمن السيبراني مفاده أن البشر هم الحلقة الأضعف في سلسلة الأمان. هذا صحيح بشكل متزايد ، حيث يتنافس ممثلو التهديد لاستغلال الموظفين السذج أو المهملين. ولكن من الممكن أيضًا تحويل هذا الرابط الضعيف إلى خط دفاع أول هائل. المفتاح هو طرح ملف برنامج تدريبي للتوعية الأمنية.

يكشف البحث أن 82٪ من خروقات البيانات التي تم تحليلها في عام 2021 تضمنت "عنصرًا بشريًا". إنها حقيقة لا مفر منها في التهديدات الإلكترونية الحديثة وهي أن الموظفين يمثلون هدفًا رئيسيًا للهجوم. لكن امنحهم المعرفة اللازمة لاكتشاف علامات التحذير من هجوم ، وفهم متى قد يعرضون البيانات الحساسة للخطر ، وهناك فرصة كبيرة لتعزيز جهود التخفيف من المخاطر.

ما هو تدريب التوعية الأمنية؟

ربما لا يكون التدريب على التوعية هو أفضل لقب لما يريد قادة تكنولوجيا المعلومات والأمن تحقيقه في برامجهم. في الواقع ، الهدف هو تغيير السلوكيات من خلال تحسين التعليم حول مكان تكمن المخاطر الإلكترونية الرئيسية وما هي أفضل الممارسات البسيطة التي يمكن تعلمها للتخفيف منها. إنها عملية رسمية يجب أن تغطي بشكل مثالي مجموعة من مجالات وتقنيات الموضوعات لتمكين الموظفين من اتخاذ القرارات الصحيحة. على هذا النحو ، يمكن اعتباره ركيزة أساسية للمنظمات التي ترغب في إنشاء ملف الأمن حسب التصميم ثقافة الشركة.

لماذا التدريب على الوعي الأمني ​​ضروري؟

مثل أي نوع من البرامج التدريبية ، الفكرة هي تعزيز مهارات الفرد لجعله موظفًا أفضل. في هذه الحالة، تحسين وعيهم الأمني لن يقف الفرد في وضع جيد فقط أثناء تنقله في أدوار مختلفة ، ولكنه سيقلل من مخاطر احتمال الإضرار بخرق أمني.

الحقيقة هي أن مستخدمي الشركات يجلسون في القلب النابض لأي مؤسسة. إذا كان من الممكن اختراقها ، فعندئذ يمكن للمنظمة أيضًا. بطريقة مماثلة ، فإن وصولهم إلى البيانات الحساسة وأنظمة تكنولوجيا المعلومات يزيد من مخاطر وقوع الحوادث التي يمكن أن تؤثر سلبًا على الشركة.

تبرز عدة اتجاهات الحاجة الملحة لبرامج تدريبية للتوعية الأمنية:

كلمات السر: كانت بيانات الاعتماد الثابتة موجودة منذ فترة طويلة مثل أنظمة الكمبيوتر. وعلى الرغم من توسل خبراء الأمن على مر السنين ، إلا أنهم يظلون الطريقة الأكثر شيوعًا لمصادقة المستخدم. السبب بسيط: يعرف الناس غريزيًا كيفية استخدامها. التحدي هو أنهم أيضًا هدف ضخم للقراصنة. تمكن من خداع الموظف لتسليمه لهم ، أو حتى تخمينهم ، وغالبًا ما لا يوجد شيء آخر يقف في طريق الوصول الكامل إلى الشبكة.

أكثر من نصف الموظفين الأمريكيين كتبوا كلمات المرور على الورق والقلم ، وفقًا لما ذكره أحد التقديرات. ممارسات كلمة المرور سيئة افتح الباب للقراصنة. ومع تزايد عدد أوراق الاعتماد التي يحتاج الموظفون إلى تذكرها ، تزداد أيضًا احتمالية إساءة الاستخدام.

هندسة اجتماعية: البشر مخلوقات اجتماعية. هذا يجعلنا عرضة للإقناع. نريد أن نصدق القصص التي نحكيها والشخص الذي يرويها. هذا هو لماذا تعمل الهندسة الاجتماعية: استخدام الجهات المهددة لتقنيات مقنعة مثل ضغط الوقت وانتحال الهوية لخداع الضحية للقيام بمزايداتها. أفضل الأمثلة التصيد رسائل البريد الإلكتروني والنصوص (ويعرف أيضًا باسم smishing) والمكالمات الهاتفية (ويعرف أيضًا باسم vishing) ، ولكنها تُستخدم أيضًا في ملفات هجمات اختراق البريد الإلكتروني للأعمال (BEC) وغيرها من عمليات الاحتيال.

اقتصاد الجرائم الإلكترونية: واليوم ، تمتلك جهات التهديد هذه شبكة معقدة ومتطورة من مواقع الويب المظلمة التي يمكن الوصول إليها عبرها شراء وبيع البيانات والخدمات - كل شيء من الاستضافة المضادة للرصاص إلى برامج الفدية كخدمة. إنه يقال أنه يساوي تريليونات. أدى هذا "الاحتراف" في صناعة الجرائم الإلكترونية بطبيعة الحال إلى قيام الجهات الفاعلة بالتهديد بتركيز جهودها حيث يكون العائد على الاستثمار هو الأعلى. في كثير من الحالات ، يعني ذلك استهداف المستخدمين أنفسهم: موظفي الشركات والمستهلكين.

العمل الهجين: عمال المنزل يعتقد أن يكون من المرجح أن ينقروا على روابط التصيد الاحتيالي وينخرطون في سلوك محفوف بالمخاطر مثل استخدام أجهزة العمل للاستخدام الشخصي. على هذا النحو ، ظهور حقبة جديدة من العمل الهجين فتح الباب للمهاجمين لاستهداف مستخدمي الشركات عندما يكونون في أضعف حالاتهم. ناهيك عن حقيقة أن الشبكات المنزلية وأجهزة الكمبيوتر قد تكون أقل حماية من نظيراتها المكتبية.

لماذا التدريب مهم؟

في النهاية ، قد يؤدي الخرق الأمني ​​الخطير ، سواء كان ناتجًا عن هجوم من طرف ثالث أو إفشاء عرضي عن البيانات ، إلى ضرر مالي كبير وضرر بالسمعة. أ كشفت دراسة حديثة أن 20٪ من الشركات التي تعرضت لمثل هذا الانتهاك كادت تفلس نتيجة لذلك. بحث منفصل يزعم أن متوسط ​​تكلفة خرق البيانات على مستوى العالم أعلى الآن من أي وقت مضى: أكثر من 4.2 مليون دولار أمريكي.

إنها ليست مجرد حساب تكلفة لأصحاب العمل. تتطلب العديد من اللوائح مثل HIPAA و PCI DSS و Sarbanes-Oxley (SOX) امتثال المنظمات لتشغيل برامج تدريب للتوعية بأمن الموظفين.

كيفية جعل برامج التوعية تعمل

لقد شرحنا "لماذا" ، ولكن ماذا عن "كيف"؟ يجب أن يبدأ CISOs بالتشاور مع فرق الموارد البشرية ، التي عادة ما تقود برامج تدريب الشركات. قد يكونون قادرين على تقديم مشورة مخصصة أو دعم أكثر تنسيقًا.

من بين المجالات التي يجب تغطيتها:

  • الهندسة الاجتماعية والتصيد / التصيد الاحتيالي / التصيد الاحتيالي
  • الإفصاح العرضي عبر البريد الإلكتروني
  • حماية الويب (البحث الآمن واستخدام شبكات Wi-Fi العامة)
  • أفضل ممارسات كلمة المرور والمصادقة متعددة العوامل
  • العمل الآمن والمنزل عن بعد
  • كيفية اكتشاف التهديدات الداخلية

قبل كل شيء ، ضع في اعتبارك أن الدروس يجب أن تكون:

  • المرح و لعبة (فكر في التعزيز الإيجابي بدلاً من الرسائل القائمة على الخوف)
  • استنادًا إلى تمارين المحاكاة الواقعية
  • تعمل باستمرار على مدار العام في دروس قصيرة (10-15 دقيقة)
  • يشمل كل موظف بما في ذلك المديرين التنفيذيين والعاملين بدوام جزئي والمقاولين
  • قادرة على توليد النتائج التي يمكن استخدامها لتعديل البرامج لتناسب الاحتياجات الفردية
  • مصممة لتناسب الأدوار المختلفة

بمجرد تحديد كل هذا ، من المهم العثور على مزود التدريب المناسب. الخبر السار هو أن هناك الكثير من الخيارات عبر الإنترنت في مجموعة من نقاط الأسعار ، بما في ذلك الأدوات المجانية. بالنظر إلى مشهد التهديدات اليوم ، فإن عدم التحرك ليس خيارًا.

الطابع الزمني:

اكثر من نحن نعيش الأمن