1. صفحه نخست
  2. وبلاگ ایدکو
  3. امنیت سایبری در محل کار

امنیت سایبری در محل کار

20 آبان 1397 امنیت سایبری در محل کار

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کارمندان ارزشمندترین سرمایه‌ی یک شرکت به حساب می‌آیند. آن‌ها باعث افزایش درآمد و برقراری ارتباط با مشتریان شده و همچنین نقش تعیین‌کننده‌ای در محیط امنیتی شرکت ایفا می‌کنند. با این حال، مجرمان سایبری کارمندان را به چشم آسیب‌پذیرترین نقطه‌ برای نفوذ به یک شرکت می‌بینند. برای مثال در آمریکای شمالی، دو دلیل عمده‌ی شکاف و نقض امنیتی، اقدامات سرسرانه و سهل‌انگارانه‌ی کارمندان (و همچنین فیشینگ یا دیگر مهندسی‌های اجتماعی) بوده است. مجرمان مجازی بخوبی به این موضوع واقف‌اند و از همین نقطه ‌ضعف به بهترین نحو برای رسیدن به مقاصد شخصی‌شان استفاده می‌کنند.

با اجرای برنامه‌‌ی آموزشیِ قوی در خصوص امنیت می‌توانید حساس‌ترین اطلاعات شرکت خود را در برابر تهدیدهای سایبری حفاظت کنید و تضمین دهید مجرمان سایبری نمی‌توانند از دیوار آتشین کارمندان شما عبور کنند. سوال‌های زیادی در مورد مؤثرترین راه‌حل‌های امنیت سایبری در محل کار از ما پرسیده می‌شود. به همین منظور از بارون جوکینن، مدیر بخش امنیت اطلاعات و انطباق اطلاعات برای آمریکا[1] خواستیم تا به آن دسته از سوالاتی که به دفعات پرسیده شده است پاسخ دهد.

امنیت سایبری چیست؟

امنیت سایبری تعاریف بسیاری دارد و طیف وسیعی را در خود جای می‌دهد. اما اگر بخواهیم تعریف آن را به مبحث فعلی محدود کنیم، می‌توان گفت امنیت سایبری تمرینی است برای دفاع کردن از سیستم‌ها و اطلاعات در برابر حملات مخرب که می‌تواند شامل آموزش امنیت و آگاهی فیزیکی نیز بشود.

بهترین برنامه‌ی‌ موجود در بخش آگاهی امنیت سایبری کدام است؟

برنامه‌های آگاهی امنیت سایبری الگویی یکسان ندارند (در واقع نسخه‌ای یکسان برای همه تجویز نمی‌شود)؛ بلکه هر سازمانی بسته به اهداف استراتژیک تجاری، چشم‌اندازها، تحلیل خطر و حتی میزان خطرپذیری خود نیازهای متفاوتی خواهد داشت. بنابراین، ابتدا باید این سوال را بپرسیم: «امنیت سایبری چگونه به تجارت اصلی هر سازمانی کمک می‌کند؟»

از دیدگاه امنیت سایبری، وقتی صحبت از امنیت در محل کار می‌شود، شرکت‌ها باید چه ترتیبی اتخاذ کنند؟

سازمان‌ها اغلب وقتی در مورد امنیت سایبری فکر می‌کنند، عمدتاً از سه بخش غافل می‌شوند.

سلامت و امنیت فیزیکی

سلامت و تندرستی کارمندان بر هر نوع برنامه‌ی امنیت سایبریِ شرکت تقدم دارد. خیلی از شرکت‌ها آنقدر غرق مسائل امنیت سایبری می‌شوند که پاک سلامت فیزیکی کارمندان خود را فراموش می‌کنند. با این حال، شیوع پدیده‌ی اینترنت اشیاء (IoT) مرز بین سلامت و امنیت فیزیکی و سایبری را از بین برده است. فرض کنید دوربین‌های امنیتی بی‌سیم بواسطه‌ی اسمارت‌فونی که کارمند بازش گذاشته به رابط وب و یا قفل هوشمند راه پیدا کنند. سوال اینجاست که دقیقاً چه زمان چیزها از حالت فیزیکی خارج شده و قدم در عرصه‌ی سایبری می‌گذارند؟

بسیاری از شرکت‌ها در محل کار خود از روش‌های سنتی امنیت فیزیکی و نظارت‌های محیطی استفاده می‌کنند اما این سازمان‌ها از راه‌حل اصلی غافل مانده‌اند. در عصر اینترنت اشیاء، تیم‌های امنیت سایبری و آی‌تی موظف‌اند در صورت رخ دادن هر گونه حمله، اقدامات بازسازی و درمان مجازی را آغاز کنند. اتصال دستگاه‌های اینترت اشیاء به شبکه‌ی اینترنتی اصلی ریسک بزرگی است چراکه مهاجمین احتمالی می‌توانند از این طریق به تمامی منابع شبکه‌ی اینترنتی سازمان دسترسی پیدا کنند.

سیستم‌های آسیب‌پذیر همچنین می‌توانند برای دسترسی به سیستم‌های کنترل صنعتی (ICS) _که امنیت‌شان بسیار ضعیف است_ استفاده شوند. برای سازمان‌هایی که زیرساخت‌های مهم‌شان را روی سیستم‌های کنترل صنعتی اجرا می‌کنند، می‌بایست تمامی سیستم‌های درگیر شده مورد بررسی عمیق و ریزبینانه‌ای قرار گیرند.

آگاهی موقعیتی از دارایی‌ها و داده‌ها

بسیاری از فریم‌ورک‌های امنیت سایبری بر مبنای داشتن آگاهی نسبت به دارایی‌های (داده‌ها نیز مشمول‌اند) یک سازمان هستند: آگاهی از سیستم‌ها و اپلیکیشن‌هایی که کار پردازش اطلاعات را انجام می‌دهند، آگاهی از اینکه چه کسی بدان‌ها دسترسی دارد و غیره. ارزیابی ریسک امنیت سایبری براساس دارایی‌های شناخته‌شده، امکان یافتن راه‌های دقیق‌تری برای شناسایی تهدیدات محسوس فراهم می‌کند. بدین‌ترتیب سازمان می‌تواند منابع امنیتی سایبری خود را در جایی سرمایه‌گذاری کند که بیشترین اهمیت را دارد.

آموزش و آگاهی امنیت سایبری

آگاهی چیزی بیش از کشف و فهرست‌بندی دارایی‌هاست. آگاهی می‌بایست تلاشی دائمی باشد برای آموزش کارکنان در زمینه‌ی سیاست‌ها، تهدیدات فعلی و نحوه‌ی مقابله با آن‌ها. مقوله‌ی مهندسی اجتماعی -که هنوز شایعترین و موفقیت‌آمیزترین حمله است- باید مورد توجه و تمرکز اصلی قرار گیرد. یک برنامه‌ی آموزشی خوب برنامه‌ایست که سناریو-محور باشد، در آن تحلیل‌ها و بررسی‌ها جای داده شود، به هر صورت آنلاین و فیزیکی ارائه شود و خط‌مشی‌های آن به فراخور نیاز هر سازمان انعطاف‌پذیر باشد.

تیم آی‌تی که بخوبی نسبت به مسئله‌ی امنیت سایبری آگاه است هم باید چنین آموزشی را ببیند؟

 آموزش در زمینه‌ی بهداشت امنیت سایبری باید امری باشد طبیعی و معمول میان همه‌ی سازمان‌ها. اینطور نیست که بگوییم فلان سازمان باید حتماً چنین آموزشی ببیند اما چون سازمان دیگر به مسائل امنیتی اگاه است دیگر نیازی به دریافت اطلاعات آموزشی ندارد. به طور کلی همیشه به کارمندان لقب "ضعیف‌ترین خط ارتباطی" می‌دهند چرا که همیشه و در هر لحظه امکان این وجود دارد که در مقابل حملات سایبری از خود ضعف نشان داده و شرکت را در معرض خطر بیاندازند.

اگر چندین برنامه‌ی آموزشی برداشته شود اما هیچکدام کارامد نباشد چه؟

بر هیچکس پوشیده نیست که برنامه‌های سنتی آموزشی معمولاً نمی‌توانند موفقیت‌آمیز عمل کنند. در پس برنامه‌ی آموزشی باید نوعی درک از فرآیند یادگیری و آموزش وجود داشته باشد. کلید یک برنامه‌ی خوب آموزشی، فرهنگ‌سازی در زمینه‌ی امنیت سایبری است. محصولات آگاهی امنیت کسپرسکی برای شروع عالی‌اند؛ حتی می‌توانید خلاء برنامه‌های آموزشی فعلی را با آن‌ها پر کنید. ما این محصولات را برای هر سازمانی با هر درجه‌ی ساختاری ارائه داده‌ایم. این محصولات آموزشی (کامپیوتر محور) از هر نوع تکنیک مدرن یادگیری از جمله گیمیفیکیشن و یادگیری در عمل استفاده می‌کنند. چنین عوامل انگیزشی‌ای تضمین می‌دهند که مهارت‌های کسب‌شده‌ی افراد آموزش‌دیده در عمل به بهترین نحو اجرا خواهد شد.

هر چند وقت یکبار کارمندان باید فعالیت‌های مشکوک را گزارش دهند؟

تیم‌های امنیت سایبری ترجیح می‌دهند کارمندان گزارش‌های غلط بدهند تا هیچ گزارشی ندهند و بگذارند کار از کار بگذرد. اما به طور کلی هر سازمانی می‌بایست پیش از آنکه کارمندان گزارش موارد مشکوک را بدهند، خود آن‌ها را شناسایی کنند. وقتی کارمندان بتوانند در بخش شناسایی و گزارش فعالیت‌های مشکوک بخوبی عمل کنند، گام بعدی اتخاذ رویکردهای واکنشی است. در حقیقت شرکت باید بتواند در صورت شناسایی هرگونه مورد مشکوک بلافاصله -بدون ایجاد وحشت و اضطراب میان کارکنان- روش‌های تدافعی را پیش گیرند.

افراد برای آموزش مداوم از کجا می‌توانند به منابع بیشتری دست پیدا کنند؟

لابراتوار کسپرسکی برای حفظ آگاهی از حوادث و تهدیدهای سایبری در سطح جهان منابع مختلفی ارائه می‌دهد:

  • Threatpost منبع اصلی اطلاعات و اخبار جدید در حوزه‌ی آی‌تی، امنیت سازمانی و امنیت سایبری به حساب می‌آید.
  • Securelist اخبار، گزارشات و تحقیقات جالبی در صنعت امنیت سایبری ارائه می‌دهد.
  • سایت threats لابراتوار کسپرسکی مدام در حال بروزرسانی است و همیشه چشم‌اندازهای خود را در خصوص تهدیدها و آسیب‌پذیری‌های امنیت سایبری به فراخور شرایط تغییر می‌دهد.
  • Cyberthreat real-time map (نقشه‌ی در-لحظه‌ی تهدید سایبری) نیز وسیله‌ای تعاملی است که تهدیدهای سایبری در سراسر جهان را به طور زنده و در لحظه در قالب فرمتی بصری ارائه می‌دهد.
  • و البته Kaspersky Daily که بلاگ اصلی ماست و در آن پست‌هایی مرتبط با موضوع شرکت‌ها و مصرف‌کنندگان منتشر می‌کند. 

 

[1]  Information Security and Compliance for the Americas

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

 

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.