کنترل شماره هفده از سری کنترل های سازمانی

CIS logo
اجرای یک برنامه آموزشی و آگاهی رسانی امنیتی

چرا این کنترل حیاتی است؟

فکر کردن در مورد دفاع سایبری در درجه اول به عنوان یک چالش فنی وسوسه کننده است اما اقدامات افراد نیز نقش مهمی در موفقیت یا عدم موفقیت یک شرکت دارد. افراد در هر مرحله از طراحی سیستم، اجرا، بهره برداری، استفاده و نظارت، وظایف و امور مهمی را به انجام می رسانند. مثال هایی در این زمینه عبارتند از: توسعه دهندگان سیستم و برنامه نویسان (که ممکن است آسیب پذیری های ریشه ای را در اوایل چرخه عمر سیستم شناسایی نکنند). متخصصان عملیات در حوزه فناوری اطلاعات (که ممکن است پیامدهای امنیتی محصولات و لاگ های مربوط به فناوری اطلاعات را تشخیص ندهند). کاربران نهایی (که ممکن است مستعد ابتلا به برنامه های مهندسی اجتماعی مانند کلاهبرداری های اینترنتی باشند)؛ تحلیلگران امنیتی (که تلاش می کنند علی رغم گسترش بسیار سریع اطلاعات، ادامه دهند) و مدیران و دارندگان سیستم (که تلاش می کنند تا نقشی را که امنیت سایبری در ریسک عملیاتی/ مأموریت ایفا می کند، تعیین کنند). مهاجمان از تمام این مسائل بسیار آگاه هستند و از آنها برای برنامه ریزی در جهت بهره برداری های خود استفاده می کنند. به عنوان مثال: پیام های فیشینگ را با دقتی ترسیم می کنند که برای یک کاربر بی ملاحظه و بی دقت مانند روال معمول و ترافیک مورد انتظار به نظر بیایند.

سوءاستفاده از شکاف ها و درزهای موجود میان خط مشی ها و فناوری (به عنوان مثال سیاست هایی که اجرای فنی ندارند)؛ کارکردن در بازه زمانی نصب اصلاحیه ها و یا بررسی لاگ ها؛ با استفاده از سیستم های معمولی غیرامنیتی به عنوان نقاط پرش یا استفاده از بات ها، مثال هایی دیگر در این زمینه هستند. بدون داشتن ابزارهایی برای نشان دادن این آسیب پذیری بنیادین، هیچ رویکردی در زمینه دفاع سایبری نمی تواند به طور موثری ریسک های سایبری را شناسایی کند. در مقابل، توانمندسازی افراد با رفتارهای مناسب، در زمینه دفاع سایبری می تواند آمادگی را به میزان قابل توجهی افزایش دهد.

CIS logo

نکات اصلی


  • برای درک مهارت ها و رفتارهای نیرو انسانی (که چندان پایبند به خط مشی های امنیتی نیستند) شکافهای مهارتی را مورد تجزیه و تحلیل قرار دهید و از این اطلاعات برای ساخت یک نقشه راه آموزش پایه استفاده کنید.
  • به نیروی کار در مورد چگونگی شناسایی اشکال مختلف حملات مهندسی اجتماعی مانند فیشینگ، کلاهبرداری تلفنی و جعل هویت تلفنی آموزش دهید.
CIS logo

سامانه های مرتبط برای پیاده سازی این کنترل

CIS logo

صفحه قبل