نکاتی در مورد آموزش امنیت اطلاعات به کارکنان

به گزارش پایگاه اطلاع رسانی پایداری ملی، آموزش کارکنان و کارمندان، قدم اصلی در انجام اقدامات دفاعی در برابر تهدیدات آنلاین و نقض امنیت اطلاعات است. بهترین نرم‌افزارهای امنیتی و قوی‌ترین فایروال‌ها در صورتی که افراد نحوۀ کار کردن با آن‌ها را ندانند کارایی خود را از دست می‌دهند و یا اگر برای مثال افراد ایمیل‌های فیشینگ را تشخیص ندهند و یا اینکه رمزهای عبور را افشا کنند این ابزار دیگر کاربردی نخواهند داشت. آموزش مؤثر یکی از بهترین روش‌ها برای اطمینان از ایمنی آنلاین و دفاع در برابر نفوذ مجرمان سایبری است. زیرا یکی از راه‌هایی که مجرمان بیشترین سوء استفاده را از آن می‌کنند، خطاهای ساده انسانی است. خطاهایی از قبیل ناآگاهی، قصور و یا انجام عادات نادرست که از شایع‌ترین علل نقض امنیتی است. کارکنان نیاز دارند که به دانش امنیت اطلاعات با استفاده از دلیل، شهود و درک به‌منظور انجام رفتار درست توانمند شوند.

هدف این است هنگامی که کارکنان سؤالات زیر را از روی عادت یا به‌صورت غریزی از خود می‌پرسند بتوانند به آن‌ها جواب دهند:

1. من باید به چه اطلاعاتی از شرکت دسترسی داشته باشم؟

2. عواقب نفوذ به اطلاعات برای شرکت و من چه خواهد بود؟

3. چه خطرات و تهدیداتی وجود دارد؟

4. چه کنترل‌هایی باید زمانی که در محل شرکت هستیم انجام دهیم؟

شیوه‌های بسیار متنوعی وجود دارد برای آموزش کارکنان که شما می‌توانید از آن‌ها استفاده کنید. با توجه به نوع سازمان، مخاطبان و نیازهای خاص آموزشی شما، برنامه آموزشی مخصوص به سازمان شما طراحی می‌شود. شما باید روش‌های دیگر را نیز به‌عنوان جایگزین انتخاب کنید. روش‌هایی که دارای درجه تعامل بالا باشند.

• آموزش مبتنی بر کلاس درس می‌تواند بسیار تعاملی، آشنا و محیطی راحت برای بسیاری از افراد باشد به‌خصوص اگر با حضور یک مربی و آموزش‌دهنده فعال و جذاب همراه باشد.

• آموزش مبتنی بر کامپیوتر بسیار عالی و مناسب برای تقویت و آموزش به ویژه موضوعاتی که به‌صورت ماژول و واحدی مطرح می‌شوند. این شیوه از نظر زمان و مکان دسترسی برای کارمندان مناسب‌تر است زیرا منعطف است و در هر زمان و مکان می‌توان از آن استفاده کرد. درجه تعاملی این شیوه متوسط است.

• نشان دادن مسیر و جلسات ارائه برای موضوعات جدید و مهم مناسب هستند.

• تهیه و ارائه فیلم‌های آموزشی برای موضوعات مختلف که می‌توان به‌طور کامل ابعاد مختلف موضع را در فیلم آموزشی شرح داد.

• تهیه و ارائه پوسترهای آموزشی که بر جنبه‌های عمومی و خاص تأکید می‌کند.

• رویداد میزگرد و یا برنامه‌های سرگرم کننده و تفریحی مانند ناهار و ... می‌تواند همراه با برنامه‌های آموزشی باشد.

• برای دعوت پرسنل و کارکنان به برنامه‌های آموزشی و همچنین یادآوری برخی نکات مهم آموزشی از ایمیل هم می توان استفاده نمود.

• هنگامی که کارکنان وارد یک شرکت جدید می‌شوند نیاز است که در مورد سیاست‌های امنیتی و شیوه‌های معمول آن‌ها مانند ورود به سیستم و غیره توضیحات و آموزش کامل به آن‌ها داده شود.

• بعد از این که کارکنان جدید به شرکت ملحق شدند و آموزش‌ها عمومی را گذراند باید به مرور و به‌صورت روز به روز با آموزش تخصصی و جدیدتر آشنا شوند.

• آموزش و آشنا کردن پرسنل و کارکنان شرکت با حوادث امنیتی که در سرتاسر دنیا رخ داده است وهمچنین مشکلات مربوط به امنیت اطلاعات که در دنیا در حال ظاهر شدن است. 

• آموزش‌های سالانه یا با دوره تناوب سریع‌تر برای به روز بودن آموزش کارکنان.

• معرفی منابع آموزشی مانند کتب و سایت‌های آموزشی در زمینه اطلاعات از جمله همین سایت به کارکنان برای بالا بردن سطح آگاهی و اطلاعاتشان.

• در هر مورد آموزشی، باید مثال‌های کاربردی زده شود تا افراد متوجه شوند که این آموزش‌ها دارای چه اهمیتی هستند و چه خطرات و تهدیدهایی را پوشش می‌دهند.

• سیاست‌های خاص شرکت از قبیل شیوه‌های استفاده مناسب.

• اطلاعات روزمره مانند نحوه اتصال به سرورهای شرکت، تغییر کلمه عبور و ....

• فرد در هنگام نیاز به پشتیبانی یا نیاز به ابزار، به چه کسی مراجعه نماید؟

• آشنایی اولیه با خطراتی از قبیل، نرم‌افزارهای مخرب، هک کردن، کلاهبرداری، دزدی نرم‌افزار، آزار و اذیت، نحوه حفاظت از داده‌ها و اطلاعات.

کارکنان کسب و کارها همانند کاربران خانگی با چالش‌های زیادی مواجه هستند. با این تفاوت مهم که اقدامات یک کارمند ممکن است کل یک سازمان و یا کسب و کار را تحت تأثیر قرار دهد در حالی که یک کاربر خانگی تنها مسئول آنچه که در خانه برای خودش اتفاق می‌افتد است. علاوه بر این کسب و کارها و سازمان‌ها با خطرات و تهدیدات ویژه روبرو هستند که نیاز به اقدامات پیشگیرانه خاص خود را دارد.

• امنیت کامپیوتر و تلفن همراه: چگونه نرم‌افزارهای امنیتی را به روز رسانی و فایروال سیستم را روشن کنیم و از ورود نرم‌افزارهای مخرب جلوگیری نماییم.

• استفاده از یک مرورگر اینترنت امن، جلوگیری از پاپ آپ ها (Pop-ups)، اجتناب از سایت‌های جعلی و مشکوک به کلاهبراری، بررسی این که تراکنش‌های مالی و بانکی شما رمزنگاری شده است.

موضوعات رفتاری: ایمیل جعلی، فیشینگ، کلمات عبور، کلاهبرداری و سرقت هویت و اینکه چگونه از آن‌ها باید اجتناب کرد و اگر در مواردی مشکل و یا عدم اطمینان وجود دارد چگونه باید رفتار نماییم.

موضوعات تجاری: موضوعات مربوط به حفاظت داده‌ها، قانون کار، قانون قرارداد، حفاظت از اطلاعات حساس شرکت‌ها و اجتناب از استفاده غیرمجاز از نرم‌افزارها و دیگر آثار.