نکات برتر برای ساخت یک فایروال انسانی

با آموزش امنیتی جذاب و کاربردی شروع کنید

یک جلسه آموزشی یک‌باره کافی نیست. همان‌طور که تمرین آتش‌سوزی به‌صورت منظم برگزار می‌شود، آگاهی از امنیت سایبری نیز باید مداوم، عملی، و بر اساس سناریوهای واقعی باشد.
کارکنان زمانی بهتر یاد می‌گیرند که تمرین کرده باشند. از مثال‌های واقعی استفاده کنید: مانند یک فاکتور جعلی از یک تأمین‌کننده، یا ایمیلی فوری برای تغییر رمز عبور با دامنه جعلی.
هرچه مثال‌ها واقعی‌تر باشند، آمادگی تیم شما بیشتر خواهد بود.

حملات را شبیه‌سازی کنید و درباره‌شان صحبت کنید

کمپین‌های فیشینگ شبیه‌سازی‌شده یکی از بهترین روش‌ها برای آموزش و ارزیابی هستند. این روش‌ها نشان می‌دهند چه کسانی در معرض خطر بیشتری هستند و آموزش هدفمندتری را می‌طلبند.
اما فقط به ثبت کلیک بسنده نکنید. گفت‌وگو را باز کنید:

• چه نشانه‌هایی هشداردهنده بودند؟
• چرا ایمیل مشکوک بود؟
• چطور باید گزارش داده می‌شد؟

مثلاً اگر یک شرکت خدمات مالی در شبیه‌سازی فیشینگ متوجه شود بعضی کارکنان ایمیل را برای همکارانشان فوروارد کرده‌اند با پرسش «به‌نظرت واقعیه؟» این خودش فرصت آموزشی ارزشمندی است. سکوت به‌معنای امنیت نیست.

فرهنگ گزارش‌دهی بدون سرزنش ایجاد کنید

امنیت سایبری یک کار تیمی است. اگر یکی از کارکنان روی لینک مخرب کلیک کرد، باید بتواند بدون ترس از تنبیه آن را گزارش کند.
هرچه IT زودتر از خطا مطلع شود، امکان کاهش خسارت بیشتر است.
فرهنگی ایجاد کنید که در آن گزارش خطا بهتر از پنهان کردن آن باشد.

رفتار امن را ساده کنید

اگر امنیت پیچیده شود، کاربران میان‌بر می‌زنند. این طبیعت انسان است. وظیفه ما ساده‌سازی امنیت است:

• ورود یکپارچه (Single Sign-On)
• استفاده از مدیریت رمز عبور
• فعال‌سازی احراز هویت چندمرحله‌ای بدون ایجاد مزاحمت

مثلاً قرار دادن نوار هشدار رنگی روی ایمیل‌های خارجی باعث می‌شود کاربران قبل از کلیک، بیشتر دقت کنند.

امنیت را وارد مکالمات روزمره کنید

بهترین برنامه‌های امنیتی، جزیره‌ای نیستند. در جلسات تیمی، خبرنامه داخلی، جلسات معارفه و حتی نهارهای کاری باید امنیت حضور داشته باشد.
با اخبار واقعی حملات مطرح کنید:
«اگه این حمله برای ما اتفاق می‌افتاد، چه کار می‌کردیم؟»

واقعی‌سازی و مرتبط کردن، کلید ماندگاری است.