7 قاعده کلی امنیت فناوری اطلاعات (IT)
بهترین راه کارها برای حفظ امنیت سیستم های شرکت ها توسط مختصصان IT
نکته کلیدی: متخصصان IT از بهترین راهکارهای عملیاتی برای حفظ امنیت سیستمهای شرکتها، سازمانهای دولتی و سایر سازمانها استفاده میکنند.
امنیت یک نگرانی دائمی در بحث فناوری اطلاعات است. سرقت داده، هک کردن، حمله بدافزار و باز بودن زمینه برای سایر تهدیدات برای بیدار نگهداشتن متخصصان IT در طول شب کافی است. در این مقاله، به قواعد مقدماتی و بهترین راهکارهای عملی مورد استفاده متخصصان برای حفظ امنیت فناوری اطلاعات و حفظت از سیستمها نگاهی خواهیم انداخت.
انواع امنیت فناوری اطلاعات (IT)
1- امنیت شبکه
امنیت شبکه برای جلوگیری از ورود کاربران غیرمجاز یا مخرب به داخل شبکه استفاده می شود. این نوع امنیت برای جلوگیری از دسترسی هکر به داده های داخل شبکه ضروری است. همچنین مانع از تأثیر منفی آنها برای دسترسی یا استفاده کاربران از شبکه می شود.
2- امنیت اینترنت
امنیت اینترنت شامل محافظت از اطلاعات ارسال شده و دریافت شده در مرورگرها ، و همچنین امنیت شبکه شامل برنامه های مبتنی بر وب است. این محافظت ها برای نظارت بر ترافیک اینترنتی ورودی برای بدافزارها و همچنین ترافیک ناخواسته طراحی شده است. این محافظت ممکن است به صورت فایروال ها ، ضد ویروس ها و ضد جاسوس افزارها باشد.
3- امنیت نقطه پایانی (Endpoint)
امنیت Endpoint در سطح دستگاه محافظت می کند. دستگاه هایی که با امنیت نقطه پایانی قابل اطمینان هستند شامل تلفن های همراه ، تبلت ها ، لپ تاپ ها و رایانه های رومیزی هستند. امنیت Endpoint مانع از دسترسی دستگاه های شما به شبکه های مخرب می شود که ممکن است تهدیدی برای سازمان شما باشد. حفاظت از بدافزارهای پیشرفته و نرم افزار مدیریت دستگاه نمونه هایی از امنیت endpoint هستند.
4- امنیت ابر
برنامه ها ، داده ها و هویت ها به ابر منتقل می شوند ، به این معنی که کاربران مستقیماً به اینترنت وصل می شوند و در برابر پشته امنیتی سنتی محافظت نمی شوند. امنیت ابر می تواند به امنیت استفاده از برنامه های نرم افزاری به عنوان سرویس (SaaS) و فضای عمومی کمک کند. یک کارگزار امنیتی دسترسی به ابر (CASB) ، دروازه اینترنت امن (SIG) و مدیریت تهدید یکپارچه مبتنی بر ابر (UTM) می توانند برای امنیت ابر استفاده شوند.
5- امنیت برنامه
با امنیت برنامه ، برنامه ها به طور خاص در زمان ایجاد کدگذاری می شوند تا در حد امکان ایمن باشند ، تا اطمینان حاصل شود که در برابر حملات آسیب پذیر نیستند. این لایه امنیتی اضافه شده شامل ارزیابی کد برنامه و شناسایی نقاط ضعف موجود در نرم افزار است.
هدف امنیت اطلاعات
امنیت اطلاعات از سه قاعده کلیدی پیروی میکند:
- محرمانگی: این بدین معنی است که اطلاعات تنها توسط کسانی که مجوز دسترسی به آن را دارند دیده یا مورد استفاده قرار میگیرند.
- جامعیت: این بدین معنی است که انجام هرگونه تغییرات بر روی اطلاعات توسط کاربرِ غیرمجاز، غیرممکن خواهد بود (یا در پائین ترین سطح، شناسایی خواهد شد) و تغییراتی که توسط کاربران مجاز انجام میشوند پیگیری خواهند شد.
- دسترسپذیری: این بدین معنی است که کاربر مجاز هرگاه که نیاز داشته باشد میتواند به اطلاعات دسترسی داشته باشد.
بنابراین، متخصصان IT که به این قواعد سطح بالا آگاهی دارند بهترین راهکارهای عملی را برای کمک به سازمانها در این حوزه ارائه دادهاند تا مطمئن شوند که اطلاعاتشان ایمن باقی خواهند ماند.
بهترین راهکارهای عملی امنیت IT
راهکارهای زیادی در حوزه امنیت فناوری اطلاعات وجود دارند که مختص صنایع مشخصی هستند، اما تعدادی از آنها هم کاربرد سراسری دارند.
1. میان امنیت و بهرهوری، توازن ایجاد کنید
اگر اتصال تمامی مودمها قطع شود و همه افراد از اتاق بیرون انداخته شوند کامپیوترهای موجود در یک اداره به طور کامل محافظت میشوند- اما با این وضعیت اصلا کسی با این کامپیوترها کار نمیکند. به همین دلیل یکی از بزرگترین چالشها در امنیت فناوری اطلاعات یافتن توازنی میان دسترسپذیری منابع و محرمانگی و یکپارچگی منابع است.
به جای محافظت سیستمها در برابر کلیه تهدیدات، اغلب بخشهای IT در گام اول بر ایزولهسازی سیستمهای حیاتی و در گام بعد بر روی یافتن راههای قابل قبولی برای محافظت از سایر سیستمها بدون از بین بردن کارایی آنها، تمرکز میکنند. برخی از سیستمهای دارای اولویت پائین احتمالا برای آنالیز اتوماتیک انتخاب میشوند، در نتیجه مهمترین سیستمها در حوزه تمرکز باقی خواهند ماند.
2. کاربران و منابع را از هم جدا کنید
برای آنکه سیستم امنیت اطلاعات عملکرد خوبی داشته باشد، باید بداند که چه کسی اجازه دیدن اطلاعات و انجام کارهای مشخصی را دارد. برای مثال، برخی از افراد بخش حسابداری، نیازی به دیدن کلیه اسامی در پایگاه داده کلاینت را ندارند اما ممکن است به ارقام حاصل از خریدها احتیاج داشته باشند.
این بدین معنی است که مدیران سیستمها میبایست بر اساس شرح وظایف هر فردی مجوزهای دسترسی مرتبط را به آنها تخصیص دهند و ممکن است در آینده ناچار شوند این محدودیتها را بر اساس تفکیکهای سازمانی پالایش و تصحیح کنند. این امر شما را مطمئن میسازد که کارمند ارشد مالی نسبت به یک حسابدار تازهکار به منابع و دادههای بیشتری دسترسی خواهد داشت.
البته، مقام به معنای داشتن دسترسی کامل نیست. مدیرعامل یک شرکت ممکن است به دادههای بیشتری نسبت به سایر افراد دسترسی داشته باشد اما او به صورت اتوماتیک نیازی به دسترسی کامل به سیستم ندارد. این گفته ما را به سمت مرحله بعدی سوق میدهد.
3. حداقل مجوزهای دسترسی را تخصیص دهید
برای حفظ امنیت فناوری اطلاعات به هر شخصی باید حداقل مجوزهای دسترسی اختصاص داده شود به گونهای که بتواند مسئولیتهایش را به طور کامل انجام دهد و برای انجام آنها با مشکلی مواجه نشود.
اگر مسئولیتهای شخصی تغییر کند، این مجوزهای دسترسی نیز تغییر خواهند کرد. حداقل مجوزهای لازم را تخصص دهید تا احتمال اینکه به فرض JOE از بخش طراحی کلیه دادههای بازاریابی برداشته و از شرکت خارج شود را کاهش دهید.
4. از روشهای دفاعی مستقل استفاده کنید
این قاعده امنیت فناوری اطلاعات به نوعی یک قاعده نظامی است. استفاده از یک تاکتیک دفاعی خیلی خوب، نظیر پروتکلهای احراز هویت تا زمانی که کسی به آن نفوذ نکند خوب است.
وقتی چندین تاکتیک دفاعی مستقل به کار گرفته شوند، حملهکننده ناچار است از استراتژیهای مختلف برای عبور از آنها استفاده کند. استفاده از این نوع پیچیدگی، یک محافظت 100 درصدی را در برابر حملات تضمین نمیکند اما احتمال موفقیت حملات را کاهش میدهد.
5. حتما برای زمانی که با شکست مواجه میشوید طرحی داشته باشید
برنامهریزی برای شرایط شکست به کاهش عواقب آن کمک خواهد کرد. داشتن نسخه پشتیبان از سیستمها، این موقعیت را برای بخش IT فراهم میکند تا به طور مداوم معیارهای امنیتی سیستم را مانیتور کرده و در صورت وقوع هرگونه شکافی به سرعت وارد عمل شود.
اگر شکاف، موضوع جدیای نباشد، کسبوکار و سازمان میتواند روی قسمتی از نسخههای پشتیبان که مشکل از آنجا ظاهر شده است کار کنند. امنیت فناوری اطلاعات یا امنیت IT بیشتر مربوط به محدود کردن خسارتهای ناشی از شکافهاست تا پیشگیری از آنها.
6. ثبت
یک سیستم امنیتی ایده آل هرگز مورد نفوذ قرار نخواهد گرفت اما زمانی که یک شکاف امنیتی رخ داد، ثبت این واقعه ضروری است. در واقع، کارکنان IT تا آنجایی که امکان دارد دادهها را ثبت میکنند حتی زمانی که شکافی رخ نداده باشد.
برخی مواقع علت این شکافها پس از وقوع آنها مشخص نیست، در نتیجه مهمترین نکته داشتن اطلاعات ثبت شده است تا بتوان بعدا بر روی آنها آنالیز انجام داد.
دادههای حاصل از شکافها در بهبود سیستم و پیشگیری از حملات آینده بسیار مفید خواهند بود- حتی اگر در ابتدای کار معنای خاصی نداشته باشند.
7. به صورت متناوب تستهایی بر روی سیستمها انجام دهید
هکرها مدام در حال بهبود مهارتهایشان هستند، بدین معنی که امنیت اطلاعات برای همگام شدن با این روند باید تکامل یابد. متخصصان IT تستهایی را انجام میدهند، روشهای بروز ریسک را بررسی میکنند، طرح بازیابی از فاجعه را بازخوانی میکنند، سپس طرح تداوم کسبوکار پس از وقوع حمله را بررسی کرده و این کارها را به صورت یک روند مشخص به طور مداوم تکرار میکنند.
نکته طلائی
امنیت فناوری اطلاعات IT یک کار چالش برانگیز است، در عین حال که باید به جزئیات توجه کرد، لازم است نسبت به درخواستهایی که آگاهی بیشتری میطلبند نیز هوشیار بود.
با این حال، مانند بسیاری از کارها که در نگاه اول پیچیده به نظر میرسند، امنیت IT نیز میتواند به چندین گام مقدماتی تقسیم شود که این کار روند این فرآیند را تسهیل میکند. نه اینکه این کار همه چیز را سادهتر کند، بلکه باعث میشود متخصصان IT بتوانند سرپا بمانند.