موضوعات التدريب على الوعي الأمني الأساسي
نظرًا لأن الخطأ البشري يلعب دورًا رئيسيًا في 95٪ من انتهاكات الأمن السيبراني ، فإن إدارة المخاطر الإلكترونية للموظفين ضرورية لعملك للابتعاد عن خرق البيانات المتعلقة بالمستخدم ولإثبات الامتثال التنظيمي...
نظرًا لأن الخطأ البشري يلعب دورًا رئيسيًا في 95٪ من انتهاكات الأمن السيبراني ، فإن إدارة المخاطر الإلكترونية للموظفين ضرورية لعملك للابتعاد عن خرق البيانات المتعلقة بالمستخدم ولإثبات الامتثال التنظيمي.
يتمثل أحد المكونات الأساسية لبرنامج إدارة المخاطر البشرية (HRM) القوي في التدريب المستمر على الوعي الأمني الذي يثقف المستخدمين النهائيين حول كيفية تحديد التهديدات الحديثة ومكافحتها ، فضلاً عن أفضل الممارسات للبقاء على دراية بالأمان.
لكن قرار إطلاق هذا النوع من التدريب يأتي مع بعض الأسئلة الشائعة ، ليس أقلها اتخاذ قرار بشأن موضوعات تدريب التوعية الأمنية التي يجب تضمينها.
في هذه المقالة ، ستتعرف على الموضوعات التي يجب تضمينها في مكتبة التدريب الأساسية للتوعية الأمنية لعام 2023 ، وكذلك كيف يمكنك البدء في تثقيف موظفيك حول هذه الموضوعات في لمح البصر.
ما هي أهم موضوعات التدريب على التوعية الأمنية في عام 2023؟
فيما يلي قائمة بموضوعات التدريب الخاصة بالتوعية بالأمن السيبراني الأكثر صلة بالموضوع في عام 2023:
أهم 12 موضوعًا تدريبيًا للتوعية بالأمن السيبراني:
هجمات التصيد
الوسائط القابلة للإزالة
كلمات المرور والمصادقة
الأمن المادي
أمان الجهاز المحمول
العمل عن بعد
شبكة Wi-Fi عامة
الأمن السحابي
استخدام وسائل التواصل الاجتماعي
استخدام الإنترنت والبريد الإلكتروني
هندسة اجتماعية
الأمن في المنزل
1. هجمات التصيد
في تقرير أجرته Slashnext في عام 2022 ،
شهد الربع الأول من عام 2022 زيادة كبيرة في هجمات التصيد الاحتيالي. كشفت شركة CheckPoint ، مورِّد الأمن السيبراني ، في تقرير تصيد العلامة التجارية للربع الأول لعام 2022 أن هجمات التصيد الاحتيالي التي تنتحل صفة موقع الشبكات الاجتماعية الاحترافي شكلت أكثر من نصف (52٪) جميع المحاولات على مستوى العالم في الربع الأول من عام 2022. ويمثل هذا زيادة بنسبة 44٪ مقارنةً بالربع الأول من عام 2022. الربع السابق ، الربع الرابع من عام 2021 عندما كان موقع LinkedIn خامس أكثر العلامات التجارية انتحالاً لصفاتها.
ولكن لماذا لا يزال التصيد الاحتيالي يمثل تهديدًا للشركات في عام 2023؟
أحد العوامل الرئيسية هو مدى تعقيد هذه الأنواع من الهجمات. يستخدم المهاجمون الآن تقنيات أكثر ذكاءً لخداع الموظفين لتقديم بيانات حساسة أو تنزيل مرفقات ضارة.
على سبيل المثال ، يعد اختراق البريد الإلكتروني للأعمال (BEC) شكلاً شائعًا من أشكال التصيد الاحتيالي الذي يستخدم بحثًا سابقًا حول فرد معين - مثل أحد كبار المديرين التنفيذيين في الشركة - من أجل إنشاء هجوم قد يكون من الصعب للغاية تمييزه عن البريد الإلكتروني الحقيقي.
شارك في هذه الهجمات الأكثر ذكاءً مع الاعتقاد الخاطئ الشائع بأن التصيد الاحتيالي "يسهل اكتشافه" ، فلا عجب في سبب توقع تعرض العديد من الشركات لخرق متعلق بالتصيد الاحتيالي في عام 2023.
يحتاج الموظفون إلى تدريب منتظم حول كيفية هجمات التصيد الفوري التي تستخدم التقنيات الحديثة ، بالإضافة إلى كيفية الإبلاغ عن هجوم التصيد بمجرد اعتقادهم أنه تم استهدافهم.
2. الوسائط القابلة للإزالة
موضوع آخر للتوعية الأمنية يتم استخدامه يوميًا من قبل الشركات هو الوسائط القابلة للإزالة. الوسائط القابلة للإزالة هي وسيلة التخزين المحمولة التي تتيح للمستخدمين نسخ البيانات إلى الجهاز ثم إزالتها من الجهاز إلى آخر والعكس صحيح. يمكن ترك أجهزة USB التي تحتوي على برامج ضارة للمستخدمين النهائيين للعثور عليها عند توصيلها بأجهزتهم.
"أسقط الباحثون ما يقرب من 300 عصا USB في حرم جامعة إلينوي في أوربانا شامبين. تم التقاط 98٪ من محركات الأقراص هذه! بالإضافة إلى ذلك ، لم يتم التقاط 45٪ من محركات الأقراص هذه فحسب ، بل نقر الأفراد على الملفات التي عثروا عليها بداخلها"
بالإضافة إلى فهم المخاطر التي يحتاجها الموظفون لديك لمعرفة كيفية استخدام هذه الأجهزة بأمان ومسؤولية في عملك. هناك العديد من الأسباب التي تجعل الشركة تقرر استخدام الوسائط القابلة للإزالة في بيئتها. ومع ذلك ، مع كل التقنيات ، ستكون هناك دائمًا مخاطر محتملة. بالإضافة إلى الأجهزة نفسها ، من المهم أن يقوم موظفوك بحماية البيانات الموجودة على هذه الأجهزة. سواء كانت بيانات شخصية أو خاصة بالشركات ، فإن جميع البيانات لها شكل من أشكال القيمة.
بعض الأمثلة الشائعة للوسائط القابلة للإزالة التي قد تستخدمها أنت وموظفوك في مكان العمل هي:
عصا USB
بطاقات SD
أقراص مدمجة
الهواتف الذكية
يجب تضمين موضوع التوعية الأمنية هذا في تدريبك وتغطية أمثلة للوسائط القابلة للإزالة ، ولماذا يتم استخدامها في الشركات ، وكذلك كيف يمكن لموظفيك منع المخاطر مثل الأجهزة القابلة للإزالة المفقودة أو المسروقة ، والتهابات البرامج الضارة وانتهاك حقوق النشر.
3. كلمات المرور والمصادقة
عنصر بسيط للغاية ولكن غالبًا ما يتم تجاهله ويمكن أن يساعد في أمان شركتك هو أمان كلمة المرور. غالبًا ما يتم تخمين كلمات المرور الشائعة الاستخدام من قبل الجهات الخبيثة على أمل الوصول إلى حساباتك. يمكن أن يؤدي استخدام كلمات مرور بسيطة أو وجود أنماط كلمة مرور يمكن التعرف عليها للموظفين إلى تسهيل وصول مجرمي الإنترنت إلى مجموعة كبيرة من الحسابات. بمجرد سرقة هذه المعلومات يمكن نشرها أو بيعها من أجل الربح على شبكة الويب العميقة.
يمكن أن يؤدي تطبيق كلمات المرور العشوائية إلى زيادة صعوبة وصول الجهات الخبيثة إلى مجموعة من الحسابات. توفر الخطوات الأخرى ، مثل المصادقة ذات العاملين ، طبقات أمان إضافية تحمي سلامة الحساب.
4. الأمن المادي
إذا كنت أحد هؤلاء الأشخاص الذين تركوا كلمات المرور الخاصة بهم على ملاحظات لاصقة على مكاتبهم ، فقد ترغب في التخلص منها. على الرغم من احتمال حدوث العديد من الهجمات من خلال الوسائط الرقمية ، إلا أن الحفاظ على المستندات المادية الحساسة مؤمنة أمر حيوي لسلامة نظام الأمان الخاص بشركتك.
يمكن أن يؤدي الإدراك البسيط لمخاطر ترك المستندات وأجهزة الكمبيوتر غير المراقبة وكلمات المرور حول مساحة المكتب أو المنزل إلى تقليل المخاطر الأمنية. من خلال تنفيذ سياسة "المكتب النظيف" ، يمكن الحد بشكل كبير من خطر سرقة المستندات غير المراقبة أو نسخها.
5. أمن الجهاز المحمول
أدى المشهد المتغير لتقنيات تكنولوجيا المعلومات إلى تحسين القدرة على بيئات العمل المرنة ، ومعها هجمات أمنية أكثر تعقيدًا. نظرًا لأن العديد من الأشخاص لديهم الآن خيار العمل أثناء التنقل باستخدام الأجهزة المحمولة ، فقد أصبح هذا الاتصال المتزايد مصحوبًا بخطر حدوث انتهاكات أمنية. بالنسبة للشركات الأصغر ، يمكن أن تكون هذه طريقة فعالة لتوفير الميزانية ، ومع ذلك ، تعد مساءلة جهاز المستخدم جانبًا ذا صلة بشكل متزايد بالتدريب في عام 2023 ، خاصةً للعاملين في السفر أو عن بُعد. أدى ظهور تطبيقات الأجهزة المحمولة الضارة إلى زيادة مخاطر احتواء الهواتف المحمولة على برامج ضارة يمكن أن تؤدي إلى خرق أمني.
يمكن أن تساعد الدورات التدريبية عبر الإنترنت لأفضل الممارسات للعاملين على الأجهزة المحمولة في تثقيف الموظفين لتجنب المخاطر ، بدون بروتوكولات الأمان عالية التكلفة. يجب أن تحتوي الأجهزة المحمولة دائمًا على معلومات حساسة محمية بكلمة مرور أو مشفرة أو مصادقة البيومترية في حالة فقد الجهاز أو سرقته. يعد الاستخدام الآمن للأجهزة الشخصية تدريبًا ضروريًا لأي موظفين يعملون على أجهزتهم الخاصة.
تتمثل أفضل الممارسات المجتمعية في التأكد من وجوب توقيع العمال على سياسة أمان للأجهزة المحمولة.
6. العمل عن بعد
في عام 2021 ، أدت الحاجة الواضحة للعمل عن بُعد ، جنبًا إلى جنب مع الاستيعاب المتزايد ، إلى قيام العديد من الشركات باتخاذ خطوات جذرية نحو سياسات العمل من المنزل بدوام كامل. يمكن أن يكون العمل عن بُعد إيجابيًا للشركات ويمكّن الموظفين من تعزيز الإنتاجية وزيادة التوازن بين العمل والحياة. ومع ذلك ، فإن هذا الاتجاه يشكل تهديدًا متزايدًا للانتهاكات الأمنية عندما لا يتم تعليمهم بأمان حول مخاطر العمل عن بعد. يجب أن تظل الأجهزة الشخصية التي يتم استخدامها لأغراض العمل مقفلة في حالة عدم المراقبة وأن يكون مثبتًا عليها برنامج مكافحة فيروسات. إذا أرادت شركة ما تقديم هذا الحافز ، فيجب أن تركز على تثقيف الموظفين عن بُعد بشأن ممارسات العمل الآمنة.
بحلول عام 2023 ، من المحتمل أن يستمر هذا الاتجاه. على الرغم من أننا نأمل في إعادة فتح المكاتب والعودة إلى الحياة العملية الطبيعية ، إلا أن الشركات قد وظفت بشكل متزايد عمالًا عن بُعد ، وقد يفضل أولئك الذين تكيفوا مع أسلوب حياة WFH العمل بهذه الطريقة. إن الحاجة إلى تدريب الموظفين على فهم وإدارة الأمن السيبراني الخاص بهم واضحة. كما رأينا ، هناك مشهد تهديد متزايد يستهدف هؤلاء الأفراد. يعد التأكد من أنهم يضعون الأمان في مقدمة الأذهان موضوعًا رئيسيًا لعام 2023.
7. شبكة Wi-Fi عامة
قد يحتاج بعض الموظفين الذين يحتاجون إلى العمل عن بُعد ، والسفر في القطارات والعمل أثناء التنقل ، إلى تدريب إضافي في فهم كيفية استخدام خدمات Wi-Fi العامة بأمان. يمكن لشبكات Wi-Fi العامة المزيفة ، التي غالبًا ما تظهر في المقاهي على أنها شبكة Wi-Fi مجانية ، أن تجعل المستخدمين النهائيين عرضة لإدخال المعلومات في خوادم عامة غير آمنة.
سيؤدي تثقيف المستخدمين حول الاستخدام الآمن لشبكة Wi-Fi العامة والعلامات الشائعة لاكتشاف عملية احتيال محتملة إلى زيادة وعي الشركات وتقليل المخاطر. توفر مجلة WIRED دليلاً مفيدًا حول تجنب مخاطر شبكات Wi-Fi العامة.
8. الأمن السحابي
أحدثت الحوسبة السحابية ثورة في الأعمال التجارية ، وطريقة تخزين البيانات والوصول إليها. تعمل هذه التطبيقات الرقمية على تحويل الأعمال التجارية ، ومع ذلك ، مع تخزين كميات كبيرة من البيانات الخاصة عن بُعد ، فإن ذلك يأتي مع خطر الاختراق على نطاق واسع. تعمل العديد من الشركات الكبرى على حماية البيانات ، ولكن من خلال اختيار التخزين السحابي المناسب لموفر الخدمة السحابية ، يمكن أن يكون التخزين السحابي أكثر أمانًا وفعالية من حيث التكلفة لتخزين بيانات شركتك.
كما هو الحال مع الموضوعات الأخرى المذكورة ، يعد القرصنة من الداخل تهديدًا أكثر بكثير من الشركات السحابية الكبيرة. تتوقع شركة Gartner أنه بحلول العام المقبل ، ستكون 99٪ من جميع حوادث الأمان السحابية خطأ المستخدم النهائي. لذلك ، يمكن أن يساعد تدريب التوعية بالأمن السيبراني في توجيه الموظفين من خلال الاستخدام الآمن للتطبيقات المستندة إلى السحابة.
9. استخدام وسائل التواصل الاجتماعي
نشارك جميعًا أجزاء كبيرة من حياتنا على وسائل التواصل الاجتماعي: من الإجازات إلى الأحداث والعمل. لكن الإفراط في المشاركة يمكن أن يؤدي إلى توفر معلومات حساسة ، مما يسهل على الفاعل الخبيث الظهور كمصدر موثوق (انظر: الهندسة الاجتماعية).
سيؤدي تثقيف الموظفين حول حماية إعدادات الخصوصية لحساباتهم على وسائل التواصل الاجتماعي ، ومنع انتشار المعلومات العامة لشركتك ، إلى تقليل مخاطر النفوذ المحتمل الذي يمكن أن يكتسبه المتسللون من هذا الوصول إلى شبكتك الشخصية.
10. استخدام الإنترنت والبريد الإلكتروني
قد يكون بعض الموظفين قد تعرضوا بالفعل لانتهاكات البيانات ، باستخدام رسائل بريد إلكتروني بسيطة أو متكررة لحسابات متعددة. وجدت إحدى الدراسات أن 59٪ من المستخدمين النهائيين يستخدمون نفس كلمة المرور لكل حساب. هذا يعني أنه في حالة اختراق حساب واحد ، يمكن للمتسلل استخدام كلمة المرور هذه في حسابات العمل والوسائط الاجتماعية للوصول إلى جميع معلومات المستخدم الموجودة في هذه الحسابات.
غالبًا ما تقدم مواقع الويب برامج مجانية مصابة ببرامج ضارة ، والتطبيقات التي يتم تنزيلها من مصادر موثوقة فقط هي أفضل طريقة لحماية جهاز الكمبيوتر الخاص بك من تثبيت أي برامج ضارة. يجب أن يكون تثقيف الموظفين حول عادات الإنترنت الآمنة جزءًا أساسيًا من أي برنامج تحريض لتكنولوجيا المعلومات ، على الرغم من أن البعض قد يرى هذا التدريب واضحًا ، فهو جزء أساسي من أمان أي برنامج أمان.
تعرضت العديد من مواقع الويب الكبيرة لانتهاكات كبيرة للبيانات في السنوات الأخيرة ، إذا تم إدخال معلوماتك في هذه المواقع ، فمن الممكن أن تكون قد تم نشرها وكشف معلوماتك الخاصة.
11. الهندسة الاجتماعية
الهندسة الاجتماعية هي تقنية شائعة يستخدمها الفاعلون الخبيثون لكسب ثقة الموظفين ، أو تقديم إغراءات قيمة أو استخدام انتحال الهوية للوصول إلى معلومات شخصية قيمة. يحتاج الموظفون إلى تثقيفهم حول موضوعات التوعية الأمنية التي تغطي تقنيات الهندسة الاجتماعية الأكثر شيوعًا وعلم نفس التأثير (على سبيل المثال: الندرة والإلحاح والمعاملة بالمثل) ، من أجل مكافحة هذه التهديدات.
على سبيل المثال ، من خلال التظاهر كعميل قابل للحياة أو تقديم حوافز ، يمكن تسليم المعلومات الخاصة عن غير قصد إلى هذه الجهات الخبيثة. إن زيادة وعي الموظف بتهديد عمليات الانتحال هذه أمر بالغ الأهمية في تقليل مخاطر الهندسة الاجتماعية.
12. الأمن في المنزل
لسوء الحظ ، لا يتوقف تهديد الجهات الخبيثة عند مغادرة مكان العمل. تسمح العديد من الشركات لموظفيها باستخدام أجهزتهم الشخصية ، وهي طريقة رائعة لتوفير التكاليف وتتيح العمل المرن ، ومع ذلك ، هناك مخاطر مرتبطة بهذا. يمكن للتطبيقات التي تم تنزيلها من خلال البرامج الضارة على الأجهزة الشخصية أن تخاطر بسلامة شبكة الشركة ، على سبيل المثال ، إذا تم اختراق تفاصيل تسجيل الدخول.
بالإضافة إلى ذلك ، أدت الشبكة المتنامية من الموارد الرقمية المتاحة للعمال والشركات إلى زيادة الاتصال والإنتاجية. ومع ذلك ، فإن هذه التطبيقات تشكل أيضًا خطرًا على المستخدم ، فقد وجدت دراسة أجرتها Propeller أن حملات التصيد الاحتيالي التي تستهدف صندوق الإسقاط تحقق نسبة نقر إلى ظهور تبلغ 13.6٪. ستؤدي زيادة معرفة الموظف ومشاركة الملفات المشفرة ومصادقة التنزيلات إلى تقليل المخاطر.
موضوعات تدريبية أخرى للتوعية بأمن تكنولوجيا المعلومات
إلى جانب تثقيف الموظفين حول موضوعات التدريب على الوعي الأمني ، مع فرض لوائح جديدة ، أصبحت دورات الامتثال ضرورية بشكل متزايد للموظفين. أدى الامتثال للائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي إلى لوائح جديدة تتعلق بالبريد الإلكتروني ، والتي قد تتطلب إعادة التدريب للعديد من الموظفين. يمكن أن يؤدي خرق هذه القواعد إلى غرامات باهظة ، وأبرزها فنادق الخطوط الجوية البريطانية وماريوت.
يجب أن يكون الموظفون على دراية أيضًا بتغيير اللوائح المالية وحماية البيانات والضرائب وغير ذلك. من خلال التسجيل في الأنظمة الأساسية الآلية عبر الإنترنت لإدارة السياسات ، يمكنك إبقاء موظفيك على اطلاع بأحدث التغييرات في السياسة والتأكد من بقائهم على اطلاع.
الحصول على تدريب الوعي الأمني للمستخدم النهائي بشكل صحيح.
جميع الشركات لديها متطلبات مختلفة ، لذا فإن ضمان دورة توعية أمنية مرنة تتناسب مع أهداف مؤسستك أمر حيوي للحصول على التدريب المناسب لموظفيك.
من خلال الترويج لثقافة المحادثة والوعي في عملك على أساس منتظم من خلال تدريب الوعي الأمني للمستخدم النهائي ، يمكنك إبقاء موظفيك على اطلاع دائم بالمتطلبات للحفاظ على أمان معلوماتهم الشخصية والتجارية.
أطلق برنامجك التدريبي للتوعية الأمنية
قدم فيديو صغير الحجم وتدريبًا تفاعليًا ، مصممًا خصيصًا للمخاطر الفريدة لكل مستخدم ويتم تحقيقه من خلال التشغيل الآلي الذكي.