امنیت سازمان‌ها در دستان کارکنان

در ایمن‌سازی سیستم‌های اطلاعاتی هیچ‌گاه تضمین صد درصدی وجود ندارد چرا که همیشه نقایص تازه و راه‌های جدید برای نفوذ وجود خواهد داشت.
با مرور رخدادهای امنیتی به‌وقوع‌پیوسته در کشورمان می‌توان دریافت که اکثر این موارد ناشی از ضعف آگاهی افراد نسبت به هشدارهای امنیتی است. محققان و متخصصان امنیت اطلاعات بر این باورند که انسان‌ها سست‌ترین حلقه زنجیره امنیت در سازمان‌ها به شمار می‌روند. امروزه تبهکاران دنیای مجازی بیش از پیش به فکر نفوذ از طریق این حلقه سست و در اختیار گرفتن سیستم‌های اطلاعاتی و افکار این افراد (کارکنان و مشتریان) هستند.
انسان جایزالخطاست:

• حتی با وجود چارچوب‌های امنیتی مستحکم در سازمان، کارکنان این مجموعه‌ها در فضای مجازی علاقه دارند وارد صفحات ناشناخته و عجیب شوند یا حتی به رایانامه‌هایی که به ظاهر از طرف دوستان و آشنایان به دست آنها می‌رسد پاسخ دهند و از همه بدتر اینکه اطلاعات طبقه‌بندی‌شده و کلمات عبور حساب‌های کاربری مختلف را برای دوستان یا همکاران خود از طریق رایانامه ارسال می‌کنند.
• BYOD (تجهیزات رایانه‌ای همراه) مخاطرات امنیتی سازمان را دوچندان می‌کند. امروزه کارمندان با به همراه داشتن تجهیزاتی نظیر گوشی‌های هوشمند، تبلت‌ها و رایانه‌های شخصی که هر یک قابلیت اتصال به شبکه‌های سازمان را دارند، تهدیدی جدی برای امنیت اطلاعات هر سازمان به حساب می‌آیند.

ولی آیا با این پیشرفت فناوری می‌توان کارکنان را از حضور در فضای مجازی یا استفاده از تجهیزات رایانه‌ای همراه منع کرد؟!
چگونه باید این سست‌ترین حلقه زنجیره امنیت سازمان را مستحکم ساخت؟
برای مرتفع کردن این مشکلات سازمان‌ها باید سطح آگاهی کارکنان و مشتریان خود را در زمینه تهدیدات دنیای مجازی افزایش دهند.
در ادامه با هم به مرور راهکارهایی جهت توانمندسازی این حلقه زنجیر می‌پردازیم:
1- تدوین و اجرای خط مشی امنیت اطلاعات در سازمان:
برای سازمان خود یک خط مشی جامع امنیت اطلاعات تدوین و اطمینان حاصل کنید همه افراد از این خط مشی آگاهی کافی دارند. این خط مشی می‌تواند به طور مثال شامل مواردی از قبیل طبقه‌بندی اطلاعات، دسترسی به اطلاعات، یادآوری الزامات امنیتی و… باشد.
2- طبقه‌بندی اطلاعات و نحوه دسترسی به اطلاعات:
دسته‌بندی اطلاعات سازمان به سطوح مختلف امنیتی مانند اطلاعات طبقه‌بندی نشده/ عمومی، اطلاعات مربوط به استفاده داخلی و اطلاعات محرمانه.
دسته‌بندی اطلاعات در سطوح مختلف به کارکنان این امکان را می‌دهد که اهمیت اطلاعات حساس را درک کرده و همچنین بتوانند به نحو احسن از این اطلاعات در فعالیت‌های مرتبط با کارهای روزانه استفاده کنند. مزیت دیگر طبقه‌بندی اطلاعات، قابلیت اختصاص دسترسی‌های مورد نیاز کارکنان به اطلاعات سازمانی بر حسب نیازهای کاری، توسط مدیران ارشد سازمان است.
3-موارد مجاز و غیرمجاز در سازمان:
به صراحت موارد مجاز و غیرمجاز در به‌کارگیری فناوری اطلاعات را به کارکنان اعلام کنید.
به طور مثال اعلام کنید تحت هیچ شرایطی رمز عبور حساب‌های کاربری خود را از طریق رایانامه به همکاران ارسال نمی‌کنید.
4- تشریح وظایف سازمانی:
به کارکنان گوشزد کنید، رعایت مسائل امنیتی جزو وظایف سازمانی آنهاست و همه کارکنان از پایین‌ترین تا بالاترین سطح در برقرار نگه ‌داشتن امنیت اطلاعات سازمان دخیل هستند.
5- استفاده از شبکه‌های اجتماعی:
راهنماهایی برای استفاده از شبکه‌های اجتماعی تهیه و به کارکنان همواره یادآوری کنید که می‌توانند چه داده‌هایی را در این رسانه‌ها به اشتراک بگذارند (داده‌های مجاز برای به اشتراک‌گذاری بر اساس نوع فعالیت، فرهنگ و مخاطرات ارزیابی‌شده در سیستم مدیریت امنیت اطلاعات سازمان شناسایی می‌شوند).
6- تدوین طرح پاسخگویی به رخدادهای امنیتی:
یک طرح پاسخگویی به رخدادهای امنیتی در زمان وقوع این رخدادها تهیه کنید. به یاد داشته باشیم این طرح باید قبل از به وقوع پیوستن رخداد طراحی شود. به طور مثال در این طرح مشخص کنید در زمان سرقت تجهیزات رایانه‌ای شخصی کارکنان، افراد باید چه اقداماتی انجام دهند؟ با چه افرادی تماس بگیرند؟ آیا تجهیز به‌سرقت‌رفته امکان وصل شدن به شبکه داخلی سازمان از راه دور را دارد؟
7- نگهداری امنیت اطلاعات:
در سازمان فرآیندی جهت حصول اطمینان از بازنگری و به‌روز بودن خط مشی‌های امنیت تدوین کنید. به یاد داشته باشیم فناوری اطلاعات با سرعتی عظیم در حال رشد و تغییر است، پس خط مشی امنیت اطلاعات سازمان و الزامات امنیتی باید همواره با این تغییرات روزافزون بازنگری و ویرایش شود.
و اما راهبرد سازمان‌ها در به‌کارگیری این راهکارهای امنیتی چه باید باشد؟
مدیران و کارکنان در همه سطوح باید نسبت به جنبه‌های مختلف امنیت اطلاعات آگاه باشند و طبق نیازمندی‌های امنیتی سازمان از آموزش‌های مورد نیاز بهره‌مند شوند. آموزش و پرورش مداوم کارکنان برای برقرار نگه‌ داشتن امنیت اطلاعات سازمان امری حیاتی است.
تجارب جهانی نشان می‌دهد انتقال اهمیت این موضوع به کارکنان که آنها می‌توانند چه نقش کلیدی‌ای در مدیریت امنیت اطلاعات سازمان ایفا کنند، بسیار اثربخش بوده و باعث ایجاد انگیزه فراوان در این افراد برای رعایت سیاست‌ها و الزامات امنیتی سازمان می‌شود.
امنیت ساخته‌شده بر پایه فرآیندها، فناوری و افراد هیچ‌گاه کافی نبوده و نفوذگران به راحتی آسیب‌پذیری‌های انسان‌ها را شناسایی و از طریق تکنیک‌های مهندسی اجتماعی به اطلاعات حساس سازمان دسترسی پیدا می‌کنند.
بهترین و کم‌هزینه‌ترین راه برای مقابله با این شرایط و کاهش تاثیرات عوامل انسانی بر امنیت سازمان‌ها تدوین خط مشی‌های امنیت متناسب با نیاز فناوری سازمان و همچنین آموزش و پرورش نیروی انسانی است. به ﻃﻮر ﻛﻠﻲ، ﺧﻂ ﻣﺸﻲﻫﺎ ﻳﺎ ﻛﻨﺘﺮلﻫﺎی اﻣﻨﻴﺖ اﻃﻼﻋﺎت ﺑـﻪ ﺗﻨﻬـﺎﻳﻲ ﺣﻔﺎﻇـﺖ ﻛﻠـﻲ از اﻃﻼﻋـﺎت، سیستم‌های اﻃﻼﻋﺎﺗﻲ، ﺧﺪﻣﺎت ﻳﺎ ﺷﺒﻜﻪﻫﺎ را ﺗﻀﻤﻴﻦ ﻧﺨﻮاﻫﻨﺪ ﻛﺮد. ﺑﻌﺪ از اینکه ﻛﻨﺘﺮلﻫﺎ ﭘﻴﺎده‌ﺳﺎزی ﺷﺪﻧﺪ، اﺣﺘﻤـﺎل دارد آﺳﻴﺐ‌ﭘﺬﻳﺮیﻫﺎی دﻳﮕﺮی ﺑﺎﻗﻲ ﺑﻤانند ﻛﻪ ﻣـﻲ‌ﺗﻮاﻧﻨـﺪ اﻣﻨﻴـﺖ اﻃﻼﻋـﺎت را ﺑـﻲ‌اﺛـﺮ و در ﻧﺘﻴﺠـﻪ رﺧـﺪاد اﻣﻨﻴـﺖ اﻃﻼﻋﺎﺗﻲ را اﻣﻜﺎنﭘﺬﻳﺮ ﻛﻨﻨﺪ. آموزش به عنوان راهبردی ضروری جهت تفهیم و درک خط مشی‌ها و کنترل‌های امنیت اطلاعات به کارکنان است و به خاطر داشته باشیم که این امر وظیفه مدیران سازمان‌هاست تا کارکنان را با تهدیدات دنیای مجازی آشنا سازند چون امنیت سازمان‌های ما به کارکنان آن وابسته است