آسیب‌پذیری‌هاخبر

پیروی از قوانین و مقررات تضمینی در برابر آسیب‌پذیری داده‌ها نیست

تطابق و سازگاری، هرگز نمی‌تواند تضمینی قطعی در برابر آسیب‌پذیری داده‌ها باشد. این امر نتایج حاصل از نظرسنجی Advisera با ۶۰۵ پاسخ دهنده است که از کشورهایی در پنج قاره، از صنایع مختلف، و عمدتاً از شرکت‌های کوچک و متوسط انجام شده که در سمت‌های IT و امنیت فعالیت دارند.

تقریباً ۸۵٪ از پاسخ دهندگان، امنیت و انطباق را بسیار مرتبط می‌دانند و اعتقادشان بر این است که باید با همدیگر پیاده سازی شوند.

“دژان کوزوتیچ”، مدیر‌عامل شرکت Advisera گفته است: “این درک از پاسخ دهندگان می‌تواند ناشی از این واقعیت باشد که بیشتر مدیران امنیتی، قوانین، مقررات و سایر الزامات قانونی (به عنوان مثال، قراردادها و توافق نامه‌های خدماتی) را در نظر می‌گیرند.”

فعالیت‌های اندکی وجود دارد که به نظر می‌رسد هم برای انطباق و هم برای امنیت اطلاعات رواج کمتری دارد. این موارد شامل رضایت حسابرسان اشخاص ثالث، استفاده از چارچوبی برای راه‌اندازی سیستم، نظارت بر تأمین‌کنندگان، تنظیم KPI و سنجش میزان موفقیت آنها و گزارش به مدیریت است

کارشناس امنیت اطلاعات Advisera در این باره می‌گوید: “با استفاده از چارچوب مشترک برای امنیت و انطباق، یک سازمان ممکن است در فعالیت‌های مشترک (مثلاً شناسایی الزامات، ارزیابی و بررسی مدیریت) درگیر بوده و علاوه بر این، باعث ناکارآمدی شود.”

وی افزود: “همچنین با انجام نظارت مشترک بر روی تأمین کنندگان، و همچنین گزارش مشترک به مدیریت، یک سازمان می‌تواند نمای وسیع تری را نسبت به رعایت و امنیت به مدیریت عالی ارایه دهد و امکان شناسایی موقعیت‌هایی را که به صورت جداگانه مشاهده می‌شود فراهم کرده، و بهبود اثربخشی کلی امنیت و انطباق اطلاعات را در پی خواهد داشت.”

در طی این بررسی، پاسخ دهندگان کارمندانی را که به طور صحیح آموزش ندیده باشند، عامل اصلی آسیب‌پذیری داده‌ها و به دنبال آن عدم وجود فرایندهای امنیتی و حراست فنی دانسته‌اند. عدم رعایت قوانین و مقررات امنیتی نیز به عنوان ضعیف ترین علت در آسیب‌پذیری داده‌ها عنوان شده است.

مهندسی اجتماعی و بهره برداری از آسیب‌پذیری‌های فنی از جمله سلاح‌های اصلی است که توسط مهاجمین برای به خطر انداختن داده‌های یک سازمان استفاده می‌شود و شانس موفقیت آنها به دلیل عدم آموزش (نه تنها کاربران معمولی بلکه کارکنان فنی) و همچنین با اتخاذ فرآیندها و فناوری‌های مستحکم افزایش می‌یابد.

از آنجا که در اکثر موارد سازمان‌ها نمی‌توانند همه شرایط ممکن را تحت پوشش خود قرار دهند، با توجه به قوانین و مقررات، صرفاً برآورده کردن الزامات آنها تضمینی برای امنیت سازمان نیست، بنابراین سازمان‌ها نیز باید به رویکردهای مدیریت ریسک متکی باشند.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

15 − 6 =

دکمه بازگشت به بالا
بستن
بستن