امنیت سایبری همچنان یک چالش حیاتی برای کسبوکارهای کوچک و بزرگ باقی میماند، بهویژه که نیروی کار همچنان از خانه به کار خود ادامه میدهد و با افزایش تعداد حملات سایبری نوآورانه. اقدامات بهداشتی امنیت فناوری اطلاعات – و به ویژه فقدان آنها – یکی از رایج ترین دلایلی است که باعث می شود مجرمان سایبری در وهله اول به سیستم های مهم تجاری دسترسی پیدا کنند. جان ترست، مدیر ارشد آموزش، با انسان به عنوان اولین خط دفاعی سازمان، VIPRE گروه امنیتی می گوید که کلید کاهش تهدیدات سایبری و کاهش خطرات انسانی، اولویت بندی و سرمایه گذاری در آموزش صحیح آگاهی امنیتی است.
منظره تهدید
امنیت سایبری موضوعی است که تقریباً بر هر صنعت و کسبوکارهایی در هر اندازهای تأثیر میگذارد. از باجافزار، فیشینگ گرفته تا بدافزار، و روشها و فنآوریهای نوآورانهای که توسط مهاجمان استفاده میشود، برای کسبوکارها بهطور فزایندهای دشوار میشود که یک قدم جلوتر بمانند و زیرساختهای خود را ایمن کنند. همراه با چالش هایی که کار هیبریدی به همراه دارد، طوفان مناسبی را برای مهاجمان سایبری ایجاد می کند تا از آن بهره ببرند. طبق آخرین گزارش، کار از راه دور در طول همهگیری COVID-19 باعث افزایش 238 درصدی در حملات سایبری شد، زیرا مهاجمان از این واقعیت استفاده کردند که کارکنان از تیمهای فناوری اطلاعات دور هستند و روی شبکههای بالقوه باز کار میکنند یا توسط عوامل حواسپرتی جدید احاطه شدهاند.
در چشم انداز امنیت سایبری که به سرعت در حال تحول است، بسیار مهم است که کسب و کارها با اجرای اقدامات مناسب برای جلوگیری از چنین حملاتی، روی بهداشت امنیت فناوری اطلاعات سرمایه گذاری کنند. با این حال، علیرغم وجود تعدادی فناوری برای کمک به بهبود وضعیت امنیت سایبری فناوری اطلاعات کسب و کارها، 95 درصد از نقض امنیت سایبری ناشی از خطای انسانی است. و بنابراین، اگر کارمندان در مورد چگونگی ایمن نگه داشتن خود و دیگران از حمله آموزش نبینند، این سرمایهگذاریهای فناوری حتی قبل از شروع شکست خواهند خورد.
آموزش و پرورش
هر رویکرد امنیتی دیجیتال موثر باید با آگاهی از امنیت، با آموزش کارکنان در مورد چشم انداز تهدید در حال تکامل شروع شود. با داشتن یک برنامه آگاهی امنیتی، کاربران تشویق میشوند تا بهترین شیوههای امنیتی ایمن را اتخاذ کنند و عادتهایی را شکل دهند که آنها و دادههای شرکت را در برابر عوامل بد محافظت میکند. با این حال، ابتکارات سنتی آگاهی امنیتی اغلب از نظر حفظ مشارکت کارکنان کوتاهی میکنند، که اثربخشی آنها را محدود میکند – که یک بار در سال تمرین تیک باکس است. در عوض، بسیار حیاتی است که کسبوکارها روی محتوای آموزشی جذاب و مکرر برای کارکنان خود سرمایهگذاری کنند تا حفظ نیروی کار را بهبود بخشند و اقدامات امنیتی آن را تقویت کنند. زبان آموزان معمولاً 90 درصد از آنچه را در یک کلاس یا دوره یاد می گیرند در عرض چند هفته فراموش می کنند. بنابراین، تقویت آموزش به طور منظم برای حفظ اطلاعات و در نتیجه دانش یادگیرنده برای اعمال بهترین شیوه ها در صورت حمله یا حادثه امنیت سایبری ضروری است.
یادگیری تطبیقی یک ابزار آموزشی قدرتمند است که برای تکمیل سبکهای یادگیری انسانی به منظور افزایش تعامل آگاهی امنیتی و تقویت وضعیت امنیتی کلی کسبوکار ایجاد شده است. با ارائه یک تجربه یادگیری شخصی به کارمندان، هر گونه ضعف یا نیاز منحصر به فرد را می توان به راحتی شناسایی کرد و یادگیری را می توان برای فرد طراحی کرد. این به ویژه در شرایطی که یک دوره باید برای زبان آموزان در سطوح مختلف درک در مورد یک موضوع اجرا شود کمک می کند. اغلب، مدیران آموزشی باید کارمندانی را در خود جای دهند که ممکن است با ایده امنیت سایبری جدید باشند، اما همچنین کارمندانی مانند کارکنان فناوری اطلاعات که با این موضوع بسیار آشنا هستند. اگر بتوان به یادگیرنده محتوایی داد که بتواند خود را با سطح درک او تنظیم کند یا حداقل به زبان آموز اجازه دهد مطالبی را که قبلاً با آن آشنا است صرف نظر کند، این به انگیزه توجه یادگیرنده و همچنین استفاده بهینه از آن کمک می کند. زمان محدودی که برای آموزش در اختیار دارند. اگر گزینه های انطباقی در آموزش یک سازمان در دسترس باشد، پس حتما باید در نظر گرفته شوند.
سرمایهگذاری در آموزش امنیت سایبری برای بقای کسبوکار ضروری شده است، زیرا تحقیقات نشان میدهد که خطرات مربوط به امنیت تا 70 درصد کاهش مییابد زمانی که کسبوکارها در آموزش و آگاهی سرمایهگذاری میکنند. این سازمان ها را قادر می سازد تا به هدف ایجاد یک فرهنگ امنیتی آگاهانه و محافظت از آنها در برابر تهدیدات امنیتی بالقوه دست یابند.
تغییرات قانونی
با توجه به تنوع مقررات، الزامات و دستورالعملهای قانونی موجود، ممکن است تعجب آور باشد که تا همین اواخر، قوانین خاصی برای رویههای آموزش امنیت داخلی و آموزش کارکنان وجود نداشته است.
ممکن است بسیاری از شرکتها قوانین داخلی داشته باشند که به عنوان مثال، چه کسی صلاحیت باز کردن فایلهای خاص را دارد – اما این قوانین به ندرت حفظ، بررسی یا بهروزرسانی میشوند. علاوه بر این، با توجه به اینکه چشمانداز امنیت سایبری دائماً در حال تغییر و تحول با روشهای جدید حمله پیچیده است، ضروری است که کارکنان بهروز بمانند و از تهدیدات بالقوهای که با آن مواجه هستند آگاه باشند.
خوشبختانه، انتظار می رود ظهور NIS 2 (دستورالعمل امنیت شبکه و اطلاعات 2.0) الزامات قانونی را برای آموزش امنیت فناوری اطلاعات برای کارکنان در سراسر اروپا قرار دهد و آن را در دستور کار اولویت سازمان ها قرار دهد.
دستورالعمل NIS 2 بیان میکند که نهادهای اساسی و مهم باید اقدامات مدیریت ریسک امنیت سایبری اضافی را که متناسب با ریسک سایبری است، اجرا کنند، از جمله؛ تجزیه و تحلیل ریسک، سیاستهای امنیت اطلاعات، و تداوم کسبوکار (مدیریت پشتیبان و بازیابی فاجعه) – اطمینان از اقدامات اولیه «بهداشت سایبری» و ارائه آموزشهای امنیت سایبری. اجرای دستورالعمل NIS 2 باید به عنوان یک امر مثبت – تقویت انعطاف پذیری امنیت سایبری در سراسر اروپا – با تمرکز ویژه بر رویه های آموزشی مناسب تلقی شود.
نتیجه
مشاغلی که فاقد بهترین شیوه ها و اقدامات بهداشت سایبری کافی هستند، خود را در معرض خطر حمله سایبری قرار می دهند. یکی از عوامل کلیدی دفاع از امنیت سایبری هر سازمان، نیروی کار آن سازمان است، زیرا مسئولیت کلیک کردن بر روی یک پیوند، یا ارسال ایمیل به شخص مناسب بر عهده خود فرد است. بنابراین، ایدههای کسبوکار باید سرمایهگذاری امنیتی خود را از طریق اولویتبندی آموزش و آگاهی در اولویت قرار دهند – که با وضع مقررات قانونی جدید، مانند NIS 2، ادامه خواهد یافت. آموزش. آموزش آگاهی از امنیت، کاربران را قادر میسازد تا هوشیارتر و از امنیت آگاهتر شوند و به نوبه خود به کاهش ریسک سایبری سازمانها کمک میکند و در عین حال رفتار کاربر امن را در محل کار و خانه تشویق میکند.
منبع: https://www.professionalsecurity.co.uk/products/computer-systems-and-it-security-news/it-hygiene-training-and-awareness/