1. پسوردهای ساده
استفاده از پسورد، یکی از سادهترین و متداولترین راهکارهای امنیتی است. حال، استفاده از پسوردی قوی که حاوی عبارات مشخص نباشد (حروف آن به صورت تصادفی تعیین شود)، یک عامل بازدارندۀ قوی در برابر حملات احتمالی است.
متاسفانه اکثر کارمندان نسبت به این مسئله بیتوجه هستند. اغلب آنها پسورد سیستمهای شرکت را به همان صورت که تحویل گرفتهاند و بدون تغییر باقی میگذارند. اگر هم این کار را انجام دهند، معمولا از عباراتی که به سادگی قابل پیشبینی و حدس زدن هستند، مانند 123456 یا خود واژۀ Password استفاده میکنند. برای کسی که قصد یک حملۀ سایبری دارد، کار به چند ثانیه هم نمیرسد تا به چنین پسوردی پیببرد! حال تصور کنید که این سازمان برای دسترسی به سیستمهایش تنها یک مرحله پسورد در نظر گرفته باشد؛ یا این که آن کارمند از یک پسورد برای چندین سیستم استفاده کرده باشد!
برای جلوگیری از بروز این مشکلات میتوان از سیستمهایی با پسورد دو مرحلهای استفاده کرد.
2. پرینت گرفتن و نوشتن اطلاعات مهم
به دلیل این که برنامههای مختلف، پسوردهای مختلفی لازم دارند، بسیاری از کارمندان آنها را روی تکههای کوچک کاغذ و تختههای وایتبورد مینویسند. بعضیها حتی از پسوردهایشان پرینت میگیرند! برای دفاتر کوچکی که رفت و آمد کمی در آنها صورت میگیرد شاید این مسائل باعث بروز مشکل نشوند ولی در مراکز شلوغ و پر رفت و آمد، تحت نظر داشتن تمام کارکنان، مهمانان و کسانی که در اوقات خارج از ساعات کاری به شرکت مراجعه میکنند بسیار دشوار است. نتیجه این که پسورد هیچگاه نباید نوشته شود یا از آن پرینت گرفته شود و همچنین تابلوهای وایتبوردی که اطلاعات حساس و مهم شرکت روی آنها نوشته میشود، باید به سرعت پاک شوند.
این موارد نه تنها برای پسوردها، بلکه برای تمام اطلاعات مهم شرکتی، اعم از اطلاعات شخصی موکلان یا پرداختهای مشتریان، باید رعایت شوند. اگر لازم شد که از اطلاعات خاصی پرینت بگیرید یا آن را روی کاغذ بنویسید، مطمئن شوید که آن را در جایی امن مانند گاوصندوق قرار دهید.
3. ناآگاهی از مهندسی اجتماعی
مهندسی اجتماعی (به انگلیسی Social Engineering) یعنی فریب دادن افراد با استفاده از تواناییهای اجتماعی آنها تا در نهایت فرد قربانی، اطلاعات مهمی را در اختیار مهاجم قرار دهد. شاید فکر کنید که چنین چیزی مختص فیلمهای ژانر جاسوسی است؛ ولی این موضوع امروزه به یکی از بزرگترین مشکلات شرکتها و کسب و کارهای مطرح تبدیل شده است. مهاجمان به راحتی میتوانند با تکنیکهای سادۀ فریب دادن کارمندان، به اطلاعات مهم و حیاتی شرکت دست پیدا کنند. استراتژیهای آنان شامل کسب اطلاعات از حساب کارمندان در شبکههای اجتماعی، تماسهای تلفنی که در آنها فرد مهاجم ادعا میکند که یک همکار، موکل یا خریدار است و در برخی موارد پیشنهادهای مستقیمی به کارمندان شرکت میشود که آنها را متقاعد میکند تا اطلاعات مهم شرکت را لو بدهند. با افزایش سطح هوشیاری کارمندان، میتوان با این معضل مقابله کرد.
4. فیشینگ
علاقمندان به زبان انگلیسی حتما متوجه شباهت این واژه با واژۀ Fishing -به معنای ماهیگیری- شدهاند؛ دلیل آن هم این است که در Phishing،دقیقا مانند ماهیگیری، فردی خود را به عنوان یک شخص قابل اعتماد به سایر کارمندان شرکت معرفی میکند. سپس هنگامی که اعتماد همگان را جلب کرد اقدام به شکار میکند؛ که شکار در این مورد دسترسی به پسوردها، کارتهای اعتباری و … است.
Phishing در بسیاری موارد، شبیه به مهندسی اجتماعی است. هر دو شامل مواردی مانند استفاده از یک سرویس آشنای ایمیل که برای کارمندان قابل اعتماد است، یا ساخت صفحات تقلبی در وب و تشویق کارمندان به استفاده از نام کاربری و پسورد خود میشوند. به دلیل شباهت این دو مورد (فیشینگ و مهندسی اجتماعی)، راهکار مقابله با آنها نیز شبیه به هم است. افزایش سطح هوشیاری و آگاهی از بهترین راههای مقابله با این دو مورد است. از راههای دیگر مقابله، میتوان به آموزش دادن به کارمندان اشاره کرد. آموزشهایی مانند باز کردن و مشاهدۀ لینکها و پیوستهایی که از یک منبع شناخته شده و قابل اعتماد ارسال شدهاند و چک کردن آدرس صفحات وب، پیش از این که نام کاربری و پسورد خود را وارد کنند.
5. دادن دسترسی بیش از حد به تعداد زیادی از کارکنان
واضح است که هرچقدر کارکنان کمتری به اطلاعات مهم شرکت دسترسی داشته باشند، احتمال درز اطلاعات به بیرون کمتر میشود. هرچند این کار باعث میشود که تعداد زیادی از کارمندان برای هر مرحله از کارشان نیاز به تاییدیه داشته باشند و صدور مجوز برای هر کار آنها چیزی دشوار به نظر می رسد؛ اما با این کار، با دقت بیشتری می توان عملکرد آنها را زیر نظر داشت و در نتیجه، تیم امنیتی شرکت میتواند خیلی سادهتر رفت و آمدها و دسترسیها را کنترل کند که این موضوع برای جلوگیری از نفوذ به اطلاعات شرکت، بسیار حائز اهمیت است.
6. خاموش کردن سیستمهای امنیتی
از نظر بعضی کارمندان، استفاده از سیستمهای امنیتی کاری دشوار است. در این موقع اگر دسترسی سطح بالا به این کارمندان داده شود، ممکن است آن ها یک بخش از سیستم امنیتی را به کلی قطع کنند تا دسترسی به اطلاعاتی که با آنها سروکار دارند آسانتر شود که این موضوع پیامدهای جبرانناپذیری در پی خواهد داشت. در نتیجه، علاوه بر محدود کردن دسترسی کارمندان، باید آموزشهایی دربارۀ فواید و اهمیت استفاده از سیستمهای امنیتی به آنها داده شود (آموزشهای رایگان بسیاری در این رابطه در اینترنت موجود است.)
7. استفاده از نرمافزارهای شخصی که مورد تایید شرکت نیستند (Shadow IT)
روز به روز بر تعداد نرمافزارهایی که راندمان کارمان را بالا میبرند افزوده میشود. به همین دلیل، برخی از کارمندان ترجیح میدهند از برنامههای شخصی که مورد تایید شرکت نیستند، استفاده کنند. متخصصان IT به این معضل Shadow IT میگویند و در این در حالی است که خیلی از این موارد نه تنها بیخطر، بلکه خیرخواهانه به نظر میرسند؛ مانند آپلود کردن اطلاعات برروی فضای شخصی کلود، اما در اصل این کار باعث به خطر افتادن اطلاعات میشود و این موضوع کنترل عملکرد کارمندان را برای تیمهای امنیتی بسیار دشوار میکند. برای این که مطمئن شوید کارمندان شما از برنامههایی که مورد تاییدتان نیستند استفاده نمی کنند، به نیازهای آنها توجه کنید تا برنامهای مطمئن که متخصصان IT آنها را تایید میکنند را برایشان فراهم کنید.
8. استفاده از دستگاههایی با امنیت پایین
طبیعی است که یک شرکت نمیتواند امنیت تمام دستگاههای شخصی کارکنانش را تامین کند. سالانه تعداد دستگاههای شخصی که در ادارات و شرکتها استفاده میشوند افزایش مییابد و کارکنان از این دستگاههای شخصی برای ارسال و دریافت مدارک بسیار مهم استفاده میکنند. بنابراین شاهد این هستیم که کارکنان، دستگاههای شخصی خود را که حاوی تعداد زیادی اپلیکیشنهای متفرقه و غیرسازمانی است، به شبکۀ اطلاعاتی شرکت ،که حاوی اطلاعات بسیار مهمی است، وصل میکنند. این اپلیکیشنها باعث میشوند که کارکنان، به طور ناخواسته، شرکت را در معرض خطراتی بزرگ قرار دهند. خوشبختانه با افزایش آگاهی عمومی در رابطه با امنیت دستگاههای شخصی و وضع قوانین مشخص در این رابطه، میتوان از بروز مشکلات امنیتی از این دست جلوگیری کرد.
9. امنیت کم تلفنهای همراه
هر دستگاهی با قابلیت این که بتواند از راه دور به شبکههای شرکتی دسترسی داشته باشد، میتواند باعث افزایش آسیبپذیری شبکۀ اطلاعات شرکت شود. اقدامی که شرکتها میتوانند در این رابطه انجام دهند این است که تمام ارتباطات و دسترسیهایی را که نهایتا به اطلاعات مهم شرکت منتهی میشوند به صورت اصطلاحا End-to-End رمزگذاری کنند؛ به این معنا که گفتگوها و پیامها تنها میان دو شخص و به صورت رمزگذاری شده رد و بدل می شوند که در نتیجه دسترسی به این مکالمات و پیامها برای کسی به جز آن دو نفر غیرممکن میشود. همچنین استفاده از امکانات امنیتی خیلی ساده و پیش پاافتاده مانند پینهای امنیتی میتواند باعث افزایش امنیت اطلاعات در برابر سرقت یا از دست دادن آن اطلاعات شود.