امنیت فناوری اطلاعات در تاریکی است

طبق گزارش جدید آزمایشگاه کسپرسکی و B2B International، "عوامل انسانی در امنیت فناوری اطلاعات: چگونه کارکنان سازمان را از داخل آسیب‌پذیر می‌کنند"، کارکنان وقایع امنیتی فناوری اطلاعات را در 53% تجارت‌های امارات متحده عربی پنهان می‌کنند.

گروه فناوری _ طبق گزارش جدید آزمایشگاه کسپرسکی و B2B International، "عوامل انسانی در امنیت فناوری اطلاعات: چگونه کارکنان سازمان را از داخل آسیب‌پذیر می‌کنند"، کارکنان وقایع امنیتی فناوری اطلاعات را در 53% تجارت‌های امارات متحده عربی پنهان می‌کنند.

به گزارش بولتن نیوز ، کارکنان حوادثی که درگیر آن بوده‌اند و ممکن است منجر به پیامدهای چشمگیر و افزایش آسیب کلی شود را، پنهان می‌کنند. یک رویداد گزارش نشده می‌تواند یک نقص بسیار بزرگتر را نشان دهد و تیم‌های امنیتی باید بتوانند به سرعت تهدیدات را شناسایی کنند تا بتوانند تاکتیک،های مناسب برای کاهش اثرات آن را پیدا کنند.

با این حال، کارکنان ترجیح می‌دهند سازمان‌ها را در معرض خطر قرار دهند تا اینکه یک مشکل را گزارش کنند، زیرا آن‌ها از مجازات می‌ترسند یا خجالت می‌کشند که مسئولیت چیزی که اشتباه است را بپذیرند.

بعضی از شرکت‌ها قوانین سختگیرانه را اعمال کرده و مسئولیت‌های اضافی را بر کارکنان تحمیل می‌کنند، به جای آن که آن‌ها را تشویق کنند که فقط مراقب باشند و همکاری کنند. این بدان معنی است که حفاظت از سایبر نه تنها در قلمرو فن‌آوری، بلکه در فرهنگ و آموزش سازمان نیز قرار دارد. این جایی است که مدیریت ارشد و بخش منابع انسانی باید درگیر شوند.

امنیت فناوری اطلاعات در تاریکی است

Slava Borilin، مدیر برنامه‌های آموزش امنیت در آزمایشگاه کسپرسکی، می‌گوید: "مشکل پنهان کردن حوادث نه تنها به کارمندان، بلکه به مدیران ارشد و بخش‌های منابع انسانی ارتباط دارد. اگر کارکنان حوادث را پنهان می‌کنند، باید دلیلی برای اینکار وجود داشته باشد. در بعضی موارد، شرکت‌ها خطرات بسیار دقیق، اما نامشخصی را بیان می‌کنند و فشار زیادی را روی کارکنان می‌گذارند و هشدار می‌دهند که این کار و آن کار را انجام ندهند، اگر نه مسئولیت چیزی که اشتباه پیش برود بر عهده آن‌ها خواهد بود. چنین سیاست‌هایی باعث ترس و اضطراب می‌شود و کارکنان را تنها با یک گزینه ترک می‌کند - برای اجتناب از مجازات هرکاری که لازم است انجام دهند. اگر فرهنگ امنیت‌سایبری شما مثبت باشد، یعنی براساس یک رویکرد آموزشی باشد، نه یک رویکرد محدود کننده، از بالا به پایین، نتایج واضح خواهد بود."

بوریلین همچنین یک مدل امنیت صنعتی را که در آن گزارشگری و رویکرد 'یادگیری از اشتباه' در مرکز تجارت است، یادآوری می‌کند. به عنوان مثال، الون ماسکِ تسلا در بیانیه اخیر خود خواست هر گونه حادثه‌ای که به ایمنی کارگران مربوط می‌شود را مستقیما به او گزارش کنند، به این صورت او می‌تواند نقش مهمی را در تغییر بازی کند.

ضعیف‌ترین لینک

با توجه به اینکه سالانه 46 درصد از حوادث امنیتی فناوری اطلاعات در سطح جهانی ناشی از اشتباه کارکنان است، این آسیب‌پذیری تجاری باید در سطوح مختلف، نه فقط از طریق اداره امنیت IT، مورد توجه قرار گیرد.

اول کارکنان بی‌اطلاع و بی‌دقت یکی از علل احتمال وقوع یک حادثه سایبری هستند - دوم یک بدافزار. در حالی که نرم افزارهای مخرب بیشتر و پیچیده‌تر شده‌اند، واقعیت غم‌انگیز این است که عامل دائمی انسان می‌تواند خطر بیشتری ایجاد کند.

به طور خاص، بی‌دقتی کارکنان در هنگام حملات هدفمند، یکی از بزرگترین آسیب‌های امنیتی شرکت‌های امنیت سایبری است. در حالی که هکرهای پیشرفته ممکن است همیشه از تروجان‌های سفارشی و تکنیک‌های پیشرفته برای برنامه ریزی استفاده کنند، احتمالا از ساده ترین نقطه ورود یعنی طبیعت انسانی برای شروع استفاده می‌کنند.

براساس این تحقیق، 26 درصد از حملات هدفمند به کسب و کارهای امارات متحده عربی در سال گذشته بخاطر مهندسی فیشینگ / مهندسی اجتماعی بوده است. برای مثال، یک حسابرس بی‌دقت میتواند یک فایل مخرب را به عنوان صورتحساب یکی از پیمانکاران متعدد شرکت باز کند. این می تواند زیرساخت کل سازمان را خنثی کند، و حسابدار را به یک همدست ناخواسته برای مهاجمان تبدیل کند.

دیوید جکوبی، محقق امنیتی در آزمایشگاه کسپرسکی می گوید: "مجرمان سایبری اغلب از کارمندان برای ورود به زیرساخت‌های شرکت استفاده می‌کنند. ایمیل‌های فیشینگ، رمزهای عبور ضعیف، تماس‌های جعلی از پشتیبانی فنی - ما همه این‌ها را دیده‌ایم. حتی یک فلش کارت معمولی که در پارکینگ اداره یا در نزدیکی میز کار دبیرخانه قرار دارد، می‌تواند کل شبکه را به خطر بیندازد - تمام چیزی که شما نیاز دارید، شخصی است که در مورد آن نداند و یا به امنیت توجه نکند و این دستگاه می‌تواند به راحتی به اینترنت وصل شود و خرابی به بار بیاورد."

حمله‌های هدفمند پیشرفته به سازمان‌ها هر روز اتفاق نمی‌افتد - اما نرم‌افزارهای مخربِ معمولی به صورت گروهی ضربه می‌زنند. متاسفانه، تحقیق همچنین نشان می‌دهد که در مواردی که نرم‌افزارهای مخرب مورد استفاده قرار می‌گیرند، کارکنان بی‌اطلاع و بی‌دقت نیز اغلب درگیر آن می‌شوند، که باعث ایجاد عفونت‌های مخرب در 55% حوادث امارات متحده عربی می‌شود.

عامل انسانی: اقلیم شرکت‌ها و فراتر از آن

سازمان‌های سراسر جهان در حال حاضر از این مشکل که کارکنانشان تجارت آن‌ها را آسیب‌پذیر می‌کنند، آگاه هستند : 57 درصد از شرکت‌های مورد بررسی در امارات متحده عربی اعتراف می‌کنند که کارکنان بزرگترین ضعف در امنیت فناوری اطلاعات آن‌ها هستند. نیاز به پیاده‌سازی اقدامات متمرکز بر پرسنل بیشتر و بیشتر درحال آشکار شدن است: 39% تجارت‌های امارات متحده عربی به دنبال بهبود امنیت خود از طریق ارائه آموزش به کارکنانشان هستند، و این راه دومین روش محبوب در دفاع سایبری است.

بهترین راه محافظت از سازمان‌ها در برابر تهدیدات اینترنتی مربوط به خطاهای انسانی این است که ابزار مناسب را با روش‌های مناسب ترکیب کنید. این باید شامل تلاش‌های مدیریتی و بخش منابع انسانی برای ایجاد انگیزه و تشویق کارکنان به مراقب و کمک حال بودن در هنگام حادثه، باشد. آموزش‌های آگاهی امنیتی برای کارکنان، ارائه دستورالعمل‌های روشن به جای اسناد چند صفحه‌ای، ایجاد مهارت‌های قوی و انگیزه، و پرورش فضای مناسب کار، اولین مراحلی هستند که سازمان‌ها باید انجام دهند.

از لحاظ فن آوری‌های امنیتی، بیشتر تهدیدات – ازجمله فیشینگ - که قصدشان هدف قرار دادن کارکنان بی اطلاع یا بی‌دقت است، می‌تواند با راه‌حل‌های امنیتی پایدار حل شود. این می‌تواند نیازهای ویژه بلوک پیام سرور (SMB) و شرکت‌های سازمانی را از لحاظ قابلیت، حفاظتِ از قبل پیکربندی شده و یا تنظیمات امنیتی پیشرفته برای کاهش خطرات، پوشش دهد.

منبع: http://www.itp.net

http://www.itp.net/mobile/613803-it-security-in-the-dark-as-employees-hide-incidents

گروه ترجمه بولتن نیوز

برای مشاهده مطالب IT ما را در کانال بولتن IT دنبال کنیدbultanit@

لینک کپی شد

گزارش خطا