أهم 10 موضوعات للتدريب على التوعية الأمنية لموظفيك في عام 2023 وما بعده
تنطوي أكثر من 74% من الاختراقات على العنصر البشري، ويؤدي تقدم الذكاء الاصطناعي إلى محاولات أكثر إقناعاً لخداع الموظفين. إن هجمات التصيد الاحتيالي المتطورة وأدوات القرصنة الآلية وتقنيات الهندسة الاجتماعية المدعومة بالذكاء الاصطناعي والتهديدات المزيفة العميقة تعني أن التدريب على التوعية الأمنية وثقافة الوعي الأمني أصبحت أكثر أهمية للمؤسسات من أي وقت مضى.
والخبر السار هو أنه يمكن للمؤسسات تغيير هذا الخطر البشري وجعل موظفيها يساهمون في بيئة آمنة إلكترونياً – من خلال التدريب المناسب. يمكن للتدريب العملي والجذاب على التوعية الأمنية للموظفين أن يزود الموظفين بالمعرفة اللازمة لتحديد التهديدات الإلكترونية والدفاع عنها.
محاكاة التصيد الاحتيالي والتدريب
محاكاة التصيد الاحتيالي والتدريب
مع تطور عالم العمل ونمو تكنولوجيا الذكاء الاصطناعي، تتطور التهديدات الأمنية أيضاً. عند تصميم أفضل برنامج تدريبي للتوعية الأمنية، فإن تغطية التهديدات الإلكترونية التي ستواجهها مؤسستك على الأرجح أمر ضروري. هذه هي أهم 10 موضوعات للتوعية الأمنية يجب تضمينها في تدريب التوعية الأمنية للموظفين.
عمليات الاحتيال عبر البريد الإلكتروني
البرمجيات الخبيثة
أمن كلمات المرور
الوسائط القابلة للإزالة
عادات الإنترنت الآمنة
مخاطر الشبكات الاجتماعية
الأمن المادي والضوابط البيئية
سياسة المكتب النظيف
إدارة البيانات والخصوصية
سياسة إحضار جهازك الخاص (BYOD)
1. عمليات الاحتيال عبر البريد الإلكتروني
هجمات التصيد الاحتيالي هي الطريقة الأكثر شيوعًا التي يستخدمها مجرمو الإنترنت للوصول إلى شبكة المؤسسة. لذلك ليس من المستغرب أن تتصدر قائمة موضوعات التوعية الأمنية لدينا. إنهم يستغلون الطبيعة البشرية لخداع هدفهم للوقوع في عملية الاحتيال من خلال تقديم بعض الحوافز (أشياء مجانية، فرصة عمل وما إلى ذلك) أو خلق شعور بالإلحاح. وبفضل الذكاء الاصطناعي، يمكن للمحتالين تحسين رسائلهم بسرعة لجعل رسائل التصيد الاحتيالي أكثر الرسائل الإلكترونية إغراءً.
يجب أن يكون الوعي بالتصيد الاحتيالي أحد مكونات التدريب على التوعية الأمنية لأي مؤسسة. وينبغي أن يشمل ذلك أمثلة على رسائل البريد الإلكتروني التصيدية الشائعة وذات الصلة، مثل رسائل البريد الإلكتروني التي تحاكي إشعارات الشحن، وعمليات الاحتيال المتعلقة بالضرائب، وتنبيهات البنوك، والاتصالات الداخلية للشركات.
تتضمن نصائح لتحديد وتجنب رسائل البريد الإلكتروني التصيدية ما يلي:
لا تثق في رسائل البريد الإلكتروني غير المرغوب فيها
كن حذرًا من أي رسالة بريد إلكتروني تخلق إحساسًا بالإلحاح والسرية والسلطة (على سبيل المثال، طلب القيادة إرسال دفعة كبيرة بحلول نهاية اليوم وإبقائها سرية لأنها ليست علنية بعد).
تأكيد طلبات الحصول على بيانات أو أموال حساسة عبر وسيط آخر (مثل الهاتف أو شخصيًا) قبل الرد.
كن حذرًا من مرفقات البريد الإلكتروني غير المرغوب فيها. تحقق من أي مرفقات غير مرغوب فيها مع المرسل المزعوم عبر وسيط آخر قبل فتحها.
تذكّر أن هذه الأنواع من الهجمات يمكن أن تحدث عبر أي منصة اتصال (بما في ذلك البريد الإلكتروني والرسائل النصية وتطبيقات المراسلة ومنصات التعاون المؤسسي وما إلى ذلك)
بالإضافة إلى ذلك، تأكّد من أن مؤسستك تقوم بتصفية الرسائل غير المرغوب فيها، وأن برنامج البريد الإلكتروني وجدار الحماية مهيأان بشكل صحيح، وتستخدم مضاد فيروسات محدّث.
2. البرمجيات الخبيثة
البرمجيات الخبيثة هي برمجيات خبيثة يستخدمها مجرمو الإنترنت لسرقة البيانات الحساسة (بيانات اعتماد المستخدم والمعلومات المالية وما إلى ذلك) أو التسبب في إلحاق الضرر بأنظمة المؤسسة (مثل برمجيات الفدية والبرمجيات الخبيثة الممسحة). يمكن للمؤسسات أن تصاب بالبرمجيات الخبيثة بعدة طرق، بما في ذلك رسائل البريد الإلكتروني التصيدية، والتنزيلات من خلال محرك الأقراص (على سبيل المثال، زيارة موقع خبيث باستخدام متصفح قديم يتم استغلاله)، واستغلال الثغرات الأمنية في التطبيقات والوسائط الخبيثة القابلة للإزالة.
يجب أن يغطي تدريب التوعية الأمنية للموظفين حول البرمجيات الخبيثة طرق التسليم الشائعة والتهديدات والتأثيرات على المؤسسة. وتشمل النصائح المهمة ما يلي:
–
كن حذرًا من الملفات التي تقوم بتنزيلها في رسائل البريد الإلكتروني والمواقع الإلكترونية وغيرها من الوسائط
–
عدم تثبيت برامج غير مصرح بها
–
حافظ على تشغيل برنامج مكافحة الفيروسات وتحديثه باستمرار
–
اتصل بفريق تكنولوجيا المعلومات/الأمن على الفور إذا كنت تعاني من إصابة بالبرمجيات الخبيثة
3. أمن كلمات المرور
كلمات المرور هي نظام المصادقة الأكثر شيوعاً والأسهل استخداماً في الوجود. معظم الموظفين لديهم عشرات الحسابات على الإنترنت يمكن الوصول إليها عبر اسم مستخدم (غالباً ما يكون عنوان بريدهم الإلكتروني) وكلمة مرور.
يعد ضعف أمن كلمات المرور أحد أكبر التهديدات لأمن المؤسسات الحديثة. ويعد بروتوكول أمان كلمة المرور القوي موضوعًا مهمًا للتوعية الأمنية. بعض النصائح المهمة لأمن كلمات المرور لتضمينها في محتوى التدريب:
–
استخدم دائمًا كلمة مرور فريدة لكل حساب على الإنترنت
–
اتبع ممارسات كلمة مرور الشركة، مثل عبارات المرور الطويلة أو الأحرف التي يتم إنشاؤها عشوائيًا
–
استخدم مدير كلمات مرور لإنشاء كلمات مرور قوية وتخزينها لكل حساب
–
استخدام المصادقة متعددة العوامل (MFA) عند توفرها لتقليل تأثير اختراق كلمة المرور
4. الوسائط القابلة للإزالة
تُعد الوسائط القابلة للإزالة (مثل USB أو محركات الأقراص الصلبة الخارجية) أداة مفيدة لمجرمي الإنترنت لأنها تمكّن البرمجيات الخبيثة من تجاوز الدفاعات الأمنية القائمة على الشبكة في المؤسسة. يمكن تثبيت البرمجيات الخبيثة على الوسائط وتهيئتها للتنفيذ تلقائيًا باستخدام التشغيل التلقائي – أو يمكن أن يكون لها اسم ملف مغرٍ لخداع الموظفين للنقر عليه. يمكن للوسائط الخبيثة القابلة للإزالة سرقة البيانات أو تثبيت برمجيات الفدية أو حتى تدمير الكمبيوتر عند توصيله.
أحد الأمثلة الشائعة على ذلك هو وضع أقراص USB في موقف السيارات والأماكن العامة (مكافأة لتضمينها تسمية مغرية مثل “تعويضات الموظفين”) أو توزيعها في المؤتمرات وغيرها من المناسبات العامة. يجب تدريب الموظفين على إدارة الوسائط القابلة للإزالة غير الموثوق بها بشكل صحيح:
–
لا تقم أبداً بتوصيل الوسائط القابلة للإزالة غير الموثوق بها بجهاز الكمبيوتر
–
إحضار جميع الوسائط القابلة للإزالة غير الموثوق بها إلى قسم تكنولوجيا المعلومات/الأمن لفحصها
–
تعطيل التشغيل التلقائي على جميع أجهزة الكمبيوتر
بالإضافة إلى ذلك، قد لا تسمح بعض المؤسسات للموظفين بتوصيل أي وسائط قابلة للإزالة بأجهزة الشركة.
5. عادات الإنترنت الآمنة
بالنسبة لمعظم المؤسسات، يتمتع كل موظف تقريباً بإمكانية الوصول إلى الإنترنت – وقد أدى تحول المزيد من الفرق إلى العمل عن بُعد إلى زيادة التعاون عبر الإنترنت. لهذا السبب، فإن بناء عادات آمنة على الإنترنت لدى الموظفين أمر بالغ الأهمية بالنسبة للشركات.
يجب أن يتضمن التدريب على التوعية الأمنية للموظفين عادات الإنترنت الآمنة التي تمنع المهاجمين من اختراق شبكة شركتك. بعض المحتويات المهمة التي يجب تضمينها في التدريب:
–
القدرة على التعرف على النطاقات المشبوهة والمخادعة (مثل yahooo.com بدلاً من yahoo.com)
–
الاختلافات بين HTTP و HTTPS وكيفية تحديد الاتصال غير الآمن
–
مخاطر تنزيل البرامج غير الموثوقة أو المشبوهة من الإنترنت
–
مخاطر إدخال بيانات الاعتماد أو معلومات تسجيل الدخول إلى مواقع ويب غير موثوق بها أو محفوفة بالمخاطر (بما في ذلك الصفحات المخادعة والتصيد الاحتيالي)
–
هجمات الثغرات المائية، والتنزيلات التي تتم من خلال محرك الأقراص وغيرها من مخاطر تصفح المواقع المشبوهة
احصل على ستة ملصقات مجانية
عزِّز أفضل ممارسات الأمن السيبراني من خلال ستة ملصقات ملفتة للنظر موجودة في مجموعة ملصقاتنا المجانية من سلسلة “بايتات العمل” الحائزة على جوائز.
احصل على ستة ملصقات مجانية
عزِّز أفضل ممارسات الأمن السيبراني من خلال ستة ملصقات ملفتة للنظر موجودة في مجموعة الملصقات المجانية من سلسلتنا الحائزة على جوائز “Work Bytes”.
6. مخاطر الشبكات الاجتماعية
تُعد شبكات التواصل الاجتماعي أداة قوية للمؤسسات لبناء الوعي بالعلامة التجارية وتحقيق المبيعات، ومن المحتمل أن ينتمي كل موظف من موظفيك إلى العديد من مواقع التواصل الاجتماعي. ولسوء الحظ، يستخدم مجرمو الإنترنت وسائل التواصل الاجتماعي بطرق مختلفة لإلحاق الضرر بمؤسستك أو الحصول على وصول غير مصرح به – بدءاً من جمع البيانات لحملة هندسة اجتماعية مستقبلية إلى هجمات التصيد الاحتيالي التي تسرق بيانات الاعتماد إلى مشاركة الروابط الخبيثة التي قد تؤدي إلى حوادث مثل برامج الفدية الخبيثة.
ولمنع فقدان البيانات المهمة، يجب أن يكون لدى مؤسستك برنامج تدريبي قابل للتطبيق على شبكات التواصل الاجتماعي يجب أن يحد من استخدام شبكات التواصل الاجتماعي وإبلاغ الموظفين بالتهديدات التي تشكلها وسائل التواصل الاجتماعي:
–
يمكن أن تحدث هجمات التصيد الاحتيالي على وسائل التواصل الاجتماعي وكذلك عبر البريد الإلكتروني
–
يمكن لمجرمي الإنترنت الذين ينتحلون صفة العلامات التجارية الموثوقة سرقة البيانات أو نشر البرمجيات الخبيثة
–
مهندسو التواصل الاجتماعي بارعون للغاية في أخذ أجزاء صغيرة من المعلومات المنشورة على وسائل التواصل الاجتماعي لصياغة رسائل بريد إلكتروني مقنعة للتصيد الاحتيالي
7. الأمن المادي والضوابط البيئية
لا يقتصر الوعي الأمني على ما هو موجود في أجهزة الكمبيوتر أو الأجهزة المحمولة في شركتك. يجب أن يكون الموظفون على دراية بالمخاطر الأمنية المحتملة في الجوانب المادية لمكان العمل.
تتضمن أمثلة على مواضيع الأمن المادي ما يلي:
–
مشاهدة الزائرين أو الموظفين الجدد أثناء قيام الموظفين بكتابة كلمات المرور (المعروفة باسم “تصفح الكتف”)
–
السماح بدخول الزوار الذين يدعون أنهم مفتشون أو مبيدون أو غيرهم من الضيوف غير المألوفين الذين قد يتطلعون إلى الدخول إلى النظام (يُطلق عليه “انتحال الشخصية”)
–
السماح لشخص ما بمتابعتك من خلال باب إلى منطقة محظورة (يُطلق عليه “التطفل”)
–
ترك كلمات المرور على قطع من الورق على مكتب الشخص
–
ترك جهاز الكمبيوتر الخاص بالشخص قيد التشغيل وغير محمي بكلمة مرور عند مغادرة العمل ليلاً
–
ترك هاتف أو جهاز صادر من المكتب على مرأى من الجميع.
–
تعطل الضوابط الأمنية المادية (الأبواب والأقفال وما إلى ذلك)
8. سياسة المكتب النظيف
سياسة المكتب النظيف هي موضوع توعية أمنية يتم تجاهله في بعض الأحيان ويرتبط بالأمن المادي. المعلومات الحساسة الموجودة على المكتب، مثل الملاحظات اللاصقة والأوراق والمطبوعات، يمكن بسهولة أن تأخذها أيدي اللصوص وتراها أعين المتطفلين.
يجب أن تنص سياسة المكتب النظيف على أن المعلومات المرئية على المكتب يجب أن تقتصر على ما هو ضروري حاليًا. قبل مغادرة مكان العمل لأي سبب، يجب على الموظفين تخزين جميع المعلومات الحساسة والسرية بشكل آمن.
9. إدارة البيانات والخصوصية
تقوم معظم المؤسسات بجمع وتخزين ومعالجة قدر كبير من المعلومات الحساسة. ويشمل ذلك بيانات العملاء وسجلات الموظفين واستراتيجيات العمل وغيرها من البيانات المهمة للتشغيل السليم للأعمال. لنفترض أن هذه البيانات مكشوفة للعامة أو يمكن الوصول إليها من قبل منافس أو مجرم إلكتروني. في هذه الحالة، قد تواجه مؤسستك عقوبات تنظيمية كبيرة وضررًا لعلاقات المستهلكين وفقدان الميزة التنافسية.
يحتاج الموظفون داخل المؤسسة إلى التدريب على كيفية إدارة البيانات الحساسة للشركة بشكل صحيح لحماية أمن البيانات وخصوصية العملاء. يتضمن محتوى التدريب المهم ما يلي:
–
استراتيجية تصنيف البيانات الخاصة بالشركة وكيفية تحديد البيانات وحمايتها على كل مستوى من المستويات
–
المتطلبات التنظيمية التي يمكن أن تؤثر على العمليات اليومية للموظفين
–
مواقع التخزين المعتمدة للبيانات الحساسة على شبكة المؤسسة
–
استخدام كلمة مرور قوية و MFA للحسابات ذات الوصول إلى البيانات الحساسة.
10. سياسة “أحضر جهازك الخاص” (BYOD)
تتيح سياسات إحضار جهازك الخاص للموظفين استخدام أجهزتهم الشخصية في مكان العمل. وفي حين أن هذا يمكن أن يحسّن الكفاءة من خلال تمكين الموظفين من استخدام الأجهزة التي يرتاحون لها أكثر من غيرها، إلا أنه يخلق أيضًا مخاطر أمنية محتملة.
يجب أن يشمل التدريب على التوعية الأمنية للموظفين ما يلي:
–
تأمين أجهزة مكان العمل باستخدام كلمة مرور قوية للحماية من السرقة
–
استخدام VPN على الأجهزة عند العمل من شبكة Wi-Fi غير موثوق بها
–
اتبع سياسات الشركة المتعلقة بالحماية الإضافية، مثل مضاد الفيروسات المعتمد من الشركة
–
تنزيل التطبيقات فقط من متاجر التطبيقات الرئيسية أو مباشرة من موقع الشركة المصنعة على الويب
بالإضافة إلى ذلك، قد تطلب المؤسسة تمكين تشفير القرص الكامل لأجهزة BYOD واستخدام أدوات لتقييد ما يمكن الوصول إليه أو مشاركته على جزء الشركة من الجهاز.
المحاكاة والتدريب على التصيد الاحتيالي
محاكاة التصيد الاحتيالي والتدريب
حافظ على سلامتك مع نصائح التوعية الأمنية هذه
يلعب تدريب التوعية الأمنية للموظفين دوراً حاسماً في إدارة الأعمال الحديثة. فالقوى العاملة غير المدربة وغير المطلعة يمكن أن تعرض مؤسستك لخطر اختراق البيانات أو التهديدات الإلكترونية الأخرى. يجب أن تتبنى المؤسسات برنامج تدريب أمني قابل للتطبيق يشمل أهم مواضيع التوعية الأمنية للمساعدة في بناء قوة عاملة مثقفة وواعية إلكترونياً.
وقد يشمل ذلك برنامجاً مستمراً للتوعية الأمنية مع نهج متعدد الطبقات للتعليم، وتذكيرات أمنية متكررة، وتدريب جميع الموظفين الجدد على السياسات الجديدة عند وصولهم وتنفيذ حوافز مبتكرة لمكافأة الموظفين على كونهم استباقيين في بناء ثقافة أمنية.
أهم 10 موضوعات للتدريب على التوعية الأمنية لموظفيك في عام 2023 وما بعده
About the Author
