فاکتور انسانی: آیا کارکنان می توانند اشتباه کنند؟
مدتهاست که ابزار فنی به تنهایی برای حفاظت از کسب و کار در برابر حملات سایبری کافی نیست. ممکن است یک فرد به تنهایی تمامی تلاش های امنیتی سازمان را نادیده بگیردبه همین دلیل است که بسیاری از شرکت ها (بر طبق اطلاعات ما، تقریبا 65٪) در حال حاضر بر روی آموزش کارکنان در زمینه امنیت سایبری سرمایه گذاری می کنند
برای آموزش کارکنان لازم است فرد آموزش دهنده مسائلی را در نظر بگیرد که عبارت است از :
1-درک مشکل
بیایید تصور کنیم که شما با بالا بردن سطح آگاهی در مورد امنیت سایبری مواجه شده اید. اولا، آگاهی از امنیت اطلاعات سایبری واقعا چیست؟ برای دست و پنجه نرم کردن آن، ما با شرکت تحقیقاتی B2B International کار کردیم تا 5،000 شرکت در سرتاسر جهان از درک خود از مشکل و تأثیر کارکنان فردی در حوادث امنیتی اطلاعاتی کسب کنند. به طور خلاصه، ما دریافتیم:
- 46٪ از حوادث امنیتی در سال گذشته دربرگیرنده کارکنانی بود که امنیت شبکه خود را به طور ناخواسته یا ناخواسته به خطر انداختند
- 53٪ از شرکت هایی که تحت تاثیر نرم افزارهای مخرب قرار گرفتندگفتند که عامل بروز این مشکل کارکنانی بودند که به مسائل امنیتی بی توجه بودند
- حملات هدفمند شامل فیشینگ در 28٪ موارد موفقیت آمیز بود.
- در 40٪ موارد، کارکنان سعی کردند حادثه را پس از وقوع پنهان نگه دارند، همین امر باعث شد شرکت ها بیشتر به خطر بیفتند.
- تقریبا نیمی از پاسخ دهندگان نگران هستند که کارکنان خود به صورت تصادفی اطلاعات شرکت ها را از طریق دستگاه های تلفن همراه خود افشاء کنند.
2-آموزش آگاهی از امنیت سایبری
بخش “چگونه” معادله نیز بسیار مهم است. دوره های آموزشی، سخنرانی ها، و کارگاه های آموزشی در دسترس هستند. اما آموزش به معنای صرف زمان و پول است؛ شما باید مطمئن شوید که نتایج را خواهید دید.
به عنوان مثال، مسئله پنهان شدن حادثه را در نظر بگیرید. شما می توانید کارمندان را جمع آوری کنید و به آنها بگوئید که گزارش گیری رویدادهای امنیتی سایبری بسیار مهم است. آنها حوادث را پنهان می کنند، زیرا امیدوار هستند که از مسئولیت فرار کنند.
یک رویکرد بهتر این است که ابتدا انگیزه خود را درک کنید. در بسیاری از موارد، کارکنان از قوانین سختگیرانه خود توسط مدیران یا افسران امنیت اطلاعات آزاز می بینند، اما هیچ کس واقعا دلیل وجود این قوانین را توضیح نمی دهد. گاهی اوقات مدیریت و تیم امنیتی اطلاعات نیز نیاز به آموزش دارند – آموزش در مورد توضیح قوانین.
3-دانستن آنچه باید آموخت
امروزه، یک شرکت باید به عنوان یک ارگانیسم سالم عمل کند و تیم های مختلف مسئولیت ها و وظایف مختلفی دارند. این به این معنی است که تیم ها باید در مورد چیزهای مختلف یاد بگیرند. مدیریت شرکت باید از خطرات آگاه باشد و به طور کامل هزینه های بالقوه مالی را در این زمینه در نظر بگیرد. تیم های مدیریتی و اطلاعاتی مدرن نیاز به درک روشنی از تهدیدات ناگهانی و توانایی اقداماتی دارند که مقاومت سایبری آنها را افزایش می دهند . همچنین باید بتوانند با اکثریت کارکنان ارتباط برقرار کنند
منبع :https://www.kaspersky.com/blog/human-factor-weakest-link/17430/
اولین دیدگاه را ثبت کنید