راهنمای امنیت اطلاعات برای کارمندان

یک راهنمای امنیت اطلاعات می‌تواند به کاهش خطاهای مربوطه کمک کند اما راهنمای صفر تا صد هم برای خود چالشی است. به همین منظور، یک طرح کلی و راهنمایی پایه‌ای خدمتتان ارائه خواهیم داد که می‌توانید با کمی افزودن مشخصه‌های منحصر به فرد آن را به شاکله شرکت خود تزریق کرده و با قوانین و مقررات خود سازگار کنید. با ما همراه بمانید.

به عقیده‌ی ما این راهنما یک استاندارد است، شامل الزامات می‌شود و فقط به کمی شخصی‌سازی نیاز داد. به محض اینکه کمی تغییرات لازم را رویش پیاده کردید تمام نیازهایتان را پوشش خواهد داد. بعد از آماده شدن این طرح آن‌ را پنهان نکنید، بگذارید همه کارمندان با آن آشنا شوند.

دسترسی به سیستم‌ها و سرویس‌های سازمانی

1. برای همه اکانت‌های خود از پسوردهای قوی استفاده کنید- دست کم 12 کاراکتر شامل هیچ حرفی در دیکشنری و البته شامل کاراکترهای خاص و عددها. مهاجمین می‌توانند براحتی روی پسوردهای ساده حمله جستجوی فراگیر انجام دهند.
2. برای هر اکانت خود یک رمزعبور منحصر به فرد بسازید. اگراز پسوردها دوباره استفاده کنید آنوقت با یک نشت داده در یک سرویس مجزا همه‌ی سرویس‌های دیگر هم قربانی خواهند شد.
3. پسوردها را به کسی نشان ندهید (استثنا هم قائل نشوید). آن‌ها را ننویسید و در یک فایل جداگانه هم ذخیره نکنید. آن‌ها را همچنین با همکاران خود نیز به اشتراک نگذارید. یک بازدیدکننده رندوم از دفتر یا همکاری که از شرکت بیرون رفته می‌تواند برای ضربه زدن به شرکت از این پسوردها استفاده کند.
4. احراز هویت دوعاملی را برای هر سرویسی که اجازه‌اش را می‌دهد فعال کنید. استفاده از احراز هویت دوعاملی باعث می‌شود مهاجم نتواند به سرویس دسترسی پیدا کند حتی اگر پسورد نشت بشود.

داده‌های شخصی

5. داکیومنت‌هایی را که نمی‌خواهید به جای صرفاً بیرون انداختنشان، آن‌ها را خرد کنید. اطلاعات محرمانه و شخصی در سطل آشغال از جمله طعمه‌های چرب و نرم مهاجمین است.
6. از کانال‌های امن برای تبادل فایل‌های حاوی داده‌های شخصی استفاده کنید (برای مثال داکیومنت‌های گوگل داک خود را با برخی از همکاران خود به اشتراک بگذارید نه با گزینه‌ی «anyone with the link»در غیر این صورت گوگل می‌تواند اسناد نتایج را در موتور جستجو فهرست کند).
7. داده‌های شخصی کلاینت‌ها را با همکاران بر پایه‌ی یک قانون سفت و سخت به اشتراک بگذارید. علاوه بر اینکه این حرکت رگولاتورها را به دردسر می‌اندازد همچنین اشتراک‌گذاری داده‌ها هم ریسک نشت اطلاعات را افزایش می‌دهد.

تهدیدهای سایبری مشترک

8. لینک‌های داخل ایمیل‌ها را پیش از کلیک کردن به دقت بررسی کنید و یادتان باشد اگر نام فرستنده متقاعدکننده باشد باز هم تضمینی برای پاک بودن پیغام نیست. مجرمان سایبری از ترفندهای مختلفی برای فریب افراد استفاده می‌کنند تا کاربران روی لینک‌های فیشینگ کلیک کننند؛ یکی از این ترفندها استفاده از اکانت سرقت‌شده‌ی یک همکار است.
9. برای مدیران مالی و بودجه‌بندی توصیه‌مان این است که هرگز پول را به اکانت‌های ناشناس فقط و فقط روی حساب یک ایمیل یا مسیج دایرکت انتقال ندهید. در عوض مستقیماً با خود فردی که قرار بوده این انتقال وجه را تأیید کند تماس بگیرید.
10. فلش‌درایوهای ناشناس را به کناری بگذارید و مدیای پیدا‌شده را به کامپیوتر وصل نکنید. حملات از طریق فلش‌درایوهای آلوده فقط در داستان‌های خیالی وجود ندارند- مجرمان سایبری می‌توانند در میان عموم و در دفاتر دستگاه‌های آلوده جاگذاری کنند و این کار را هم قبلاً به کرات کرده‌اند.
11. پیش از باز کردن فایل مطمئن شوید آن فایل قابل اجرا نیست (مهاجمین اغلب فایل‌های مخرب خود را داکیومنت‌های شرکت جا می‌زنند). از منابع غیرقابل‌اعتماد فایل‌های قابل‌اجرا را باز و اجرا نکنید.

تماس‌های اضطراری

• حواستان باشد موقع دریافت ایمیلی مشکوک، رفتار عجیب کامپیوتر، یادداشت باج‌افزار و یا هر مشکل قابل‌تأمل دیگری، مراتب را به فرد یا نهاد مطمئنی برسانید (شاید یک افسر پلیس، مدیر سیستم یا صاحب کسب و کار).

اینها توصیه‌هایی بسیار ابتدایی بودند که البته باید هر کارمندی در شرکت از آن‌ها مطلع باشد. با این حال برای هشیاری بیشتر در خصوص تهدیدهای سایبری توصیه می‌کنیم آموزش‌های تخصصی را لحاظ کنید.