پیروی از قوانین و مقررات تضمینی در برابر آسیب‌پذیری داده‌ها نیست

تطابق و سازگاری، هرگز نمی‌تواند تضمینی قطعی در برابر آسیب‌پذیری داده‌ها باشد. این امر نتایج حاصل از نظرسنجی Advisera با 605 پاسخ دهنده است که از کشورهایی در پنج قاره، از صنایع مختلف، و عمدتاً از شرکت‌های کوچک و متوسط انجام شده که در سمت‌های IT و امنیت فعالیت دارند.

تقریباً 85٪ از پاسخ دهندگان، امنیت و انطباق را بسیار مرتبط می‌دانند و اعتقادشان بر این است که باید با همدیگر پیاده سازی شوند.

“دژان کوزوتیچ”، مدیر‌عامل شرکت Advisera گفته است: “این درک از پاسخ دهندگان می‌تواند ناشی از این واقعیت باشد که بیشتر مدیران امنیتی، قوانین، مقررات و سایر الزامات قانونی (به عنوان مثال، قراردادها و توافق نامه‌های خدماتی) را در نظر می‌گیرند.”

فعالیت‌های اندکی وجود دارد که به نظر می‌رسد هم برای انطباق و هم برای امنیت اطلاعات رواج کمتری دارد. این موارد شامل رضایت حسابرسان اشخاص ثالث، استفاده از چارچوبی برای راه‌اندازی سیستم، نظارت بر تأمین‌کنندگان، تنظیم KPI و سنجش میزان موفقیت آنها و گزارش به مدیریت است

کارشناس امنیت اطلاعات Advisera در این باره می‌گوید: “با استفاده از چارچوب مشترک برای امنیت و انطباق، یک سازمان ممکن است در فعالیت‌های مشترک (مثلاً شناسایی الزامات، ارزیابی و بررسی مدیریت) درگیر بوده و علاوه بر این، باعث ناکارآمدی شود.”

وی افزود: “همچنین با انجام نظارت مشترک بر روی تأمین کنندگان، و همچنین گزارش مشترک به مدیریت، یک سازمان می‌تواند نمای وسیع تری را نسبت به رعایت و امنیت به مدیریت عالی ارایه دهد و امکان شناسایی موقعیت‌هایی را که به صورت جداگانه مشاهده می‌شود فراهم کرده، و بهبود اثربخشی کلی امنیت و انطباق اطلاعات را در پی خواهد داشت.”

در طی این بررسی، پاسخ دهندگان کارمندانی را که به طور صحیح آموزش ندیده باشند، عامل اصلی آسیب‌پذیری داده‌ها و به دنبال آن عدم وجود فرایندهای امنیتی و حراست فنی دانسته‌اند. عدم رعایت قوانین و مقررات امنیتی نیز به عنوان ضعیف ترین علت در آسیب‌پذیری داده‌ها عنوان شده است.

مهندسی اجتماعی و بهره برداری از آسیب‌پذیری‌های فنی از جمله سلاح‌های اصلی است که توسط مهاجمین برای به خطر انداختن داده‌های یک سازمان استفاده می‌شود و شانس موفقیت آنها به دلیل عدم آموزش (نه تنها کاربران معمولی بلکه کارکنان فنی) و همچنین با اتخاذ فرآیندها و فناوری‌های مستحکم افزایش می‌یابد.

از آنجا که در اکثر موارد سازمان‌ها نمی‌توانند همه شرایط ممکن را تحت پوشش خود قرار دهند، با توجه به قوانین و مقررات، صرفاً برآورده کردن الزامات آنها تضمینی برای امنیت سازمان نیست، بنابراین سازمان‌ها نیز باید به رویکردهای مدیریت ریسک متکی باشند.

خروج از نسخه موبایل