مايکل واتيس، این وکیل باسابقه، برای مدیران IT که تمایل دارند ریسکهای مربوط به خودیهای نفوذی را کاهش دهند، توصیههایی دارد.
۰
مصاحبه با مایکل واتیس درباره ریسکهای مربوط به خودیهای نفوذی
اين نفـوذگـــران خـودي
مايکل واتيس، این وکیل باسابقه، برای مدیران IT که تمایل دارند ریسکهای مربوط به خودیهای نفوذی را کاهش دهند، توصیههایی دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مايکل واتيس يکي از کارشناسان شرکت حقوقي Steptoe & Johnson LLP است. وي روي اينترنت، تجارت الکترونيک و مسائل مربوط به تکنولوژي متمرکز است و در مورد مسائل مربوط به حريم خصوصي مشاورههاي قانوني، حقوقي و استراتژيک ارائه ميدهد. با او صحبت کرديم تا در مورد جنبههاي مختلف تهديدات مربوط به خوديهاي نفوذي و نقض قوانين، اطلاعات بيشتري کسب کنيم.
از ديدگاه شمـــا، مديران امنيتي و در کل، ديگر مديران براي کاهش ريسک مربوط به تهديدات خوديهاي نفوذي چه بايد بکنند؟
بايد با کارهاي بنيادين کار را آغاز کرد. نخست آنها بايد يک ارزيابي ريسک انجام دهند که بهصورت سالانه بهروز ميشود و نوع اطلاعاتي را بررسي ميکند که سازمان در اختيار دارد. اين شامل اطلاعات شخصي، مالي و پزشکي؛ بخشهايي از شبکه يا دفاتر که اين اطلاعات در آن نگهداري شده؛ نوع خطراتي که اين اطلاعات را تهديد ميکند و اقداماتي که هماکنون براي کاهش اينگونه ريسکها در حال انجام هستند، ميشود.
دوم اينکه بايد يک خطمشي امنيتي تدوين کنند که بر اساس ارزيابي ريسک نگارش ميشود، و آغازگر فعاليتهاي امنيتي اداري، فني و فيزيکي است و اينکه اين فعاليتها هم تهديدات داخلي و هم خارجي را تحت پوشش قرار دهند.
سوم اينکه بايد اطمينان حاصل کنند که زمان نشت دادهها برنامه مناسبي براي تعاملات بعدي دارند، برنامهاي که براي به حداقل رساندن زيانها، شناسايي عامل نفوذ، تعمير کردن آسيبپذيري و تطابق با قوانين و الزامات قانوني، مانند انتشار اعلاميه براي کساني که تحتتأثير قرارگرفتهاند، تدوينشده باشد.
زماني که مدارک کافي دال بر انجام کار خطا در شبکه توسط کارمندان وجود داشته باشد، چه مراجع قانونياي وجود دارند؟
کارمنداني که در شبکه سازمان به فعاليتهاي مجرمانه دست ميزنند يا توسط خود سازمان و يا توسط دولت به مراجع قانوني فراخوانده ميشوند.
براي مثال کارمندي که بهصورت عمدي به شبکه يک سازمان آسيب وارد ميکند تحت لايحه کلاهبرداري و سوءاستفاده کامپيوتري (CFAA) تحت پيگرد قانوني قرار خواهدگرفت.
همچنين کارمندي که بدون اجازه به ارتباطات الکترونيکي دسترسي پيدا کند تا اطلاعات حساس را به سرقت ببرد، بسته به نوع دلايل و مدارک، تحت لايحههاي CFAA يا لايحه حريم خصوصي ارتباطات الکترونيک (ECPA) تحت پيگرد قانوني قرار خواهدگرفت. همچنين بسته به نوع دلايل و مدارک، ديگر قوانين و لايحههاي مرتبط با جرائم رايانهاي ميتواند موجب شود که فرد خاطي مورد پيگرد قانوني قرار گيرد.
آيا به نظر شما اينکه به کارمندان اجازه دهيم در مورد عواقب نقص امنيت داخلي سازمان اطلاعات کسب کنند و آگاه باشند، يک عامل بازدارنده است؟
بايد به اطلاع کارمندان رسانده شود که هرگونه فعاليت نامناسب روي شبکه شرکت يا استفاده از داراييهاي شرکت ميتواند منجر به پيگرد قانوني، شامل اخراج، پرونده حقوقي، يا پرونده مجرمانه شود.
بازداشتن تهديد عوامل داخلي خيلي بهتر از دستوپنجه نرمکردن با يک نقض واقعي امنيت توسط عوامل داخلي است و هشدارهاي واضح ميتواند به تأثير بازدارنده باشند.
اينگونه هشدارها بايد در خطمشي سازمان لحاظ شده و طي جلسات تمريني متعددي هم به کارمندان منتقل شود.
مديران آي تي و امنيتي بايد چگونه واکنش نشان دهند اگر به يک تهديد داخلي يا نقض امنيت مشکوک باشند؟
اگر يک شرکت مشکوک باشد که يک کارمند در حال آسيب رساندن به شبکه سازمان است يا اطلاعات حساس را به سرقت ميبرد يا در هر نوع فعاليت مجرمانه و غيرقانوني ديگري مشارکت دارد، ميتوانيد کارهاي زيادي انجام دهيد.
نخست ميتوانيد اطلاعات بيشتري را در مورد فعاليتهاي فرد موردنظر در شبکه جمعآوري کنيد. اين کارها ميتواند شامل بررسي لاگهاي فرد روي شبکه، بازبيني ارتباطات فرد روي شبکه، پايش ارتباطات همزمان با برقراري آنها، جستوجوي فيزيکي محل کار وي، بازبيني ويدئوهاي امنيتي تمام مناطقي که فرد در آن حضور داشته، بشود.
اين يکي از مزاياي داشتن خطمشي حريم خصوصي است، زيرا ديگر کارمندان ميدانند که ارتباطات آنها در شبکه مورد پايش قرارگرفته، محل کارشان ممکن است مورد جستوجو قرار گيرد، و اينکه کارمندان نبايد انتظار داشته باشند که حريم خصوصي آنها در محل کار رعايت شود و شرکت بايد حتماً تأييد اجازه کارمند را در مورد اين خطمشي حريم خصوصي داشته باشد.
واضح است که اينگونه بررسيها بسيار حساس بوده و سرشار از ريسک هستند، بنابراين توصيه ميشود که قبل از انجام آنها حتماً با فرد متخصص مشورت صورت گيرد. اصلاً توصيه نميشود که سازمان در اين مرحله با کارمندان روبهرو شود.
دوم اينکه سازمان ميتواند مورد را به مراجع اجراي قانون گزارش دهد. معمولاً FBI در اين زمينه بسيار متخصص است، ولي سرويس مخفي ايالات متحده و همچنين مراجع اجراي قانون محلي هم ميتوانند گزينههاي ديگر باشند. اين نهادها براي بررسي بيشتر ابزارهايي دارند که شرکتها در اختيار ندارند، مانند حکم تفتيش و احضاريهها يا ردگيري ارتباطات در اينترنت و جايي که کارمند اطلاعات را به آن فرستادهاست.
اينکه مورد را به اين نهادها گزارش داد يا نه به شرايط پرونده بستگي دارد. گزارش به اين نهادها ممکن است عواقب سنگيني براي شرکت داشته باشد، پس اين کار را بدون مشورت انجام ندهيد.
مرجع: ماهنامه دیدهبان فناوری- شماره اول
کد مطلب : 9957
https://aftana.ir/vdcb.sb9urhb9ziupr.htmlaftana.ir/vdcb.sb9urhb9ziupr.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵