كل الشركات تستخدم منتجات حماية في الشبكات والانظمه لزيادة الأمن وتعزيز خط الدفاع لأي هجمات اختراق , ولكن ما زالت هذه الشركات تتكبد خسائر مالية ومعنويه بسبب اختراقات لا تتوقف وتضل الشركة بشراء منتجات اكثر واكثر وكله مجرد استنزاف اموال الشركة في حمايات ومنتجات أمنية . مهندسين امن المعلومات يعرفون تماماً بأنه لا يوجد اي نظام او تقنية يمكنها حماية المستخدم نفسه او ما يسمى human factor .
الخطر في الحقيقة هو داخل الشركة نفسها . قلة الوعي بامن المعلومات عند موظفيك هو ما يسبب تقريبا كل الهجمات والتسريبات من الانظمه والشبكات . قد تكون شركتك خالية من اي مخترقين يحاولون الاختراق والعبث بالشبكة من الداخل او بما يعرف بــ internal attack , ولكنها مليئة بموظفين غير واعيين بالمخاطر التي قد يكونون عرضه لها عند استخدامهم لاجهزة الشركة .
اساليب الاختراق والتصيد تتطور كل يوم بذكاء وطرق جديده ومعاصرة , تجد المهاجم يستدرج موظف عن طريق العاب الاونلاين بسبب انه يعرف ان ذلك الموظف مدمن العاب اونلاين , وتجد اخر يستهدف عن طريق شبكات التواصل الاجتماعي ومتابعة كل ما ينشر احد الموظفين ليقوم بأرسال الرسالة المناسبة له ليوقعه بالفخ . دعني اخبرك بأن تدريب موظفيك هو الحل لحماية شركتك من الهجمات الألكترونية .
التحديات :
فهم ووعي خطورة ان تكون شركتك غير مستعدة للتصدي للهجمات الألكترونية هو اول التحديات الواجب تخطيها والنجاح في تحجيم الخطر والعمل على تقليصه .الهجمات الألكترونية كانت لزمن طويل مشكلة تقنية تخص مهندسين الاي تي و أمن المعلومات ولكن الان اصبحت تخص كل من يعمل في الشركة سواء كانت مسؤلياته لها علاقة بشكل مباشر مع اجهزة الكترونية او مجرد اعمال ليس لها علاقة , الكل مسؤول والكل يمكن استغلاله في الهجوم .
التوظيف جانب يمكن استخدامه في صالح الشركة , بحيث يتم وضع الوعي الأمني ضمن الامور المهمه اثناء المفاضله بين المتقدمين للوظفيه خاصة اذا الشركة تعمل بشكل مباشر مع الشبكات والاجهزه الالكترونية .
استثمار المال في توعية موظفين الشركة افضل بكثير من دفع مبالغ كبيره لشركات التحقيق في جرائم الكمبيوتر وتحليل الهجمات الالكترونية .
تحليل المشكلة :
يتسبب الموظفين بحسن نية في حدوث اختراقات في الشبكات بسبب بعض من الممارسات التي يمارسها الموظف وهو لا يعرف بأنها تعرض الشبكة للخطر مثل :
- اختيار كلمة مرور ضعيفة يعرض حساب الموظف وكامل الشبكة للخطر
- قلة الاهتمام واللامبالاه قد تجعل من اجهزة الشركة عرضه للسرقة او الضياع
- عدم تحديث الانظمه والبرمجيات المستخدمه بشكل دوري
- الوقوع في فخ رسائل التصيد او منشورات الشبكات الاجتماعية
- بعض الممارسات التي تهدد امن الشبكة مثل تحميل ملفات تورنت
التدريب الصحيح للموظفين قد يكون اداة قوية وفعالة لتأمين الشبكة بالكامل .
تدريب الموظفين واقامه ندوات داخل الشركة عن طريق احضار بعض المختصين وتدريبهم او عن طريق ارسالهم لبرامج التدريب افضل بكثير من شراء منتجات الحماية . هذه التدريبات تخلق ثقافة ووعي امني لدى الموظف والتي تجعل منه اداة حماية لكل برمجيات الشركة وليس تقنية واحد او برنامج واحد فقط .
هناك احصائية اجرتها شركة مكافي تشير الى التالي:
- ثلاثون بالمئة من الموظفين يسمحون للاهل والاصدقاء باستخدام اجهزة العمل
- خمسون بالمئة يقومون بوصل اجهزتهم الخاصه واستخدامها في شبكة العمل
- خمسون بالمئة من الموظفين لا يعرفون كيفة تحديث برامج الحماية وانظمه الشتغيل مثل الوندوز ومكافح الفيروسات
انواع التهديدات الداخلية :
- غير مقصود :
في هذا النوع التهديدات تحصل بشكل غير مقصود ونادره احيانا ونتيجه لعدم الانتباه او نتيجه للاخطاء البشرية , هذا النوع يحتاج الى سياسات صارمه ومراقبة دائمه على الموظفين ووعي منهم بأن عدم الانتباه قد يسبب الى حدوث مشاكل تصيب الشركه كلها .
مثال : ارسال بريد الكتروني او بيانات الى الشخص الخطا , عدم الاهتمام بأتلاف البيانات .
- اللامبالاه :
في هذا النوع يكون الموظف واعي تماما بالسياسات والاجرائات ولكن لعدم وعيه بأمن المعلومات وتسهيل الامور يقوم بتصرف تكون نتيجته اكبر مما توقعه
مثال : توصيل جهاز USB , فتح حسابات شخصيه في شبكة الشركة , ارسال اوارق العمل الى حسابات شخصيه للاطلاع عليها لاحقا .
- نيه سيئة :
في هذا النوع يحاول الموظف تدمير او اختراق بيانات في الشركة من الداخل واستخدام اي وسيلة تساعده للوصول الى الشركة . اذا كان هناك وعي عند الموظفين فلن يستطيع الشخص استخدام ثقة زملائه واستدراجهم للتوسع داخل الشبكه وتنفيذ امور غير مصرح له بها . الوعي الامني قد يفيد في تفادي هجمات من موظفين يحملون نيه سيئة تجاه الشركة .
اهم المواضيع التي يجب التركيز عليها اثناء اختيار برنامج التدريب :
هناك العديد من الكورسات والبرامج التدريبيه لزيادة الوعي وغرس ثقافة الأمن بين موظفين الشركة لذلك يجب اختيار الكورس او البرنامج التدريبي المناسب وذلك عن طريق النظر في محتوى هذا البرنامج التدريبي . هناك بعض المواضيع التي تلامس امن المعلومات بشكل مباشر .
اهم المواضيع التي يجب التركيز عليها كالتالي :
-
Physical security
الأمن المادي جانب لا يمكن تجاهلة ويتضمن في الحماية المادية للشركة ولغرفة السيرفرات data centre , كذلك اجهزة الموظفين انفسهم , فسرقة احد اجهزة الموظفين امر محتمل او دخول احد المتطفلين لتنصيب برمجيات خبيثه امر ايضا ليس من البعيد حدوثه .
غرس ثقافة الامن المادي للهاردوير الخاص بجهاز الشركة يجعل الموظف نفسه حريص على وضع باسورد خاص بجهازه وتشفير القرص الخاص به , كذلك عدم السماح لأي شخص باستخدام اجهزة خاصه بالعمل والعديد من الامور الاخرى .
2. Desktop security
هذا الجزء من التدريب يوضح ويشرح بعض المفاهيم الخاصه بأمن البرمجيات وماهي الممارسات الصحيحه للتعامل مع هذه البرمجيات التي قد تحمل طابع خاص بحسب طبيعة عمل الشركة , قد تحتاج ان تعود الى الشركة المنتجه للتطبيقات التي تستخدمها في الشركة . كذلك يشرح بعض من المفاهيم التي البعض يظن انها ليست مهمه مثل ان لا يكون هناك باسورد للشاشه بعد بضع دقائق . هناك احصائة تشير ان متوسط الناس التي تضع باسورد للأجهزة بعض ترك العمل عليها هو 10 دقائق ولكن الافضل ان تكون 30 ثانيه فقط .
تشفير البيانات وارسالها عن طريق الايميل امر مهم يمكن تعليم الموظفين على بعض من البرمجيات والادوات التي يمكن استخدامها اثناء ارسال ايميلات تحمل بيانات حساسه , كذلك فهم كيفية عمل بروتوكولات التشفير مثل ssl وكيف يمكن تمييز اذا ما كانت شهاده التشفير مزوره .
3. Password security
في هذا الجزء سوف يتعلم الموظف خطورة اختيار باسورد ضعيف وكيف يمكن كسر هذا الباسورد بعدة طرق . يجب ان يستخدم الموظف باسورد مختلف لكل خدمه يستخدمها ويفصل تلك الخدمات الشخصيه عن الحسابات او الخدمات الخاصه بالعمل خاصة في هذه الفتره اصبحت الكثير من الشركات تلجئ الى cloud services اكثر منها من الخدمات او البرمجيات التي تنصب على الاجهزه او الشكبة .
4. Phishing
قد يكون هذا الجزء من اصعب الامور التي يمكن ان تدرب موظفك عليها وهي كشف التصيد خاصة في الايميل . يجب ان يكون هناك مقدمه مفصله عن الهندسة الاجتماعية وسرد بعض القصص التي حصلت والافكار الذكيه التي من الممكن ان يقع في فخها مهندسين امن المعلومات انفسهم . رسائل التصيد موضوع كبير جدا ينبغي التركيز عليه بسبب ان عملية استهداف موظف تختلف من شخص الى اخر على حسب ثقافة وميول الموظف المستهدف . الجدير بالذكر ان التصيد ليس محصور برسائل البريد الألكترونيفقط , يمكن استدراج الموظف وتسريب معلومات حساسه بعدة اساليب اخرى .
5.Malware
هذا الجزء يتعلم فيه الموظف كيفية اكتشاف الملفات الخبيثه وكيفية التعامل مع جهاز مصاب بملف خبيث وما هي اولى الخطوات التي يجب عملها في حالة اصيب الجهاز بملف خبيث في جهازه , مثل ان لا يجب استخدام هذا الجهاز في شبكة العمل الا بعد ان يسلم الجهاز للمختصين للاطلاع عليه وعمل المناسب .
التعامل مع الملفات الخبيثه قد يكون امر صعب على موظف ليس متخصص في امن المعلومات ولكن تعلم الاساسيات يقلص خطر انتشار الملفات الخبيثه على الشبكة بشكل كبير جدا . كذلك يجب تدريب الموظفين على برامج الحماية وكيفية استخدامها وتحديثها بشكل دوري .
ما لاحظته انا شخصيا ان بعض الشركات تعاقب او تركز على ذلك الموظف الذي اصيب بجهازه ملف خبيث او كان هناك اي شي مثير للشك , وهذا سياسة وتصرف سيئ قد تجعل الموظفون خائفين من التحدث بأن هناك شي ما في جهازي واريد التحدث مع متخص الأمن في الشركة , التعامل مع الامر بشكل طبيعي وشكر الموظف على ذلك امر مهم جدا .
6. wireless networks security
فهم طريقة عمل شبكات الوايرلس و الهجمات التي قد تواجها شبكات الوايرلس وخطر استخدام شبكات الوايرلس العامه والفرق بين انواع التشفير التي يمكن استخدامها والفرق بين التشفير للاستخدام الشخصي wpa personal وكذلك التجاري wpa enterprise وبعض من المفاهيم التي قد تساعد في حماية الشبكه بشكل اكبر . هناك احصائية تشير ان اكثر من 65 بالمئة من اجهزة الوايرلس تبقى كما هي على اعداداتها بعد تركيبها لفترات طويلة تصل الى سنه .
تعليم الموظفين كيفية استخدام vpn اثناء استخدامهم لشبكات عامه امر مفيد جدا في حالة طوارئ لا بد من الوصول الى الانترنت فيها .
الهدف من تدريب الموظفين هو الوصول لمفهوم “واحد من اجل الجميع والجميع من اجل واحد ” .
تشكر استاذ علي على هذا المقال المثير ونتمنى ان يكون هناك سلسلة كاملة حول هذا الموضوع.