پیروی از قوانین و مقررات تضمینی در برابر آسیبپذیری دادهها نیست
تطابق و سازگاری، هرگز نمیتواند تضمینی قطعی در برابر آسیبپذیری دادهها باشد. این امر نتایج حاصل از نظرسنجی Advisera با 605 پاسخ دهنده است که از کشورهایی در پنج قاره، از صنایع مختلف، و عمدتاً از شرکتهای کوچک و متوسط انجام شده که در سمتهای IT و امنیت فعالیت دارند.
تقریباً 85٪ از پاسخ دهندگان، امنیت و انطباق را بسیار مرتبط میدانند و اعتقادشان بر این است که باید با همدیگر پیاده سازی شوند.
“دژان کوزوتیچ”، مدیرعامل شرکت Advisera گفته است: “این درک از پاسخ دهندگان میتواند ناشی از این واقعیت باشد که بیشتر مدیران امنیتی، قوانین، مقررات و سایر الزامات قانونی (به عنوان مثال، قراردادها و توافق نامههای خدماتی) را در نظر میگیرند.”
فعالیتهای اندکی وجود دارد که به نظر میرسد هم برای انطباق و هم برای امنیت اطلاعات رواج کمتری دارد. این موارد شامل رضایت حسابرسان اشخاص ثالث، استفاده از چارچوبی برای راهاندازی سیستم، نظارت بر تأمینکنندگان، تنظیم KPI و سنجش میزان موفقیت آنها و گزارش به مدیریت است
کارشناس امنیت اطلاعات Advisera در این باره میگوید: “با استفاده از چارچوب مشترک برای امنیت و انطباق، یک سازمان ممکن است در فعالیتهای مشترک (مثلاً شناسایی الزامات، ارزیابی و بررسی مدیریت) درگیر بوده و علاوه بر این، باعث ناکارآمدی شود.”
وی افزود: “همچنین با انجام نظارت مشترک بر روی تأمین کنندگان، و همچنین گزارش مشترک به مدیریت، یک سازمان میتواند نمای وسیع تری را نسبت به رعایت و امنیت به مدیریت عالی ارایه دهد و امکان شناسایی موقعیتهایی را که به صورت جداگانه مشاهده میشود فراهم کرده، و بهبود اثربخشی کلی امنیت و انطباق اطلاعات را در پی خواهد داشت.”
در طی این بررسی، پاسخ دهندگان کارمندانی را که به طور صحیح آموزش ندیده باشند، عامل اصلی آسیبپذیری دادهها و به دنبال آن عدم وجود فرایندهای امنیتی و حراست فنی دانستهاند. عدم رعایت قوانین و مقررات امنیتی نیز به عنوان ضعیف ترین علت در آسیبپذیری دادهها عنوان شده است.
مهندسی اجتماعی و بهره برداری از آسیبپذیریهای فنی از جمله سلاحهای اصلی است که توسط مهاجمین برای به خطر انداختن دادههای یک سازمان استفاده میشود و شانس موفقیت آنها به دلیل عدم آموزش (نه تنها کاربران معمولی بلکه کارکنان فنی) و همچنین با اتخاذ فرآیندها و فناوریهای مستحکم افزایش مییابد.
از آنجا که در اکثر موارد سازمانها نمیتوانند همه شرایط ممکن را تحت پوشش خود قرار دهند، با توجه به قوانین و مقررات، صرفاً برآورده کردن الزامات آنها تضمینی برای امنیت سازمان نیست، بنابراین سازمانها نیز باید به رویکردهای مدیریت ریسک متکی باشند.
