الموظفون
عندما يحل الصيف، تستقبل العديد من المؤسسات الطلاب للتدريب الداخلي الموسمي. وهذا يعني أن الشباب عديمي الخبرة الذين ربما لا يعرفون الكثير عن الأمن السيبراني سيشاركون في العمليات الخاصة بعملك.
نادرًا ما تقضي المؤسسات الكثير من الوقت في التفكير في المخاطر المتعلقة بذلك، ولا تتخذ إجراءات احترازية. يقولون لأنفسهم إن المتدربين لن يظلوا هناك لفترة طويلة ومن غير المرجح أن يتمكنوا من الوصول إلى أي معلومات سرية. هذا صحيح، ولكن هذا لا يعني أنه يجب عليك تجاهل حقيقة أن المتدربين عديمي الخبرة دون معرفة مناسبة يمكن أن يعرضوا مؤسستك للخطر بشدة فقط من خلال النقر على رابط التصيد الاحتيالي، أو وضع كلمات مرور ضعيفة على حسابات عملهم، أو الوقوع فريسة للهندسة الاجتماعية. وفيما يلي بعض التوصيات التي ينبغي إيلاء اهتمام خاص لها لمنع حدوث أي من تلك الأمور.
جلسة/دورة توجيهية
قبل أن تمنح المتدربين لديك إمكانية الوصول إلى البنية التحتية للمؤسسة ومعداتها، من الجيد تعريفهم بالأساسيات. أولاً وقبل كل شيء، اشرح معايير المؤسسة المقبولة بشأن السياسات الأمنية والمصادقة ثنائية العوامل وكلمات المرور.
عندما تشرك المتدربين في عملياتك، عليهم تعيين كلمات المرور. وعلى الرغم من أن أمان كلمة المرور يبدو موضوعًا تمت مناقشته جيدًا، إلا أنه قد لا يخطر ببال شخص جديد أنه لا ينبغي له استخدام نفس كلمة المرور لخدمات متعددة، وقد لا يعرف تمامًا ما تعنيه “كلمة المرور القوية “.
مبدأ أقل الامتيازات (المعروف أيضًا باسم مبدأ الحد الأدنى من الامتيازات أو مبدأ السلطة الأقل)
عندما تمنح المتدربين حق الوصول إلى موارد المؤسسة، يجب عليك اتباع مبدأ الحد الأدنى من الامتيازات (مبدأ أقل الامتيازات أو مبدأ السلطة الأقل)، مما يعني أن الجميع يحصلون فقط على الحد الأدنى من مستوى الوصول الذي يحتاجون إليه لأداء وظائفهم. هذا في الواقع مبدأ جيد يجب اتباعه بشكل عام، لكنه مهم بشكل خاص عندما تعمل مع المتدربين.
اتفاقيات عدم الإفصاح (تعرف أيضًا باتفاقية السرية، اتفاق الإفصاح السري، اتفاقية المعلومات الخاصة)
لا تطلب العديد من المؤسسات من المتدربين توقيع اتفاقيات عدم الإفصاح (تعرف أيضًا باتفاقية السرية، اتفاق الإفصاح السري، اتفاقية المعلومات الخاصة)، مرة أخرى لأنهم يرون أن المتدربين لديهم دور ثانوي مؤقت فقط. ومع ذلك، فمن الجيد القيام بذلك. حتى لو لم يقترب المتدربون من أي أسرار للشركة، فإن التوقيع على اتفاقية عدم الإفصاح (تعرف أيضًا باتفاقية السرية، اتفاق الإفصاح السري، اتفاقية المعلومات الخاصة) يعد طريقة رائعة لإبلاغ هؤلاء الموظفين المبتدئين بأنه لا ينبغي لهم التحدث عن العمليات التجارية في المحادثات الشخصية.
أمن المعلومات على حسابات وسائل التواصل الاجتماعي الشخصية
معظم المتدربين هم في الغالب من الشباب، ويميل شباب اليوم إلى تأريخ حياتهم وتسجيلها على الشبكات الاجتماعية. من السهل أن نتخيل أنهم سيكونون متحمسين لنشر شيء مهم بالنسبة لهم مثل وظيفتهم الأولى.
من ناحية، يمكن للمؤسسة أن تستفيد بالتأكيد إذا تحدث المتدربون بحماس على وسائل التواصل الاجتماعي حول مدى أهمية عملهم. ولكن من ناحية أخرى، قد يكشف المتدربون عن غير قصد عن معلومات مهمة في منشوراتهم — على سبيل المثال، إذا التقطوا صورًا ذاتية مع وثائق ومستندات داخلية خلفهم.
هذا هو السبب في أننا نوصي بأن توضح للمتدربين بشكل جلي سياسة مؤسستك بشأن استخدام وسائل التواصل الاجتماعي. لكن حاول ألا ترسل تعليمات طويلة بالبريد الإلكتروني حيث إن فرص قراءتها من الألف إلى الياء ستكون منخفضة للغاية. النهج الأكثر فعالية هو تقديم إحاطة شفهية.
الوصول إلى موارد العمل بعد انتهاء التدريب
يجب أن تنتهي جميع الأشياء الجيدة — بما في ذلك فترات التدريب الداخلي. قد يبقى بعض الطلاب معك بعد انتهاء فترة التدريب، ولكن البعض الآخر سيغادرون حتمًا. انتبه بشكل خاص للمغادرين. تأكد من إلغاء كل أشكال الوصول إلى الموارد الداخلية للمؤسسة بعد مغادرة المتدرب. مجرد امتلاك حساب إضافي مع إمكانية الوصول هو ثغرة أمنية ونقطة ضعف محتملة.
تدريب المتدربين على أساسيات الأمن السيبراني
كقاعدة عامة، نوصي بتدريب جميع الموظفين على أساسيات الأمن السيبراني. ومع ذلك، نادرًا ما يتم تضمين المتدربين في مثل هذه الدورات والجلسات التدريبية. وهذا خطأ. سيساعد تدريب المتدربين في التخفيف من المخاطر على أمنك السيبراني، وفي الوقت نفسه سيكون درسًا مهمًا سيأخذونه معهم عندما يغادرون مؤسستك.
لا تحتاج حتى إلى استثمار موارد كبيرة في هذا التدريب. هناك عدد لا بأس به من المواد المفتوحة المصدر عبر الإنترنت التي تتناول أساسيات الأمن السيبراني والتي يمكنك مشاركتها مع المتدربين لديك. على سبيل المثال، لمساعدة المؤسسات على جعل موظفيها أكثر مرونة في مواجهة الهجمات الإلكترونية، أصدرنا مؤخرًا دورة تدريبية مجانية [KASAP free – lessonholder] عبر الإنترنت [/KASAP free — lessonholder]— جزء من منصة نظام كاسبرسكاي الأساسي للتوعية الأمنية الإلكترونية (ASAP/ Kaspersky Automated Security Awareness Platform) — حول كيفية استخدام الشبكات الاجتماعية وتجنب الوقوع فريسة للهندسة الاجتماعية.
النصائح