اهمية التدريب في الامن السيبراني للموظفين
يعتبر التدريب في الامن السيبراني حاجة ضرورية لكل مؤسسة
يعتبر غياب المُساءلة ونقص التدريب و التوعية في أمن المعلومات في قائمة أسباب الخروقات الأمنية السيبرانية.
أن نسبة عالية من الخروقات حدثت في مؤسسات كبيرة معروفة برصدها ميزانية عالية للأمن السيبراني. في وقت وُجهت أصابع الإتهام في بعض الهجمات إلى موظفين يعملون بالمؤسسه وذذالكثير من نجاح الهجمات هو نتيجة أعمال قام بها موظفون غير مطلعين بشكل كافي على الحد الأدنى من الوعي في أمن المعلومات فقاموا بإلحاق الأذى في مؤسستاهم عن غير قصد وبدون وجود نوايا سيئة.
على مدى السنوات الماضية أصبحت تقنية المعلومات الداعم الرئيسي في كل مجالات الأعمال تقريباً ولطالما كان الأمن السيبراني ذمصدر قلق كبير لذلك أصبح تطبيق برنامج التدريب والتوعية في أمن المعلومات أمرًا ضروريًا وهام جدا لأي مؤسسة بغض النظر عن حجمها أو مجال عملها أو موقعها.
يُعّد برنامج التوعية في أمن المعلومات أحد الخدمات الرئيسية التي يجب ان تقوم به ادارة تقنية المعلومات. برنامج التوعية الأمنية لدينا هو عبارة عن دورة مستدامة تعتمد مبدأ التحسين المستمر إن برنامج التوعية الأمنية الذي يتم تنفيذه بشكل جيّد يساعد على منع حدوث خرق أو في الحد الأدنى يخفف المخاطر في هذه المقالة تقوم بمعالجة المواضيع التالية:
أهم أسباب الخروقات في الأمن السيبراني
أهمية التدريب والتوعية الأمنية في أمن المعلومات
مواضيع التوعية بأمن المعلومات
قنوات التوعية الأمنية في أمن المعلومات
أهم أسباب الخروقات الأمنية في أمن المعلومات
أسباب الخروقات الأمنية
1- قلة المعرفة والإطلاع عند الموظفين
يتصدر الموظفون غير المطلعين وغير الضارين الذين يفتقرون إلى التدريب والوعي في أمن المعلومات قائمة أسباب الخروقات الأمنية علمتنا التجارب أن التكنولوجيا وحدها لا يمكن أن تضمن بيئة تقنية آمنة بشكل كامل، فهناك دائمًا عامل الخطأ البشري، سواء كان ذلك من جانب المختصيين في قسم تكنولوجيا المعلومات أو من جانب المستخدمين لا يمكن تحميل التحسينات في العقل البشري بنفس طريقة تحديث جهاز الحاسوب! ولكن يمكن تغذيته بشكل دائم بالمعرفة والتدريب ومواد التوعية الأمنية.
كل ما يحتاجه الأمر هو موظف واحد غير ناضج على مستوى الوعي الأمني يقوم بإستلام بريد إحتيالي، فيضغط رابط ما ويقوم بتحميل برمجيات خبيثة معرضًا الشبكة للخطر.
المعالجة: يُنصح بتطوير برنامج توعية في أمن المعلومات يستمر على طوال العام ويكون محدثًا بشكل دائم ومواكب لأحدث التهديدات. ومصحوبًا بحملات محاكاة التصيّد الاحتيالي.
2- الأخطاء البشرية
يُشكّل الخطأ البشري من المستخدم العادي لأنظمة تقنية المعلومات تهديدًا دائمًا. ولكن التهديد الأكبر يكمن في الأخطاء التي قد يرتكبها مسؤولو الأنظمة التقنية! يؤدي الجهل أحيانًا، وقلة التركيز في أحيان أخرى إلى أخطاء في البرمجة والإعدادات ممى يجعل بعض الأبواب مفتوحة للقراصنة للولوج إلى الشبكة.
المعالجة: يُنصح بإعتماد معيار تنظيمي لإدارة التغييرات، الحوادث المشاكل مثل الأيزو 20000 ISO، الأيزو 27001 ISO، أو الأيتيل ITIL.
3- البرمجيات الخبيثة
هجمات البرامج الضارة مثل برامج الفدية (الرانسوم وير)، والفيروسات والـ Worms، وأحصنة طروادة تشكل دومًا تهديدًا للأمن السيبراني وسببًا وراء الإنتهاكات الأمنية.
المعالجة: قم بتدريب موظفيك على كيفية التعامل مع هجمات البرامج الضارة وتطبيق أفضل ممارسات أمان النقاط النهائية
4- سرقة الأجهزة
إن أجهزة الحواسيب المحمولة وغيرها من الأجهزة النقالة التي يتم سرقتها أحيانًا أثناء التنقل أو السفر تشكل خطرًا كبيرًا على أمن المعلومات يجب التعامل معه من خلال إدارة المخاطر.
المعالجة: رفع مستوى الوعي الأمني وتطبيق تقنيات تشفير البيانات على الأجهزة المحمولة.
5- موظفون مستاؤون
يشهد سوق العمل في تقنية المعلومات تغيير مستمر بالموظفين أكثر من قطاعات الأعمال أخرى. وفي كثير من المواقف يغادر فيها موظف عمله في مؤسسة ما بعد نشوب خلاف مع صاحب العمل فيشكل خطورة على أمن وسلامة المعلومات. وتكمن الخطورة في الأفعال التي قد يقوم بها الموظف الغاضب
المعالجة: تطبيق نظام فصل الواجبات، وإدارة الموردين، و تسريح الموظفين وفق معايير المهنة.
6- ضعف التمويل
تعاني بعض المنشآت من المشكلة الميزانية المنخفضة لقسم الأمن السيبراني. بينما تقع بعض المنشآت الأخرى في فخ “سوء توزيع الميزانية” حيث تُصرف معظم الميزانية على برامج أمنية متطورة وأجهزة أمنية ضخمة بينما يتم إهمال صرف الإعتمادات اللازمة للتدريب والتوعية في أمن المعلومات. وهذا خطأ فادح!
المعالجة: إذا لم تكن هناك وسيلة لزيادة ميزانية الأمن السيبراني، ينبغي على الأقل توزيع الأموال المتوفرة بشكل متوازن.
أهمية التوعية في أمن المعلومات
أهمية التوعية في الأمن السيبراني
أهمية التوعية في أمن المعلومات
1- تعزيز طبقة الدفاع الأخيرة
الموّظفون هم طبقة الدفاع الأخيرة، وفي بعض الحالات هم الطبقة الأولى، حسب طبيعة الهجوم. ولكن يوافق الجميع على أنهم، أي الموظفون، الحلقة الأضعف في سلسلة الأمن السيبراني. إن برنامج التوعية في أمن المعلومات المُطبّق بشكل مدروس وفعّال سوف يؤمن صلابة هذا الحلقة وتمكين شبكة أقوى.
2- متطلبات الامتثال
تتطلب جميع معايير وأطر أمن المعلومات العالمية مثل الأيزو ISO/IEC 27001 وجود برنامج توعية بأمن المعلومات.
3- التكيف الدائم مع التهديدات المستجدة
التهديدات والهجمات الخبيثة تزداد تعقيدًا يومًا بعد يوم. لذلك، تحتاج وحدات الأمن السيبراني إلى مواكبة التغييرات اليومية والأهم من ذلك، تحتاج وحدات التوعية الأمنية السيبرانية إلى إبقاء جميع المستخدمين على إطلاع حول أحدث التهديدات واتجاهات الهجمات السيبرانية.
4- زيادة المشاركة والإرتباط
عادةَ تقوم المؤسسات ذات مستوى نضوج متوسط أو عالي في أمن المعلومات بإصدار كتاب إرشادات وسياسات أمن المعلومات الخاصة بالمؤسسة ويقوم مسؤلي مركز المعلومات بتحديث الإرشادات والسياسات الأمنية بشكل مستمر ولكن يكمن التحدي في مدى فهم الموظف لمحتوى كتيب مليء بسياسات وإجراءات لأمن المعلومات داخل المنشأة.
تتختلف الأمور تمامًا في حالة تطبيق برنامج التوعية في أمن المعلومات على مدار العام ومن خلال القنوات المختلفة بحيث يكون الموظف شريك في عملية التوعية وممارسات أمن المعلومات. مما يساهم في خلق ثقافة أمنية داخل المؤسسة.
أهم مواضيع التوعية في أمن المعلومات
كل منشأة لها أولوياتها الخاصة حول إختيار مواضيع التوعية الأمنية الأكثر الأهمية. ومع ذلك، فمن المستحسن دائمًا العمل بشكل شمولي على تغطية جميع الموضوعات عند تطبيق برنامج توعية بأمن المعلومات في ما يلي أبرز الموضوعات التي يجب تغطيتها في برنامج التوعية بأمن المعلومات:
مواضيع التوعية الأمنية السيبرانية
مواضيع التوعية الأمنية في أمن المعلومات
1- الأمن المادي
يعتبر الأمن المادي جزء لا يتجزأ من أمن المعلومات يتجاوز حدود تقنية المعلومات، فيعالج المشكلات المتعلقة بأمن المحيط وبنقاط الدخول والأبواب والأدراج والخزائن والمكاتب وأجهزة الحواسيب الثابتة والمحمولة. يجب أن يكون المستخدمون على دراية وقدرة على التعامل مع تهديدات الأمن المادية من جميع الأنواع.
2- أمن البيانات
هنا بيت القصيد، ففي نهاية المطاف المهمة والهدف الرئيسي من التوعية في الأمن السيبراني هو حماية البيانات فتثقيف المستخدم حول التعامل مع أمن البيانات جزء أساسي من أي برنامج توعية في أمن المعلومات.
3- أمن الطباعة
من الضروري أن يعي المستخدم أن سواء كانت المعلومات رقمية أو مطبوعة على نسخ ورقية فذلك لا يغير شيء في سياسة أمن المعلومات. أمن الطباعة هو أحد الموضوعات العديدة في برنامج التوعية بأمن المعلومات.
بالإضافة إلى جعل المستخدمين على دراية بمفاهيم الطباعة الآمنة هناك الكثير من حلول الطباعة متوفرة في السوق التي يمكن أن تكون ذات فائدة كبيرة في تنفيذ سياسات الطباعة الآمنة.
4- أمن الشبكات
نظراً للطبيعة غير الآمنة للشبكات اللاسلكية تعوّل الشركات على وعي الموظفين لتقليل المخاطر في هذه الميدان. يتصل جهاز المحمول الخاص بالمؤسسة بالعديد من الشبكات في مكان العمل المنزل، المقهى، المطار، الفندق وغيرها من الأماكن العامة. ويمكن أن يحدث الإختراق في أي من هذه الأماكن، مما يشكل خطر على معلومات المؤسسة.
من ناحية أخرى، مع حلول أمن الشبكات السلكية واللاسلكية المتطورة، قد تصل المؤسسات إلى مستوى عالي من الأمان. ومع ذلك، هناك حاجة دائمة إلى التوعية في أمن المعلومات لتعزيز أمن الحلقة الأضعف.
5- تدمير البيانات
تبقى سياسات أمن المعلومات سارية المفعول حتى عند التوقف عن إستخدام جهاز معين طالما يحتوي على معلومات المؤسسة.
وإذا تقرر التخلص من الجهاز أو بيعه، فيجب التخلص منه بشكل آمن. يجب أن تحوي برامج التوعية في أمن المعلومات مواد خاصة حول كيفية تلف الأجهزة القديمة بطريقة آمنة دون تعريض أمن المعلومات لخطر السرقة.
6- أمن كلمات المرور
أمن كلمات المرور هو واحد من المجالات الأكثر تحديًا في التوعية بأمن المعلومات. توجد الكثير من المقاومة للتغيير في هذا المجال. يكره المستخدمون أن يُجبَروا على تذكر كلمات مرور جديدة كل فترة ويواجهون صعوبة في إنشاء كلمات مرور جديدة تلبي متطلبات التعقيد المطلوبة.
7- التصيد الإحتيالي الـPhishing وأمن البريد الإلكتروني
هجمات التصيد الاحتيالي تزداد خطورة يومًا بعد يوم. 9 من أصل 10 هجمات تصيّد هي الآن عبارة عن هجوم ببرنامج الفدية أو الرانسوم وير. والبدعة الجديدة هي الـ Pseudo Ransomware أو الرانسوم وير الزائف التي توهم المستخدم بأن بياناته مشفرة وتطالبه بدفع مبالغ Bitcoins لفك الشيفرة ولكنها في الواقع غير مشفرة!
إن التوعية على كيفية تجنب عمليات الخداع والتصيّد الإحتيالي الإلكتروني والتدريب على ما يجب القيام به في حالة الهجوم يُعد أولوية عالية في برنامج التوعية في أمن المعلومات. يرتكز برنامج التوعية لمكافحة التصيد الإحتيالي على أربع خطوات أساسية: التقييم الأولي، التوعية، المحاكاة، والقياس ومن ثم إعادة الدورة مرارًا وتكرارًا. التوعية على مخاطر التصيّد الاحتيالي هو دورة مستمرة مثل أي مجال آخر في التوعية بأمن المعلومات، .
8- البرمجيات الخبيثة
من البديهي أن يتطرق برنامج التوعية بأمن المعلومات والأمن السيبراني إلى البرمجيات الخبيثة. فبغض النظر عن مكان وطبيعة العمل، على المستخدم أن يعرف الفرق بين البرمجيات الخبيثة المختلفة مثل الفيروسات وأحصنة طروادة وبرامج الفدية والتجسس وغيرها. والأهم هو معرفة الطرق الأمثل للتصرف في حالة الهجوم.
9- أمن الأجهزة المحمولة
تحتوي أجهزة اللابتوب والجوال المستخدمة للعمل، سواء كانت مملوكة ملكية شخصية أو للمؤسسة، على أصول معلومات يجب حمايتها. أمن الأجهزة المحمولة هو موضوع ذات أهمية عالية ينبغي التوّسع في معالجته ضمن برنامج التوعية في أمن المعلومات.
10- التصفح الآمن
تدريب المستخدمين على كيفية التحقق من عناوين الـ URL وتشفير الموقع (أي https)، وإبقاء المتصفح محدّث، واستخدام أصغر عدد ممكن من الملحقات (الـ Plugins)، والتحقق من الملفات قبل تحميلها هي مواد أساسية متعلقة بأمن معلومات المتصفح تكون ضمن مواد التوعية في أمن المعلومات.
أمن المعلومات مسؤولية جماعية.