امنیت سایبری را جدی بگیرید! نکاتی برای کنترل امنیت

با پیدایش اینترنت و گسترش آن، اهمیت امنیت سایبری در این فضا هم به‌شکل قابل‌توجهی افزایش پیدا کرد. مخصوصاً از زمانی که انسان‌ها اطلاعات مهمی را در ایمیل‌ها، چت‌های خصوصی، وب‌سایت‌های شخصی و … نگهداری می‌کنند.

این اطلاعات مهم ممکن است داده‌های محرمانه یک کسب‌وکار باشد. شاید هم عکس‌های خانوادگی که قاعدتاً نباید دست نااهلان بیفتد. هرچه که باشد، هیچکس دوست ندارد اطلاعاتش را فاش شده ببیند. به همین خاطر، تصمیم گرفتیم راجع‌به این موضوع مقاله‌ای تهیه کنیم و درمورد کنترل امنیت صحبت کنیم.

همان‌طور که می‌دانید، تمرکز اصلی ما بر فضای اینترنت خواهد بود؛ اما در برخی قسمت‌های مقاله‌، اشاراتی کلی به مبحث امنیت در دنیای واقعی هم خواهیم داشت.

منظور از کنترل امنیت چیست؟

 هر اقدامی که به‌منظور جلوگیری از ریسک‌های امنیتی، شناسایی و مقابله با آن‌ها و حتی کاهش خطرات امنیتی انجام شود، شکلی از کنترل امنیت است. این اقدامات ممکن است برای حفاظت از اموال فیزیکی مجموعه مورد استفاده قرار بگیرد یا صرفا از داده‌ها و اطلاعات رایانه‌ها مراقبت نماید.  این ایده که «دسترسی به داده‌ها و اطلاعات اساسی و محرمانه را محدود به افراد مجاز داخل سازمان کنیم» تعریف اختصاصی‌تر از کنترل امنیت است.

درمورد داده‌ها، ساده‌ترین اقدامی که می‌توان جهت حفاظت از آن‌ها انجام داد، کنترل دسترسی‌ها است؛ یعنی فقط افراد مجاز داخل سازمان بتوانند به داده‌ها و اطلاعات محرمانه کسب‌وکار دسترسی داشته باشند.

کنترل امنیت چه اهمیتی دارد؟

اگر فکر می‌کنید به‌خاطر کوچک بودن کسب‌وکارتان، اسیر دام هکرها نخواهید شد، باید بدانید هدف نیمی از حملات سایبری، مشاغل نوپا و کوچک مثل شما هستند! چراکه معمولاً بزرگ‌تر‌ها، راهکارهای مشخصی برای محافظت از داده‌های‌شان دارند.

انواع کنترل امنیت

دارایی‌ها می‌توانند دامنه بسیار وسیعی داشته باشند. به همین جهت، مدیریت امنیت همه بخش‌های آن پیچیده است. از سخت‌افزارها و نرم‌افزارها گرفته تا داده‌ها و اطلاعات، نیاز به کنترل امنیت دارند. با این حال، پیش از انتخاب روش مورد نظر برای کنترل امنیت، لازم است هدفمان را مشخص کنیم. در این صورت، خطرات احتمالی راحت‌تر تخمین زده می‌شوند و ارزیابی نهایی ساده‌تر انجام می‌گیرد. به‌طور کلی، کنترل امنیت شامل موارد زیر خواهد بود:

۱) کنترل امنیت دارایی‌های فیزیکی

این روش کنترل امنیت، شامل ایجاد حصار، قفل، حفاظ، دوربین‌ها، حس‌گرها و ابزار فیزیکی است. مثلاً دیتاسنترها برای محافظت از سرورها، از انواع اقسام این روش‌ها استفاده می‌کنند.

۲) کنترل امنیت دارایی‌های دیجیتال

فراهم نمودن تمهیداتی مانند نام کاربری و رمز عبور، احراز هویت دو مرحله‌ای، آنتی ویروس و فایروال زیرمجموعه این طبقه هستند. برای آشنایی بیشتر با فایروال، می‌توانید مقاله فایروال وب را بخوانید.

۳) کنترل امنیت دارایی‌های سایبری

کنترل امنیت سایبری، به‌طور خاص برای جلوگیری از حملات سایبری به اطلاعات و داده‌ها به کار می‌رود. سیستم جلوگیری از نفوذ و کاهش حملات DDOS از انواع این روش هستند.

۴) کنترل امنیت دارایی‌ها ابری

همان‌طور که از نام آن مشخص است،  کنترل امنیت ابری مربوط به تامین امنیت داده‌ها در فضای ابری است. این شکل از کنترل امنیت، مربوط به استفاده از فضای ابری و همچنین قوانین و چارچوب‌های مرتبط با آن است. 

برخی دیگر از منابع، کنترل امنیت را به سه دسته تقسیم می‌کنند. ابتدا اینفوگرافیک زیر را ببینید

•  این دسته مشابه تقسیم‌بندی بالا، مربوط به کنترل امنیت فیزیکی است. به‌طور کلی تأمین یکپارچگی و حفاظت از پرسنل، داده‌ها و سخت‌افزارها در برابر تهدیدات فیزیکی زیرمجموعه این دسته هستند.
• دسته دوم کنترل امنیت عملیاتی، فنی یا منطقی است که تقریبا مشابه کنترل امنیت دیجیتال تعریف می‌شود. این دسته، استفاده از سخت‌افزار و نرم‌افزار را برای کنترل امنیت پیشنهاد می‌کند.
•  آخرین دسته، کنترل امنیت اداری یا عملکردی است. این گروه شامل سیاست‌ها، کنترل‌ها و راهنمایی‌هایی است که بر ورود و خروج داده‌ها و دسترسی کارمندان به آن‌ها نظارت می‌کند.  مدیر سازمان با طراحی کلی کنترل‌های اداری، راهنمایی‌ها و آموزش‌ها، تدوین قوانین و نظارت بر اجرا، امنیت اداری و عملکردی را تامین می‌نماید. مدیریت کنترل امنیت، یکی از مهم‌ترین اقدامات هر سازمان برای تأمین امنیت است. 

در بخش بعدی، راجع‌به برخی چارچوب‌هایی که کنترل امنیت را ممکن می‌کنند صحبت خواهیم کرد.

چارچوب‌های کنترل امنیت

اینفوگرافیک زیر، مشکلات اصلی موجود در امنیت سایبری را به‌همراه درصد هرکدام نشان می‌دهد:

سیستم‌های گوناگون، استانداردها و چارچوب‌های متفاوتی را برای کنترل امنیت پیشنهاد می‌کنند.  این چارچوب‌ها کمک می‌کنند کنترل امنیت بر اساس یک روش آزموده و تاییدشده انجام شود. همچنین به اولویت‌بندی آسیب‌ها، برای اثربخشی کنترل امنیت کمک می‌کنند. 

برای مثال در سال ۲۰۱۴، مؤسسه ملی فناوری و استانداردهای آمریکا (NIST)، چارچوبی را به‌عنوان پیشنهاد ارائه داد و در آن به نحوه جلوگیری، شناسایی و اصلاح حملات سایبری پرداخت. از این استانداردها، به‌عنوان راهنما برای تائید اجرای کنترل امنیت در سازمان‌ها استفاده می‌شود. همچنین خوب است بدانید، این استانداردها دائماً به‌روزرسانی می‌شوند.

همچنین، مرکز کنترل امنیت اینترنت (CIS یا نام سابق آن SANS) نیز لیستی از اقدامات دفاعی به تناسب اولویت آن‌ها ارائه داده است. هر سازمان یا کسب‌وکار کوچک یا بزرگی، برای جلوگیری از حملات سایبری، می‌تواند با این لیست کنترل امنیت خود را شروع کند. این موارد بر اساس الگوهای مورد استفاده در حملات سایبری آماده شده‌اند و در جامعه گسترده‌ای مورد استفاده قرار گرفته‌اند؛ بنابراین، کاربرد و اثربخشی آن‌ها کاملاً موردتائید است.

یک چارچوب خوب و کاربردی برای کنترل امنیت باید اجرای موارد زیر را تضمین کند:

• اجرای سیاست‌های امنیتی IT در جهت کنترل امنیت
• آموزش دستورالعمل‌های امنیتی به کارکنان و کارمندان مجموعه
• انطباق با مقررات و آیین‌نامه‌ها
• کارایی و قابل اجرا بودن اصول کنترل امنیت
• ارزیابی امنیت و رسیدگی مستمر به خطرات حملات سایبری

حملات سایبری، معمولا ضعیف‌ترین و آسیب‌پذیرترین ناحیه را هدف قرار می‌دهند. بلدکارها می‌گویند،  قدرت شما، به اندازه ضعیف‌ترین ناحیه کسب‌وکارتان است. به همین خاطر، لازم است با بهره‌گیری از استراتژی‌های کنترل امنیت، به تقویت این نواحی اقدام کنید. 

فرقی نمی‌کند با چه روشی امنیت را تأمین و کنترل می‌کنید. تمام روش‌های این کار از ۳ مرحله اصلی تشکیل شده‌اند.

مراحل اصلی تأمین و کنترل امنیت سایبری

فارغ از تفاوت در جزئیات، هر چارچوب و روش کنترل امنیت، شامل ۳ مرحله زیر است:

۱.  پیشگیری

لازمه پیشگیری این است که ابتدا خطرات را توصیف و تعریف کنیم. هر اقدام یا عمل غیر مجاز باید تعیین و روش‌های جلوگیری از آن مهیا شود. از ابزارهای مورد استفاده در این مرحله می‌توان به آنتی ویروس و فایروال اشاره کرد.

۲.   تشخیص

در مرحله تشخیص، برای برخورد و مقابله با عوامل تهدیدکننده، راه‌حل‌های مناسب را توصیف و اقدامات مورد نیاز را شناسایی می‌کنیم. استفاده از آلارم و حس‌گرهای هوشمند زیرمجموعه این روش هستند.

۳.   اصلاح

پس از شناسایی و تشخیص اقدامات مخرب، نیاز به اصلاح و ترمیم خواهیم داشت! در این مرحله، هدف اصلی بازگرداندن شرایط امنیتی به حالت قبل خواهد بود.

در جدول زیر، مثال‌هایی برای انواع کنترل امنیت و عملکردهای آن آورده‌ایم:

پس از انجام این اقدامات، باید کارایی آن‌ها را زیر ذره‌بین برد.

ارزیابی کنترل امنیت

ارزیابی کنترل امنیت، اقدامی واجب برای تشخیص نواحی آسیب‌پذیر است. برای جلوگیری از شکست اقدامات کنترل امنیت، باید اهمیت ویژه‌ای برای این بخش قائل شوید. ارزیابی کنترل امنیت شامل سه قسمت اصلی است:

1. آیا روش‌های کنترل امنیتی به درستی اجرا می‌شوند؟
2. آیا این روش‌ها طبق پیش‌بینی‌های قبلی عمل می‌کنند؟
3. آیا این روش‌ها تمام نیازهای امنیتی را مرتفع می‌سازند؟

با پاسخ به این ۳ پرسش و منظم کردن الویت‌ها، گرفتن نتیجه مناسب تضمینی است!

سخن آخر

اهمیت امنیت اطلاعات را دست کم نگیرید! کسب‌وکارهای زیادی وجود داشتند که از این طریق آسیب‌های جبران‌ناپذیری دیدند.

شاید از نظر شما، اینکه دیگران به اطلاعات شخصی شما یا به داده‌های اداری بر روی رایانه‌های محل کارتان دسترسی داشته باشند، موضوع بی‌اهمیتی باشد. اما امکان سوءاستفاده از این اطلاعات وجود دارد و این مشکل را فقط زمانی درک می‌کنیم که دیگر کار از کار گذشته باشد.