به کارکنان دانش لازم برای شناسایی علائم هشدار دهنده حمله سایبری و درک اینکه چه زمانی ممکن است داده های حساس را در معرض خطر قرار دهند، بدهید.
یک ضرب المثل قدیمی در امنیت سایبری وجود دارد که می گوید انسان ها ضعیف ترین حلقه در زنجیره امنیتی هستند. این به طور فزاینده ای درست است، زیرا بازیگران تهدید برای استثمار کارمندان زودباور یا بی دقت رقابت می کنند. اما می توان آن حلقه ضعیف را به خط اول دفاعی قدرتمند تبدیل کرد. کلید راه اندازی یک اثر موثر است برنامه آموزشی آگاهی از امنیت.
تحقیقات نشان می دهد 82 درصد از نقضهای دادهای که در سال 2021 مورد تجزیه و تحلیل قرار گرفتهاند، مربوط به «عنصر انسانی» است. این یک واقعیت اجتناب ناپذیر از تهدیدات سایبری مدرن است که کارکنان هدف اصلی برای حمله هستند. اما به آنها دانش لازم را بدهید تا علائم هشدار دهنده یک حمله را شناسایی کنند و بفهمند چه زمانی ممکن است داده های حساس را در معرض خطر قرار دهند، و فرصت بزرگی برای پیشبرد تلاش های کاهش خطر وجود دارد.
آموزش آگاهی امنیتی چیست؟
شاید آموزش آگاهی بهترین نام برای آنچه رهبران فناوری اطلاعات و امنیت می خواهند در برنامه های خود به دست آورند، نباشد. در واقع، هدف تغییر رفتارها از طریق آموزش بهبود یافته در مورد اینکه خطرات سایبری کلیدی در کجا قرار دارند و بهترین روشهای ساده برای کاهش آنها میتوان آموخت. این یک فرآیند رسمی است که به طور ایده آل باید طیف وسیعی از زمینه ها و تکنیک ها را پوشش دهد تا کارکنان را برای تصمیم گیری صحیح توانمند کند. به این ترتیب، می توان آن را به عنوان یک رکن اساسی برای سازمان هایی که مایل به ایجاد یک امنیت بر اساس طراحی فرهنگ شرکتی
چرا آموزش آگاهی امنیتی ضروری است؟
مانند هر نوع برنامه آموزشی، ایده این است که مهارتهای افراد را تقویت کند تا آنها را به یک کارمند بهتر تبدیل کند. در این مورد، افزایش آگاهی امنیتی آنها نه تنها فرد را در نقش های مختلف در جای خود قرار می دهد، بلکه خطر ابتلا به یک بالقوه را کاهش می دهد. آسیب رساندن به نقض امنیت.
حقیقت این است که کاربران شرکتی در قلب تپنده هر سازمانی قرار دارند. اگر آنها می توانند هک شوند، سازمان نیز می تواند هک شود. به روشی مشابه، دسترسی آنها به دادههای حساس و سیستمهای فناوری اطلاعات، خطر وقوع حوادثی را افزایش میدهد که میتواند بر شرکت تأثیر منفی بگذارد.
چندین روند نیاز فوری به برنامه های آموزشی آگاهی امنیتی را برجسته می کند:
رمزهای عبور اعتبار استاتیک به اندازه سیستم های کامپیوتری وجود داشته است. و علیرغم درخواست کارشناسان امنیتی در طول سال ها، آنها همچنان محبوب ترین روش احراز هویت کاربر هستند. دلیل ساده است: مردم به طور غریزی می دانند چگونه از آنها استفاده کنند. چالش این است که آنها نیز یک هدف بزرگ برای هکرها. مدیریت کنید تا یک کارمند را فریب دهید تا آنها را تحویل دهد، یا حتی آنها را حدس بزنید، و اغلب هیچ چیز دیگری مانع دسترسی کامل به شبکه نیست.
بر اساس این گزارش، بیش از نیمی از کارمندان آمریکایی رمزهای عبور را روی کاغذ و قلم نوشته اند یک برآورد. شیوه های رمز عبور ضعیف در را به روی هکرها باز کنید و با افزایش تعداد اعتبارنامه هایی که کارکنان باید به خاطر بسپارند، احتمال سوء استفاده نیز افزایش می یابد.
مهندسی اجتماعی: انسان موجودی اجتماعی است. این ما را مستعد اقناع می کند. ما میخواهیم داستانهایی که به ما گفته میشود و شخصی که آنها را تعریف میکند باور کنیم. این هست چرا مهندسی اجتماعی کار می کند: استفاده بازیگران تهدید از تکنیک های متقاعد کننده مانند فشار زمان و جعل هویت برای فریب قربانی برای انجام خواسته های خود. بهترین نمونه ها هستند فیشینگ ایمیل ها، متن ها (معروف به خرد کردن، و تماس های تلفنی (معروف به آرزو کردن) ، اما در آن نیز استفاده می شود حملات به خطر انداختن ایمیل تجاری (BEC). و کلاهبرداری های دیگر
اقتصاد جرایم سایبری: امروزه این عوامل تهدید دارای یک شبکه زیرزمینی پیچیده و پیچیده از وب سایت های تاریک هستند که از طریق آن می توانند خرید و فروش داده ها و خدمات – همه چیز از میزبانی ضد گلوله گرفته تا باج افزار به عنوان یک سرویس. این است گفته می شود تریلیون ها ارزش دارد. این «حرفهایسازی» صنعت جرایم سایبری طبیعتاً عاملان تهدید را بر آن داشته است که تلاشهای خود را در جایی متمرکز کنند که بازگشت سرمایه بالاترین است. در بسیاری از موارد، این به معنای هدف قرار دادن خود کاربران است: کارمندان شرکت و مصرف کنندگان.
کار هیبریدی: کارگران خانه هستند فکر کردی به احتمال زیاد روی پیوندهای فیشینگ کلیک می کنند و در رفتارهای مخاطره آمیز مانند استفاده از دستگاه های کاری برای استفاده شخصی شرکت می کنند. بدین ترتیب، ظهور عصر جدیدی از کار ترکیبی در را برای مهاجمان باز کرده است تا کاربران شرکتی را در زمانی که در آسیب پذیرترین شرایط خود قرار دارند هدف قرار دهند. این به این واقعیت اشاره نمیکند که شبکههای خانگی و رایانهها ممکن است کمتر از مشابههای مبتنی بر دفترشان محافظت شوند.
چرا آموزش مهم است؟
در نهایت، یک نقض امنیتی جدی، خواه ناشی از حمله شخص ثالث یا افشای تصادفی دادهها باشد، میتواند منجر به آسیب مالی و اعتبار عمده شود. آ مطالعه اخیر نشان داد در نتیجه 20 درصد از مشاغلی که از چنین تخلفی رنج می بردند تقریباً ورشکست شدند. تحقیق جداگانه ادعا می کند که میانگین هزینه نقض داده در سطح جهان اکنون بیشتر از همیشه است: بیش از 4.2 میلیون دلار آمریکا.
این فقط یک محاسبه هزینه برای کارفرمایان نیست. بسیاری از مقررات مانند HIPAA، PCI DSS، و Sarbanes-Oxley (SOX) سازمانهای پیرو را ملزم میکنند تا برنامههای آموزشی آگاهی از امنیت کارکنان را اجرا کنند.
چگونه می توان برنامه های آگاهی را به کار انداخت
ما "چرا" را توضیح داده ایم، اما "چگونه" چیست؟ CISO ها باید با مشورت با تیم های منابع انسانی، که معمولاً برنامه های آموزشی شرکتی را رهبری می کنند، شروع کنند. آنها ممکن است بتوانند مشاوره موقت یا پشتیبانی هماهنگ تری ارائه دهند.
از جمله مناطقی که باید تحت پوشش قرار گیرند می توان به موارد زیر اشاره کرد:
- مهندسی اجتماعی و فیشینگ/ویشینگ/اسمیشینگ
- افشای تصادفی از طریق ایمیل
- حفاظت از وب (جستجوی ایمن و استفاده از Wi-Fi عمومی)
- بهترین روش های رمز عبور و احراز هویت چند عاملی
- کار از راه دور و خانه ایمن
- چگونه تهدیدهای خودی را شناسایی کنیم
مهمتر از همه، به خاطر داشته باشید که دروس باید به شرح زیر باشد:
- سرگرمی و گیم شده (به جای پیام های مبتنی بر ترس به تقویت مثبت فکر کنید)
- بر اساس تمرینات شبیه سازی در دنیای واقعی
- دویدن مداوم در طول سال در درس های کوتاه (10-15 دقیقه)
- شامل هر یک از کارکنان از جمله مدیران اجرایی، نیمه وقت و پیمانکاران
- قادر به تولید نتایجی است که می تواند برای تنظیم برنامه ها مطابق با نیازهای فردی مورد استفاده قرار گیرد
- متناسب با نقش های مختلف طراحی شده است
هنگامی که همه اینها تصمیم گیری شد، مهم است که ارائه دهنده آموزش مناسب را پیدا کنید. خبر خوب این است که گزینه های زیادی به صورت آنلاین با قیمت های مختلف وجود دارد، از جمله ابزارهای رایگان. با توجه به چشم انداز تهدید امروز، انفعال یک گزینه نیست.
