با پیدایش اینترنت و گسترش آن، اهمیت امنیت سایبری در این فضا هم بهشکل قابلتوجهی افزایش پیدا کرد. مخصوصاً از زمانی که انسانها اطلاعات مهمی را در ایمیلها، چتهای خصوصی، وبسایتهای شخصی و … نگهداری میکنند.
این اطلاعات مهم ممکن است دادههای محرمانه یک کسبوکار باشد. شاید هم عکسهای خانوادگی که قاعدتاً نباید دست نااهلان بیفتد. هرچه که باشد، هیچکس دوست ندارد اطلاعاتش را فاش شده ببیند. به همین خاطر، تصمیم گرفتیم راجعبه این موضوع مقالهای تهیه کنیم و درمورد کنترل امنیت صحبت کنیم.
همانطور که میدانید، تمرکز اصلی ما بر فضای اینترنت خواهد بود؛ اما در برخی قسمتهای مقاله، اشاراتی کلی به مبحث امنیت در دنیای واقعی هم خواهیم داشت.
منظور از کنترل امنیت چیست؟
هر اقدامی که بهمنظور جلوگیری از ریسکهای امنیتی، شناسایی و مقابله با آنها و حتی کاهش خطرات امنیتی انجام شود، شکلی از کنترل امنیت است. این اقدامات ممکن است برای حفاظت از اموال فیزیکی مجموعه مورد استفاده قرار بگیرد یا صرفا از دادهها و اطلاعات رایانهها مراقبت نماید. این ایده که «دسترسی به دادهها و اطلاعات اساسی و محرمانه را محدود به افراد مجاز داخل سازمان کنیم» تعریف اختصاصیتر از کنترل امنیت است.
درمورد دادهها، سادهترین اقدامی که میتوان جهت حفاظت از آنها انجام داد، کنترل دسترسیها است؛ یعنی فقط افراد مجاز داخل سازمان بتوانند به دادهها و اطلاعات محرمانه کسبوکار دسترسی داشته باشند.
کنترل امنیت چه اهمیتی دارد؟
اگر فکر میکنید بهخاطر کوچک بودن کسبوکارتان، اسیر دام هکرها نخواهید شد، باید بدانید هدف نیمی از حملات سایبری، مشاغل نوپا و کوچک مثل شما هستند! چراکه معمولاً بزرگترها، راهکارهای مشخصی برای محافظت از دادههایشان دارند.
انواع کنترل امنیت
داراییها میتوانند دامنه بسیار وسیعی داشته باشند. به همین جهت، مدیریت امنیت همه بخشهای آن پیچیده است. از سختافزارها و نرمافزارها گرفته تا دادهها و اطلاعات، نیاز به کنترل امنیت دارند. با این حال، پیش از انتخاب روش مورد نظر برای کنترل امنیت، لازم است هدفمان را مشخص کنیم. در این صورت، خطرات احتمالی راحتتر تخمین زده میشوند و ارزیابی نهایی سادهتر انجام میگیرد. بهطور کلی، کنترل امنیت شامل موارد زیر خواهد بود:
۱) کنترل امنیت داراییهای فیزیکی
این روش کنترل امنیت، شامل ایجاد حصار، قفل، حفاظ، دوربینها، حسگرها و ابزار فیزیکی است. مثلاً دیتاسنترها برای محافظت از سرورها، از انواع اقسام این روشها استفاده میکنند.
۲) کنترل امنیت داراییهای دیجیتال
فراهم نمودن تمهیداتی مانند نام کاربری و رمز عبور، احراز هویت دو مرحلهای، آنتی ویروس و فایروال زیرمجموعه این طبقه هستند. برای آشنایی بیشتر با فایروال، میتوانید مقاله فایروال وب را بخوانید.
۳) کنترل امنیت داراییهای سایبری
کنترل امنیت سایبری، بهطور خاص برای جلوگیری از حملات سایبری به اطلاعات و دادهها به کار میرود. سیستم جلوگیری از نفوذ و کاهش حملات DDOS از انواع این روش هستند.
۴) کنترل امنیت داراییها ابری
همانطور که از نام آن مشخص است، کنترل امنیت ابری مربوط به تامین امنیت دادهها در فضای ابری است. این شکل از کنترل امنیت، مربوط به استفاده از فضای ابری و همچنین قوانین و چارچوبهای مرتبط با آن است.
برخی دیگر از منابع، کنترل امنیت را به سه دسته تقسیم میکنند. ابتدا اینفوگرافیک زیر را ببینید
- این دسته مشابه تقسیمبندی بالا، مربوط به کنترل امنیت فیزیکی است. بهطور کلی تأمین یکپارچگی و حفاظت از پرسنل، دادهها و سختافزارها در برابر تهدیدات فیزیکی زیرمجموعه این دسته هستند.
- دسته دوم کنترل امنیت عملیاتی، فنی یا منطقی است که تقریبا مشابه کنترل امنیت دیجیتال تعریف میشود. این دسته، استفاده از سختافزار و نرمافزار را برای کنترل امنیت پیشنهاد میکند.
- آخرین دسته، کنترل امنیت اداری یا عملکردی است. این گروه شامل سیاستها، کنترلها و راهنماییهایی است که بر ورود و خروج دادهها و دسترسی کارمندان به آنها نظارت میکند. مدیر سازمان با طراحی کلی کنترلهای اداری، راهنماییها و آموزشها، تدوین قوانین و نظارت بر اجرا، امنیت اداری و عملکردی را تامین مینماید. مدیریت کنترل امنیت، یکی از مهمترین اقدامات هر سازمان برای تأمین امنیت است.
در بخش بعدی، راجعبه برخی چارچوبهایی که کنترل امنیت را ممکن میکنند صحبت خواهیم کرد.
چارچوبهای کنترل امنیت
اینفوگرافیک زیر، مشکلات اصلی موجود در امنیت سایبری را بههمراه درصد هرکدام نشان میدهد:
سیستمهای گوناگون، استانداردها و چارچوبهای متفاوتی را برای کنترل امنیت پیشنهاد میکنند. این چارچوبها کمک میکنند کنترل امنیت بر اساس یک روش آزموده و تاییدشده انجام شود. همچنین به اولویتبندی آسیبها، برای اثربخشی کنترل امنیت کمک میکنند.
برای مثال در سال ۲۰۱۴، مؤسسه ملی فناوری و استانداردهای آمریکا (NIST)، چارچوبی را بهعنوان پیشنهاد ارائه داد و در آن به نحوه جلوگیری، شناسایی و اصلاح حملات سایبری پرداخت. از این استانداردها، بهعنوان راهنما برای تائید اجرای کنترل امنیت در سازمانها استفاده میشود. همچنین خوب است بدانید، این استانداردها دائماً بهروزرسانی میشوند.
همچنین، مرکز کنترل امنیت اینترنت (CIS یا نام سابق آن SANS) نیز لیستی از اقدامات دفاعی به تناسب اولویت آنها ارائه داده است. هر سازمان یا کسبوکار کوچک یا بزرگی، برای جلوگیری از حملات سایبری، میتواند با این لیست کنترل امنیت خود را شروع کند. این موارد بر اساس الگوهای مورد استفاده در حملات سایبری آماده شدهاند و در جامعه گستردهای مورد استفاده قرار گرفتهاند؛ بنابراین، کاربرد و اثربخشی آنها کاملاً موردتائید است.
یک چارچوب خوب و کاربردی برای کنترل امنیت باید اجرای موارد زیر را تضمین کند:
- اجرای سیاستهای امنیتی IT در جهت کنترل امنیت
- آموزش دستورالعملهای امنیتی به کارکنان و کارمندان مجموعه
- انطباق با مقررات و آییننامهها
- کارایی و قابل اجرا بودن اصول کنترل امنیت
- ارزیابی امنیت و رسیدگی مستمر به خطرات حملات سایبری
حملات سایبری، معمولا ضعیفترین و آسیبپذیرترین ناحیه را هدف قرار میدهند. بلدکارها میگویند، قدرت شما، به اندازه ضعیفترین ناحیه کسبوکارتان است. به همین خاطر، لازم است با بهرهگیری از استراتژیهای کنترل امنیت، به تقویت این نواحی اقدام کنید.
فرقی نمیکند با چه روشی امنیت را تأمین و کنترل میکنید. تمام روشهای این کار از ۳ مرحله اصلی تشکیل شدهاند.
مراحل اصلی تأمین و کنترل امنیت سایبری
فارغ از تفاوت در جزئیات، هر چارچوب و روش کنترل امنیت، شامل ۳ مرحله زیر است:
۱. پیشگیری
لازمه پیشگیری این است که ابتدا خطرات را توصیف و تعریف کنیم. هر اقدام یا عمل غیر مجاز باید تعیین و روشهای جلوگیری از آن مهیا شود. از ابزارهای مورد استفاده در این مرحله میتوان به آنتی ویروس و فایروال اشاره کرد.
۲. تشخیص
در مرحله تشخیص، برای برخورد و مقابله با عوامل تهدیدکننده، راهحلهای مناسب را توصیف و اقدامات مورد نیاز را شناسایی میکنیم. استفاده از آلارم و حسگرهای هوشمند زیرمجموعه این روش هستند.
۳. اصلاح
پس از شناسایی و تشخیص اقدامات مخرب، نیاز به اصلاح و ترمیم خواهیم داشت! در این مرحله، هدف اصلی بازگرداندن شرایط امنیتی به حالت قبل خواهد بود.
در جدول زیر، مثالهایی برای انواع کنترل امنیت و عملکردهای آن آوردهایم:
| عملکرد کنترل امنیت | ||||
| پیشگیری | تشخیص | اصلاح و رفع | ||
| انواع کنترلامنیت | فیزیکی | حفاظها، قفلها | دوربینهای مداربسته | تعمیر آسیبهای فیزیکی، صدور مجدد کارتهای دسترسی |
| عملیاتی | فایروال،نرمافزارهای آنتیویروس، IPS | سیستمهای تشخیص نفوذ | راهاندازی مجدد یک سیستم، قرنطینه یک ویروس | |
| اداری – مدیریتی | سیاستهای شروع و قطع همکاری، تفکیک وظایف | کنترل دسترسی، بررسی تغییرات غیرمجاز | اخراج، احیا و بازسازی مجدد | |
پس از انجام این اقدامات، باید کارایی آنها را زیر ذرهبین برد.
ارزیابی کنترل امنیت
ارزیابی کنترل امنیت، اقدامی واجب برای تشخیص نواحی آسیبپذیر است. برای جلوگیری از شکست اقدامات کنترل امنیت، باید اهمیت ویژهای برای این بخش قائل شوید. ارزیابی کنترل امنیت شامل سه قسمت اصلی است:
- آیا روشهای کنترل امنیتی به درستی اجرا میشوند؟
- آیا این روشها طبق پیشبینیهای قبلی عمل میکنند؟
- آیا این روشها تمام نیازهای امنیتی را مرتفع میسازند؟
با پاسخ به این ۳ پرسش و منظم کردن الویتها، گرفتن نتیجه مناسب تضمینی است!
سخن آخر
اهمیت امنیت اطلاعات را دست کم نگیرید! کسبوکارهای زیادی وجود داشتند که از این طریق آسیبهای جبرانناپذیری دیدند.
شاید از نظر شما، اینکه دیگران به اطلاعات شخصی شما یا به دادههای اداری بر روی رایانههای محل کارتان دسترسی داشته باشند، موضوع بیاهمیتی باشد. اما امکان سوءاستفاده از این اطلاعات وجود دارد و این مشکل را فقط زمانی درک میکنیم که دیگر کار از کار گذشته باشد.
