افراد، روشهای منطقی بسیاری را برای مراقبت از خود، خانه یا دیگر متعلقاتشان میشناسند و به کار میبرند. عادتهایی نظیر قفل کردن درب و پنهان کردن داراییهای باارزش و گرانقیمت، روزانه تکرار میشوند؛ اما آیا به قفل کردن کامپیوترتان پیش از خروج از دفتر کار هم فکر میکنید؟ شرکتها باید کارمندان خود را در جهت توسعهی عادتهای کامپیوتری ایمنتر یاری دهند و ایشان را دربارهی مسئولیتهایشان در زمان استفاده از کامپیوترهای شرکت آموزش دهند. شما همواره باید این را در ذهن داشته باشید که هرکدام از کارمندانتان میتوانند عامل و سبب حملهی بدافزارها یا موارد نقض امنیت در آینده باشند.
کنشهای مبتنی بر ارتقای امنیت را به رسمیت بشناسید.
اگر شرکت ها بتوانند مشکل نقض امنیت را تبدیل به یک مسئلهی شخصی کنند، آنگاه میتوانند به سادگی، کارمندان را مجاب و ملزم به توجه نمایند. به عنوان مثال، شرکت میتواند به کارمندان نشان دهد که عادات مرورگری فردی روزانهی افراد چطور میتوانند منجر به وقوع پیامدهای ناخوشایند شوند؛ به عنوان مثال، خرید اینترنتی با اطلاعات حساب بانکی از یک سایت ناامن میتواند به سرقت اطلاعات یا کلاهبرداری بیانجامد.
این نوع از مثالها و مصادیق، نشان میدهند که دادههای کاری و حرفهای نیز همانند اطلاعات شخصی، در معرض خطر هستند و امکان سرقت آنها وجود دارد. نتیجتاً، پیامدهای فاجعه باری در انتظار خواهد بود. اگر کارمندان از سیاستها و پروتکلهای امنیتی سازمان پیروی کنند، امکان محافظت و مراقبت از اطلاعات مالی حساس و مستعد آسیب (و همچنین سرورها و شبکههای کاری) فراهم خواهد آمد.
با کارمندانتان، دربارهی شرایط متداول و وقایع محتمل صحبت کنید و ضرورت یادگیری تکنیکها و عادات کامپیوتری و مرورگری مؤثر و ایمن را برایشان توضیح دهید. اگر بتوانید تعهد و تقیّد به رعایت احتیاط در عادات کامپیوتری در منزل را به کارمندانتان یاد بدهید و متعاقباً، مسئولیت پذیریشان را تقویت کنید، رعایت جوانب احتیاط در فعالیتهای کامپیوتری برایشان به یک غریزهی ثانوی و عادت تبدیل خواهد شد. شما باید نقشها و تأثیرات هرکدام از کارمندان در شبکه را به ایشان یاد بدهید و به آنها گوشزد کنید که هرکدامـشان میتوانند به صورت بالقوه، یک نقطه ضعف در امنیت شبکه به شمار آیند؛ در این صورت، آگاهی آنها دربارهی عادتهای ناامن و ضعیف کامپیوتریشان افزایش پیدا خواهد کرد.
پروتکلهای امنیتی صریح و شفاف معرفی کنید.
در زمان ارائهی آموزش به کارمندان، باید به ایشان یاد بدهید که چطور به تهدیدهای خاص یا برخی شرایط استثنائی واکنش نشان دهند. اگر یکی از ایشان به طور تصادفی روی یک پیوست ایمیل آلوده به بدافزار کلیک کرد، باید پروتکل مقتضی جهت گزارش آن مسئله را بداند. آیا کارمندان باید پیش یا در حین ارسال تیکت پشتیبانی شبکه، کامپیوتر خود را خاموش کنند یا اقدام دیگری برای مدیریت مسئله باید انجام دهند؟
طی این دوره های آموزشی، کارمندان نه تنها با نحوهی مراقبت از اطلاعات شخصی خودشان آشنا میشوند، بلکه نحوهی مدیریت مشکلات را نیز یاد میگیرند. گاهی از اوقات، اگر کارمندان تا زمان پاسخگویی پشتیبان فناوری اطلاعات و رفع مشکل صبر کنند، آسیب های جدی به شبکه وارد میشود؛ حال، ایشان باید نحوه ی مدیریت مشکل و کاهش تأثیر آسیب را یاد گرفته باشند.
احترام به کامپیوتر و ابزارهای فناوری را به کارمندان آموزش دهید.
کارمندان باید به خوبی به این موضوع واقف باشند که رفتار و عادات مرورگری ایشان میتواند بر باقی اجزای شبکه تأثیر بگذارد؛ و این بدان معناست که زمانی که راه را برای ورود یک بدافزار، هکر یا امثالهم به شبکه باز میکنند، حوادث ناشی از آن قطعاً پیامدهای غیرقابل تصوری برای شرکت به همراه خواهند داشت.
یکی از وظایف گروهی که خدمات کامپیوتری به شرکت را ارائه میدهند آگاه کردن کارمندان از خطرات بالقوه پیش رو است. شرکت های پشتیبانی شبکه میتوانند راهنماییهای خوبی در این زمینه را در اختیار کارمندان شما قرار دهند.
طی دوره های آموزشی، باید به کارمندان بیاموزید که از کامپیوترهای شرکت برای مقاصد شخصی استفاده نکنند (مثلاً کارمندان نباید از وبسایت های غیرمرتبط با کار یا وبسایت هایی که شبکه را در معرض خطر قرار میدهند، بازدید کنند). حتی زمانیکه در این باره به کارمندانتان توضیح میدهید، ایشان به ندرت میتوانند به گفته های شما مقیّد و متعهد بمانند. افزایش آگاهی کارمندان درباره ی تأثیر کنش هایشان بر دیگر اجزای شبکه، یک هدف مهم به شمار می آید. اگر به کارمندان یاد بدهید که در زمان کلیک کردن برروی پیوست ها یا پاپ آپ های مشکوک، جوانب احتیاط و مراقبت را رعایت کنند، هم کارمندان و هم شبکه در امنیت خواهند بود.
مشخصات یک سایت ایمن و ویژگی های سایت های غیرامن را به کارمندان یاد بدهید.
کارمندانی که مقداری از زمان کاری خود را در محیط اینترنت سپری میکنند، باید تفاوت میان وبسایت های http و وبسایت های https را بدانند (https نسخه ی ایمن http است). بعلاوه، ایشان باید سایت های ایمن را از سایت های ناامن تشخیص دهند؛ بدین منظور، باید به آیکون قفل در گوشه ی بالا و سمت چپ نوار آدرس توجه کنند.
بازدید از سایت هایی که تصویر قفل را در نوار آدرس URL نشان نمیدهند یا فاقد پیشوند https هستند، احتمالاً کارمندان را در معرض خطر کلاهبرداری قرار خواهد داد؛ این قبیل سایت ها، در شمایل یک سایت کاملاً قانونی و مورداعتماد جعل شده اند و هدف طراحان آنها، کلاهبرداری است. این سایت ها، جایگاه استقرار بدافزارهای مختلف هستند و هکرها میتوانند با استفاده از آن، به کامپیوتر شخصی کاربر یا شبکه ی شرکت نفوذ کنند.
درباره ی نحوهی انتخاب گذرواژه های امن، با کارمندان گفتگو کنید.
کارمندان باید در زمان استفاده از کامپیوترهای اداریشان، چند نکته ی مهم را رعایت کنند.
- کارمندان باید هرچندوقت یکبار گذرواژه هایشان را عوض کنند.
- گذرواژه ها باید غیرقابل نفوذ باشند؛ حداقل 12 کاراکتر داشته باشند؛ و شامل حروف بزرگ، حروف کوچک، اعداد و کاراکترهای خاص باشند.
- در زمان و شرایط مقتضی، باید از سیستم احراز هویت دوعاملی استفاده کرد.
- کارمندان باید برای هرکدام از حساب های کاربری خود، یک گذرواژه ی جداگانه داشته باشند.
- کارمندان را متقاعد کنید که به جای مکتوب کردن گذرواژه ها روی کاغذ یا در محل هایی که به راحتی پیدا میشوند، از برنامه های مدیریت گذرواژه استفاده کنند. با استفاده از این برنامه ها، کارمندان صرفاً باید یک گذرواژه ی کمپلکس را به خاطر بسپارند و برنامه، باقی گذرواژه ها را در خود ذخیره خواهد کرد.
نحوه ی بک آپ گرفتن (تهیه ی نسخه ی پشتیبان) را به کارمندان آموزش دهید.
کارمندان باید بدانند که درایوها و فولدرهای کاری و اداری مهم در کجا مستقر هستند. اگر ایشان بدانند که فایل های اداری و کاری ـشان را در کجا ذخیره کنند، تأثیر و کارآمدی بک آپ های شرکت به حداکثر خواهد رسید. بدین طریق، کارمندان دیگر نیز محل ذخیره ی فایل ها را میدانند و در صورت نیاز میتوانند به راحتی به آنها دسترسی پیدا کنند.
درباره ی آنچه که کارمندان باید یا نباید دانلود، تماشا یا نصب کنند، صراحتاً صحبت کنید.
شما باید درباره ی مرورگرها، برنامه ها و دیگر ابزارهای کامپیوتری مورداستفادهی کارمندان برروی کامپیوترهای اداری، با ایشان صحبت کنید. برخی از شرکت ها، پیش از ارائه ی یک نرم افزار به کارمندان، آن را تست و ارزیابی میکنند؛ و شماری از نرم افزارها را به دلیل فقدان پچهای امنیتی یا مسائل مرتبط با سازش پذیری، بطور کل مردود می نمایند. کارمندانی که نرم افزارهای موردنظر خودشان را روی دستگاه نصب میکنند، آسیب پذیری شبکه ی شرکت را افزایش میدهند؛ به همین دلیل، شرکت ها باید یک فهرست از برنامه هایی که پیشتر به تأیید رسیده اند و نصب آنها روی کامپیوترهای اداری، مجاز است، به کارمندان ارائه نمایند.
دربارهی خطرات اتصال به کانکشنهای اینترنت بیسیم و بهترین راهکارها جهت اتصال، با کارمندان صحبت کنید.
هاتاسپاتهای وایفای عمومی، نقاطی آسیبپذیر و سوژههای مورد توجه هکرها برای حمله هستند. یک کاربر میتواند به سادگی به هرکدام از هات اسپات های در دسترس و بدون رمز، متصل شود؛ و در عین حال، اصلاً به امنیت آن اتصال توجه نداشته باشد. در زمان استفاده از ابزارهای وایرلس در محیط کار، شما باید کارمندان را درباره ی انتخاب اتصالات وایرلس ایمن آگاه سازید تا از قرارگیری فایل ها یا داده های حساس شرکت در معرض خطر حمله ی هکرها اجتناب به عمل آورید.
برای کارمندان، تمرین های توسعه ی امنیت داخلی طراحی کنید.
یکی از بهترین روش ها برای آموزش کارمندان جهت استفاده ی ایمن تر از مرورگرها، ارائه ی تمرین های توسعه ی امنیت داخلی به ایشان است. این تمرین، مانند مانور اتفای حریق خواهد بود؛ یعنی کارمندان را برای مواجهه و مدیریت شرایط اورژانسی واقعی آماده خواهد کرد. برای یک شبکه ی اداری، هیچ چیز خطرناک تر از نقض و شکست امنیت یا نفوذ یک بدافزار نیست.
شما میتوانید ضمن ارسال ایمیل های فیشینگ جعلی به کارمندان، نحوه ی واکنش ایشان را ارزیابی کنید و از تعهد و تقید آنها به پیروی از پروتکل های امنیتی جهت بازکردن و گزارش این ایمیل ها اطمینان حاصل نمایید.
آموزش عادت های صحیح کامپیوتری به کارمندان و تبدیل ایشان به مرورگرهای ایمن، یکی از اهداف و مأموریت های پیشگیرانه در سازمان ها به شمار می آید که مستلزم آموزش مستمر و یادآوری منظم است. در این راستا، نکته های مختلف نظیر انتخاب گذرواژه های غیر قابل نفوذ، استفاده ی ایمن از کانکشن های وایرلس و نصب و اجرای نرم افزارهای موردتأیید دپارتمان فناوری اطلاعات در سازمان، باید بطور منظم به کارمندان یادآوری شوند.
ثبت ديدگاه