در غالب اوقات، کارمندان، به عنوان مهم‌ترین و مؤثرترین تهدیدها برای واحدهای فناوری اطلاعات یک سازمان شناخته میشوند؛ و طی سالیان متمادی، همچنان، در صدر فهرست مهم‌ترین تهدیدها باقی مانده‌اند. در بسیاری از مواقع، کارمندان نسبت به سیاست‌ها و نکات امنیتی، بی تفاوت هستند. به همین دلیل، باید به دنبال راهکاری برای تفهیم اهمیت و ارزش امنیت به کارمندان باشیم. 

متداول‌ترین رفتارهایی که کارمندان را در مقابل حملات سایبری آسیب پذیر می‌کنند، عبارتند از: 

  • غیرفعال کردن نرم افزارهای امنیتی
  • پاسخ دادن به ایمیل‌های فیشینگ 
  • بازکردن پیوست‌های ناشناخته در ایمیل‌ها 
  • بارگیری فایل‌ها از وبسایت‌های غیرقابل اعتماد 
  • عدم قفل کردن دستگاه‌های الکترونیکی در محیط‌های عمومی 

به عقیدۀ متخصصان حرفه‌ای حوزۀ فناوری اطلاعات، امنیت، مهم‌ترین اولویت در عملیات‌های کاری است؛ اما اکثر کارمندان دیگر، اقداماتی نظیر تحلیل رفتارهای ورود به حساب کاربری و ارسال-دریافت ایمیل‌های فیشینگ برای شناسایی هک‌های احتمالی را در دستور کار خود ندارند. هرکدام از کارمندان، صرفاً بر مسئولیت‌های شخصی خودشان متمرکز هستند و از آنجاییکه امنیت فناوری اطلاعات در تعاریف وظایفشان نیامده است، هیچکس نمیتواند آنها را به خاطر عدم اتخاذ اقدامات امنیتی سرزنش کند؛ در عین حال، تغییر مداوم گذرواژه‌های ایشان یا چک کردن ایمیل‌های ارسالی و دریافتی آنها بسیار دشوار و طاقت فرسا خواهد بود. گاهی از اوقات نیز برخی کارمندان عقیده دارند که اقدامات و تدابیر امنیتی مضاعف، ایشان را از کار اصلیشان دور میکند و بهره وریشان را کاهش میدهد. به بیان کل، مسئولیت ها و وظایف اصلی این کارمندان، برایشان در اولویت است. 

چگونگی تغییر فرهنگ امنیت در سازمان 

بهترین راه برای تقویت تدابیر امنیتی برای حفاظت از فناوری اطلاعات سازمان، این است که تمام کارمندان به تیم امنیت ملحق شوند و خود را در تأمین امنیت سازمان، سهیم و مسئول بدانند. تفهیم اهمیت و ارزش قوانین امنیتی به کارمندان، یک راهکار بسیار مؤثر به شمار می آید؛ اما شما نیز باید نیازهای ایشان را بشناسید و رویه های امنیتی ویژه ای را مناسب با آنها طراحی کنید. البته این به معنای تدوین و تنظیم مقررات ساده و غیرسختگیرانه نیست؛ بلکه، شما باید دربارۀ هرکدام از سیاست ها و قوانین، با کارمندان صحبت کنید و ایشان را توجیه نمایید که قصد شما از تدوین آن قوانین، سخت تر کردن کار ایشان نیست. شما باید دربارۀ تهدیدهای واقعی در دنیای سایبری و نقش رویه های امنیتی در حفاظت از سازمان در برابر آن تهدیدها، به ایشان توضیح دهید. 

تغییر و تحول فرهنگ امنیت، از رأس هرم سازمانی آغاز میشود و به پایین میرسد. مدیران اجرایی سازمان ها، باید برای دیگر کارمندان، الگو باشند. یعنی، هم رویه ها و نکات امنیتی را رعایت کنند؛ و هم دربارۀ اهمیت سیاست های امنیتی و شرکت در دوره های آموزشی پیرامون این موضوع، با کارمندان صحبت نمایند. اگر کارمندان سازمان و متخصصان بخش امنیت، به یک تیم تبدیل شوند، دیگر نیازی نیست که قوانین و مقررات امنیتی را به کارمندان تحمیل کرد؛ بدین ترتیب، آن مقررات تبدیل به یک ارزش ثابت در فرهنگ شرکت میشوند. 

راهکارهای جذب کارمندان به مقررات امنیت فناوری اطلاعات 

  • برگزاری دوره های آموزشی مداوم: با هدف تازه سازی دانش پیشین کارمندان و همچنین، افزایش اطلاعات ایشان دربارۀ آخرین انواع خطرات و تهدیدهای سایبری، طریق وقوع آن ها و راهکارهای پیشگیری. 
  • استفاده از زبان و لحن مناسب برای توضیح نکات امنیتی: یعنی، به کارمندان توضیح دهید که رفتارهای ایشان، یکی از چندین عاملی است که سازمان را در معرض تهدیدهای سایبری قرار میدهد. البته، باید تأکید کنید که مشکل و ایراد اصلی، کارمندها نیستند؛ بلکه، هکرها هستند. به ایشان یادآوری کنید که دیوارهای دفاعی بسیاری برای محافظت از آنان تدارک دیده شده است؛ اما درصورت وقوع یک حملۀ سایبری، کارمندان نیز باید در جهت رفع مشکل مسئولیت بپذیرند. این توضیحات، برای تأکید بر لزوم کار گروهی ارائه میشوند. 
  • شبیه سازی حملات: برای آزمون و نمایش قدرت امنیتی سدهای دفاعی. 
  • تفهیم اهمیت گزارش فعالیت های مشکوک یا خطاهای سیستمی و شبکه ای: به جای پنهان کردن آن ها. 
  • اجرای حملات ساختگی و غیرواقعی: و اعطای پاداش به کسانی که واکنش صحیح از خود نشان دادند. بعلاوه، شما میتوانید از داده هایی که در طی این حملات به دست می آورید، برای تقویت حوزه های آسیب پذیر و ضعیف تر استفاده کنید. ضعف و ناکارآمدی آن حوزه ها، احتمالاً علل ریشه دارد که باید به آنها پرداخته شود. گاهی اوقات، به کارمندان فرصت بدهید که به امنیت محیط اطراف خود شک کنند. 

در زمان اجرای سیاست های امنیتی، احتمالاً وسوسه خواهید شد که کسانی را که به سیاست ها و قوانین اهمیت نمیدهند، توبیخ کنید؛ اما اگر توبیخ و تنبیه، محرک خوبی بود، خودِ حملۀ سایبری میتوانست یک توبیخ محرک بسیار کارآمد باشد. مسلماً، توبیخ و تنبیه، ابزار مناسبی نیست. فرهنگ امنیت فناوری اطلاعات در داخل یک شرکت، باید به گونه ای تغییر و تحول پیدا کند که سیاست ها، میان یک کارمند و بازده کاری اش وقفه نیاندازند و مانع انجام وظایف وی نشوند. در عوض، این سیاست ها باید در نقش یک ابزار کاربردی برای تقویت و ترویج فرهنگ امنیت و کارِ گروهی در شرکت عمل کنند.