حفاظت از اطلاعات یک مجموعه، کار آسانی نیست و تخصص و مهارت خاص خود را میطلبد.
منبع : روزنامه دنیای اقتصاد
حفاظت از اطلاعات یک مجموعه، کار آسانی نیست و تخصص و مهارت خاص خود را میطلبد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، اطلاعات در دنیای امروز حرف اول را میزند بهگونهایکه بسیاری از تحلیلگران، جنگ آینده را جنگ بر سر اطلاعات عنوان کردهاند. به این معنی که هر شخص، نهاد، شرکت یا کشوری که اطلاعات بیشتری در اختیار داشتهباشد، قطعا برگ برنده یا همان ابتکارعمل را در دست خواهد داشت. از این منظر، کسب اطلاعات و مهمتر از آن، حفاظت از اطلاعات جمعآوری شده توسط شرکتها میتواند بسیار حائز اهمیت باشد و دانستن راهکارهایی برای ممانعت از ورود هکرها و نرمافزارهای جاسوسی به شبکههای اطلاعاتی مجموعهها از اولویتهای اصلی بهشمار میرود.
رمزگذاری اطلاعات این روزها استفاده از رمز در میان کاربران، بسیار رایج شدهاست، بهگونهایکه از رمز برای هارددیسکها، فلشهای USB و گوشیهای موبایل استفادهمیکنند. حال اطلاعات نیز از این قاعده مستثنی نیستند و باید رمزگذاری صحیح و بیعیب و نقصی روی آنها انجام شود. به بیانی دیگر برای بالابردن ضریب امنیتی اطلاعات، باید قبل از اشتراکگذاری آنها در کلاود یا دیگر دستگاههای ذخیرهسازی قابلحمل، از رمزگذاری مناسب روی آن بهره برد. از این طریق، دسترسی افراد خارج از مجموعه به اطلاعات حساس و مهم شرکت مسدود خواهد شد.
حفاظت از اطلاعات موجود در کلاود فضای ابری یا همان کلاود به یکی از اجزای جداییناپذیر عصر دیجیتال تبدیل شدهاست. امروزه بسیاری از شرکتها اطلاعات خود را در فضای ابری ذخیره و نگهداری میکنند؛ اما سوالی که پیش میآید این است که این فضا تا چه حد امن و بیخطر است؟
خوشبختانه، شرکتهای فعال در این حوزه اقدامات مثبتی را انجام دادهاند، اما بازهم بسیاری از مدیران نسبت به حفاظت اطلاعات خود در این بستر مردد هستند. از اینرو، بسیاری از شرکتهای بزرگ و کوچک دنیا از ابزارهای تخصصی حفاظت از اطلاعات در فضای ابری بهره میگیرند. یا اینکه تنها بخشی از اطلاعات خود را در این فضا ذخیره و محدودیتهایی را برای نوع اطلاعات قابل ذخیره در کلاود تعیین میکنند.
آموزش به کارمندان از نیروی کار انسانی همواره بهعنوان بزرگترین تهدید برای زنجیره اطلاعات یک مجموعه یاد میشود. طبق بررسیهای صورتگرفته، اشتباهات کارمندان، خواه ارادی یا غیر ارادی، حدود ۵۴درصد از نشت یا درز اطلاعات به بیرون مجموعه را تشکیل میدهد. از این جهت، بسیاری از شرکتهای بزرگ آموزشهای لازم را به کارمندان خود درخصوص قوانین حفاظت از اطلاعات و سیاستهای امنیت سایبری مجموعه ارائه میدهند تا از این طریق، میزان حساس بودن اطلاعات و نقشی که آنها ایفا میکنند، تبیین شود.
مدیریت سیاست BYOD چند سالی است که شرکتها به سیاست BYOD روی آوردهاند. به این معنی که کارمندان میتوانند دستگاههایی همچون لپتاپ، موبایل، فلش و ... شخصی خود را به محل کار آورده و از آنها استفاده کنند. اگرچه این کار ممکن است در نگاه اول، کاهش هزینهها و افزایش بازدهی را بهدنبال داشتهباشد، اما فراموش نکنید که با این کار، امنیت اطلاعات مجموعه نیز بهشدت در معرض نفوذ هکرها قرار خواهدگرفت. به بیانی دیگر، سیستمها و دستگاههای شخصی کاربران از دیوارهای امنیتی قابل اطمینانی برخوردار نیستند و در عمل، اطلاعات حساس مجموعه در معرض آسیبپذیری و خروج از شرکت قرار میگیرد. بنابراین، بسیاری از شرکتها محدودیتهایی را در نوع اطلاعاتی تعریف میکنند که کارمندان میتوانند به دستگاههای خود منتقل کنند. از طرف دیگر، امنیت دستگاههای مورد استفاده نیز بهشدت کنترل و تامین میشود. در واقع، کارمندان باید خود را با سیاستها و خطمشی شرکت در حفاظت از اطلاعات وفق دهند و اگر این چنین عمل نشود، اجازهای برای انتقال اطلاعات نخواهند داشت.
استفاده از راهکارهای امنیتی چندلایه ویروسها تنها تهدیدهای امنیتی برای اطلاعات شرکتها و مجموعهها بهشمار نمیروند. در این میان، هکرهایی نیز وجود دارند که بسیار حرفهای و پیچیده عمل میکنند و از اینرو، استفاده از چند لایه امنیتی برای جلوگیری از نفوذ آنها به شبکههای اطلاعاتی امری حیاتی محسوب میشود.
استفاده از رمزهای عبور پیچیده متاسفانه بسیاری از کاربران و مدیران شرکتها از رمزهای عبور ساده، کوتاه و قابلحدس برای حفاظت از اطلاعات مجموعه خود استفادهمیکنند. اقدامی که دست هکرها را برای ورود به دیتابیس مجموعه و سرقت اطلاعات حیاتی و حساس باز میگذارد. از این جهت، تاکید میشود از رمزهای عبور طولانی و قوی حاوی حروف، اعداد و علامتهای مختلف استفاده شده و هر چند وقت یکبار نیز این رمزها تغییر یابند.
حفاظت از اطلاعات ساختارنیافته شرکتها اغلب اطلاعات خود را بهطور منظم و بهصورت ساختاریافته نگهداری میکنند که البته از این اطلاعات نیز با ضریب امنیتی بالا محافظت میشود، اما اطلاعاتی نیز بهصورت غیرمنظم و ساختارنیافته و در فضاهایی همچون اینباکس ایمیل ذخیرهمیشوند که بهشدت در معرض آسیبپذیری هستند. طبق بررسیهای صورتگرفته، حدود ۶۰ درصد از حملات سایبری از طریق ایمیلها انجاممیشود که همواره حاوی اطلاعات حیاتی و مهمی است که بنابه دلایل مختلف از توجه مدیران دور ماندند. پیشنهاد میشود که این اطلاعات نیز بهصورت دقیق و در دستهبندیهای مشخص، مرتب شوند تا حفاظت از آنها نیز در اولویت قرار گیرد.
استفاده از سیستمهای خنککننده دیتاسنترهای بزرگ اگرچه میتوانند حجم زیادی از اطلاعات را در خود جای دهند، اما بهطور قابلتوجهی در معرض گرمشدن بیش از حد هستند. مسئلهای که اگر به آن توجه نشود، میتواند با آسیب رساندن به قطعات سختافزاری، عواقب جبرانناپذیری را بهدنبال داشتهباشد. به همین جهت، کسبوکارها باید در مرحله اول به فکر تهیه سیستم خنککننده مناسب برای پایینآوردن دمای دیتاسنترهای خود باشند تا گرمای ناشی از فعالیت دستگاهها، آسیبی به اطلاعات وارد نکند.
داشتن نقشهای از اطلاعات ذخیرهشده روی دیتاسنترها شفافیت میتواند نقش تعیینکنندهای در حفاظت و صیانت از اطلاعات داشتهباشد، به این معنی که باید مشخص شود چه اطلاعاتی روی دیتاسنترها و در چه محلهایی ذخیره میشوند. شرکتها میتوانند با شناسایی دقیق جریان ورودی اطلاعات و نقاط آسیبپذیر آنها، تصمیمات آگاهانهای را درخصوص اقدامات موردنیاز برای حفاظت از اطلاعات خود اتخاذ کنند. شرکتهای بزرگ برای این منظور از ابزارهای خاصی برای اسکن و بررسی شبکههای اطلاعاتی کسبوکار خود استفادهمیکنند تا از این طریق اطلاعات حساس و مشکوک را شناسایی کرده و در صورت لزوم آنها را حذف یا رمزگذاری کنند.
تهیه نسخه پشتیبان از اطلاعات شرکتها و مجموعهها باید برنامه مشخصی را برای تهیه نسخه پشتیبان از اطلاعات خود داشتهباشند. اقدامی ضروری که اگر بهصورت دقیق و مشخص انجام شود، میتواند در صورت بروز هرگونه آسیب برای دیتاسنترها یا از دست رفتن اطلاعات به هر دلیلی، چند گیگابایت اطلاعات را برگرداند.
آمادگی برای وقوع هرگونه اتفاقات پیشبینی نشده و بلای طبیعی اگرچه نمیتوان پیشبینی درستی از بلایای طبیعی داشت، اما شرکتها باید اقدامات لازم را برای محافظت از دیتاسنترهای خود در برابر حوادثی همچون زلزله، توفان، سیل و ... تدارک ببینند تا در صورت وقوع، دیتاسنترها و اطلاعات حیاتی خود را حفظ کنند.
در پایان باید گفت حفاظت از اطلاعات یک مجموعه، کار آسانی نیست و تخصص و مهارت خاص خود را میطلبد. با اینحال، میتوان از طریق بهکارگیری راهکارهای فوق یا دیگر موارد مشابه، در بدبینانهترین حالت، مسیر دسترسی هکرها و بدافزار به شبکههای اطلاعاتی مجموعهها را دشوار یا در بهترین حالت مسدود کرد.