سائبرسیکیوریٹی بیداری کی تربیت: یہ کیا ہے اور کون سا بہترین کام کرتا ہے؟

ٹائم سٹیمپ: 7 جون 2022 صبح 5:30 بجے
ماخذ نوڈ: 1589218

ملازمین کو سائبر حملے کے انتباہی نشانات کی نشاندہی کرنے اور یہ سمجھنے کے لیے ضروری معلومات فراہم کریں کہ وہ کب حساس ڈیٹا کو خطرے میں ڈال سکتے ہیں۔

سائبر سیکیورٹی میں ایک پرانی کہاوت ہے کہ انسان سیکیورٹی چین میں سب سے کمزور کڑی ہیں۔ یہ تیزی سے سچ ہے، کیونکہ دھمکی دینے والے اداکار معتبر یا لاپرواہ ملازمین کا استحصال کرنے کا مقابلہ کرتے ہیں۔ لیکن اس کمزور لنک کو دفاع کی ایک مضبوط پہلی لائن میں تبدیل کرنا بھی ممکن ہے۔ کلید ایک مؤثر رول آؤٹ کر رہا ہے سیکورٹی بیداری تربیتی پروگرام.

تحقیق سے پتہ چلتا ہے۔ کہ 82 میں تجزیہ کردہ ڈیٹا کی 2021 فیصد خلاف ورزیوں میں "انسانی عنصر" شامل تھا۔ یہ جدید سائبر دھمکیوں کی ایک ناگزیر حقیقت ہے کہ ملازمین حملے کے لیے سب سے اوپر ہدف کی نمائندگی کرتے ہیں۔ لیکن انہیں حملے کی انتباہی علامات کی نشاندہی کرنے کے لیے درکار معلومات دیں، اور یہ سمجھنے کے لیے کہ وہ کب حساس ڈیٹا کو خطرے میں ڈال رہے ہیں، اور خطرے کو کم کرنے کی کوششوں کو آگے بڑھانے کا ایک بہت بڑا موقع ہے۔

سیکورٹی بیداری کی تربیت کیا ہے؟

آئی ٹی اور سیکیورٹی لیڈر اپنے پروگراموں میں جو کچھ حاصل کرنا چاہتے ہیں اس کے لیے بیداری کی تربیت شاید بہترین مانیکر نہیں ہے۔ حقیقت میں، مقصد یہ ہے کہ بہتر تعلیم کے ذریعے طرز عمل کو تبدیل کیا جائے کہ سائبر کے اہم خطرات کہاں ہیں اور ان کو کم کرنے کے لیے کون سے آسان بہترین طریقے سیکھے جا سکتے ہیں۔ یہ ایک باضابطہ عمل ہے جس میں مثالی طور پر مختلف موضوعات اور تکنیکوں کا احاطہ کرنا چاہیے تاکہ ملازمین کو صحیح فیصلے کرنے کے لیے بااختیار بنایا جا سکے۔ اس طرح، اسے ان تنظیموں کے لیے ایک بنیادی ستون کے طور پر دیکھا جا سکتا ہے جو ایک تخلیق کرنا چاہتے ہیں۔ security-by-design کارپوریٹ ثقافت.

سیکورٹی سے متعلق آگاہی کی تربیت کیوں ضروری ہے؟

کسی بھی قسم کے تربیتی پروگرام کی طرح، خیال یہ ہے کہ فرد کی صلاحیتوں کو بڑھا کر انہیں بہتر ملازم بنایا جائے۔ اس معاملے میں، ان کی حفاظت سے متعلق آگاہی کو بہتر بنانا نہ صرف فرد کو اچھی جگہ پر کھڑا کرے گا کیونکہ وہ مختلف کرداروں پر تشریف لے جاتے ہیں، بلکہ یہ ممکنہ طور پر خطرے کو کم کر دے گا۔ نقصان دہ سیکورٹی کی خلاف ورزی.

The truth is that corporate users sit at the beating heart of any organization. If they can be hacked, then so too can the organization. In a similar way, the access they have to sensitive data and IT systems raises the risk of accidents happening that could also negatively impact the company.

کئی رجحانات سیکورٹی سے آگاہی کے تربیتی پروگراموں کی فوری ضرورت کو اجاگر کرتے ہیں:

پاس ورڈز: جامد اسناد کمپیوٹر سسٹم کی طرح لمبے عرصے سے موجود ہیں۔ اور سالوں سے سیکیورٹی ماہرین کی التجا کے باوجود، وہ صارف کی توثیق کا سب سے مقبول طریقہ بنے ہوئے ہیں۔ وجہ سادہ ہے: لوگ فطری طور پر جانتے ہیں کہ انہیں کس طرح استعمال کرنا ہے۔ چیلنج یہ ہے کہ وہ بھی ایک ہیں۔ ہیکرز کا بڑا ہدف. کسی ملازم کو ان کے حوالے کرنے کے لیے دھوکہ دینے کا انتظام کریں، یا ان کا اندازہ بھی لگائیں، اور اکثر نیٹ ورک تک مکمل رسائی کی راہ میں کوئی اور چیز نہیں ہوتی۔

کے مطابق، نصف سے زیادہ امریکی ملازمین نے قلم اور کاغذ پر پاس ورڈ لکھے ہیں۔ ایک تخمینہ. ناقص پاس ورڈ پریکٹس ہیکرز کے لیے دروازہ کھولیں۔ اور جیسے جیسے ملازمین کو یاد رکھنے کی ضرورت کی اسناد کی تعداد بڑھتی ہے، اسی طرح غلط استعمال کا امکان بھی بڑھتا ہے۔

معاشرتی انجینرنگ: انسان ملنسار مخلوق ہے۔ یہ ہمیں قائل کرنے کے لئے حساس بناتا ہے. ہم ان کہانیوں پر یقین کرنا چاہتے ہیں جو ہمیں سنائی گئی ہیں اور جو شخص انہیں بتا رہا ہے۔ یہ وہ جگہ ہے سوشل انجینئرنگ کیوں کام کرتی ہے۔: the use by threat actors of persuasive techniques such as time pressure and impersonation to trick the victim into doing their bidding. The best examples are فشنگ emails, texts (aka smishing), and phone calls (aka ماہی گیری)، لیکن اس میں بھی استعمال ہوتا ہے۔ کاروباری ای میل سمجھوتہ (BEC) حملے اور دیگر گھوٹالے.

سائبر کرائم کی معیشت: آج ان دھمکی آمیز اداکاروں کے پاس ڈارک ویب سائٹس کا ایک پیچیدہ اور جدید ترین زیر زمین نیٹ ورک ہے جس کے ذریعے ڈیٹا اور خدمات خریدیں اور فروخت کریں۔ - بلٹ پروف ہوسٹنگ سے لے کر ransomware-as-a-service تک سب کچھ۔ یہ ہے کھربوں کی مالیت بتائی جاتی ہے۔. سائبر کرائم انڈسٹری کی اس "پیشہ ورانہ کاری" نے قدرتی طور پر خطرے کے اداکاروں کو اپنی کوششوں پر توجہ مرکوز کرنے پر مجبور کیا ہے جہاں سرمایہ کاری پر منافع سب سے زیادہ ہے۔ بہت سے معاملات میں، اس کا مطلب ہے خود صارفین کو نشانہ بنانا: کارپوریٹ ملازمین اور صارفین۔

ہائبرڈ ورکنگ: ہوم ورکرز ہیں۔ ہونا سوچا فشنگ لنکس پر کلک کرنے اور ذاتی استعمال کے لیے کام کے آلات کا استعمال جیسے خطرناک رویے میں مشغول ہونے کا زیادہ امکان ہے۔ اس طرح، کے ایک نئے دور کا خروج ہائبرڈ کام کر رہے ہیں نے حملہ آوروں کے لیے کارپوریٹ صارفین کو نشانہ بنانے کا دروازہ کھول دیا ہے جب وہ اپنے سب سے زیادہ خطرے میں ہوں۔ اس حقیقت کا ذکر کرنے کی ضرورت نہیں ہے کہ ہوم نیٹ ورکس اور کمپیوٹرز ان کے دفتر پر مبنی مساوی کے مقابلے میں کم محفوظ ہوسکتے ہیں۔

تربیت کیوں اہم ہے؟

بالآخر، سیکورٹی کی ایک سنگین خلاف ورزی، خواہ فریق ثالث کے حملے کے نتیجے میں ہو یا حادثاتی ڈیٹا کے انکشاف کے نتیجے میں، بڑے مالی اور شہرت کو نقصان پہنچا سکتا ہے۔ اے حالیہ مطالعہ نے انکشاف کیا کہ اس طرح کی خلاف ورزی کا سامنا کرنے والے 20% کاروبار تقریباً دیوالیہ ہو گئے۔ علیحدہ تحقیق دعویٰ کرتا ہے کہ عالمی سطح پر ڈیٹا کی خلاف ورزی کی اوسط قیمت اب پہلے سے کہیں زیادہ ہے: US$4.2m سے زیادہ۔

It’s not just a cost calculation for employers. Many regulations like HIPAA, PCI DSS, and Sarbanes-Oxley (SOX) require complying organizations to run employee security awareness training programs.

آگاہی پروگراموں کو کیسے کام کرنا ہے۔

ہم نے "کیوں" کی وضاحت کی ہے لیکن "کیسے" کا کیا ہوگا؟ CISOs کو HR ٹیموں کے ساتھ مشاورت شروع کرنی چاہیے، جو عام طور پر کارپوریٹ تربیتی پروگراموں کی قیادت کرتی ہیں۔ وہ ایڈہاک مشورہ یا زیادہ مربوط تعاون فراہم کرنے کے قابل ہو سکتے ہیں۔

احاطہ کرنے والے علاقوں میں یہ ہو سکتا ہے:

  • سوشل انجینئرنگ اور فشنگ/وشنگ/مسکرانا
  • ای میل کے ذریعے حادثاتی انکشاف
  • ویب تحفظ (محفوظ تلاش اور عوامی وائی فائی کا استعمال)
  • پاس ورڈ کے بہترین طریقے اور کثیر عنصر کی توثیق
  • محفوظ ریموٹ اور ہوم ورکنگ
  • اندرونی خطرات کی نشاندہی کیسے کریں۔

سب سے بڑھ کر، ذہن میں رکھیں کہ اسباق یہ ہونے چاہئیں:

  • تفریح ​​اور گیم کیا گیا (خوف پر مبنی پیغامات کے بجائے مثبت کمک کے بارے میں سوچیں)
  • حقیقی دنیا کی نقلی مشقوں پر مبنی
  • مختصر اسباق میں سال بھر مسلسل چلائیں (10-15 منٹ)
  • عملے کے ہر رکن بشمول ایگزیکٹوز، پارٹ ٹائمرز اور ٹھیکیداروں پر مشتمل
  • نتائج پیدا کرنے کے قابل جو انفرادی ضروریات کے مطابق پروگراموں کو ایڈجسٹ کرنے کے لئے استعمال کیا جا سکتا ہے
  • مختلف کرداروں کے مطابق بنایا گیا۔

ایک بار جب یہ سب طے ہو جائے تو، صحیح تربیت فراہم کرنے والے کو تلاش کرنا ضروری ہے۔ اچھی خبر یہ ہے کہ پرائس پوائنٹس کی ایک حد پر آن لائن بہت سارے اختیارات موجود ہیں، بشمول مفت ٹولز۔ آج کے خطرے کے منظر نامے کو دیکھتے ہوئے، بے عملی ایک آپشن نہیں ہے۔

ٹائم اسٹیمپ:

سے زیادہ ہم سیکورٹی رہتے ہیں