آموزش رایگان سکیوریتی پلاس: چگونه به کارمندان درباره مخاطرات امنیتی آموزش دهیم؟

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

تعطیلات اجباری (Mandatory Vacations)

از نقطه نظر امنیتی، مهم است که اطمینان حاصل کنید به خط‌مشی امنیتی تعطیلات اجباری دقت کرده‌اید. اهمیت در نظر گرفتن زمان تعطیلات در این است که به شناسایی فعالیت‌های متقلبانه یا مشکوک در سازمان کمک می‌کند، زیرا زمانی که شخصی در تعطیلات است، کارمند دیگری باید نقش شغلی را به عهده بگیرد. رویکرد فوق به کارمندان کمک می‌کند در وظایف شغلی خود صادق باشند، زیرا می‌دانند در قبال فعالیت‌های مشکوک شناسایی شده و نبود مسئول اصلی بازهم پاسخ‌گو خواهند بود.

نکته: برای آزمون سکیوریتی پلاس به یاد داشته باشید که یکی از خط‌مشی‌های مهمی که باید به آن دقت کنید تعطیلات اجباری است. توجه به این نکته باعث می‌شود تا بتوانید فعالیت‌های مجرمانه انجام شده توسط کارمندان را راحت‌تر شناسایی کنید.

خط‌مشی‌های امنیتی مرتبط با منابع انسانی

برخی از خط‌مشی‌های و رویه‌های مرتبط با امنیت قابل اجرا در ارتباط با منابع انسانی و کارکنان هستند. توجه به این أصول کمک می‌کنند تا مشکل امنیتی خاصی از بخش منابع انسانی به وجود نیاید. از مهم‌ترین خط‌مشی‌های مرتبط با این واحد به موارد زیر باید اشاره کرد:

■   چرخش شغلی (Job rotation): همانطور که اجرای خط‌مشی مربوط به تعطیلات اجباری مهم است، شرکت شما باید از چرخش شغلی استفاده کند. چرخش شغلی تضمین می‌کند کارمندان یک واحد نقش‌های شغلی مختلفی را به‌طور منظم انجام می‌دهند. رویکرد فوق به شناسایی و جلوگیری از فعالیت‌های خرابکارانه در کسب و کار کمک می‌کند.

■   تفکیک وظایف (Separation of duties): به رویکردی اشاره دارد که وظایف شغلی واحد را به وظایف متعدد تقسیم می‌کند و هر کارمند وظایف خاص خود را خواهد داشت. به عنوان مثال، شخصی که چک را می‌نویسد، نمی‌تواند چک را نیز امضا کند. رویکرد فوق تضمین می‌کند که افراد در یک شرکت با یکدیگر تبانی نخواهد کرد و بحث اختلاس نیز از میان می‌رود.

■   حداقل امتیاز ( Least privilege): مفهوم کمترین امتیاز این است که اطمینان حاصل شود کارکنان همیشه حداقل مجوزها یا امتیازات مورد نیاز برای انجام وظایف شغلی خود را دارند و نه بیشتر. اگر مجوزهای بیشتری نسبت به نیاز اختصاص دهید، این امکان وجود دارد که کارمند به داده‌های حساسی که نیازی به دسترسی به آن‌ها نیست دسترسی پیدا کند یا اقداماتی که نباید را روی آن داده‌ها انجام دهد که تغییر یا حذف داده‌ها از جمله این موارد است.

ایجاد یک خط‌مشی امنیتی

اکنون که تا حدود با مبحث خط‌مشی‌ها و أنواع آن‌ها آشنا شدید، زمان آن رسید تا نحوه پیاده‌سازی یک خط‌مشی قابل استفاده را یاد بگیرید و مقرراتی در مورد استفاده درست از تجهیزات رایانه‌ای، اینترنت، ایمیل و دستگاه‌های تلفن همراه را در آن درج کنید. به‌طور معمول در زمان ساخت یک خط‌مشی امنیتی باید به موارد زیر دقت کنید:

■   نمای کلی

■   محدوده

■   خط‌مشی

■   اجرا

■   تعاریف

■   تاریخچه بازبینی

آموزش و آگاهی‌رسانی به کاربر

ایجاد و اجرای یک خط‌مشی امنیتی گام مهمی در جهت ایجاد یک محیط امن برای شرکت است، اما اگر شرکت به کارکنان در مورد امنیت و خط‌مشی‌های امنیتی مربوطه در کسب و کار آموزش ندهد، امنیت معنایی ندارد. مهم است که مدتی را صرف توسعه یک برنامه آموزشی و آگاهی‌رسانی کنید که شامل آموزش همه کارکنان در تمام سطوح در مورد مسئولیت آن‌ها در قبال امنیت است.

آموزش عمومی و آموزش نقش‌محور

اولین تصمیم مهم هنگام طراحی یک برنامه آموزشی امنیتی این است که مشخص کنید چه نوع مطلب و محتوایی برای نقش‌های مختلف یا واحدهای درون سازمانی موثر است. از آن‌جایی که امنیت یک مفهوم حیاتی است و باید مخاطبان خود را در طول سمینارهای آموزشی و آگاهی‌بخشی مجذوب خود کند، باید اطمینان حاصل کنید که آموزش مرتبط با مخاطبان و بر اساس نقش‌های شغلی خواهد بود. به عنوان مثال، شما نمی‌خواهید کاربران تجاری را با بحث‌های پیچیده در مورد نحوه پیاده‌سازی فایروال خسته کرده یا به زبان عامیانه بخوابانید! بنابراین آموزش مباحث فنی امنیت را برای تیم فنی رزرو کنید. هر عضوی در آن نقش شغلی ملزم به گذراندن آموزش فنی دقیق است. در ادامه یک طرح کلی از آن‌چه باید برای نقش‌های شغلی مختلف یا کارمندان در سازمان شرح داده شود ارائه شده است:

■   کاربران تجاری: برای این گروه از کاربران باید آموزشی‌هایی در ارتباط با بهترین شیوه‌های انتخاب رمز عبور، مهندسی اجتماعی، حفاظت در برابر ویروس‌ها و اهمیت امنیت فیزیکی را لحاظ کنید.

■   تیم فنی: تیم فنی متشکل از مدیران سیستم، سرپرستان شبکه، سرپرستان امنیتی و احتمالاً تیم پشتیبانی دسک‌تاپ است. این افراد نیاز به آموزش راه‌حل های فنی و امنیت دارند و باید در مورد مباحثی مثل سیستم‌های تشخیص نفوذ، فایروال‌ها و راه‌حل‌های محافظت از بدافزار آموزش‌های لازم را ببینند.

■   مدیریت: با تیم مدیریت یا کاربران اجرایی باید رویکرد کاملاً متفاوتی داشته باشید. اعضای تیم مدیریت و اجرایی بیشتر نگران چرایی انجام کارها تا نحوه انجام کارها هستند. هنگام آموزش مباحث امنیتی به مدیریت بر این موضوع تمرکز کنید که چرا آن‌ها باید از طرح‌های امنیتی پیشنهاد شده حمایت کرده و مبالغ هنگفتی از سرمایه سازمانی را صرف بهبود امنیتی کنند و چرا رویکرد فوق باعث می‌شود در صورت بروز مشکلات امنیتی به شهرت و اعتبار آن‌ها لطمه وارد نشود. همچنین تحقیق کنید که آیا قوانین و مقررات مدیران ارشد سازمانی را ملزم به تلاش برای حفاظت از دارایی‌ها میرکند یا خیر. مطمئن شوید که یافته‌های خود را در آموزش لحاظ کنید یا مواردی که در گذشته سازمانی به دلیل اجرا نکردن اقدامات امنیتی مناسب برای حفاظت از دارایی‌هایش از نظر قانونی مسئول شناخته شده را پیدا کرده‌ و در ارائه خود لحاظ کرده‌اید. ایده خوب دیگر این است که مواردی را بیابید که شرکت‌های بیمه به دلیل نقض الزامات بیمه‌نامه که یک شرکت تلاش‌های معقولی برای ایمن‌سازی دارایی‌های خود انجام نداده، هیچ‌گونه هزینه‌ای پرداخت نکرده‌اند. موارد یاد شده، چند نمونه از اطلاعات مهمی هستند که توجه شرکت‌کنندگان در یک سمینار آگاهی‌بخشی از امنیت را به سمت خود جلب می‌کنند.

■   مالک داده: مالک داده مسئول داده‌ها است و باید در مورد نحوه محافظت از داده‌ها آموزش دیده باشد. این مورد نحوه تعیین برچسب طبقه‌بندی داده‌ها، تعیین مجوزهای مورد نیاز و تعیین این‌که آیا باید از رمزگذاری استفاده شود یا خیر را شامل می‌شود.

■   مالک سیستم: مالک سیستم مسئول دارایی‌هایی مثل سرور، ایستگاه کاری یا سایر تجهیزات هوشمند است. مالک سیستم باید در مورد ارزش هر نوع سیستم و انواع کنترل‌های امنیتی که باید برای محافظت از دارایی استفاده شود آموزش ببیند.

■   کاربر ممتاز: کاربر ممتاز شخصی است که مجوزهای اضافی برای انجام یک کار مدیریتی به او اختصاص داده شده است. مهم است که به این افراد آموزش دهید که چگونه آن وظایف را به درستی انجام دهند، زیرا نمی‌خواهید آن‌ها خطاهای پیکربندی ایجاد کنند که می‌تواند آسیب‌پذیری‌های بالقوه‌ای را به وجود آورند.

علاوه بر ارایه آموزش‌های امنیتی برای نقش‌های شغلی مختلف، همه کارمندان باید از طریق یک فرآیند تمرینی به لحاظ عملی نیز آموزش‌ها لازم را ببینند تا اطلاعات تئوری و فنی آن‌ها کامل شود.

آگاهی از خط‌مشی

هنگام آموزش همه پرسنل سازمان، مطمئن شوید که به همه در مورد موضوعات مهم آموزش داده‌اید. در این حالت، می‌توانید امیدوار باشید که  احتمال وقوع یک رویداد امنیتی کم خواهد بود. آموزش کارکنان، تیم‌های فنی و مدیریت در مورد هدف خط‌مشی امنیتی و انواع قوانین مندرج در خط‌مشی امنیتی موضوع مهمی است که باید به دقت به آن رسیدگی کنید. اطمینان حاصل کنید که به کارمندان آموزش داده‌اید که اطلاعات شخصی قابل شناسایی (PII) سرنام  identifiable information چیست، و نمونه‌هایی از PII که شرکت شما ذخیره می‌کند را ارائه دهید تا کارمندان بدانند که این اطلاعات را در اختیار هر فردی قرار ندهند و به شکل ایمنی از آن‌ها نگه‌داری کنند.

به همه کارکنان در مورد سیستم طبقه‌بندی اطلاعات و برچسب‌گذاری داده‌ها آموزش دهید. همان‌گونه که پیش‌تر به آن اشاره شد، یک برچسب داده، برچسب طبقه‌بندی است، مانند فوق سری که به اطلاعات اختصاص داده شده است. اطمینان حاصل کنید کارمندان سطوح مختلف قادر به برچسب‌گذاری داده‌های مختلفی هستند که به آن‌ها دسترسی دارند.

همچنین اطمینان حاصل کنید که برای آموزش کارکنان در مورد خط‌مشی کنار گذاشتن ایمن تجهیزات، وقت کافی اختصاص داده‌اید و مطمئن شوید که همه کارمندان اهمیت پاک کردن درست درایوها و پاک کردن تنظیمات از تجهیزات قدیمی را درک کرده‌اند. در نهایت، اطمینان حاصل کنید که کارکنان اهمیت رعایت قوانین و مقررات شرکت را به درستی متوجه شده‌اند.

تنوع تکنیک‌های آموزشی

برخی کارشناسان امنیت دوست دارند از روش‌های مختلف برای ارائه آگاهی‌رسانی به کارکنان و آموزش آن‌ها استفاده کنند، زیرا افراد به روش‌های مختلف مباحث را یاد می‌گیرند. به‌طور مثال، برخی از افراد فقط می‌توانند توسط یک جلسه تحت رهبری مربی یاد بگیرند، در حالی که برخی دیگر می‌توانند با تماشای یک ویدیو یا خواندن یک کتاب یاد بگیرند. بر همین أساس ضروری است از روش‌های زیر ترکیبی از روش‌ها استفاده کنید:

■   سمینارها: یکی از محبوب‌ترین روش‌ها برای آموزش کارکنان، برگزاری سمینارهایی است که در آن یک کارشناس امنیتی مسائل مربوطه را برای شرکت‌کنندگان توضیح می‌دهد. این سمینارها معمولاً جلسات نیم روزه یا تمام روزه هستند.

■   جلسه‌های ناهار و یادگیری همراه با ناهار: این مدل جلسات شبیه به سمینارها هستند، اما تقریباً 50 دقیقه طول می‌کشند و برای بررسی یک موضوع خاص طراحی شده‌اند. اکثر شرکت‌ها در حالی که کارکنان در مورد مباحث امنیتی آموزش می‌بینند برای آن‌ها ناهار نیز تهیه می‌کنند تا اثربخشی آموزش بیشتر شود.

■   آموزش مبتنی بر کامپیوتر (CBT):  آموزش بیتی بر کامپیوتر (Computer-based training) روشی است که در آن کارمندان از ابزارهای خودآموزی مانند ویدیوهای آموزشی موجود به صورت آنلاین برای اطلاع از امنیت استفاده می‌کنند.

■   سایت اینترانت: می‌توانید منابعی مانند اسنادی که بهترین شیوه‌های امنیتی را توصیف می‌کنند در سایت اینترانت خود داشته باشید.

■   ویدیوهای درخواستی: یک رویکرد برای آموزش داخلی این است که سمینارها را به‌عنوان ویدیوها برای دانلود از یک سرور داخلی ضبط کنید.

■    Gamification: ساخت بازی‌های تمرینی (نه بازی‌های واقعی یا ویدیویی) از فعالیت‌هایی است که برخی سازمان‌ها برای انگیزه‌بخشی به کارمندان برای درک بهتر مطالب آموزشی از آن استفاده می‌کنند. برای مثال، می‌توانید به دو کارمند اول که ایمیل‌های فیشینگ آزمایشی داخلی را شناسایی و گزارش می‌کنند، کارت هدیه بدهید.

■    Capture the flag: ‌در این شیوه آموزشی تعدادی چالش برای شرکت‌کنندگان در نظر گرفته می‌شود و از آن‌ها می‌خواهد از مجموعه مهارت‌های خود برای حل مشکلات در مسابقه استفاده کنند. همان‌طور که آن‌ها مشکلات را حل می‌کنند، پرچم‌هایی به دست می‌آورند که برای امتیازگیری در پلت‌فرم از آن استفاده می‌شود. این مدل آموزش‌ها عمدتا با هدف بهبود مهارت‌های هک و جنبه‌های تکنیکی استفاده می‌شوند.

■   کمپین‌های فیشینگ: یک شرکت ممکن است از یک کمپین فیشینگ به عنوان روشی برای تعیین میزان مؤثر بودن آموزش‌های امنیتی با ارسال پیام‌های ایمیل جعلی به کارکنانی استفاده کند که ممکن است در معرض افشای اطلاعات حساس مانند شماره کارت اعتباری یا گذرواژه‌ها و نام‌های کاربردی برای ورود به سیستم باشند. در این مورد، شرکت با ارسال ایمیل‌های جعلی، سعی می‌کند ایمیل‌هایی که در ظاهر به مدیرعامل یا مدیران ارشد سازمانی اشاره دارد برای کارمندان واحدها ارسال کند و از کاربر درخواست می‌کند روی پیوند کلیک کند و سپس اطلاعات حساس را در یک وب‌سایت جعلی وارد کند.

■   شبیه‌سازی‌های فیشینگ: در طول آموزش کارمندان، باید نمونه‌هایی از حملات یا شبیه‌سازی‌های فیشینگ را به آن‌ها نشان دهید تا کارمندان بتوانند در صورت وقوع حمله فیشینگ قادر به شناسایی آن‌ها باشند. این نوع ابزار آموزشی به‌گونه‌ای طراحی شده تا اطمینان حاصل شود کارکنان از اقدامات مناسب در هنگام وقوع یک حمله فیشینگ اطلاع دارند.

■   آموزش نقش‌محور: آموزش مبتنی بر نقش شامل طراحی یک برنامه آموزشی برای کارکنان بر اساس نقش شغلی آن‌ها است. به عنوان مثال، به یک کاربر تجاری در مورد بهترین شیوه‌های انتخاب رمز عبور، حملات فیشینگ و عادات اینترنتی ایمن آموزش داده می‌شود، در حالی که به تیم فناوری اطلاعات نحوه پیکربندی فایروال‌های شرکت آموزش داده می‌شود.

نکته: برای آزمون سکیوریتی پلاس باید اطلاعات خوبی در ارتباط با تکنیک‌های آموزشی مثل گیمیفیکیشن، Capture the Flag و کمپین‌های فیشینگ داشته باشید. مطمئناً سؤالاتی در مورد این موضوعات در آزمون مشاهده می‌کنید.

عادات کاربر

هنگام آموزش کارکنان در مورد بهترین شیوه‌های امنیتی، باید روی تعدادی از زمینه‌ها تمرکز کنید. در ادامه به معرفی نکات مشترکی می‌پردازیم که ممکن است مجبور به آموزش آن‌ها به کارمندان شوید.

الگوهای رفتاری در ارتباط با رمز عبور

وقتی صحبت از بهترین روش‌های انتخاب رمز عبور به میان می‌آید، به کاربران در مورد اهمیت داشتن رمزهای عبور قوی و این واقعیت که یک رمز عبور ساده می‌تواند در چند ثانیه شکسته شود، آموزش دهید. توضیح دهید که یک رمز عبور قوی رمز عبوری است که حداقل هشت کاراکتر داشته باشد، ترکیبی از حروف بزرگ و کوچک داشته باشد و حاوی اعداد و/یا نمادها باشد.

اطمینان حاصل کنید که کاربران از رمزهای عبور آسان برای حدس زدن استفاده نمی‌کنند یا رمز عبور خود را یادداشت نمی‌کنند. این نکته باید به وضوح در سیاست رمز عبور مشخص شود. همچنین اطمینان حاصل کنید کاربران رمز عبور خود را با دیگران به اشتراک نمی‌گذارند و به طور منظم رمز عبور خود را تغییر می‌دهند تا استفاده طولانی مدت روند هک کردم حساب آن‌ها را ساده نکند. در نهایت، کاربران نباید از رمز عبوری یکسان با سایر حساب‌های کاربری استفاده می‌کنند، زیرا اگر شخصی رمز عبور یکی از حساب‌ها را هک کند، هکر می‌تواند به همه حساب‌ها دسترسی پیدا کند. این موضوع برای حساب‌هایی که برای ورود به وب‌سایت‌ها استفاده می‌شوند نیز صدق می‌کند. به عنوان مثال، یک کاربر نباید رمز عبور یکسانی برای حساب بانکی خود، Outlook.com، Gmail و حساب فیس‌بوک داشته باشد، زیرا رمز عبور شکسته شده به این معنی است که هکر می‌تواند به همه این حساب‌ها دسترسی پیدا کند.

داده‌گردانی (Data Handling)

کاربران باید در مورد روش‌های امن مدیریت داده‌ها آموزش ببینند. داده‌هایی که در یک درایو قابل جابجایی نگهداری می‌شوند باید به شکل رمزنگاری شده ذخیره شوند تا اگر رسانه قابل حمل به دست افراد غیرمجاز افتاد، امکان خواندن داده‌ها وجود نداشته باشد. باید خط‌مشی‌هایی در مورد این‌که چه نوع رسانه‌های قابل جابجایی در کسب‌وکار مجاز است و چه نوع اطلاعاتی مجاز است در آن رسانه ذخیره شود، اطلاع‌رسانی کنید. شما باید اطمینان حاصل کنید که کاربران خط‌مشی را بررسی کرده و شرایط استفاده از چنین رسانه‌هایی را درک می‌کنند.

مطمئن شوید به کاربران خود در مورد تخریب صحیح داده‌ها آموزش داده‌اید. به کاربران آموزش دهید که صرفاً حذف فایل‌ها از درایو، داده‌ها را از دیسک حذف نمی‌کند و کارمندان باید خط‌مشی نابودی ایمن تجهیزات را دنبال کنند.

به کاربران خود در مورد از بین بردن صحیح کپی‌های سخت از داده‌ها (نسخه‌های کاغذی) آموزش دهید و اطمینان حاصل کنید که یک خردکن در دسترس همه کاربران است تا اسناد حساس به راحتای امحاء شوند. برخی از شرکت‌ها ممکن است به کاربران آموزش دهید که هکرها از رویکردی به‌نام غواصی در زباله‌ها به خوبی استفاده می‌کنند، به این معنی که آن‌ها در میان زباله‌ها می‌گردند و سعی می‌کنند اطلاعات حساس را بیابند.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

• تهران: آموزشگاه عصر رایان شبکه
• مهندس اطلاعات 
• تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام کارشناس هلپ دسک