زمان تقریبی مطالعه: 3 دقیقهدر ماه های گذشته، امنیت IT ، هکرها و حملات سایبری آنها سرفصل اخبار بوده است. فرضیه دستکاری انتخابات ریاست جمهوری آمریکا، حملات سایبری سایت یاهو، شبکه پلی استیشن سونی یا باج افزار معروف واناکرای (WannaCry) که سروصدای زیادی به پا کرد و در نتیجه مباحث مربوط به امنیت به مدت زیادی در دستور کار اصلی مدیران فناوری اطلاعات قرار گرفت.
در نظر سنجی شرکت یورومیکرون در سال 2016 میلادی، قریب به 40 درصد شرکت ها اعلام کردند که قصد سرمایه گذاری بیشتر در مباحث مرتبط با امنیت و تکنولوژی های آن را دارند.
این روند با بخشنامه اتحادیه اروپا در مورد حفاظت از اطلاعات (EUGPDR) که تا ماه می 2018 میلادی اجباری خواهد شد، همسو است. با این بخشنامه، شرکت ها با عدم توجه به امنیت داده ها بخصوص در زمینه اطلاعات شخصی، متحمل هزینه های سنگین خواهند شد. در صورت نقض حفاظت از داده ها یا دستکاری و غفلت از مفاد قوانین حفاظت از داده ها، دستورالعمل های بعدی، جریمه هایی بین 2 تا 4 درصد کل گردش مالی شرکت های تابعه را اعمال خواهند کرد.
واقعاً چرا امنیت IT تا این اندازه مهم است؟ چه معیاری این حفاظت را به صورت قطعی تضمین خواهد کرد؟ و شرکت ها برای هماهنگی با مقررات اتحادیه اروپا چه اقداماتی می توانند انجام دهند؟ به نظر می رسد اینها سوالات اساسی در زمینه بهداشت هستند.
بهداشت سیستم
مرکز امنیت اینترنت در آمریکای شمالی به طور منظم مجموعه ای از بهترین روش های امنیت IT در حال حاضر را منتشر می کند. مجموعه مربوط به CIS Controls شامل حدود 20 توصیه مختلف است که تحت بررسی و تکمیل دائمی توسط متخصصان برجسته قرار دارند. پنج مورد از این توصیه ها برای حفاظت شرکت ها در برابر حملات سایبری ضروری است.
- اطمینان از موجودی و کنترل دستگاه های مجاز و غیر مجاز
- اطمینان از موجودی و کنترل نرم افزارهای مجاز و غیر مجاز
- اطمینان از پیکربندی درست سخت افزار و نرم افزار در دستگاه های تلفن همراه، لپ تاپ ها، ایستگاه های کاری و سرورها
- اطمینان از تجزیه و تحلیل نقاط ضعف به طور منظم، از جمله تعریف و اجرای معیارهای مناسب برای از بین بردن نقاط ضعف و شکاف های امنیتی
- اطمینان از استفاده کنترل شده از حقوق و امتیازات اداری
برای یک دفاع مطلوب، اولین و مهمترین عامل، حفظ یک صفحه تمیز است. دو عامل مهم در این زمینه عبارتند از: اول ابزاری قدرتمند که به طور کامل تمام زیرساخت ها شامل سخت افزار، نرم افزار، واحدهای شبکه، پرینترهای تحت شبکه و تلفن های همراه را شناسایی می کند. عامل دوم، پایگاه داده مدیریت پیکربندی (CMDB) قدرتمند که نقشه ای مشتمل بر تمامی CI ها و روابط پیچیده آنها را در یک پایگاه داده نمایش دهد.
یک پیش نیاز ضروری برای استفاده صحیح و بجا از چنین ابزارهایی، پیاده سازی یک پیکربندی عملکرد و مدیریت دارایی است، که پیشنهاد می شود به طور مثال مبتنی بر بهین روش های ITIL باشد.
بهداشت کلمه عبور
بخصوص در راستای بخشنامه اتحادیه اروپا در مورد حفاظت از داده ها (EU GDPR)، مشکلات مرتبط با مدیریت کلمه عبور، یکی از موارد اصلی است. زیرا، مدیریت کلمه عبور، زیربنای هر چیزی است که نیاز به عملکردی صحیح دارد و امنیت تمام برنامه های شرکت را در بر خواهد داشت: دسترسی به داده ها و اطلاعات کاربر.
طبق گزارش های اخیر، حدود 63 درصد مشکلات حفاظت اطلاعات به کلمه های عبور ضعیف یا دزدیده شده بر می گردد. وضعیتی که قطعاً عامل سردرد مدیران شرکت ها خواهد بود! بخصوص با قوانین جدید اتحادیه اروپا و جریمه های عمدتاً مالی که در آینده نزدیک وضع خواهد شد.
هنگامی که از مدیریت کلمه عبور صحبت به میان می آید، رفع شکاف های امنیتی در بازنشانی دستی کلمه های عبور یا بازنشانی آن توسط کاربر، بسیار مهم خواهد بود. به منظور تطبیق کامل با شرایط بخشنامه اتحادیه اروپا و الزامات سایر بخشنامه های مرتبط با امنیت، فرآیندهای مقتضی باید در شرکت یا سازمان تعریف شوند. در عین حال، شرکت ها باید آن را همیشه تقویت کرده و تنها افراد مجاز به اطلاعات ورود و کلمه های عبور دسترسی داشته باشند.
در این حالت، پیاده سازی یک راهکار کاربرپسند برای مدیریت کلمه های عبور، می تواند کمکی باارزش باشد. چنین راهکاری تضمین می کند که فقط خودِ کاربر به اطلاعاتش دسترسی خواهد داشت و هیچ نقض امنیتی توسط شخص سوم صورت نخواهد گرفت. علاوه بر این، استفاده از این سرویس خودکار، به پیاده سازی پیشخوان خدمات و بهینه سازی فرآیندهای مربوطه کمک شایانی خواهد کرد.
امنیت، موضوع بسیار پیچیده ای است و برای سال ها، مبحث اصلی IT خواهد بود. پیاده سازی مکانیسم های حفاظت و دفاع شامل معیارهای تأثیرگذار برای بهداشت سیستم و کلمه عبور، راهکارهای موفقی برای حفاظت در برابر تهدیدهای امنیتی رو به رشد است. بنابراین زمان انجامِ تکالیفمان در راستای مدیریت دارایی و مدیریت کلمه عبور، فرا رسیده است.
منبع: www.wendia.com
