امروزه امنیت اطلاعات سازمانی یکی از مهم ترین و مهیج ترین شغل ها در سراسر جهان به شمار می رود. امنیت اطلاعات که به اختصار با عنوان “InfoSec” هم از آن یاد می شود، روشی برای دفاع از اطلاعات در برابر دسترسی غیرمجاز، سوءاستفاده، افشا، اختلال، تغییر، حذف، شنود، ضبط یا تخریب است.
این واژه، یک اصطلاح عمومی است که می تواند بدون در نظر گرفتن حالت احتمالی داده ها مورد استفاده قرار گیرد (به عنوان مثال، داده های الکترونیکی یا فیزیکی) و با آگاهی و دانش در خصوص امنیت اطلاعات اطمینان می یابیم که از داده هایمان محافظت شده و امنیت داده ها نیز فراهم می شود. همچنین اطمینان حاصل می شود که اعتبار سازمان های ما همچنان حفظ شده است.
با این حال، این تنها توضیحی نیست که متخصصان در رابطه با امنیت اطلاعات ارایه داده اند؛ امنیت اطلاعات، نجات دهنده سازمان های جهان است و از این رو افراد در این زمینه می توانند به عنوان متخصصان سیستم های رایانه ای به کار گرفته شوند. همچنین می توانیم با آنها تماس بگیریم، چرا که می توان آنها را آسیب شناس یا بهتر بگوییم متخصص قلب و عروق سیستم رایانه ای نامید.
نباید تأثیر حوادث امنیتی را کم اهمیت تلقی کرد زیرا می تواند منجر به از بین رفتن اطلاعات، نشت اطلاعات سازمانی، اتلاف زمان و گسترش ویروس ها شود. شاید فکرش را هم نکنید حوادث امنیتی که برای سایر رایانه ها اتفاق می افتد، شما را هم می تواند تحت تأثیر خود قرار دهد. سازمان ها و شرکت های پیشرو و با جدیدترین دانش در این خصوص، اگر شکی دارند بهتر است با کارشناسان و مشاوران امنیتشان مشورت کنند.
ضروری است که لیست تماسی از پیمانکاران و تأمین کنندگان خدمات، به عنوان مثال خدمات پشتیبانی شبکه، پشتیبانی نرم افزارها و ارایه دهندگان سرویس اینترنت (ISP) حفظ و نگهداری شود.
امنیت اطلاعات و ضرورت آن
امنیت اطلاعات برای تمامی افرادی که در دنیای فناورانه امروزی زندگی می کنند و از خدمات فناوری اطلاعات استفاده می کنند، از اهمیت زیادی برخوردار است؛ چه شما فقط یک تلفن همراه داشته باشید یا یک رایانه شخصی، باز هم به امنیت اطلاعات نیاز دارید. به همین دلیل، امنیت اطلاعات در زندگی روزمره و در زمینه های فناوری اطلاعات بیشترین اهمیت را دارد.
امنیت اطلاعات دارای مفاهیم و مباحث بسیاری است که هر متخصص فناوری اطلاعات می بایست بر آن تسلط داشته یا با اصول اولیه آن آشنایی کامل داشته باشد. زیرا دانش و مهارت های امنیت اطلاعات تنها جزو معدود مواردی است که برای تمامی افراد شاغل در بخش فناوری اطلاعات، از جمله تحلیلگر امنیت سایبری، تحلیلگر جرم یابی رایانه ای، مدیر شبکه، مدیران سیستم یا توسعه دهندگان برنامه های کاربردی ضروری است.
نداشتن دانش کافی در این زمینه مهم، به احتمال زیاد منجر به تولید برنامه ها و ارایه خدماتی خواهد شد که امن نبوده یا ممکن است شبکه هایی را بسازد که از امنیت لازم برخوردار نبوده و با امکان نفوذ آسان، زمینه را برای حملات سایبری مهاجمان فراهم کند. به همین دلیل، داشتن دانش امنیتی در زندگی روزمره بسیار مهم است.
خط مشی امنیت اطلاعات سازمانی
یک سازمان، همواره نیازمند خط مشی امنیت اطلاعات سازمانی است؛ ولی این موضوع نباید تنها بیانگر برنامه ای عملی همچون هدف، کاربردپذیری، اهمیت و دخیل بودن فعالیت های آن باشد. از همه مهم تر این که سازمان ها باید مستند کنند كه در نهایت، خودشان مسئول اجرای برنامه های امنیتی در تمامی حوزه ها هستند.
کلیه کارکنان سازمان باید در آموزش های مربوط به خط مشی امنیت اطلاعات و انتظارات امنیتی سازمان، متناسب با نقشهای عملکردی شان شرکت کنند. به عنوان نمونه، خط مشی استفاده از اینترنت باید به شکلی واضح ابلاغ شود، توسط همه کارکنان درون سازمان خوانده شده، درک و صحه گذاری شود.
این در حالی است که یک خط مشی خاص برای نقش مورد نظر، مانند خط مشی مدیریت نرم افزار سازمانی باید به گونه ای در نظر گرفته شود که کلیه امور مربوطه را شامل شود.
یعنی در بخش سیستم های فناوری اطلاعات نیز سازمان ها موظف به تدوین و ابلاغ خط مشی ها و رویه ها و اجرای آنها توسط کارمندان خود هستند زیرا این امر کمک می کند تا به اهمیت فرایندهای اجرای خط مشی ها و آموزش ها پی برده شود.
مزایای امنیت شبکه
در کنفرانس FloCon3 در سال 2009 میلادی، دلایل مستندی برای طراحی شبکه ای امن، به تحلیلگران امنیتی در چارچوب FloVis، از جمله ارایه سه افزونه بیان شد.
در این نمایش ها آنها چگونگی نیاز به تجسم بسیار انتزاعی از ساختارهای شبکه و ارتباطات مرتبط با آنها را مشخص کردند که به کاربران در تعیین آن دسته از زیرشاخه ها یا میزبان هایی که باید با افزونه های موجود تجسم شوند کمک می کند. به عنوان مثال، مهندسان تحلیلگر شبکه یا سیستم ممکن است مسئولیت نظارت بر چندین بخش را داشته باشند.
آنها باید از آدرس های اینترنتی (IP) شبکه های بیرونی، زیرشبکه ها یا سایر آدرس های اینترنتی که ممکن است تهدیدی برای امنیت شبکه سازمان خود باشند، آگاهی داشته باشند. بنابراین بهتر است قبل از تصمیم گیری در مورد تجسم سطح پایین، یک تصویر سطح بالا از چگونگی رابطه این «سازمان ها» ارایه شود.
یکی از روش های متداول در تحقیقات IS، این است که خود سامانه های اطلاعاتی را به عنوان یک متغیر وابسته یا یک متغیر مستقل در نظر بگیریم. بر همین اساس، چارچوب های IS معمولاً سعی می کنند سامانه های اطلاعاتی را از دو طریق طبقه بندی کنند.
در روش اول، سیستم ها را می توان بر اساس ویژگی های فنی طبقه بندی کرد. به عنوان مثال، فناوری اطلاعات را از نظر ظرفیت، کیفیت، هزینه، میزان ذخیره، پردازش و قابلیت های ارتباطی آن مشخص می کند. همچنین می توان ترتیبات محاسباتی را به صورت تعاملی، در مقابل دست های مستقل در شبکه و غیره طبقه بندی کرد.
روش دوم، تمرکز بر روی کارکردهایی است که سامانه های اطلاعاتی در چارچوب کاربردشان آنها را انجام می دهند و منافع آنها توسط فناوری اطلاعات به آنها ارایه می شود. به عنوان مثال، ماركوس (Markus) پنج نوع سامانه اطلاعاتی را شناسایی کرده است كه هر یك از آنها نوع اصلی كاركرد را توصیف می کنند: عملیات، ارتباطات، فرایند برنامه ریزی و تصمیم گیری، نظارت، ارزیابی و كنترل و در نهایت، تعاملات بین سازمانی.
چارچوب گوری و اسکات مورتون (Gorry and Scott Morton) نیز طبقه بندی سامانه های اطلاعاتی را بر اساس تفاوت های عملکردی به جای ویژگی های فنی ارایه می دهد. تجزیه و تحلیل آنها نشان می دهد که از نظر مطالعات انجام شده در کشورهای در حال توسعه، شکاف واقعی در دانش و آگاهی به چشم می خورد.
تجزیه و تحلیل ها در این زمینه تاکنون نتوانسته است روشی را معرفی کند که شامل چارچوب های کلینگر باشد. همچنین الگوی کاملی وجود ندارد که تمام عوامل کمک کننده در اجرا و پذیرش فرهنگ امنیت اطلاعات را نشان دهد. با این حال، تمامی مقاله های موجود در این حوزه، ارایه دهنده طیف وسیعی از موضوع ها و عوامل مؤثر بر فرهنگ امنیت اطلاعات و برخی از شیوه های رایج هستند.
این عوامل عبارتند از آگاهی از امنیت اطلاعات، برنامه های آموزشی، استانداردسازی مدیریت امنیت اطلاعات، خط مشی امنیت اطلاعات سازمانی، پشتیبانی مدیریت ارشد، انطباق با قوانین، تحلیل مخاطرات امنیت اطلاعات سازمانی و همچنین فرهنگ سازمانی. این موضوع ها بر اساس مضامین زیر طبقه بندی شده اند که هر کدام در ادامه مورد بحث قرار می گیرند:
- تابعیت سازمان
- محیط نظارت قانونی
- حاکمیت سازمانی
- عوامل فرهنگی.
ضرورت امنیت شبکه و سیستم ها
سیستم های رایانه ای و شبکه، مبنای اصلی در فناوری اطلاعات برای طیف گسترده ای از برنامه های امنیتی هستند. امنیت شبکه ها و نرم افزارها از اهمیت بسیار زیادی برخوردار است.
اگرچه امنیت در بیشتر شبکه های امروزی سازمان ها یک ضرورت اساسی به شمار می رود اما نداشتن روش های امنیتی باعث شده است که به راحتی بتوان برای اطمینان از حداکثر امنیت، از آنها سوءاستفاده کرد. همچنین وجود «شکاف ارتباطی» بین توسعه دهندگان فناوری های امنیتی و طراحان شبکه ها مزید بر علت نیز شده است. طراحی شبکه، فرایندی با توسعه بسیار مطلوب است که بر اساس مدل رابط سیستم های باز (OSI) انجام می شود.
مدل OSI، در طراحی شبکه دارای مزایای مختلفی است. این مدل ارایه دهنده قابلیت هایی همچون پیمانه ای بودن، انعطاف پذیری، سهولت استفاده و استانداردسازی پروتکل های شبکه است. پروتکل های لایه های مختلف را می توان به راحتی با یکدیگر ترکیب کرد تا پشته هایی ایجاد شود که امکان توسعه پیمانه ای را فراهم آورد.
اجرای لایه های جداگانه می تواند در مراحل بعد، بدون ایجاد هرگونه تنظیم دیگر تغییر یافته و باعث انعطاف پذیری در توسعه آن شود. برخلاف طراحی معمولی شبکه؛ طراحی شبکه ای امن، فرایندی نسبتاً سخت و مشکل است. هنوز رویکردی برای مدیریت پیچیدگی الزام های امنیتی در بسیاری از سازمان ها وجود ندارد. طراحی شبکه امن، برای سازمان ها هزینه بردار است و ممکن است آنها توان پرداخت آن را نداشته باشند.
هنگام ارزیابی امنیت شبکه در سازمان باید تأکید بر امن سازی کل شبکه بوده تا بتواند امنیت مورد نیاز سازمان را ارایه دهد. امنیت شبکه تنها مربوط به امنیت رایانه ها در انتهای هر زنجیره ارتباطی نیست.
هنگام انتقال داده ها، کانال های ارتباطی نباید در برابر حملات آسیب پذیر باشند. چرا که یک هکر می تواند کانال ارتباطی را هدف قرار داده و باعث ایجاد آسیب به داده ها شود یا این که داده ها را به دست آورده، آنها را رمزگشایی کرده و دوباره اقدام به ارسال پیام های کاذب کند. امنیت شبکه، درست به اندازه امن سازی رایانه ها و رمزنگاری پیام ها از اهمیت خاصی برخوردار است.
در طراحی و ایجاد یک شبکه امن باید موارد زیر در نظر گرفته شود:
- دسترسی: به کاربران مجاز، وسیله ای برای برقراری ارتباط از طریق یک شبکه خاص ارایه می شود.
- محرمانه بودن: اطلاعات موجود در شبکه، برای كاركنان یا كاربران قابل اعتماد، به صورت محرمانه باقی می ماند.
- احراز هویت: اطمینان حاصل شود که کاربران شبکه افرادی هستند که واقعاً می گویند.
- یکپارچگی: اطمینان حاصل شود که پیام در هنگام انتقال، تغییر نکرده و به صورت امنی تبادل می شود.
- عدم انکار: اطمینان حاصل شود که کاربر نتواند استفاده از شبکه یا سرویس های آن را منکر شود.
فرض کنید به عنوان مثال، وب سایتی داشته باشید که عوامل مختلفی در جلب بازدیدکنندگان به این سایت، شبکه و تبدیل آنها به مشتری دخیل هستند. این که خود شما حتماً باید برای کمک به مدیر وب سایتتان و همچنین متخصصان امنیتی برای مدیریت امن سایت و تأمین امنیت شبکه کمک کنید، بسیار دارای اهمیت است.
وقت آن است که اقدام های جدی در خصوص امنیت اطلاعات سازمانی انجام داده و از حملات متداول اینترنتی جلوگیری کنید. بعضی از حملات می توانند موجب از کار افتادن و خرابی سرویس های سازمانی شوند. بعضی از آنها نیز منجر به سرقت اطلاعات، شنود و دستکاری غیرمجاز اطلاعات می شوند.
همچنین حملات می توانند عملکرد سیستم را با استفاده از ویروس ها، کرم ها و تروجان ها مختل کنند. شکل دیگر حمله زمانی است که منابع سیستم به صورت بی رویه مصرف می شوند.
کرم ها
کرم شبیه به ویروس است زیرا هر دوی آنها امکان تکثیر و ایجاد کپی هایی از خود را دارند با این تفاوت که کرم برای انتشار خود نیاز به اجازه از کاربر ندارد. دو نوع اصلی از کرم ها وجود دارد که عبارتند از کرم های ارسال گروهی و کرم های آگاه در شبکه. کرم های ارسال شده گروهی، از ایمیل به عنوان ابزاری برای آلوده کردن سایر رایانه ها استفاده می کنند.
کرم های آگاه در شبکه نیز همواره معضلی جدی برای کاربران اینترنت هستند. کرم آگاه در شبکه، هدفی را انتخاب کرده و به محض دسترسی به میزبان موردنظر می تواند با استفاده از یک تروجان یا سایر بدافزارها منتشر شده و آن سیستم را آلوده کند.
تروجان ها
به نظر می رسد تروجان ها برای کاربران مزاحمت زیادی ایجاد نمی کنند اما در واقع آنها در پی دستیابی به اهداف مخرب طراحان شان هستند. تروجان ها معمولاً مقداری بار اضافی را مانند ویروس ها بر رایانه ها تحمیل می کنند.
فیشینگ
حمله فیشینگ، تلاشی برای به دست آوردن اطلاعات محرمانه از یک فرد، گروه یا سازمان است. فیشرها همواره به دنبال دستیابی به اطلاعات شخصی کاربران مانند شماره کارت بانکی، اطلاعات هویتی و سایر اطلاعات حساس آنها هستند.
حمله جعل آدرس اینترنتی
این حمله که با نام “IP Spoofing” نیز شناخته می شود به معنای استفاده از یک آدرس رایانه سیستمی قابل اعتماد برای دسترسی به سایر رایانه ها است. در این حمله، هویت متجاوز با روش های مختلفی پنهان شده و باعث می شود تا تشخیص و پیشگیری از آن برای کاربران بسیار دشوار شود. با استفاده از فناوری فعلی پروتکل IP، بسته هایIP جعل شده را نمی توان از بین برد.
محروم سازی از سرویس
محروم سازی از سرویس، حمله ای است كه در آن سيستم هدف با تعداد درخواست های زاید زيادی مواجه شده و دیگر قادر به سرویس دهی به کاربران مجاز نخواهد بود. در این حمله با اتلاف منابع سیستم، رسیدگی به سایر درخواست ها امکان پذیر نمی باشد.
نتیجه گیری
با وجود داشتن مسئولیت مدیریت امنیت اطلاعات سازمانی باید برای محافظت و امن سازی داده های سازمانی گام های مؤثری را برداشت. هکرها و مجرمان سایبری معمولاً از عدم آگاهی افراد نسبت به مسایل امنیتی سوءاستفاده می کنند. بنابراین به منظور حفاظت از اطلاعات سازمانی توصیه می شود همواره آگاهی بخشی های لازم در خصوص مخاطرات امنیت سایبری به کارکنان داده شود.
پیشنهاد فراست برای سازمانتان: چک لیست ارزیابی امنیتی سازمان