شرح کنترل
امنیت اطلاعات اغلب از دیدگاه موضوعات فنی مورد بحث قرار می گیرد. لیکن دانش و توانمندی نیروی انسانی در سازمان نیز از عوامل کلیدی موفقیت اقدامات فنی خواهد بود. گرچه کنترل های فنی می توانند تا حد زیادی باعث جلوگیری از موثر واقع شده تهدیدهای امنیتی می شوند، لیکن نقش عامل انسانی در اعمال این کنترل ها و رعایت آنها و همچنین تضمین موفقیت آنها بسیار کلیدی و تعیین کننده است. از این رو تمامی افراد سازمان اعم از مدیران، کارکنان و افراد فنی و همچنین کاربران سیستم ها و زیرساخت ها باید در زمینه موضوعات کلیدی امنیت اطلاعات دانش لازم را کسب کنند.
افراد فنی خصوصا توسعه دهندگان برنامه های کاربردی، برنامه نویسان، طراحان و معماران شبکه و زیرساخت و نیروهای عملیاتی و پشتیبانی باید با دغدغه های امنیتی و ساز و کارهای ایمن سازی سیستم ها و زیرساخت ها آشنا باشند. در صورتی که برنامه نویسان، تهدیدهای امنیتی را به درستی نشناسند و روش های رویارویی با آنها را ندانند نمی توانند سیستم را در مواجهه با این تهدیدها ایمن کنند. همچنین آنها باید آسیب پذیری های متداول در سیستم های اطلاعاتی را درک کرده و از بروز این آسیب پذیری ها اجتناب کنند.
مدیران ارشد باید ضرورت و اهمیت امنیت اطلاعات در سازمان را درک کنند. با روش های تحلیل ریسک آشنا بوده و بتوانند در خصوص ریسک های کلیدی امنیت اطلاعات تصمیم گیری کنند. مدیران در سطوح مختلف معمولا دارای دسترسی های گسترده تری در سیستم ها هستند. چنین دسترسی هایی می تواند به صورت بالقوه آسیب پذیری بیشتری را به همراه داشته باشد. از این رو آنها باید تلاش کنند تا از شناسه کاربری، رمز عبور و سایر ساز و کارهای احراز هویت شخصی مراقبت بیشتری کنند تا توسط هکرها مورد سواستفاده قرار نگیرد.
کاربران عادی نیز به صورت گسترده در معرض تهدیدهای امنیتی از جمله فیشینگ و دزدی هویت هستند. پست الکترونیکی و پیام های دیجیتالی که برای کاربران ارسال می شود ممکن است با هدف سواستفاده از آنها و گرفتار نمودن آنها در دام تهدیدهای امنیتی ایجاد شده باشند. براین اساس آگاهی و دانش مطلوب کاربران می تواند به ارتقای اثربخشی کنترل های فنی در سازمان کمک کند.
آزمون کنترل
- آیا نیازسنجی در خصوص نیازمندی های آموزشی کارکنان سازمان در حوزه امنیت اطلاعات انجام شده است؟
- آیا برنامه های آموزشی و فرهنگ سازی به صورت رسمی و مدون برای مخاطبان مختلف در سازمان طراحی شده است؟
- آیا برنامه های آموزشی امنیت اطلاعات به شیوه ای اثربخش اجرا می شوند؟