مقالات

۷ قاعده کلی امنیت فناوری اطلاعات (IT)

نکته کلیدی: متخصصان IT از بهترین راهکارهای عملیاتی برای حفظ امنیت سیستم‌های شرکت‌ها، سازمان‌های دولتی و سایر سازمان‌ها استفاده می‌کنند.

امنیت یک نگرانی دائمی در بحث فناوری اطلاعات است. سرقت داده، هک کردن، حمله بدافزار و باز بودن زمینه برای سایر تهدیدات برای بیدار نگه‌داشتن متخصصان IT در طول شب کافی است. در این مقاله، به قواعد مقدماتی و بهترین راهکارهای عملی مورد استفاده متخصصان برای حفظ امنیت سیستم‌ها نگاهی خواهیم انداخت.

هدف امنیت اطلاعات

امنیت اطلاعات از سه قاعده کلیدی پیروی می‌کند:

  • محرمانگی: این بدین معنی است که اطلاعات تنها توسط کسانی که مجوز دسترسی به آن را دارند دیده یا مورد استفاده قرار می‌گیرند.
  • جامعیت: این بدین معنی است که انجام هرگونه تغییرات بر روی اطلاعات توسط کاربرِ غیرمجاز، غیرممکن خواهد بود (یا در پائین ترین سطح، شناسایی خواهد شد) و تغییراتی که توسط کاربران مجاز انجام می‌شوند پیگیری خواهند شد.
  • دسترس‌پذیری: این بدین معنی است که کاربر مجاز هرگاه که نیاز داشته باشد می‌تواند به اطلاعات دسترسی داشته باشد.

بنابراین، متخصصان IT که به این قواعد سطح بالا آگاهی دارند بهترین راهکارهای عملی را برای کمک به سازمان‌ها در این حوزه ارائه داده‌اند تا مطمئن شوند که اطلاعات‌شان ایمن باقی خواهند ماند.

بهترین راهکارهای عملی امنیت IT

راهکارهای زیادی در حوزه امنیت IT وجود دارند که مختص صنایع مشخصی هستند، اما تعدادی از آن‌ها هم کاربرد سراسری دارند.

۱. میان امنیت و بهره‌وری، توازن ایجاد کنید

اگر اتصال تمامی مودم‌ها قطع شود و همه افراد از اتاق بیرون انداخته شوند کامپیوترهای موجود در یک اداره به طور کامل محافظت می‌شوند- اما با این وضعیت اصلا کسی با این کامپیوتر‌ها کار نمی‌کند. به همین دلیل یکی از بزرگ‌ترین چالش‌ها در امنیت IT یافتن توازنی میان دسترس‌پذیری منابع و محرمانگی و یکپارچگی منابع است.

به جای محافظت سیستم‌ها در برابر کلیه تهدیدات، اغلب بخش‌های IT در گام اول بر ایزوله‌سازی سیستم‌های حیاتی و در گام بعد بر روی یافتن راه‌های قابل قبولی برای محافظت از سایر سیستم‌ها بدون از بین بردن کارایی‌ آن‌ها، تمرکز می‌کنند. برخی از سیستم‌های دارای اولویت پائین احتمالا برای آنالیز اتوماتیک انتخاب می‌شوند، در نتیجه مهم‌ترین سیستم‌ها در حوزه تمرکز باقی خواهند ماند.

۲. کاربران و منابع را از هم جدا کنید

برای آنکه سیستم امنیت اطلاعات عملکرد خوبی داشته باشد، باید بداند که چه کسی اجازه دیدن اطلاعات و انجام کارهای مشخصی را دارد. برای مثال، برخی از افراد بخش حسابداری، نیازی به دیدن کلیه اسامی در پایگاه داده کلاینت را ندارند اما ممکن است به ارقام حاصل از خرید‌ها احتیاج داشته باشند. این بدین معنی است که مدیران سیستم‌ها می‌بایست بر اساس شرح وظایف هر فردی مجوزهای دسترسی مرتبط را به آن‌ها تخصیص دهند و ممکن است در آینده ناچار شوند این محدودیت‌ها را بر اساس تفکیک‌های سازمانی پالایش و تصحیح کنند. این امر شما را مطمئن می‌سازد که کارمند ارشد مالی نسبت به یک حسابدار تازه‌کار به منابع و داده‌های بیشتری دسترسی خواهد داشت.

البته، مقام به معنای داشتن دسترسی کامل نیست. مدیرعامل یک شرکت ممکن است به داده‌های بیشتری نسبت به سایر افراد دسترسی داشته باشد اما او به صورت اتوماتیک نیازی به دسترسی کامل به سیستم ندارد. این گفته ما را به سمت مرحله بعدی سوق می‌دهد.

 ۳. حداقل مجوز‌های دسترسی را تخصیص دهید

به هر شخصی باید حداقل مجوزهای دسترسی اختصاص داده شود به گونه‌ای که بتواند مسئولیت‌هایش را به طور کامل انجام دهد و برای انجام آن‌ها با مشکلی مواجه نشود. اگر مسئولیت‌های شخصی تغییر کند، این مجوز‌های دسترسی نیز تغییر خواهند کرد. حداقل مجوزهای لازم را تخصص دهید تا احتمال اینکه به فرض JOE از بخش طراحی کلیه داده‌های بازاریابی برداشته و از شرکت خارج شود را کاهش دهید.

۴. از روش‌های دفاعی مستقل استفاده کنید

این قاعده IT به نوعی یک قاعده نظامی است. استفاده از یک تاکتیک دفاعی خیلی خوب، نظیر پروتکل‌های احراز هویت تا زمانی که کسی به آن نفوذ نکند خوب است. وقتی چندین تاکتیک دفاعی مستقل به کار گرفته شوند، حمله‌کننده ناچار است از استراتژی‌های مختلف برای عبور از آن‌ها استفاده کند. استفاده از این نوع پیچیدگی، یک محافظت ۱۰۰ درصدی را در برابر حملات تضمین نمی‌کند اما احتمال موفقیت حملات را کاهش می‌دهد.

۵. حتما برای زمانی که با شکست مواجه می‌شوید طرحی داشته باشید

برنامه‌ریزی برای شرایط شکست به کاهش عواقب آن کمک خواهد کرد. داشتن نسخه پشتیبان از سیستم‌ها، این موقعیت را برای بخش IT فراهم می‌کند تا به طور مداوم معیارهای امنیتی سیستم را مانیتور کرده و در صورت وقوع هرگونه شکافی به سرعت وارد عمل شود. اگر شکاف، موضوع جدی‌ای نباشد، کسب‌وکار و سازمان می‌تواند روی قسمتی از نسخه‌های پشتیبان که مشکل از آنجا ظاهر شده است کار کنند. امنیت IT بیشتر مربوط به محدود کردن خسارت‌های ناشی از شکاف‌هاست تا پیشگیری از آن‌ها.

۶. ثبت

یک سیستم امنیتی ایده آل هرگز مورد نفوذ قرار نخواهد گرفت اما زمانی که یک شکاف امنیتی رخ داد، ثبت این واقعه ضروری است. در واقع، کارکنان IT تا آنجایی که امکان دارد داده‌ها را ثبت می‌کنند حتی زمانی که شکافی رخ نداده باشد. برخی مواقع علت این شکاف‌ها پس از وقوع آن‌ها مشخص نیست، در نتیجه مهم‌ترین نکته داشتن اطلاعات ثبت شده است تا بتوان بعدا بر روی آن‌ها آنالیز انجام داد. داده‌های حاصل از شکاف‌ها در بهبود سیستم و پیشگیری از حملات آینده بسیار مفید خواهند بود- حتی اگر در ابتدای کار معنای خاصی نداشته باشند.

۷. به صورت متناوب تست‌هایی بر روی سیستم‌ها انجام دهید

هکرها مدام در حال بهبود مهارت‌هایشان هستند، بدین معنی که امنیت اطلاعات برای همگام شدن با این روند باید تکامل یابد. متخصصان IT تست‌هایی را انجام می‌دهند، روش‌های بروز ریسک را بررسی می‌کنند، طرح بازیابی از فاجعه را بازخوانی می‌کنند، سپس طرح تداوم کسب‌وکار پس از وقوع حمله را بررسی کرده و این کارها را به صورت یک روند مشخص به طور مداوم تکرار می‌کنند.

نکته طلائی

امنیت IT یک کار چالش برانگیز است، در عین حال که باید به جزئیات توجه کرد، لازم است نسبت به درخواست‌هایی که آگاهی بیشتری می‌طلبند نیز هوشیار بود. با این حال، مانند بسیاری از کارها که در نگاه اول پیچیده به نظر می‌رسند، امنیت IT نیز می‌تواند به چندین گام مقدماتی تقسیم شود که این کار روند این فرآیند را تسهیل می‌کند. نه اینکه این کار همه چیز را ساده‌تر کند، بلکه باعث می‌شود متخصصان IT بتوانند سرپا بمانند.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو + 19 =

دکمه بازگشت به بالا
بستن
بستن