افراد، روش‌های منطقی بسیاری را برای مراقبت از خود، خانه یا دیگر متعلقاتشان می‌شناسند و به کار می‌برند. عادت‌هایی نظیر قفل کردن درب و پنهان کردن دارایی‌های باارزش و گران‌قیمت، روزانه تکرار می‌شوند؛ اما آیا به قفل کردن کامپیوترتان پیش از خروج از دفتر کار هم فکر می‌کنید؟ شرکت‌ها باید کارمندان خود را در جهت توسعه‌ی عادت‌های کامپیوتری ایمن‌تر یاری دهند و ایشان را درباره‌ی مسئولیت‌هایشان در زمان استفاده از کامپیوترهای شرکت آموزش دهند. شما همواره باید این را در ذهن داشته باشید که هرکدام از کارمندانتان می‌توانند عامل و سبب حمله‌ی بدافزارها یا موارد نقض امنیت در آینده باشند.

کنش‌های مبتنی بر ارتقای امنیت را به رسمیت بشناسید.

اگر شرکت ها بتوانند مشکل نقض امنیت را تبدیل به یک مسئله‌ی شخصی کنند، آنگاه می‌توانند به سادگی، کارمندان را مجاب و ملزم به توجه نمایند. به عنوان مثال، شرکت می‌تواند به کارمندان نشان دهد که عادات مرورگری فردی روزانه‌ی افراد چطور می‌توانند منجر به وقوع پیامدهای ناخوشایند شوند؛ به عنوان مثال، خرید اینترنتی با اطلاعات حساب بانکی از یک سایت ناامن می‌تواند به سرقت اطلاعات یا کلاهبرداری بیانجامد.

این نوع از مثال‌ها و مصادیق، نشان می‌دهند که داده‌های کاری و حرفه‌ای نیز همانند اطلاعات شخصی، در معرض خطر هستند و امکان سرقت آنها وجود دارد. نتیجتاً، پیامدهای فاجعه باری در انتظار خواهد بود. اگر کارمندان از سیاست‌ها و پروتکل‌های امنیتی سازمان پیروی کنند، امکان محافظت و مراقبت از اطلاعات مالی حساس و مستعد آسیب (و همچنین سرورها و شبکه‌های کاری) فراهم خواهد آمد.

با کارمندانتان، درباره‌ی شرایط متداول و وقایع محتمل صحبت کنید و ضرورت یادگیری تکنیک‌ها و عادات کامپیوتری و مرورگری مؤثر و ایمن را برایشان توضیح دهید. اگر بتوانید تعهد و تقیّد به رعایت احتیاط در عادات کامپیوتری در منزل را به کارمندانتان یاد بدهید و متعاقباً، مسئولیت پذیریشان را تقویت کنید، رعایت جوانب احتیاط در فعالیت‌های کامپیوتری برایشان به یک غریزه‌ی ثانوی و عادت تبدیل خواهد شد. شما باید نقش‌ها و تأثیرات هرکدام از کارمندان در شبکه را به ایشان یاد بدهید و به آنها گوشزد کنید که هرکدامـشان می‌توانند به صورت بالقوه، یک نقطه ضعف در امنیت شبکه به شمار آیند؛ در این صورت، آگاهی آنها درباره‌ی عادت‌های ناامن و ضعیف کامپیوتریشان افزایش پیدا خواهد کرد.

پروتکل‌های امنیتی صریح و شفاف معرفی کنید.

در زمان ارائه‌ی آموزش به کارمندان، باید به ایشان یاد بدهید که چطور به تهدیدهای خاص یا برخی شرایط استثنائی واکنش نشان دهند. اگر یکی از ایشان به طور تصادفی روی یک پیوست ایمیل آلوده به بدافزار کلیک کرد، باید پروتکل مقتضی جهت گزارش آن مسئله را بداند. آیا کارمندان باید پیش یا در حین ارسال تیکت پشتیبانی شبکه، کامپیوتر خود را خاموش کنند یا اقدام دیگری برای مدیریت مسئله باید انجام دهند؟

طی این دوره های آموزشی، کارمندان نه تنها با نحوه‌ی مراقبت از اطلاعات شخصی خودشان آشنا می‌شوند، بلکه نحوه‌ی مدیریت مشکلات را نیز یاد میگیرند. گاهی از اوقات، اگر کارمندان تا زمان پاسخگویی پشتیبان فناوری اطلاعات و رفع مشکل صبر کنند، آسیب های جدی به شبکه وارد میشود؛ حال، ایشان باید نحوه ی مدیریت مشکل و کاهش تأثیر آسیب را یاد گرفته باشند.

احترام به کامپیوتر و ابزارهای فناوری را به کارمندان آموزش دهید.

کارمندان باید به خوبی به این موضوع واقف باشند که رفتار و عادات مرورگری ایشان میتواند بر باقی اجزای شبکه تأثیر بگذارد؛ و این بدان معناست که زمانی که راه را برای ورود یک بدافزار، هکر یا امثالهم به شبکه باز می‌کنند، حوادث ناشی از آن قطعاً پیامدهای غیرقابل تصوری برای شرکت به همراه خواهند داشت.

یکی از وظایف گروهی که خدمات کامپیوتری به شرکت را ارائه می‌دهند آگاه کردن کارمندان از خطرات بالقوه پیش رو است. شرکت های پشتیبانی شبکه می‌توانند راهنمایی‌های خوبی در این زمینه را در اختیار کارمندان شما قرار دهند.

طی دوره های آموزشی، باید به کارمندان بیاموزید که از کامپیوترهای شرکت برای مقاصد شخصی استفاده نکنند (مثلاً کارمندان نباید از وبسایت های غیرمرتبط با کار یا وبسایت هایی که شبکه را در معرض خطر قرار می‌دهند، بازدید کنند). حتی زمانیکه در این باره به کارمندانتان توضیح میدهید، ایشان به ندرت میتوانند به گفته های شما مقیّد و متعهد بمانند. افزایش آگاهی کارمندان درباره ی تأثیر کنش هایشان بر دیگر اجزای شبکه، یک هدف مهم به شمار می آید. اگر به کارمندان یاد بدهید که در زمان کلیک کردن برروی پیوست ها یا پاپ آپ های مشکوک، جوانب احتیاط و مراقبت را رعایت کنند، هم کارمندان و هم شبکه در امنیت خواهند بود.

مشخصات یک سایت ایمن و ویژگی های سایت های غیرامن را به کارمندان یاد بدهید.

کارمندانی که مقداری از زمان کاری خود را در محیط اینترنت سپری میکنند، باید تفاوت میان وبسایت های http و وبسایت های https را بدانند (https نسخه ی ایمن http است). بعلاوه، ایشان باید سایت های ایمن را از سایت های ناامن تشخیص دهند؛ بدین منظور، باید به آیکون قفل در گوشه ی بالا و سمت چپ نوار آدرس توجه کنند.

بازدید از سایت هایی که تصویر قفل را در نوار آدرس URL نشان نمیدهند یا فاقد پیشوند https هستند، احتمالاً کارمندان را در معرض خطر کلاهبرداری قرار خواهد داد؛ این قبیل سایت ها، در شمایل یک سایت کاملاً قانونی و مورداعتماد جعل شده اند و هدف طراحان آنها، کلاهبرداری است. این سایت ها، جایگاه استقرار بدافزارهای مختلف هستند و هکرها میتوانند با استفاده از آن، به کامپیوتر شخصی کاربر یا شبکه ی شرکت نفوذ کنند.

  

درباره ی نحوه‌ی انتخاب گذرواژه های امن، با کارمندان گفتگو کنید.

کارمندان باید در زمان استفاده از کامپیوترهای اداریشان، چند نکته ی مهم را رعایت کنند.

  • کارمندان باید هرچندوقت یکبار گذرواژه هایشان را عوض کنند.
  • گذرواژه ها باید غیرقابل نفوذ باشند؛ حداقل 12 کاراکتر داشته باشند؛ و شامل حروف بزرگ، حروف کوچک، اعداد و کاراکترهای خاص باشند.
  • در زمان و شرایط مقتضی، باید از سیستم احراز هویت دوعاملی استفاده کرد.
  • کارمندان باید برای هرکدام از حساب های کاربری خود، یک گذرواژه ی جداگانه داشته باشند.
  • کارمندان را متقاعد کنید که به جای مکتوب کردن گذرواژه ها روی کاغذ یا در محل هایی که به راحتی پیدا میشوند، از برنامه های مدیریت گذرواژه استفاده کنند. با استفاده از این برنامه ها، کارمندان صرفاً باید یک گذرواژه ی کمپلکس را به خاطر بسپارند و برنامه، باقی گذرواژه ها را در خود ذخیره خواهد کرد.

نحوه ی بک آپ گرفتن (تهیه ی نسخه ی پشتیبان) را به کارمندان آموزش دهید.

کارمندان باید بدانند که درایوها و فولدرهای کاری و اداری مهم در کجا مستقر هستند. اگر ایشان بدانند که فایل های اداری و کاری ـشان را در کجا ذخیره کنند، تأثیر و کارآمدی بک آپ های شرکت به حداکثر خواهد رسید. بدین طریق، کارمندان دیگر نیز محل ذخیره ی فایل ها را میدانند و در صورت نیاز میتوانند به راحتی به آنها دسترسی پیدا کنند.

  

درباره ی آنچه که کارمندان باید یا نباید دانلود، تماشا یا نصب کنند، صراحتاً صحبت کنید.

شما باید درباره ی مرورگرها، برنامه ها و دیگر ابزارهای کامپیوتری مورداستفاده‌ی کارمندان برروی کامپیوترهای اداری، با ایشان صحبت کنید. برخی از شرکت ها، پیش از ارائه ی یک نرم افزار به کارمندان، آن را تست و ارزیابی می‌کنند؛ و شماری از نرم افزارها را به دلیل فقدان پچ‌های امنیتی یا مسائل مرتبط با سازش پذیری، بطور کل مردود می نمایند. کارمندانی که نرم افزارهای موردنظر خودشان را روی دستگاه نصب میکنند، آسیب پذیری شبکه ی شرکت را افزایش میدهند؛ به همین دلیل، شرکت ها باید یک فهرست از برنامه هایی که پیشتر به تأیید رسیده اند و نصب آنها روی کامپیوترهای اداری، مجاز است، به کارمندان ارائه نمایند.

درباره‌ی خطرات اتصال به کانکشن‌های اینترنت بی‌سیم و بهترین راهکارها جهت اتصال، با کارمندان صحبت کنید.

هات‌اسپات‌های وای‌فای عمومی، نقاطی آسیب‌پذیر و سوژه‌های مورد توجه هکرها برای حمله هستند. یک کاربر می‌تواند به سادگی به هرکدام از هات اسپات های در دسترس و بدون رمز، متصل شود؛ و در عین حال، اصلاً به امنیت آن اتصال توجه نداشته باشد. در زمان استفاده از ابزارهای وایرلس در محیط کار، شما باید کارمندان را درباره ی انتخاب اتصالات وایرلس ایمن آگاه سازید تا از قرارگیری فایل ها یا داده های حساس شرکت در معرض خطر حمله ی هکرها اجتناب به عمل آورید.

برای کارمندان، تمرین های توسعه ی امنیت داخلی طراحی کنید.

یکی از بهترین روش ها برای آموزش کارمندان جهت استفاده ی ایمن تر از مرورگرها، ارائه ی تمرین های توسعه ی امنیت داخلی به ایشان است. این تمرین، مانند مانور اتفای حریق خواهد بود؛ یعنی کارمندان را برای مواجهه و مدیریت شرایط اورژانسی واقعی آماده خواهد کرد. برای یک شبکه ی اداری، هیچ چیز خطرناک تر از نقض و شکست امنیت یا نفوذ یک بدافزار نیست.

شما میتوانید ضمن ارسال ایمیل های فیشینگ جعلی به کارمندان، نحوه ی واکنش ایشان را ارزیابی کنید و از تعهد و تقید آنها به پیروی از پروتکل های امنیتی جهت بازکردن و گزارش این ایمیل ها اطمینان حاصل نمایید.

آموزش عادت های صحیح کامپیوتری به کارمندان و تبدیل ایشان به مرورگرهای ایمن، یکی از اهداف و مأموریت های پیشگیرانه در سازمان ها به شمار می آید که مستلزم آموزش مستمر و یادآوری منظم است. در این راستا، نکته های مختلف نظیر انتخاب گذرواژه های غیر قابل نفوذ، استفاده ی ایمن از کانکشن های وایرلس و نصب و اجرای نرم افزارهای موردتأیید دپارتمان فناوری اطلاعات در سازمان، باید بطور منظم به کارمندان یادآوری شوند.