از آن‌جا که در بسیاری از رخدادهای امنیتی، ناآگاهی کارمندان از مفاهیم و تهدیدهای امنیتی موجب ایجاد امکان نفوذ در سامانه‌ها می‌شود، در این مقاله به ضرورت آموزش و آگاهی‌رسانی به کارمندان می‌پردازیم.

در تهدیدات سایبری جدید توجه هکرها و سودجویان معطوف به نفوذ از طریق افراد داخلی سازمان می‌باشد و آن‌ها برای رسیدن به هدف خود، گزینه‌هایی به وسعت تمام کارمندان ناآگاه سازمان دارند. بررسی‌های انجام‌شده درباره‌ی میزان حملات سایبری روی سازمان‌ها خبر از آمارهایی جالب‌توجه می‌دهد. برای مثال، چندین سال است که بخش قابل‌توجهی از رخدادهای امنیتی از طریق حملات فیشینگ و سناریوهای مبتنی بر آن، سعی در سوء‌استفاده از عامل انسانی دارند. مطابق گزارش‌ها، ۴۲ درصد از مهاجمان برای نفوذ به سامانه‌های سازمان‌ها از سناریو‌های مبتنی‌بر فیشینگ استفاده می‌کنند؛ همین مسئله اهمیت آگاه‌سازی و آموزش کارمندان را برجسته می‌کند.

مهاجمان قبل از اقدام به پیاده‌سازی حملات خود، به‌دنبال فریب کاربران هستند تا راه را برای دسترسی راحت‌تر آن‌ها ایجاد کنند. به عبارت ساده‌تر، عوامل انسانی آسیب‌پذیرترین عناصر در دیواره‌های دفاعی امنیت سایبری هر سازمان هستند. لذا افراد معمولاً اولین هدف مهاجمان سایبری‌ای که از تاکتیک‌ها و ابزار‌هایی مانند باج‌افزار، بدافزار، فیشینگ، مهندسی اجتماعی و ارسال ایمیل‌های جعلی استفاده می‌کنند، هستند.

آموزش و آگاهی‌رسانی

آموزش و آگاهی‌‌رسانی امنیتی در سازمان‌ها با پذیرش این نکته که کارمندان آسیب‌پذیرترین عناصر امنیت سایبری هستند آغاز می‌شود. از طرف دیگر، کارمندان اولین خط دفاعی در برابر حملات سایبری هستند. آموزش و آگاهی‌رسانی امنیتی این درک را به همه‌ی کارمندان می‌دهد که تهدیدهای سایبری قریب‌الوقوع هستند، به‌طور مداوم وجود دارند و این درک آن‌ها را جهت مواجهه با حملات سایبری و تهدیدهای رایج آماده می‌کند.

این آگاهی‌رسانی‌ها می‌توانند شامل ساده‌ترین کارها مانند نصب پوستر‌های امنیتی، پخش دفترچه‌های راهنمای امنیتی و یادآوری مکرر برای رعایت پروتکل‌های امنیتی سازمان نیز باشند.

همچنین، برگزاری مانورهای امنیتی می‌تواند روش بسیار مفیدی برای آماده‌سازی بیشتر کارکنان باشد؛ زیرا به‌صورت جامعی نقاط قوت و ضعف سازمان و کارکنان را مشخص می‌کند و سطح آگاهی افراد دخیل را درباره‌ی ماهیت و مقیاس حوادث سایبری افزایش می‌دهد.

علاوه بر این روش‌ها، یکی دیگر از راه‌های موثر برای آماده‌سازی بهتر پرسنل، برگزاری دوره‌هایی مانند دوره‌ی CSCU است.

دوره‌ی CSCU (Certified Secure Computer User)

دوره‌ی الزامات امنیت کاربران یا کاربری امن کامپیوتر یکی از دوره‌های مقدماتی امنیت  شرکت  EC-COUNCIL با کد آزمون CSCU_112-12 می‌باشد که کلیات و مبانی امنیت را برای کاربران رایانه آموزش داده و دانشجو را آماده می‌کند تا با تهدیدات موجود در فضای شبکه، اینترنت و رسانه‌های مجازی آشنا شده و با رعایت یک‌سری اصول ایمن‌سازی، از اطلاعات با‌ارزشی که در اختیار دارد محافظت کند. هدف این برنامه‌ی آموزشی ارائه‌ی دانش و مهارت‌های لازم برای محافظت از دارایی‌ها و  اطلاعات افراد است. این دوره افراد را در یک محیط تعاملی غوطه‌ور می کند که در آن درکی اساسی از تهدیدات امنیتی رایانه‌ای از قبیل سرقت هویت، کلاه‌برداری با کارت اعتباری، کلاه‌برداری فیشینگ از طریق تراکنش‌های بانکی، ویروس‌ها، ایمیل‌های آلوده و غیره به‌دست می‌آورند. افرادی که در این دوره شرکت می‌کنند با موضوع‌های زیر آشنا خواهند شد:

  • ویروس‌ها و آنتی‌ویروس‌ها
  • تهیدیدات امنیتی شبکه
  • سرقت اطلاعات کارت بانکی، فیشینگ در بانکداری الکترونیک
  • تهیدات ایمیل، مهندسی اجتماعی و هک حساب‌های کاربری
  • سرقت اطلاعات محرمانه
  • راه‌کارهای مقابله با تهدیدات ایمن‌سازی در برابر آن‌ها

این دوره دانش لازم در زمینه‌ی امنیت در فضای تبادل اطلاعات را برای کاربران خانگی، سازمان‌ها و محیط‌های آموزشی ایجاد می‌کند. درنتیجه هدف از این دوره آموزش کاربر کامپیوتر شخصی برای حفاظ از اطلاعات خود یا سازمان در فضای اینترنت و شبکه است. همچنین کاربران پس از اتمام دوره می‌توانند خود را برای آزمون آماده کنند.