نکته‌های پنهان از چشمان مدیران

مقاله ارایه‌شده درباره راهکارهایی است که امروزه در ایجاد جرایم اینترنتی نقش دارند و بر اساس تحقیقاتی که توسط متخصصان و محققان کسپرسکی انجام شده، راه‌حل‌هایی برای توقف این جرایم پیشنهاد می‌کند.
فرض اینکه اطلاعات در مرکز داده (data center) هستند: چه لزومی دارد که برای تقویت مرکز داده با پرداخت هزینه و زمان زیاد از فناوری‌هایی مانند Authentication، مدیریت دسترسی، فایروال، جلوگیری از نفوذ شبکه و غیره استفاده شود؟ بیان این مطلب به معنای بی‌اهمیت بودن این فناوری‌ها نیست. به طور قطع آنها از اهمیت بالایی برخوردارند، اما ما احتیاج داریم بر بخشی که اطلاعات در آن متمرکز شده است تمرکز کنیم؛ و این یعنی کاربر نهایی. کاربر نهایی یک تهدید جدی در زمینه از دست دادن داده‌هاست. تحقیقات IDC نیز نشانگر این است که در جهان نوین سایبری، بیشترین هزینه‌ها بابت جابه‌جا شدن اطلاعات پرداخته می‌شود که نشانگر این است که میزان داده‌های بیرون از پایگاه‌های داده سازمان‌ها، بسیار زیاد شده است.
عدم به رسمیت شناختن ارزش داده‌های گوشی تلفن همراه: زمانی که یک دستگاه گم می‌شود یا به سرقت می‌رود، شرکت بیمه تنها بهای بطری خالی را می‌پردازد نه محتویات آن را، بدون توجه به اینکه این محتویات تا چه حد اهمیت دارند. به همین دلیل، راهکارهای حفاظتی روی گوشی بیشتر هم‌تراز قیمت گوشی است تا ارزش داده‌های داخل آن. در حالی که واقعیت این است که در اغلب مواقع ارزش اطلاعات داخل تلفن همراه از ارزش خود تلفن بسیار بیشتر است.
با لپ‌تاپ‌ها و دستگاه‌های موبایل مانند دارایی‌هایی از شرکت برخورد کنید که هرگز نباید از آنها برای موارد شخصی استفاده شود. اعتقاد داشته باشید که اطلاعات شرکت هیچ راهی برای ورود به سیستم‌های شخصی نخواهند یافت.
قبول رسانه‌های اجتماعی بدون محافظت: شبکه‌های اجتماعی آمده‌اند که بمانند! رسانه‌های اجتماعی و فناوری‌های وب، اگر به صورت ایمن استفاده شوند، می‌توانند به بالا بردن بهره‌وری سازمان کمک کنند و سازمان را به سمت بازدهی بیشتر سوق دهند. تمرکز ما باید روی این موضوع باشد که چگونه می‌توان سازمان‌ها را به استفاده از رسانه‌های اجتماعی با رویکردی امن تشویق کرد.
تمرکز بر محافظت مقابل شناسایی و پاسخ: در نظر گرفتن طرح‌های جامع امنیتی قابلیت‌های متعددی را درگیر می‌کند. این قابلیت‌های بنیادی محافظت، شناسایی و پاسخ است. محصولات آنتی‌ویروس اغلب نادیده گرفته می‌شوند و با آنها تنها به عنوان یک کالا که هر سال تمدید می‌شود برخورد می‌شده و در نتیجه قابلیت‌های شناسایی و پاسخ نیز نادیده گرفته می‌شود.
عدم ترویج فرهنگ آگاهی: آگاهی و آموزش به کاربر نهایی در تمام مراحل و سطوح امنیت داده‌ها امری ضروری است. آگاهی از تهدیدات، اثر و روش تکثیر آنها، به هوشیاری کاربران کمک می‌کند و از گرفتن تصمیمات نادرست توسط کاربر که باعث آلودگی سیستم می‌شود، جلوگیری می‌کند.
گزارش‌های نقض امنیت: گزارش‌های نادرست به شرکت‌ها این باور غلط را می‌دهد که تهدیدات ناشی از نرم‌افزارهای مخرب و رشد مجرمان اینترنتی کاهش یافته است. اما واقعیت این است که تهدیدات بیش از 23 درصد افزایش یافته‌اند، ولی به دلیل کامل گزارش نشدن سرقت اطلاعات که در هر روز اتفاق می‌افتد، FBI قادر به ارایه گزارش دقیق نیست. این در حالی است که شرکت‌ها از آگاهی درباره این سرقت‌ها، چگونگی انجام آنها و راه‌های مقابله با آنها در موارد مشابه، سود بیشتری خواهند برد.
الگوهای امنیتی: پیروی از مقررات و امنیت فناوری اطلاعات همیشه هم‌معنی نیستند. شما همیشه می‌توانید از یکسری مقررات وضع‌شده پیروی کنید و در عین حال همیشه در مقابل تهدیدات ایمن نباشید. بسیاری از سازمان‌ها به محافظت در مقابل بدافزارها تنها به چشم یک بخش برای چک کردن نگاه می‌کنند. صرف پیروی از مقررات، اغلب یک روش «بالا به پایین» است. امنیت زمانی که به درستی پیاده‌سازی شود یک رویکرد «پایین به بالا» است. زمانی که شما در حال طراحی یک نرم‌افزار یا معماری جدید برای شبکه سازمان خود هستید باید عناصر امنیتی را در نظر بگیرید. همان‌طور زمانی که در حال طراحی یک نرم‌افزار تغییرات احتمالی بعدی را در نظر می‌گیرید، در استفاده از عناصر امنیت نیز باید این نکته را در نظر بگیرید که شبکه در طول مدت گسترش، باید مورد بازبینی مداوم قرار گیرد.
فرض اینکه همه چیز خوب است: اگرچه ممکن است سیستم‌ها ضدگلوله باشند، اما در نهایت انسان‌ها از این سیستم‌ها استفاده می‌کنند. در بسیاری از موارد مشکلات در نتیجه عناصر انسانی مانند اشتباهات ساده، فقدان دانش لازم و آموزش کافی به وجود می‌آید. کارکنان یک شرکت باید درباره مدیریت اطلاعات، مانند چگونگی رفتار درست در شرایط خاص، چگونگی پیروی از سیاست‌های شرکت و چگونگی جلوگیری از بدافزارها آموزش ببینند و نگاهی دقیق بر رویدادهای امنیتی احتمالی در شرکت خود داشته باشند. همه چیز خوب نیست. همه ما می‌توانیم راه‌های بیشتری برای جلوگیری از سرقت اطلاعات مهم خود پیدا کنیم.
*گلنوش عامری-کارشناس فنی پارس آتنا دژ