آگاهی رسانی امنیتی (Security Awareness)
آگاهی رسانی امنیتی یا Security Awareness برنامه ای است با هدف آموزش کارمندان در زمینه حفظ و نگه داری از دارایی های سازمان و جلوگیری از مخاطراتی که داده های سازمان را در معرض خطر قرار می دهند. آگاهی به معنای پیشگیری از انواع ریسک ها همراه با راه حل های منطقی و رفتار های مناسب هنگام مشاهده ریسک است. هر کارمند می تواند با رفتارها و اقدامات درست و به موقع، خطر دسترسی به اطلاعات حساس را کاهش دهد.
اهداف اصلی آگاهی رسانی امنیتی کاهش سطح حملات و ریسک های سازمان، توانمند سازی کاربران برای حفاظت از اطلاعات سازمان و همچنین اجرای سیاست ها و رویه هایی که سازمان برای محافظت از داده های خود نیاز به آن ها نیاز دارند.
هنگامی که در مورد اهداف آگاهی رسانی امنیتی صحبت می کنیم، یکی از نتایج برتر باید این باشد که هر فرد در هر سازمان نقش یک سیستم تشخیص نفوذ یا IDS را اجرا کند. به این منظور که هر کاربر باید قادر باشد که ریسک ها، نفوذ، حملات را تشخیص داده و به موقع آن را گزارش دهد تا از حملات بالقوه و درز اطلاعات حساس جلوگیری کند.
افراد یک سازمان در صورت نداشتن دانش کافی در زمینه امنیت، نقطه ضعف بزرگی برای سازمان به حساب می آیند.
مهاجمان به دنبال فرآیندی برای فریب افراد سازمان جهت دسترسی به اطلاعات مهم و محرمانه آن ها هستند. تنها دفاع شناخته شده برای حملات مهندسی اجتماعی یک برنامه آگاه رسانی امنیتی موثر است.
اگر کاربران تاکتیک و تکنیک های مهندسی اجتماعی را درک نکنند، طعمه می شوند و داده های سازمان در معرض خطر قرار می گیرند.
در بیشتر حملات، مهاجمان از دانش کم افراد برای نفوذ خود استفاده کرده اند. برای مثال در شکاف امنیتی RSA، مهاجمان از فیشینگ برای سرقت پیام های تایید هویت RSA استفاده کردند که منجر به شکاف های بیشتری شد. مثال دیگر حمله Aurora علیه گوگل و دیگر شرکت های نرم افزاری است. این حمله کاربران را به وب سایتی هدایت کرد که در آن حمله روزصفر(Zero Day) اجرا می شد. در نتیجه مقدار زیادی از دارایی های ارزشمند و هوشمندانه از جمله سورس کد های شرکت هایی مثل گوگل و Adobe دزدیده شد.
امروزه بیشتر مهاجمان تلاشی برای نفوذ به فایروال ها و یا تجهیزات امنیتی برای انجام حملات خود نمی کنند. مهاجمان از روش های دیگر برای نفوذ استفاده می کنند و متاسفانه سازمان ها هزینه های هنگفتی برای توسعه تدابیر لایه های امنیتی خود خرج کرده اند و توجهی به دانش و آگاهی افراد خود نکرده اند. با وجود این راه حل های پیچیده و پرهزینه مهاجمان به حملات بیشتر و پیچیده تری معطوف شده اند و کاربران را فریب می دهند که بر روی لینک آلوده ای کلیک کنند یا فایل های پیوست آلوده را باز کنند و از این طرایق سازمان و اطلاعاتش در معرض خطر قرار می گیرند.
متاسفانه نیروی انسانی وصله امنیتی ندارد که بتوانیم با اینکار آسیب پذیری های مربوط به عدم آگاهی امنیتی را در این سطح برطرف کنیم تنها کار و کم هزینه ترین روش برای جلوگیری از چنین آسیب پذیری هایی آگاه نگه داشتن نیروی انسانی می باشد .
همچنین یک برنامه آگاهی رسانی امنیتی یک بلوک سازنده(Building Block) نیز است. سیاست ها و رویه ها اولین بخش بلوک سازنده هستند. لایه بعدی یک برنامه آگاهی رسانی امنیتی است. زمانی که این دو عنصر به درستی وجود داشته باشند می توانیم به سمت مراحل بعدی از جمله مدیریت پچ ها یا وصله ها، مدیریت لاگ ها، آنتی ویروس ها/HDIS، مسائل امنیتی از جمله فایروال ها حرکت کنیم.
در برخی شرکت ها آگاهی رسانی امنیتی اعمال می شود اما هیچ پیگیری در این زمینه انجام نمی شود. در این مورد تمام آموزش ها بی نتیجه می ماند. برای اطمینان باید تمام کارمندان شرکت بعد از آموزش سنجیده شوند برای مثال بدون اطلاع آن ها باید حمله یا ریسکی شبیه سازی شود سپس اطمینان حاصل می شود کارمندان آمادگی لازم را دارند یا خیر.
مرحله بعد از آموزش که توسط شرکت تکتاکام انجام می شود سنجش و ارزیابی آموخته های افراد سازمان است.با این کار اطمینان حاصل می شود کارمندان آمادگی لازم را دارند یا خیر.
فرض کنید نیرویی در شرکت به اطلاعات شخصی قابل شناسایی(PII) مشتریان دسترسی دارد. در اینجا نکته این است که این کارمند باید جلوی درز این اطلاعات را بگیرد. این گزینه تنها زمانی معنی می دهد که کارمند ما آموزش های لازم را دیده باشد.
نیاز است که آموزش ها طبقه بندی شده، وظایف و موضوعات نیز روشن باشند. کارمندان بعد آموزش دوره اول تست شوند و سپس به مراحل بعدی آموزش بروند.
اقدام بعدی مورد نیاز، طبقه بندی اطلاعات و مدارک در سازمان ها و شرکت هاست. بعد از آن باید مشخص گردد که چه شخصی به کدام اطلاعات دسترسی داشته باشد. این کار با توجه به سطح اطلاعات و آموزش های انجام شده در سازمان انجام می شود. به این امر کنترل دسترسی اجباری یا MAC(Mandatory Access Control) گفته می شود.
در آخر باید کارمندان از حملات و ریسک های جدید نیز مطلع باشند زیرا این حملات و ریسک ها روز به روز در حال پیشرفت هستند. آن ها باید با انواع بد افزار ها، ریسک ها، ویروس ها، ترفند ها هک، لینک های مخرب، فیشینگ ها و … آشنا شده و اخبار جدید در این زمینه نیز باید در اختیارشان قرار بگیرد.
همچنین باید آگاه باشند که تجهیزات ذخیره سازی آن ها امنیت لازم را داشته باشد. در صورتی که نیاز به معدوم سازی بود روش های درستی را استفاده کنند که مطمئن شوند اطلاعات در آن تجهیز ذخیره سازی قابل بازیابی نباشد.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
ایجاد برنامه آگاهی رسانی امنیتی مؤثر
در هر سازمانی یک سیاست به وسیله دستور العمل هایی اجباری شده است. این دوره امری اجباری و مهم حداکثر برای کاهش افشا شدن اطلاعات قانونی شما می باشد.
هدف اصلی این سیاست عبارت است از: ” تمام کارمندان موظف اند که برنامه امنیت اطلاعات را دنبال و از آن استفاده کنند.”
آگاهی رسانی بخشی از امنیت اطلاعات است. یک استاندارد آگاهی رسانی امنیتی شامل سه بخش است که :” چه کسی، چه چیزی و چه زمانی”
- “چه شخصی” باید آموزش ببیند؟ آیا باید تمام کارمندان حتی کسانی که دسترسی به سیستم ندارند هم آموزش ببینند؟ از نظر کارشناسان ما لازم است تمامی کارمندان حتی مشاوران و نیرو های فروش نیز از این آموزش ها بهره مند شوند.
- “چه چیزی” الزامات آموزش آگاهی رسانی است که شما ایجاد کرده اید
- “چه زمانی” مشخص کننده زمان مناسب بخش های مختلف آموزش و سنجش افراد است.
طراحی و اجرای یک برنامه آگاهی رسانی امنیتی پیچیده تر از آنچه است که بتوانید آن را به تنهایی ایجاد کنید. اینترنت می تواند منبع خوبی برای شما باشد اما در نظر بگیرید که باید اطلاعات دقیق و درست باشند زیرا بستر اینترنت خود نیز تهدید امنیتی به حساب می آید که باید طرز استفاده درست از آن را در برنامه آموزشی آگاهی رسانی امنیتی خود بگنجانید. در این زمینه شرکت تکتاکام خدمات مناسب و سطح اول را در اختیار مشتریان خود قرار می دهد.
در نظر داشته باشید که آگاهی رسانی امنیتی، درک خوبی در شناسایی ریسک را به شما می دهد.