أهمية التدريب والتوعية في أمن المعلومات بقلم مهندس : اسماعيل بابكر
تتركز مسالة التدريب والتوعية في امن المعلومات والامن السيبراني في الاتي
1- تعزيز طبقة الدفاع الأخيرة
الموّظفون هم طبقة الدفاع الأخيرة وفي بعض الحالات هم الطبقة الأولى، حسب طبيعة الهجوم ولكن يوافق الجميع على ان الموظفون، الحلقة الأضعف في سلسلة الأمن السيبراني إن برنامج التوعية في أمن المعلومات المُطبّق بشكل مدروس وفعّال سوف يؤمن صلابة هذا الحلقة وتمكين شبكة أقوى
2- متطلبات الامتثال
تتطلب جميع معايير وأطر أمن المعلومات العالمية مثل الأيزو ISO/IEC 27001 وجود برنامج توعية بأمن المعلومات.
3- التكيف الدائم مع التهديدات المستجدة
التهديدات والهجمات الخبيثة تزداد تعقيدًا يومًا بعد يوم لذلك تحتاج وحدات الأمن السيبراني إلى مواكبة التغييرات اليومية والأهم من ذلك، تحتاج وحدات التوعية الأمنية السيبرانية إلى إبقاء جميع المستخدمين على إطلاع حول أحدث التهديدات واتجاهات الهجمات السيبرانية
4- زيادة المشاركة والإرتباط
عادةَ تقوم المؤسسات ذات مستوى نضوج متوسط أو عالي في أمن المعلومات بإصدار كتاب إرشادات وسياسات أمن المعلومات الخاصة بالمؤسسة. ويقوم القييمون بتحديث الإرشادات والسياسات الأمنية بشكل مستمر ولكن يكمن التحدي في مدى فهم الموظف لمحتوى كتيب مليء بسياسات وإجراءات لأمن المعلومات داخل المؤسسه
تتختلف الأمور تمامًا في حالة تطبيق برنامج التوعية في أمن المعلومات على مدار العام ومن خلال القنوات المختلفة. بحيث يكون الموظف شريك في عملية التوعية وممارسات أمن المعلومات مما يساهم في خلق ثقافة أمنية داخل المؤسسة.
أهم مواضيع التوعية في أمن المعلومات
كل منشأة لها أولوياتها الخاصة حول إختيار مواضيع التوعية الأمنية الأكثر الأهمية. ومع ذلك، فمن المستحسن دائمًا العمل بشكل شمولي على تغطية جميع الموضوعات عند تطبيق برنامج توعية بأمن المعلومات في ما يلي
مواضيع التوعية الأمنية السيبرانية
مواضيع التوعية الأمنية في أمن المعلومات
1- الأمن المادي
يعتبر الأمن المادي جزء لا يتجزأ من أمن المعلومات يتجاوز حدود تقنية المعلومات فيعالج المشكلات المتعلقة بأمن المحيط بالمؤسسه وبنقاط الدخول والأبواب والأدراج والخزائن والمكاتب وأجهزة الحاسوب الثابتة والمحمولة. يجب أن يكون المستخدمون على دراية وقدرة على التعامل مع تهديدات الأمن المادية من جميع الأنواع.
2- أمن البيانات
هنا بيت القصيد ففي نهاية المطاف المهمة والهدف الرئيسي من التدريب والتوعية في الأمن السيبراني هو حماية البيانات فتثقيف المستخدم حول التعامل مع أمن البيانات جزء أساسي من أي برنامج توعية في أمن المعلومات.
3- أمن الطباعة
من الضروري أن يعي المستخدم أن سواء كانت المعلومات رقمية أو مطبوعة على نسخ ورقية فذلك لا يغير شيء في سياسة امن المعلومات
من الضروري أن يعي المستخدم أن سواء كانت المعلومات رقمية أو مطبوعة على نسخ ورقية فذلك لا يغير شيء في سياسة أمن المعلومات أمن الطباعة هو أحد الموضوعات العديدة في برنامج التوعية بأمن المعلومات.
بالإضافة إلى جعل المستخدمين على دراية بمفاهيم الطباعة الآمنة هناك الكثير من حلول الطباعة متوفرة في السوق التي يمكن أن تكون ذات فائدة كبيرة في تنفيذ سياسات الطباعة الآمنة.
4- أمن الشبكات
نظراً للطبيعة غير الآمنة للشبكات اللاسلكية، تعوّل الشركات على وعي الموظفين لتقليل المخاطر في هذه الميدان. يتصل جهاز المحمول الخاص بالمؤسسة بالعديد من الشبكات في مكان العمل المنزل، المقهى، المطار، الفندق وغيرها من الأماكن العامة. ويمكن أن يحدث الإختراق في أي من هذه الأماكن، مما يشكل خطر على معلومات المؤسسة.
من ناحية أخرى، مع حلول أمن الشبكات السلكية واللاسلكية المتطورة قد تصل المؤسسات إلى مستوى عالي من الأمان. ومع ذلك هناك حاجة دائمة إلى التوعية في أمن المعلومات لتعزيز أمن الحلقة الأضعف.
5- تدمير البيانات
تبقى سياسات أمن المعلومات سارية المفعول حتى عند التوقف عن إستخدام جهاز معين طالما يحتوي على معلومات المؤسسة.
وإذا تقرر التخلص من الجهاز أو بيعه فيجب التخلص منه بشكل آمن. يجب أن تحوي برامج التوعية في أمن المعلومات مواد خاصة حول كيفية تلف الأجهزة القديمة بطريقة آمنة دون تعريض أمن المعلومات لخطر السرقة.
6- أمن كلمات المرور
أمن كلمات المرور هو واحد من المجالات الأكثر تحديًا في التوعية بأمن المعلومات. توجد الكثير من المقاومة للتغيير في هذا المجال. يكره المستخدمون أن يُجبَروا على تذكر كلمات مرور جديدة كل فترة ويواجهون صعوبة في إنشاء كلمات مرور جديدة تلبي متطلبات التعقيد المطلوبة.
7- التصيد الإحتيالي الـPhishing وأمن البريد الإلكتروني
هجمات التصيد الاحتيالي تزداد خطورة يومًا بعد يوم.
إن التوعية على كيفية تجنب عمليات الخداع والتصيّد الإحتيالي الإلكتروني والتدريب على ما يجب القيام به في حالة الهجوم يُعد أولوية عالية في برنامج التوعية في أمن المعلومات. يرتكز برنامج التوعية لمكافحة التصيد الإحتيالي على أربع خطوات أساسية: التقييم الأولي، التوعية، المحاكاة، والقياس ومن ثم إعادة الدورة مرارًا وتكرارًا. التوعية على مخاطر التصيّد الاحتيالي هو دورة مستمرة مثل أي مجال آخر في التوعية بأمن المعلومات، .
8- البرمجيات الخبيثة
من البديهي أن يتطرق برنامج التوعية بأمن المعلومات والأمن السيبراني إلى البرمجيات الخبيثة. فبغض النظر عن مكان وطبيعة العمل، على المستخدم أن يعرف الفرق بين البرمجيات الخبيثة المختلفة مثل الفيروسات وأحصنة طروادة وبرامج الفدية والتجسس وغيرها. والأهم هو معرفة الطرق الأمثل للتصرف في
البرمجيات الخبيثة
من البديهي أن يتطرق برنامج التوعية بأمن المعلومات والأمن السيبراني إلى البرمجيات الخبيثة. فبغض النظر عن مكان وطبيعة العمل، على المستخدم أن يعرف الفرق بين البرمجيات الخبيثة المختلفة مثل الفيروسات وأحصنة طروادة وبرامج الفدية والتجسس وغيرها. والأهم هو معرفة الطرق الأمثل للتصرف في حالة الهجوم.
9- أمن الأجهزة المحمولة
تحتوي أجهزة اللابتوب والجوال المستخدمة للعمل، سواء كانت مملوكة ملكية شخصية أو للمؤسسة، على أصول معلومات يجب حمايتها أمن الأجهزة المحمولة هو موضوع ذات أهمية عالية ينبغي التوّسع في معالجته ضمن برنامج التوعية في أمن المعلومات.
10- التصفح الآمن
تدريب المستخدمين على كيفية التحقق من عناوين الـ URL وتشفير الموقع (أي https)، وإبقاء المتصفح محدّث، واستخدام أصغر عدد ممكن من الملحقات (الـ Plugins)، والتحقق من الملفات قبل تحميلها هي مواد أساسية متعلقة بأمن معلومات المتصفح تكون ضمن مواد التوعية في أمن المعلومات.