امنیت فناوری اطلاعات

گروه فناوری _ آیا امنیت فناوری اطلاعات توجه لازم را در سازمان شما دریافت می‌کند؟ با افزایش دسترسی از راه دور و خدمات مبتنی بر ابر، اهمیت امنیت فناوری اطلاعات از هر زمان دیگری بیشتر شده است. همه در اینترنت هستند و همه ما می‌خواهیم در هر زمان و هر مکانی به کارمان دسترسی داشته باشیم.

به گزارش بولتن نیوز ، حقیقت این است که بخش‌های سازمان فناوری اطلاعات دیگر نمی‌توانند تمام اقدامات موجود در دنیای دیجیتال را کنترل کنند. در سرمقاله بعدی، مارک هِروواینن، کارشناس فناوری اطلاعات، در مورد چگونگی اطمینان حاصل کردن از اینکه همه می‌توانند وظیفه خود را برای حفظ سازماندهی و امنیت اطلاعات تشکیلات شما انجام دهند، صحبت می‌کند.

چه چیزی در مورد هشیاری امنیتی بیشترین اهمیت را دارد؟

بخش‌های سازمان فناوری اطلاعات همیشه از قدرت خود به منظور حفظ زیرساخت فناوری اطلاعات از تهدیدات بالقوه استفاده می‌کنند. آنها سعی می‌کنند شبکه را محدود کنند تا بتوانند روی آن نظارت داشته باشند، اما باز هم شما نمی‌توانید 100 درصد در امان باشید. شما همچنین می‌توانید زمان و پول زیادی در جهت آموزش کارکنان دیگر برای کار کردن بر اساس دستورالعمل و چک لیست در زمینه استفاده از شبکه و برخورد با تهدیدها سرمایه گذاری کنید، اما این بدان معنا نیست که آن‌ها اشتباه نمی‌کنند.

آنچه که شما واقعا برای حفظ امنیت محیط دیجیتال خود نیاز دارید، افرادی هوشیار هستند که قادر به تشخیص تهدید باشند. به عبارت دیگر شما باید اطمینان حاصل کنید که کارکنان از خطرات امنیتی IT آگاهی دارند و مایل به انجام وظیفه خود هستند. این بدان معنا نیست که همه کارکنان باید دقیقا بدانند چگونه این مشکلات را حل می کنند. آنها فقط باید بدانند که ممکن است این تهدیدات رخ دهد و اگر آنها در موقعیت‌های خطرناک قرار گیرند، باید سازمان را مطلع کنند. بنابراین آگاهی گامی ساده به سوی یک زیرساخت دیجیتال امن‌تر است.

اگر در IT کار کنم، چگونه می‌توانم هشیاری امنیتی در دستور کار سازمان خود را کسب کنم؟

اساسا دو راه برای آگاهی از امنیت اطلاعات IT در دستور کار وجود دارد. بهترین گزینه این است که آگاهی امنیتی را با کارمندان مدیریتی افزایش دهیم، از مدیر فناوری اطلاعات خود شروع کنید. اینکه آن‌ها متقاعد شوند که شما هدفی دارید، بسیار آسان‌تر از این است که آن‌ها را در برنامه آگاهی شرکت دهید. مزایای کسب و کار را مشخص کنید. داشتن سیاست‌های عالی امنیت اطلاعات IT می‌تواند شرکت شما را برای مشتریان بالقوه جذاب کند و از لحاظ تکنولوژی-شناختی به معنی پیشرفت با زمان است.

مسیری که می‌خواهید از آن اجتناب کنید این است که هشیاری امنیتی زمانی صورت می گیرد که چیزی به وضوح اشتباه رخ می‌دهد. این قضیه، مشکل را در دستور کار قرار می دهد، اما به احتمال زیاد سایر ادارات به سادگی می‌گویند: "IT، این در حوزه کاری شماست؟ می توانید درستش کنید؟ این سناریو‌یی نیست که شما می‌خواهید. اول از همه، این رویکرد فرصت کمی برای اقدامات پیشگیرانه فراهم می‌کند. از آنجا که سایر کارکنان ابزارهایی برای تشخیص موقعیت‌های خطرناک ندارند، قبل از اینکه کسی متوجه شود چه اتفاقی افتاده است، می‌توان از بسیاری از آسیب‌ها جلوگیری کرد. علاوه بر این، رفع مسائل امنیتی مهم زمان زیادی را می‌طلبد و تلاش برای آن می‌تواند کارایی بیشتری داشته باشد. همواره حوادثی برای فناوری اطلاعات وجود خواهد داشت تا آن‌ها را حل کند، اما ایجاد آگاهی در مردم و توانمندسازی آن‌ها برای جلوگیری از موقعیت‌های خطرناک می‌تواند از صرف زمان و پول زیاد جلوگیری کند.

در TOPdesk، ما به عنوان یک بخش تصمیم گرفتیم برای مشکلات بزرگ صبر نکنیم، بنابراین ما ابتکاراتی را برای اطلاع رسانی به همکارانمان در مورد امنیت فناوری اطلاعات، انجام دادیم. این نوعی اعتماد متقابل بین ما و دیگر کارکنان ایجاد می‌کند. آن‌ها اعتقاد دارند که ما اطلاعات مناسب را ارائه می‌دهیم و آنچه که از آن‌ها می‌خواهیم در واقع با آن اطلاعات مرتبط است. و همچنین ما اعتماد داریم که آن‌ها کاملا مراقب هستند، ریسک‌های غیر ضروری انجام نمی‌دهند و در صورت بروز مشکل ما را در جریان می‌گذارند.

و چگونه می‌توانم تما همکارانم را همراه کنم؟

به مواردی که امنیت بالقوه را در صورتی که هشیاری امنیتی IT  توجه لازم را دریافت نکند، به خطر می‌اندازد اشاره کنید. نشت داده‌های عمده به طور باورنکردنی به شهرت شرکت آسیب می‌رساند، زیرا مشتریان باید بتوانند به اطلاعات شما اعتماد کنند. اگر شما در لیست شرکت‌های با مسائل امنیتی قرار بگیرید، اداره مالی در عملکردتان متوجه آن خواهد شد. بنابراین اگر میخواهید نگرش‌ها را نسبت به آگاهی امنیتی فناوری اطلاعات بهبود ببخشید، باید درباره چیزهای ترسناک هم صحبت کنید. اما واقع‌بین باشید. شما می‌توانید به صرف هزینه‌های شغلی و دریافت پول زیاد برای خرید بهترین امکانات امنیتی بپردازید، اما آنچه که به آن نیاز دارید تعادل مناسب است. مهم این است که خطرات را به سطح قابل قبول و قابل کنترلی کاهش دهید. آگاهی عمومی در بقیه کارکنان اغلب گامی بزرگ در جهت درست است.

هیچ کس نمی خواهد مسئولیت آسیب رساندن به شهرت این شرکت را بخاطر بی‌دقتی در مورد داده‌ها، به عهده بگیرد و هیچ کس نمی‌خواهد مجبور شود با مشتریان خود به دلیل اینکه آن‌ها یک لپ‌تاپ با اطلاعات مهم را در یک تاکسی جا گذاشته‌اند، تماس بگیرد. مردم هنوز اشتباه می‌کنند، اما با این وجود ما متوجه شده‌ایم که آن‌ها احتمالا مستقیم به ما مراجعه می کنند. و می‌دانند که ما عصبانی نخواهیم شد. ممکن است بگوییم که کمی ناامید شده‌ایم، اما حتی از این هم واقعا منظوری نداریم. هیچ کس کامل نیست، مردم چیزها را فراموش می‌کنند. ما تا زمانی که همه در مورد اشتباهاتشان صادق باشند، می توانیم این خطرات را کنترل کنیم.

برای یک‌بار من حمایت سازمان خود را برای اهداف هوشیاری امنیتی IT خواهم داشت، بهترین راه برای رسیدن به این مرحله چیست؟

استراتژیِ آگاهی درست برای هر شرکت متفاوت است. اگر می‌خواهید چیزها را غیر رسمی نگه دارید، می‌توانید جلسات آموزشی کوتاه و ارائه اطلاعات را به شیوه‌ای سرگرم کننده و با نشاط ارائه دهید، اما هنوز هم پیام را در این زمینه منتقل خواهید کرد و مردم آن را به یاد خواهند داشت. این قطعا یک ایده خوب برای ارائه آموزش به همه کارکنان جدید در چند هفته اول کارشان است. اما چیزهای کوچک دیگری نیز هست که می‌توانید انجام دهید، مانند نصب پوسترهای ساده و جذاب حاوی اصول اولیه، که به طور منظم وجودشان به مردم یادآوری شود. ارسال ایمیل‌های گاه به گاه به مردم برای یادآوری اینکه هوشیار باشند نیز می‌تواند بسیار موثر باشد، اما آن را کوتاه و خلاصه نگه دارید. اساسا، آنچه که لازم است تا مردم را آگاه سازید، انجام دهید، اما آنها را با جریان دائمی اطلاعات پریشان نکنید و آزار ندهید.

چگونه می توانم ببینم که آیا اقدامات من تاثیر دارند یا نه؟

مردم تمایل دارند فکر کنند که اگر حوادث کمتری داشته باشند، اقداماتشان نسبت به آگاهی امنیتی فناوری اطلاعات کار می‌کند. اما ما متوجه چیزی بسیار متفاوت هستیم. اگر حادثه‌ای وجود نداشته باشد، هیچ تضمینی وجود ندارد که هیچ کاری هم اشتباه انجام نشود. دلایل دیگری نیز می‌تواند وجود داشته باشد که چرا بخش فناوری اطلاعات چیزی در مورد مشکلات نمی‌شنود. شاید مردم برای پذیرفتن این که اشتباه کرده‌اند، تردید دارند.

یا، اگر آگاهی از امنیت در دستور کار نیست، بسیاری از کارکنان حتی ممکن است متوجه خطرات امنیتی نشوند. از آنجایی که ما یک هدف برای ایجاد آگاهی در مورد امنیت فناوری ایجاد کردیم، متوجه شدیم که مردم با سوالات بیشتری در مورد موقعیت‌های مختلف به ما مراجعه می‌کنند. این مانند حجم زیادی از اضافه کاری به نظر می‌رسد، اما در واقع همان چیزی است که ما می‌خواستیم. ما ترجیح می دهیم 10 هشدار اشتباه داشته باشیم تا اینکه یک تهدید با خطر بالا را از دست بدهیم.

منبع: http://www.informationsecuritybuzz.com

http://www.informationsecuritybuzz.com/articles/security-make-people-listen-take-action-protect-organization/

 گروه ترجمه بولتن نیوز