ابرآمد

12 موضوع ضروری در امنیت داده‌ که باید در سال جدید از آن آگاه باشید

امنیت داده

امروزه خطای انسانی به‌عنوان مهم‌ترین عامل نقض امنیت داده‌ شناخته شده است و تحقیقات نشان داده که این خطا در 95% موارد باعث به خطر افتادن امنیت اطلاعات می‌شود پس مدیریت صحیح پرسنل یک سازمان در جهت دوری از این تهدید و رعایت امنیت بسیار ضروری است.

یکی از بهترین شیوه‌های مدیریت مؤثر(human risk management (HRM آن است که روش‌های نوین شناسایی و مقابله با ریسک‌های جدید به‌صورت مداوم به کارکنان آموزش داده شود.

برای اجرای این شیوه، پرداختن به موضوعات کلی به شما کمک نخواهد کرد. ما در این مقاله سعی می‌کنیم آن موضوعاتی را مطرح کنیم که باید در سال جدید رعایت کنید تا امنیت اطلاعات شما حفظ شود و همچنین می‌آموزید که چه نکاتی برای آموزش به پرسنل سازمانتان مناسب است.

موضوع ضروری در امنیت داده‌

مهم‌ترین سرفصل‌های آموزشی، برای آگاهی از امنیت داده‌ها در سال جدید، چه موضوعاتی هستند؟

12 عنوان برتر برای آگاهی در حوزه امنیت

  1. Phishing attacks
  2. Removable media
  3. Passwords and Authentication
  4. Physical security
  5. Mobile Device Security
  6. Working Remotely
  7. Public Wi-Fi
  8. Cloud Security
  9. Social Media Use
  10. Internet and Email Use
  11. Social Engineering
  12. Security at Home

1.Phishing attacks (حملات فیشینگ)

فیشینگ یکی از روش‌هایی است که هکرها بیشتر برای حملات سایبری استفاده می‌کنند. بر اساس اطلاعات سایت zdnet حملات فیشینگ که در سال 2020 به دلیل پاندمی کرونا و دورکاری دوبرابر شده بود در سال 2021 نیز افزایش پیدا کرد و باعث سخت شدن کار برای سازمان‌ها شد.

اما چرا فیشینگ برای سال جدید هم یک تهدید حساب می‌شود؟

یکی از دلایل اصلی، پیچیده‌تر شدن این نوع حملات است. هکرها اکنون از تکنیک‌های هوشمندانه‌تری برای فریب کارمندان و به خطر انداختن داده‌های حساس یا ایجاد پیوست‌های مخرب استفاده می‌کنند.

به‌عنوان‌مثال، ایمیل توافقنامه تجاری (business email compromise – BEC) یک‌شکل رایج از فیشینگ است که باهدف گذاری روی یک فرد خاص – مانند مدیران ارشد یک شرکت – انجام می‌شود به این شکل که افراد مؤثر سازمان شناسایی شده و این ایمیل برای آنها ارسال می‌گردد تا تشخیص آن از یک ایمیل واقعی بسیار دشوارتر باشد. همان‌طور که مشخص است این کار بسیار هوشمندانه بوده و گویای این موضوع است که چرا میزان تأثیر حملات فیشینگ دوبرابر شده‌اند.

کارکنان شما نیاز به آموزش منظم در خصوص این شیوه‌های مدرن حملات فیشینگ دارند.

2.Removable media (تجهیزات حمل اطلاعات)

روزانه سازمان‌ها از تجهیزات حمل اطلاعات برای جابه‌جایی داده‌های سازمانی استفاده می‌کنند. تجهیزات حمل اطلاعات، ابزاری هستند که می‌توان به‌وسیله آنها داده‌ها را کپی کرده و از دستگاهی به دستگاه دیگر انتقال داد. به‌عنوان‌مثال هارد و USBهایی که حاوی بدافزار هستند زمانی که در اختیار کاربران قرار بگیرند و به سیستم کاربر متصل شوند می‌توانند آن سیستم را آلوده کنند و به‌صورت اتوماتیک فعالیت‌های مخربی را انجام دهند.

 شرکت blancco در تحقیق جالبی که انجام داده است عنوان کرده محققان این شرکت تعداد 300 عدد USB را در نزدیکی محوطه دانشگاه ایلی نویز Urbana-Champaign بر روی زمین قرار داده‌اند و در کمال تعجب مشاهده شد که نه‌تنها 45% از این USBها توسط افراد ازروی زمین برداشته شدند بلکه روی فایل‌هایی که در داخل آنها کپی شده بود نیز کلیک کردند!

 شرکت‌ها بنا به دلایل زیادی مجبور به استفاده از این تجهیزات هستند لذا کارمندان باید استفاده امن از این ابزار را درک کنند و برای استفاده درست و مسئولانه از آنها آموزش ببینند. اطلاعات، چه شخصی باشند و چه شرکتی، ارزشمند هستند.

USB ها، کارت‌های حافظه SD، CDها و گوشی‌های هوشمند جزو این تجهیزات هستند. شما باید جهت حفظ امنیت داده‌ها، به کارمندان خودآموزش دهید تا این ابزار را بشناسند و درباره چرایی استفاده از آن آگاهی داشته باشند و همچنین نحوه جلوگیری از گم‌شدن یا دزدیده شدن، آلودگی به بدافزار و اجازه کپی‌برداری از آنها را بدانند

3.Passwords and Authentication (رمز عبور و احراز هویت)

یک موضوع بسیار ساده که معمولاً نادیده گرفته می‌شود ولی می‌تواند کمک زیادی به حفظ امنیت داده در سازمان شما کند، توجه به امنیت رمز عبور است. هکرها معمولاً برای دستیابی به اطلاعات شما، رمز عبور را حدس می‌زنند. استفاده از رمزهای عبور ساده یا داشتن الگوهای رمز عبور قابل تشخیص برای دیگران می‌تواند دسترسی مجرمان سایبری به طیف وسیعی از اطلاعات شما را آسان کند. هکرها می‌توانند اطلاعات شما را به همه نشان دهند و یا بفروشند.

 انتخاب رمز عبورهای پیچیده‌تر و در اختیار قرار ندادن رمز عبور به دیگران و یا استفاده از امکان احراز هویت دومرحله‌ای می‌تواند از اطلاعات شما در برابر مهاجمان محافظت کند.

4.Physical security (امنیت فیزیکی)

اگر شما از آن دسته افرادی هستید که رمز عبور خود را روی برگه‌های یادداشت روی میز می‌چسبانید، بهتر است بگوییم که وقت آن رسیده تا آنها را دور بریزید. اگرچه بسیاری از حملات از طریق رسانه‌های دیجیتالی انجام می‌شوند، اما حفظ امنیت اسناد فیزیکی برای حفظ امنیت داده‌های شما حیاتی است.

باید بدانید که بازماندن فایل‌ها و کامپیوترها و نوشتن پسورد در نزدیکی سیستم‌ها خطرناک است. با اجرای سیاست “میز پاک”(clean-desk policy)، خطر سرقت یا کپی‌کردن اسناد را می‌توان به میزان قابل‌توجهی کاهش داد.

سیاست میز پاک به معنی حذف و بایگانی روزانه اطلاعات حساس کاری ازروی میز شماست. لازم است هر زمان که از سیستم خود دور می‌شوید، آن را خاموش کنید.

5.Mobile Device Security (امنیت دستگاه موبایل)

تغییرات فناوری‌های IT باعث شده تا حفظ امنیت داده‌ها پیچیده‌تر شود. این موضوع که امروزه افراد می‌توانند در حال حرکت و با موبایل خود کارهای زیادی را انجام دهند، حفظ امنیت را سخت‌تر کرده است. این شیوه کار می‌تواند برای بسیاری از شرکت‌ها مقرون‌به‌صرفه باشد ولی مخصوصاً در زمان مأموریت کاری و یا انجام دورکاری، ریسک را بالا می‌برد. ظهور پلتفرم‌های غیراستاندارد تلفن همراه، خطر آلودگی به بدافزار را افزایش می‌دهد که می‌تواند منجر به نقض امنیت شود.

دستگاه‌های موبایل باید دارای رمز عبور و احراز هویت بیومتریک باشند تا دسترسی به اطلاعات آنها در زمان گم‌شدن و یا دزدیده شدن سخت‌تر باشد.

بهترین روش آن است که کارکنان ملزم به امضای یک پروتکل نحوه استفاده از موبایل در داخل شرکت باشند.

6.Working Remotely (دورکاری)

با شیوع کرونا در سال 2021، نیاز آشکار به دورکاری همراه با افزایش جذب در شرکت‌ها، منجر به این شد که بسیاری از آنها گام‌هایی جدی به سمت سیاست‌های کاری از راه دور به‌صورت تمام‌وقت بردارند. . طبق مطالعاتی که در سایتmerchantsavvy انجام شده دورکاری می‌تواند برای شرکت‌ها مثبت و برای کارکنان انگیزه‌بخش باشد و باعث افزایش بهره وری شود. درصورتی‌که آموزش‌های لازم در مورد تهدید و خطراتی که دورکاری می‌تواند برای سازمان ایجاد کند به کارکنان آموزش داده نشده باشد، این فرایند می‌تواند تهدیدی برای امنیت داده‌های سازمان شود.

سیستم‌های شخصی که برای مقاصد کاری استفاده می‌شوند باید قفل داشته باشند و نرم‌افزار آنتی‌ویروس بر روی آنها نصب و بروز شده باشد. اگر شرکتی به دنبال گسترش فرهنگ دورکاری است، باید بر آموزش کارمندان در مورد شیوه‌های کاری ایمن تمرکز کند.

با ورود به سال جدید، احتمالاً رویه افزایش دورکاری ادامه خواهد داشت. اگرچه امیدواریم شاهد بازگشایی دفاتر و بازگشت به زندگی عادی باشیم، اما همچنان شرکت‌ها به طور فزاینده‌ای کارمندان دورکار را استخدام خواهند کرد و افراد زیادی ممکن است ترجیح دهند به این روش کار کنند.

7.Public Wi-Fi (وای‌فای عمومی)

برخی از کارمندان که نیاز به دورکاری، سفر با قطار و کار در حال حرکت دارند؛ ممکن است نیاز به آموزش بیشتری درباره نحوه استفاده امن از خدمات Wi-Fi عمومی داشته باشند. شبکه‌های وای‌فای عمومی جعلی که اغلب در مراکز عمومی به‌عنوان وای‌فای رایگان ارائه می‌شوند، می‌توانند کاربران را وادار به واردکردن اطلاعات خود در یک سرور عمومی غیر امن کنند که این کار باتوجه‌به ناامن بودن توصیه نمی‌شود و به کاربران پیشنهاد می‌گردد تا در صورت نیاز از اینترنت شخصی و یا سیستم HOTSPOT موبایل خود استفاده کنند.

آموزش کاربران در مورداستفاده امن از Wi-Fi عمومی و نحوه شناسایی آن، امکان وقوع خطر را به حداقل می‌رساند.

8.Cloud Security (امنیت ابری)

رایانش ابری نحوه ذخیره و دسترسی به داده‌های کسب‌وکارها را متحول کرده است. بااین‌حال با ذخیره و پردازش حجم زیادی از اطلاعات، خطر آلوده شدن و حملات سایبری در رایانش ابری وجود دارد. انتخاب فضای ذخیره‌سازی و ارائه‌دهنده خدمات ابری مناسب می‌تواند راهی بسیار ایمن و مقرون‌به‌صرفه برای ذخیره داده‌های شرکت شما به‌صورت امن باشد.

همان‌طور که گفته شد، اشتباه کاربری بیشتر از فضای ذخیره‌سازی ابری باعث به خطر افتادن اطلاعات می‌شود. گارتنر پیش‌بینی می‌کند که تا سال آینده، 99 درصد از تمام حوادث امنیتی ابری به دلیل خطای انسانی خواهد بود.

9.Social Media  (رسانه‌های اجتماعی)

همه ما بخش‌های زیادی از زندگی خود را در رسانه‌های اجتماعی به اشتراک می‌گذاریم؛ از تعطیلات گرفته تا رویدادها و محیط کار. اما اشتراک‌گذاری بیش از حد باعث دردسترس‌بودن اطلاعات حساس شما می‌شود و این امر برای حفظ امنیت داده‌ خطرناک است.

آموزش کارکنان در مورد محافظت از حریم خصوصی در شبکه‌های اجتماعی و جلوگیری از انتشار اطلاعات عمومی شرکت، خطر دستیابی هکرها به اطلاعات شما را کاهش می‌دهد.

10.Internet and Email  (اینترنت و ایمیل)

برخی از کارمندان ممکن است تا کنون با استفاده از ایمیل‌هایی با پسورد ساده و تکراری، در دام هکرها افتاده باشند. طبق مطالعاتی که در سایتSecurityboulevard   انجام شده نشان می‌دهد که 59٪ کاربران از رمز عبور یکسانی برای همه حساب‌های کاربری خود استفاده می‌کنند. این بدان معنی است که اگر یک حساب در معرض خطر قرار بگیرد، هکر می‌تواند از این رمز عبور در حساب‌های کاری و رسانه‌های اجتماعی دیگر استفاده کرده و به تمام اطلاعات کاربر در این حساب‌ها دسترسی پیدا کند.

اغلب وب‌سایت‌های غیرمجاز، نرم‌افزار رایگان آلوده به بدافزار ارائه می‌دهند، به همین دلیل برنامه‌ها را باید تنها از منابع مطمئن تهیه کرد و به این شکل از اطلاعات موجود بر روی سیستم‌ها در برابر نصب هرگونه نرم‌افزار مخرب جلوگیری نمود. اگرچه ممکن است ساده و بدیهی به نظر برسد اما باید یادآوری کنیم که آموزش کارکنان در مورداستفاده از اینترنت و برنامه‌های ایمن باید بخش اصلی فرهنگ‌سازی در سازمان شما باشد.

در سال‌های اخیر، اطلاعات خصوصی افراد و شرکت‌ها حتی از طریق وب‌سایت‌های بزرگ هم به بیرون راه پیدا کرده است که نشان می‌دهد اگر اطلاعات شما نیز بر بستر این شرکت‌ها قرار داشت، می‌توانست عمومی شود.

11.Social Engineering (مهندسی اجتماعی)

مهندسی اجتماعی سوءاستفاده از اطمینان و یا فریب افراد باهدف دسترسی به اطلاعات محرمانه و در مرحله بعد سوءاستفاده از این اطلاعات است. مهندسی اجتماعی تکنیک رایجی است که مجرمان اینترنتی برای جلب اعتماد کارمندان استفاده می‌کنند. در این روش با ارائه پیشنهادهای وسوسه‌انگیز یا استفاده از جعل هویت برای دسترسی به اطلاعات شخصی اقدام می‌شود. برای مبارزه با این تهدیدها، کارکنان شما باید در مورد موضوعات روز امنیتی و رایج‌ترین تکنیک‌های مهندسی اجتماعی و روان‌شناسی آموزش ببینند.

به‌عنوان‌مثال مجرمان اینترنتی درپوشش یک مشتری معتبر ظاهر می‌شوند و یا با پیشنهادهای جذاب سعی در گرفتن اطلاعات از یک شرکت را دارند. افزایش آگاهی کارکنان شما در خصوص این روش‌ها بسیار مهم است.

12.Security at Home (امنیت در منزل)

متأسفانه با عدم حضور فیزیکی در محل کار، تهدیدها متوقف نمی‌شوند. بسیاری از شرکت‌ها به کارمندان خود اجازه می‌دهند از کامپیوترهای شخصی خود استفاده کنند که روشی عالی برای صرفه‌جویی در هزینه‌ها است و امکان کار به‌صورت پاره‌وقت را هم فراهم می‌کند.

بااین‌حال، این کار می‌تواند خطرناک هم باشد. به‌عنوان‌مثال اگر پسورد این سیستم‌ها شناسایی شود و یا برنامه غیراستانداردی در این دستگاه‌های شخصی نصب شود، می‌توانند امنیت داده‌های شرکت را هم به خطر بیندازد. یکی از مواردی که می‌تواند دراین‌خصوص خطراتی جدی را برای سازمان ایجاد کند عدم استفاده از VPNهای معتبر است که توسط هر شرکت برای استفاده راحت و امن ارائه می‌گردد.

مطالعه‌ای که توسط Propeller انجام شد نشان داد که نرخ کلیک کمپین‌های فیشینگی که برای دراپ‌باکس هدف‌گذاری شده بود، 13.6 درصد بوده است. افزایش آگاهی کارکنان در به‌اشتراک‌گذاری فایل‌های رمزگذاری شده این نوع خطرها را کاهش می‌دهد.

جمع‌بندی

شرکت‌ها به‌منظور رعایت موضوعات امنیتی و استاندارها، لازم است کارکنان خود را آموزش دهند و در کنار آن با وضع مقررات خاص از فاش شدن اطلاعات سازمانی جلوگیری کنند. کارکنان نیز باید قوانین امنیت داده‌ها، موضوعات مالی و مالیات و … را یاد بگیرند. آگاه‌سازی کارکنان در سازمان باید به‌مرور تبدیل به فرهنگ شود و این فرهنگ‌سازی می‌تواند از طریق تهیه ویدئو برای کارکنان یا تشکیل گروه‌های تعاملی کوچک اتفاق بیفتد.

حملات فیشینگ، USB ها، کارت‌های حافظه SD، CDها، گوشی‌های هوشمند، استفاده از رمزهای عبور ساده و یادداشت کردن آنها و لزوم استفاده از اینترنت امن و رعایت نکات امنیتی حتی در منزل و سیستم‌های شخصی از جمله اطلاعاتی بودند که در این مقاله به آنها پرداختیم که آگاهی از آنها برای همه شرکت‌ها و کارکنانشان ضروری است.

منابع:

https://blog.usecure.io/12-security-awareness-topics-you-need-to-know-in-2020https://www.zdnet.com/article/phishing-why-remote-working-is-making-it-harder-for-you-to-spot-phoney-emails/


به این مطلب امتیاز دهید

برای امتیاز به این نوشته کلیک کنید!
[کل: 1 میانگین: 5]