امنیت سایبری و ستون‌های اصلی آن را بشناسید

یک‌شنبه ۲ شهریور ۱۳۹۹ - ۱۶:۰۰
مطالعه 12 دقیقه
امنیت سایبری خصوصا برای سازمان‌ها و کسب‌وکارهای امروزی اهمیت بالایی دارد و برای رسیدن به بهترین پیکربندی، باید ستون‌های اصلی آن را بشناسیم.
تبلیغات

در عصر حاضر، وابستگی اغلب کسب‌وکارها به دنیای فناوری بر کسی پوشیده نیست. نیاز به ارتباط بر بستر اینترنت و بهره‌مندی از فناوری‌های سایبری به یک نیاز اولیه در کسب‌وکارها تبدیل شده است. همین نیاز باعث می‌شود تا امنیت سایبری هم به‌عنوان یکی از مهم‌ترین دغدغه‌های هر صنعت، شکل تازه‌ای به خود بگیرد. امروز دیگر امنیت سایبری یک مسئله‌ی مرتبط با علم فناوری اطلاعات نیست و خود را به شکل یک مسئله‌ی مهم کسب‌وکاری نشان می‌دهد. سازمان‌ها مجبور هستند تا برای رسیدن به بهترین پیکربندی امنیتی، ابتدا فرهنگ آن را تحت مدیریت مدیران رده‌بالا در شرکت پیاده‌سازی کنند. فرهنگی که بر پایه‌ی سه ستون مهم فناوری، مدیریت و آگاهی کارمندان استوار می‌شود.

کپی لینک

اهمیت امنیت سایبری برای سازمان‌ها

اخبار و گزارش‌های متعددی که درباره‌ی چالش‌ها و تهدیدهای امنیت سایبری منتشر می‌شود، برخی اوقات، تأثیری عکس بر طرز تفکر مدیران دارد. در نگاه اول اینگونه تصور می‌کنیم که یک مدیر با خواندن اخباری همچون نفوذ گسترده به توییتر، باید نگران پیکربندی امنیت سایبری در شرکت خود باشد. درحالی‌که بسیاری از مدیران رده‌بالا با دیدن چنین اخباری، تصور می‌کنند که با وجود اهداف بزرگی همچون توییتر و فیسبوک و دیگر غول‌های فناوری، دیگر مجرمان سایبری علاقه‌ای به شرکت تحت مدیریت آن‌ها ندارند.

دسته‌بندی مجرمان سایبری هم مانند مجرمان دنیای واقعی، بسیار متنوع است. در دنیای واقعی هم دسته‌ای از مجرمان به‌دنبال کلاهبرداری و سرقت الماس هستند و دسته‌ای دیگر، به سرقت یک کیف دستی راضی می‌شوند. قطعا این دسته‌ها تفاوت‌هایی اساسی در رفتار و شخصیت دارند. در دنیای سایبری هم مجرمانی که شرکت‌های بزرگ و معتبر را هدف قرار می‌دهند، علاقه‌ی بسیار کمی به نفوذ و سرقت از شرکت‌های متوسط و کوچک پیدا می‌کنند.

ناآگاهی از اولویت‌های امنیتی می‌تواند به تعطیلی کسب‌وکار بینجامد

با وجود حقایق بالا، شرکت‌های کوچک و متوسط نباید از اهمیت امنیت سایبری غافل شوند، بلکه باید توجه و نگرانی خود را چندین سطح بالاتر ببرند. شاید مجرمان سایبری رده‌بالا و بسیار حرفه‌ای، شرکت کوچک یا استارتاپ شما را هدف قرار ندهند، اما دیگر دسته‌ها قطعا به کسب‌وکار کوچک هم علاقه پیدا می‌کنند. در مثالی دیگر اگر سارقان حرفه‌ای تنها به‌دنبال سرقت از بانک‌ها و جواهرفروشی‌ها هستند، بدان معنا نیست که فروشگاه محلی کوچک شما از گزند دیگر سارقان در امان خواهد بود.

در دنیای جرم‌های سایبری، تهدیدهای مرسومی که هرروزه شرکت‌های کوچک و متوسط را هم هدف قرار می‌دهند، متمرکز بر هدف خاصی نیستند. درواقع این حمله‌ها صرف‌نظر از ابعاد اهداف طراحی شده و به‌صورت گسترده توزیع می‌شوند. مجرمان سایبری، حمله‌های مرسوم و گسترده را به‌گونه‌ای طراحی می‌کنند که به‌صورت خودکار انجام شوند. در این سناریو اگر تعداد قابل‌توجهی از شرکت‌های کوچک مورد نفوذ قرار بگیرند، مجرمان به هدف خود رسیده‌اند.

سیسکو / شبکه / Cisco

بزرگ‌ترین خطری که شرکت‌های کوچک و متوسط را تهدید می‌کند، بدافزار است. به بیان ساده، بدافزار به نرم‌افزاری گفته می‌شود که با هدف انجام کاری به نفع مجرمان سایبری طراحی شده است. بدافزارها فعالیت‌های گوناگونی همچون استخراج داده، ضبط دکمه‌های فشرده شده در کیبورد برای سرقت اطلاعات حساس (مانند کارت‌های بانکی یا اطلاعات ورود به حساب‌های کاربری) یا باج‌گیری انجام می‌دهند. باج‌افزارها که خصوصا به‌‌صورت گسترده با هدف‌گیری کسب‌وکارها طراحی می‌شوند، داده‌های شما را رمزنگاری کرده و اغلب با درخواست پول در شکل رمزارز (مثلا بیت‌کوین)، آن را رمزگشایی می‌کنند.

ابزار اصلی که برای توزیع بدافزار استفاده می‌شود، ایمیل است. ایمیل‌های مخرب و نفوذی را می‌توان با یک فایل الصاقی مخرب ارسال کرد. نوع دیگر، حاوی لینکی به یک وب‌سایت ظاهرا معتبر می‌شود که درنهایت سیستم و شبکه‌ی هدف را آلوده می‌کند.

سازمان‌ها باید امنیت سایبری را با دیدگاهی جامع مدنظر قرار دهند. امنیت سایبری شامل سه ستون اصلی می‌شود. هریک از ستون‌ها باید به اندازه‌ی دو ستون دیگر، قدرتمند و ساختارمند باشد. ترکیب ستون‌ها، به ساختن فرهنگ سازمانی با توجه کامل به امنیت می‌انجامد. درنهایت، نیروی انسانی رشته‌ی اصلی است که ستون‌ها و کل فرهنگ را به هم متصل می‌کند.

کپی لینک

ستون اول: فناوری

فناوری شامل ابزارهای سخت‌افزاری و نرم‌افزاری و سیستم‌‌هایی می‌شود که سازمان برای بهبود دیواره‌ی دفاعی و بستن حفره‌های امنیتی به‌کار می‌گیرد. البته فناوری شامل نگرانی‌ها و بحران‌های عمومی و کلی نیز می‌شود. از میان مهم‌ترین انواع نگرانی و بحران عمومی می‌توان به طراحی شبکه‌ی سازمانی اشاره کرد. آیا شبکه‌ی شما به‌صورت قطعه‌بندی شده پیکربندی شده است یا ساختاری تخت دارد؟ آیا یک بدافزار می‌تواند به تمامی بخش‌ها نفوذ کند یا به‌خاطر بخش‌بندی در یک نقطه محدود می‌شود؟ مهندسی شبکه در پایه‌ای‌ترین حالت و ساختار، اولین المان مهم ستون فناوری در کسب‌وکار شما محسوب می‌شود. جانمایی اصولی و منطقی روترها، سوئیچ‌‌ها و فایروال‌های شبکه، بنیادی قدرتمند را برای نصب دیگر ساختارهای امنیت سایبری فراهم می‌کند.

تمامی سیستم‌‌های عامل و نرم‌افزارهای سازمانی باید تحت پشتیبانی شرکت توسعه‌دهنده باشند. همچنین باید به‌روزرسانی‌های منظم برای همه‌ی ‌آن‌ها نصب شود. به‌روزرسانی‌ها شامل فرمور دستگاه‌ها مانند روترها و فایروال‌ها هم می‌شود. از نکات مهم دیگر می‌توان به رمزنگاری داده در دستگاه‌های ذخیره‌سازی قابل‌حمل و موبایل‌ها اشاره کرد. حتی برخی از مناطق جغرافیایی مانند اروپا، رمزنگاری را جزو قوانین محلی (همچون GDPR) مدنظر قرار می‌دهند. از مهم‌ترین نکات دیگر می‌توان به کنترل دستگاه‌های USB اشاره کرد که باید جزو اولویت‌های اصلی هر سازمان باشد.

هر سازمانی در شبکه‌ی سایبری خود حداقل به یک فایروال نیاز دارد. فایروال‌ها در دو نوع پیاده‌سازی می‌شوند. برخی از آن‌ها در لایه‌ی اول شبکه یعنی ورودی سازمانی قرار می‌گیرند که بدافزارها را در نقطه‌ی ورودی شناسایی می‌کنند. نوع دیگر به‌نام end-point شناخته می‌شوند که در دسته‌های آنتی ویروس و برنامه‌های مشابه، روی کامپیوترهای موجود در شبکه نصب خواهند شد. هیچ‌یک از فایروال‌ها امکان پوشش وظیفه‌ی فایروال دیگر را ندارد. منتهی اگر در سازمان خود مجبور به انتخاب یک نوع فایروال هستید، بهتر است نوع end-point را مدنظر داشته باشید.

ابزارهای محافظت ایمیلی، تا حد زیادی احتمال آلوده‌شدن به بدافزار را ازطریق ایمیل، کاهش می‌دهند. البته هیچ‌یک از آن‌ها محافظتی صددرصدی برای شبکه ایجاد نمی‌کنند. ایمیل مخربی که به‌صورت حرفه‌ای طراحی شده و شامل فایل الصاقی هم نباشد، قطعا به‌راحتی قابل شناسایی نخواهد بود. زمانی ایمیل‌های مخرب نشانه‌های واضحی داشتند. اشکالات دستور زبانی در متن یا طراحی ناقص، آن‌ها را به‌راحتی قابل شناسایی می‌کرد، اما مجرمان روز‌به‌روز حرفه‌ای‌تر شده‌اند و انواع ایمیل مخرب با ساختارهای متفاوت اکنون شرکت‌ها و افراد را تهدید می‌کنند.

سیستم‌های تشخیص نفوذ (IDS) از روش‌هایی همچون جمع‌آوری خودکار گزارش سیستم از سرورها و دستگاه‌های متصل به شبکه استفاده می‌کنند. آن‌ها به‌دنبال هرگوه فعالیت مشکوک یا رخداد بی‌سابقه در شبکه‌ می‌گردند. این بررسی‌ها را می‌توان در دوره‌های زمانی مشخص پیاده‌سازی کرد. اگر هم با سیستمی پیچیده روبه‌رو باشیم، می‌توان اسکن دائمی و زنده را در سیستم به‌کار گرفت. سیستم‌های IDS همچنین فایل‌های سیستمی کلیدی را در سرورها مورد بررسی قرار می‌دهند و هرگونه تغییر در آن‌ها نشانه‌ای از نفوذ به شبکه می‌دانند.

تصویر بدافزار / تصویر کد به شکل اسکلت / نرم افزار مخرب

با وجود پیش‌نیازهای بالا برای ستون فناوری در امنیت سایبری، چگونه باید عملکرد بهینه‌ی هریک از بخش‌ها را مطالعه و بررسی کنیم؟ تست‌های نفوذ و اسکن آسیب‌پذیری‌ها، ابزارهای مناسبی برای بررسی عملکرد هستند. تست نفوذ، لایه‌های امنیتی سازمانی را از نگاهی خارجی بررسی می‌کند. این تست‌ها، احتمالا شامل هزاران تست تکی می‌شوند که هرکدام برای شناسایی یک آسیب‌پذیری خاص، طراحی شده‌اند. تست آسیب‌‌پذیری نیز تعریف و عملکرد مشابهی دارد، اما در داخل شبکه‌ی سازمانی و داخل فایروال اجرا می‌شود. این تست، تمامی دستگاه‌های متصل به شبکه‌ی شما را اسکن می‌کند و به‌دنبال آسیب‌پذیری‌هایی همچون نرم‌افزارها و سیستم‌های عامل تاریخ‌گذشته یا بدون پچ امنیتی می‌گردد.

تست‌های نفوذ و اسکن‌های آسیب‌پذیری، باید در دوره‌های زمانی منظم اجرا شوند. نتایج آن‌ها باید به چشم‌اندازی برای طراحی و پیکربندی کارهای درمانی بینجامد که درنهایت به وظایف اصلی افراد تبدیل می‌شوند. درنهایت اگر مجرمان سایبری پیش از شما متوجه آسیب‌پذیری‌های امنیتی شوند، قطعا از آن سوءاستفاده می‌کنند. پس باید هرچه زودتر آسیب‌پذیری‌های شبکه را شناسایی و رفع کنید.

تهیه‌ی پشتیبان از داده‌های سازمانی باید به یکی از وظایف اصلی مدیران و کارمندان تبدیل شود. بکاپ‌هایی که خارج از شبکه‌ی اصلی نگه‌داری می‌شوند، امنیت و کاربرد بسیار بیشتری دارند. اگرچه متصل بودن بکاپ به شبکه، بازیابی آن را درصورت نیاز ساده‌تر می‌کند، اما نسخه‌های آفلاین و خارج از شبکه، بالاترین سطح امنیتی ممکن را ایجاد می‌کنند. درنهایت، کارشناسان امنیتی پیاده‌سازی هر دو نوع بکاپ را پیشنهاد می‌کنند. به‌هرحال رخدادهای غیرمترقبه مانند سیل و آتش‌سوزی می‌تواند بکاپ‌های متصل به شبکه را از بین ببرد و دراختیار داشتن نسخه‌ای دیگر حتی خارج از سازمان، اهمیت بسیار بالایی پیدا می‌کند.

تهیه نسخه پشتیبان باید به اولویت اصلی سازمان تبدیل شده و حتی به‌صورت خودکار انجام شود

نسخه‌های پشتیبان از سرورها که به‌صورت منظم به‌روزرسانی می‌شوند و براساس ساختار ایمیج تهیه شده‌اند، امکان بازیابی سریع سرور را فراهم می‌کنند. بکاپ‌هایی که در ساختار ایمیج تهیه شده‌اند، علاوه بر داده‌ها از سیستم‌عامل نیز پشتیبان تهیه می‌کنند. برخی از نرم‌افزارهای تهیه‌ی نسخه‌ی پشتیبان، امکان تبدیل کردن ایمیج به ماشین مجازی را هم دارند. درنتیجه می‌توان همان نسخه‌ی پشتیبان را در سخت‌افزاری دیگر هم اجرا کرد. درنهایت، چنین ساختاری باعث می‌شود تا در چند دقیقه (به‌جای چند ساعت) سرور از دست رفته را بازیابی کنید.

ساختار پشیبان دیگری که برای سرورهای پیشنهاد می‌شود، از کپی و تکثیر سرور اصلی بهره می‌برد. در این ساختار، یک سرور کپی داریم که به‌صورت زنده به‌روزرسانی می‌شود. درنتیجه درصورت از دست رفتن سرور اصلی، نسخه‌ی جایگزین و کپی به‌سرعت فعالیت آن را ادامه می‌دهد.

کارشناسان امنیتی درنهایت پیشنهاد می‌کنند که صرف‌نظر از هر روش پشتیبان‌گیری که در سازمان پیاده می‌کنید، همیشه آن را تحت آزمایش داشته باشید. از نکات مهم دیگر هم می‌توان به حذف و تخریب کامل داده‌ها از دستگاه‌های IT اشاره کرد که به پایان عمر می‌رسند.

کپی لینک

ستون دوم: مدیریت و نظارت بر ساختار IT

مدیریت ساختار IT، مجموعه‌ای جامع از ساختارهای کنترلی را شامل می‌شود که برای نظارت بر استفاده از کل دارایی‌های مرتبط با IT پیاده‌سازی می‌کنید. این کنترل‌ها، در فرم‌های سیاست و ساختار عملکردی پیاده‌سازی می‌شوند. درنهایت، نیروی انسانی شما با رعایت دستورالعمل‌ها، بهترین روش‌های سازمانی مرتبط با تجهیزات فناوری اطلاعات و خصوصا امنیت آن‌ها را اجرا می‌کند. به‌علاوه، سیاست‌ها و دستورالعمل‌های متمرکز بر حفاظت از داده هم روز‌به‌روز مرسوم‌تر شده و حتی شاید الزامی شوند.

دستورالعمل‌های مدیریتی باید فعالیت‌های لازم برای نگه‌داری، تعمیر و نظارت بر تمامی المان‌های فناوری سازمان را به‌صورت مستند و جزئی پوشش دهند. به‌عنوان مثال، باید در سیاست‌های خود به چنین سؤال‌هایی پاسخ داده باشید: چگونه از پیاده‌سازی همه‌ی بسته‌های امنیتی در همه‌ی دستگاه‌ها مطمئن می‌شوید؟ زمان‌بندی آزمایش نسخه‌های پشتیبان چگونه بوده و آخرین بار چه زمانی ازمایش انجام شده است؟ فرایند بازکردن پورت در فایروال چگونه انجام می‌شود؟ آیا برای بازکردن آن پورت، مورد کسب‌وکاری مستندی وجود دارد؟ اسناد در چه مکانی نگه‌داری می‌شوند؟

تمامی فعالیت‌هایی که پیرامون ستون فناوری انجام می‌شوند، باید در دستورالعمل‌ها ذکر شده باشند. دستورالعمل‌ها و ساختارها نیز باید یک روند تأییدی یا گزارش‌دهی را ایجاد کنند.

کلاهبرداری اینترنتی تایپ در کیبورد

رمزهای عبور هنوز مرسوم‌ترین روش‌های تأیید هویت هستند. آیا در سازمان خود، سیاست و چارجوبی برای تدوین رمزهای عبور امن دارید؟ آیا در دستورالعمل‌ها به کارمندان گفته‌اید که از مواردی همچون نام اعضای خانواده، تاریخ تولد و دیگر اطلاعات شخصی (که به‌راحتی ازطریق مهندسی اجتماعی یا تحقیق روی یک کارمند قابل دستیابی هستند) برای رمز عبور استفاده نکنند؟ آیا پیچیدگی رمز عبور در موقعیت‌های ممکن، الزامی شده است؟ آیا کارمندان را به پیاده‌سازی ورود دو مرحله‌ای در موقعیت‌های ممکن ملزم کرده‌اید؟

برخی سازمان‌ها، سیاست‌های استفاده‌ی منصفانه را پیاده‌سازی می‌کنند. این سیاست‌ها، استفاده‌ی مجاز و غیر مجاز از دارایی‌های فناوری اطلاعات و مخابرات یک سازمان را به افراد نشان می‌دهند. کارمندان نباید در استفاده‌ی اشتباه از تجهیزات، بهانه‌ی عدم آموزش یا عدم اطلاع‌رسانی داشته باشند. همه جیز باید به‌صورت مستند در اختیارشان قرار گرفته باشد. برخی سازمان‌ها برای اطمینان هرچه بیشتر از ساختارهای پیاده‌سازی شده، آن‌ها را با قوانین و دستورالعمل‌های حقوقی مانند GDPR یا ISO 27001 هماهنگ می‌کنند.

مدیران سازمانی باید دستورالعملی مشخص برای بررسی نفوذ به ساختار IT یا رخدادهای پیش‌بینی نشده داشته باشند. همه‌ی دستورالعمل‌ها نیز باید در دوره‌های زمانی مشخص تکرار و تمرین شوند. فراموش نکنید که دستورالعمل‌ها تا زمان نوشته نشدن، به دستورالعمل نهایی تبدیل نمی‌شوند. اینکه بگوییم «همه می‌دانند که چه وظیفه‌ای دارند» به‌معنای پیاده‌سازی دستورالعمل نیست. در چنین وضعیتی، هیچ‌گونه نظارت و کنترلی بر ساختارها وجود ندارد. درنهایت، کاملا واضح است که اگر دستورالعمل‌ها پیگیری نشوند، هیچ فایده‌ای نخواهند داشت.

کپی لینک

ستون سوم: آگاهی نیروی انسانی

نیروی انسانی، مهم‌ترین المان در امنیت سیستم‌‌ها و ایمنی داده‌ها محسوب می‌شود. برخی اوقات، سازمان‌ها در زمان پیاده‌سازی تغییر یا اجرای دستورالعمل‌های امنیتی، با بازخورد منفی نیروی انسانی روبه‌رو می‌شوند. حل این چالش، مرحله‌‌ی اولیه در بهبود سیستم‌‌های امنیتی است. تغییرها، دستورالعمل‌ها و تمامی ساختارهای امنیتی باید در شیوه‌ای جامع و با اطلاع‌رسانی دقیق پیاده‌سازی شوند. تنها در چنین روندهایی می‌توان انتظار پذیرش و همراهی نیروی انسانی را داشت. نیروی انسانی باید بداند که روندهای امنیتی برای حفاظت از آن‌ها و درنهایت حفاظت از کل مجموعه پیاده‌سازی می‌شوند.

قطعا نیروی انسانی بدون آموزش لازم، توانایی درک تهدیدهای امنیتی را ندارد. درواقع نمی‌توان از یک کارمند تازه‌وارد انتظار داشت که به‌راحتی، ایمیل‌های مخرب و تهدیدهای سایبری را شناسایی کند. از آموزش‌های مهم، می‌توان به ترویج آگاهی درباره‌ی امنیت سایبری اشاره کرد. آموزش‌ها حداقل در دوره‌های سالانه باید به‌روزرسانی و تکمیل شوند. هرچه کارمندان توانایی بیشتری در شناسایی تهدیدها داشته باشند، امکان حفاظت بهتری از سازمان خواهند داشت. درنهایت می‌دانیم که بسیاری از حمله‌های امنیتی، خصوصا باج‌‌افزارها، باعث تعطیلی کسب‌وکار می‌شوند. قطعا نیروی انسانی شما ترجیح می‌دهد که کسب‌وکار همیشه به فعالیت خود ادامه دهد.

در یک فرهنگ سازمانی با اولویت‌های امنیتی، نیروی انسانی شما می‌داند که باید به همه چیز نگاهی مشکوک داشته باشد. به‌علاوه، آن‌ها باید امکان شک‌کردن به رخدادها را بدون انتقاد ازسوی اطرافیان داشته باشند. حتی تشخیص اشتباه تهدیدها یا نگرانی زیاد کارمندان درباره‌ی تهدید سایبری نشان می‌دهد که آن‌ها آمادگی لازم را برای مقابله با تهدیدها دارند و اهمیت آن‌ها را درک می‌کنند. درواقع در چنین موقعیتی می‌دانید که کارمند به‌دنبال راه میان‌بر برای انجام وظایف یا خوش‌بینی در مقابله با رخدادها نیست.

ارزش‌ دادن به نگرانی‌های امنیتی باید در کل محیط کار یک سازمان جاری باشد. در تمامی ساختارهای سازمانی، باید به ارزش آگاهی‌های امنیتی اشاره شود. درنهایت فرهنگ باید به‌گونه‌ای باشد که برای رعایت نکات امنیتی، به گوشزد کردن وظایف به کارمندان نیاز نداشته باشیم. آن‌ها باید به‌صورت خودکار و طبیعی وارد چرخه‌ی امنیتی شوند و این رفتار را بین یکدیگر تحسین کنند.

کپی لینک

اهمیت بسیار بالای فاکتور انسانی

درک ساختارهای امنیتی و الزام به رعایت نکته‌ها و دستورالعمل‌ها، باید در تمامی سطوح سازمان دیده شود. از مدیران ارشد تا پایین‌ترین رده‌های سازمانی، باید بدانند که همه، هدف تهدیدهای سایبری هستند. بیش از همه، مدیران باید نیاز به فعالیت و هزینه‌کردن برای لایه‌های امنیتی فناوری را درک کنند. امنیت سایبری، ادامه‌دار بودن فرایندهای کسب‌وکاری را تضمین می‌کند. همین موارد باعث می‌شود تا تجارت یک کسب‌وکار، همیشه جاری بماند.

شکست در پیاده‌سازی ساختارهای امنیتی، هیچ‌گاه نباید جزو گزینه‌های یک سازمان باشد. فراموش نکنید که هزینه کردن برای تقویت لایه‌های امنیتی، همیشه ارزان‌تر از جبران حمله‌ها و خرابی‌های نفوذ به شبکه‌های سازمانی تمام می‌شود. نکته‌ی مهم‌تر اینکه حمله‌های امنیتی، علاوه بر آسیب‌های مالی به تخریب اعتبار سازمان نیز می‌انجامند.

فناوری‌های دفاعی همیشه باید به بهترین نحو نصب، پیکربندی و به‌روزرسانی شوند. فعالیتی که به تعهد بالای نیروی انسانی و مدیریت یک ساختار سیستمی نیاز دارد. نیروی انسانی در هر سازمان باید رفتارهای امنیتی آگاهانه داشته باشد و از رمزهای عبور بسیار قوی در حساب‌های کاربری استفاده کند. اگرچه دستورالعمل‌ها و سیاست‌ها، وظیفه‌ی نظارت و راهنمایی را برعهده دارند، اما تدوین آن‌ها باز هم بر دوش نیروی انسانی است. درنهایت، نیروی انسانی توانمند که در رویکردی با درنظرگرفتن کامل امنیت فعالیت می‌کند، قابل دستیابی خواهد بود. البته هیچ‌گاه بدون برنامه‌ریزی‌های مدیریتی نمی‌توان به آن دست یافت. همان‌طور که دیدید، همه‌ی فرایندها و مراحل، به انسان‌ها وابسته هستند.

مقاله رو دوست داشتی؟
نظرت چیه؟
داغ‌ترین مطالب روز
تبلیغات

نظرات