خطاهای انسانی و تهدید امنیت اطلاعات سازمان ها

”خطاهای انسانی و تهدید امنیت اطلاعات سازمان ها“

در این مقاله می خوانید :

1. پسوردهای ساده
استفاده از پسورد، یکی از ساده‌ترین و متداول‌ترین راهکارهای امنیتی است. حال، استفاده از پسوردی قوی که حاوی عبارات مشخص نباشد (حروف آن به صورت تصادفی تعیین شود)، یک عامل بازدارندۀ قوی در برابر حملات احتمالی است.

متاسفانه اکثر کارمندان نسبت به این مسئله بی‌توجه هستند. اغلب آن‌ها پسورد سیستم‌های شرکت را به همان صورت که تحویل گرفته‌اند و بدون تغییر باقی می‌گذارند. اگر هم این کار را انجام دهند، معمولا از عباراتی که به سادگی قابل پیش‌بینی و حدس زدن هستند، مانند 123456 یا خود واژۀ Password استفاده می‌کنند. برای کسی که قصد یک حملۀ سایبری دارد، کار به چند ثانیه هم نمی‌رسد تا به چنین پسوردی پی‌ببرد! حال تصور کنید که این سازمان برای دسترسی به سیستم‌هایش تنها یک مرحله پسورد در نظر گرفته باشد؛ یا این که آن کارمند از یک پسورد برای چندین سیستم استفاده کرده باشد!

برای جلوگیری از بروز این مشکلات می‌توان از سیستم‌هایی با پسورد دو مرحله‌ای استفاده کرد.

2. پرینت گرفتن و نوشتن اطلاعات مهم
به دلیل این که برنامه‌های مختلف، پسوردهای مختلفی لازم دارند، بسیاری از کارمندان آن‌ها را روی تکه‌های کوچک کاغذ و تخته‌های وایت‌بورد می‌نویسند. بعضی‌ها حتی از پسوردهایشان پرینت می‌گیرند! برای دفاتر کوچکی که رفت و آمد کمی در آن‌ها صورت می‌گیرد شاید این مسائل باعث بروز مشکل نشوند ولی در مراکز شلوغ و پر رفت و آمد، تحت نظر داشتن تمام کارکنان، مهمانان و کسانی که در اوقات خارج از ساعات کاری به شرکت مراجعه می‌کنند بسیار دشوار است. نتیجه این که پسورد هیچ‌گاه نباید نوشته شود یا از آن پرینت گرفته شود و همچنین تابلوهای وایت‌بوردی که اطلاعات حساس و مهم شرکت روی آن‌ها نوشته می‌شود، باید به سرعت پاک شوند.

این موارد نه تنها برای پسوردها، بلکه برای تمام اطلاعات مهم شرکتی، اعم از اطلاعات شخصی موکلان یا پرداخت‌های مشتریان، باید رعایت شوند. اگر لازم شد که از اطلاعات خاصی پرینت بگیرید یا آن را روی کاغذ بنویسید، مطمئن شوید که آن را در جایی امن مانند گاوصندوق قرار دهید.

3. ناآگاهی از مهندسی اجتماعی
مهندسی اجتماعی (به انگلیسی Social Engineering) یعنی فریب دادن افراد با استفاده از توانایی‌های اجتماعی آن‌ها تا در نهایت فرد قربانی، اطلاعات مهمی را در اختیار مهاجم قرار دهد. شاید فکر کنید که چنین چیزی مختص فیلم‌های ژانر جاسوسی است؛ ولی این موضوع امروزه به یکی از بزرگترین مشکلات شرکت‌ها و کسب و کارهای مطرح تبدیل شده است. مهاجمان به راحتی می‌توانند با تکنیک‌های سادۀ فریب دادن کارمندان، به اطلاعات مهم و حیاتی شرکت دست پیدا کنند. استراتژی‌های آنان شامل کسب اطلاعات از حساب کارمندان در شبکه‌های اجتماعی، تماس‌های تلفنی که در آن‌ها فرد مهاجم ادعا می‌کند که یک همکار، موکل یا خریدار است و در برخی موارد پیشنهادهای مستقیمی به کارمندان شرکت می‌شود که آن‌ها را متقاعد می‌کند تا اطلاعات مهم شرکت را لو بدهند. با افزایش سطح هوشیاری کارمندان، می‌توان با این معضل مقابله کرد.

4. فیشینگ
علاقمندان به زبان انگلیسی حتما متوجه شباهت این واژه با واژۀ Fishing -به معنای ماهیگیری- شده‌اند؛ دلیل آن هم این است که در Phishing،دقیقا مانند ماهیگیری، فردی خود را به عنوان یک شخص قابل اعتماد به سایر کارمندان شرکت معرفی می‌کند. سپس هنگامی که اعتماد همگان را جلب کرد اقدام به شکار می‌کند؛ که شکار در این مورد دسترسی به پسوردها، کارت‌های اعتباری و … است.

Phishing در بسیاری موارد، شبیه به مهندسی اجتماعی است. هر دو شامل مواردی مانند استفاده از یک سرویس آشنای ایمیل که برای کارمندان قابل اعتماد است، یا ساخت صفحات تقلبی در وب و تشویق کارمندان به استفاده از نام کاربری و پسورد خود می‌شوند. به دلیل شباهت این دو مورد (فیشینگ و مهندسی اجتماعی)، راه‌کار مقابله با آن‌ها نیز شبیه به هم است. افزایش سطح هوشیاری و آگاهی از بهترین راه‌های مقابله با این دو مورد است. از راه‌های دیگر مقابله، می‌توان به آموزش دادن به کارمندان اشاره کرد. آموزش‌هایی مانند باز کردن و مشاهدۀ لینک‌ها و پیوست‌هایی که از یک منبع شناخته شده و قابل اعتماد ارسال شده‌اند و چک کردن آدرس صفحات وب، پیش از این که نام کاربری و پسورد خود را وارد کنند.

5. دادن دسترسی بیش از حد به تعداد زیادی از کارکنان
واضح است که هرچقدر کارکنان کمتری به اطلاعات مهم شرکت دسترسی داشته باشند، احتمال درز اطلاعات به بیرون کمتر می‌شود. هرچند این کار باعث می‌شود که تعداد زیادی از کارمندان برای هر مرحله از کارشان نیاز به تاییدیه داشته باشند و صدور مجوز برای هر کار آن‌ها چیزی دشوار به نظر می رسد؛ اما با این کار، با دقت بیشتری می توان عملکرد آن‌ها را زیر نظر داشت و در نتیجه، تیم امنیتی شرکت می‌تواند خیلی ساده‌تر رفت و آمدها و دسترسی‌ها را کنترل کند که این موضوع برای جلوگیری از نفوذ به اطلاعات شرکت، بسیار حائز اهمیت است.

6. خاموش کردن سیستم‌های امنیتی
از نظر بعضی کارمندان، استفاده از سیستمهای امنیتی کاری دشوار است. در این موقع اگر دسترسی سطح بالا به این کارمندان داده شود، ممکن است آن ها یک بخش از سیستم امنیتی را به کلی قطع کنند تا دسترسی به اطلاعاتی که با آن‌ها سروکار دارند آسان‌تر شود که این موضوع پیامدهای جبران‌ناپذیری در پی خواهد داشت. در نتیجه، علاوه بر محدود کردن دسترسی کارمندان، باید آموزش‌هایی دربارۀ فواید و اهمیت استفاده از سیستم‌های امنیتی به آن‌ها داده شود (آموزش‌های رایگان بسیاری در این رابطه در اینترنت موجود است.)

7. استفاده از نرم‌افزارهای شخصی که مورد تایید شرکت نیستند (Shadow IT)
روز به روز بر تعداد نرم‌افزارهایی که راندمان کارمان را بالا می‌برند افزوده می‌شود. به همین دلیل، برخی از کارمندان ترجیح می‌دهند از برنامه‌های شخصی که مورد تایید شرکت نیستند، استفاده کنند. متخصصان IT به این معضل Shadow IT می‌گویند و در این در حالی است که خیلی از این موارد نه تنها بی‌خطر، بلکه خیرخواهانه به نظر می‌رسند؛ مانند آپلود کردن اطلاعات برروی فضای شخصی کلود، اما در اصل این کار باعث به خطر افتادن اطلاعات می‌شود و این موضوع کنترل عملکرد کارمندان را برای تیم‌های امنیتی بسیار دشوار می‌کند. برای این که مطمئن شوید کارمندان شما از برنامه‌هایی که مورد تاییدتان نیستند استفاده نمی کنند، به نیازهای آن‌ها توجه کنید تا برنامه‌ای مطمئن که متخصصان IT آن‌ها را تایید می‌کنند را برایشان فراهم کنید.

8. استفاده از دستگاه‌هایی با امنیت پایین
طبیعی است که یک شرکت نمی‌تواند امنیت تمام دستگاه‌های شخصی کارکنانش را تامین کند. سالانه تعداد دستگاه‌های شخصی که در ادارات و شرکت‌ها استفاده می‌شوند افزایش می‌یابد و کارکنان از این دستگاه‌های شخصی برای ارسال و دریافت مدارک بسیار مهم استفاده می‌کنند. بنابراین شاهد این هستیم که کارکنان، دستگاه‌های شخصی خود را که حاوی تعداد زیادی اپلیکیشن‌های متفرقه و غیرسازمانی است، به شبکۀ اطلاعاتی شرکت ،که حاوی اطلاعات بسیار مهمی است، وصل می‌کنند. این اپلیکیشن‌ها باعث می‌شوند که کارکنان، به طور ناخواسته، شرکت را در معرض خطراتی بزرگ قرار دهند. خوش‌بختانه با افزایش آگاهی عمومی در رابطه با امنیت دستگاه‌های شخصی و وضع قوانین مشخص در این رابطه، می‌توان از بروز مشکلات امنیتی از این دست جلوگیری کرد.

9. امنیت کم تلفن‌های همراه
هر دستگاهی با قابلیت این که بتواند از راه دور به شبکه‌های شرکتی دسترسی داشته باشد، می‌تواند باعث افزایش آسیب‌پذیری شبکۀ اطلاعات شرکت شود. اقدامی که شرکت‌ها می‌توانند در این رابطه انجام دهند این است که تمام ارتباطات و دسترسی‌هایی را که نهایتا به اطلاعات مهم شرکت منتهی می‌شوند به صورت اصطلاحا End-to-End رمزگذاری کنند؛ به این معنا که گفتگوها و پیام‌ها تنها میان دو شخص و به صورت رمزگذاری شده رد و بدل می شوند که در نتیجه دسترسی به این مکالمات و پیام‌ها برای کسی به جز آن دو نفر غیرممکن می‌شود. همچنین استفاده از امکانات امنیتی خیلی ساده و پیش پاافتاده مانند پین‌های امنیتی می‌تواند باعث افزایش امنیت اطلاعات در برابر سرقت یا از دست دادن آن اطلاعات شود.

به این مطلب امتیاز دهید

برای دریافت مشاوره رایگان و استعلام قیمت، همین الان شماره خود را وارد کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پشتیبانی آنلاین!