مهم‎ترین سؤال امنیتی که همیشه بی‎پاسخ می‎ماند!

0

بگذارید یک سؤال ساده از شما بپرسم. «مهم‌ترین اطلاعات شرکت شما چیست و کجاست؟!» شما نمی‎توانید به این سؤال بی‎اعتنایی کنید، اما کارشناسان امنیتی بیش از ده سال است این کار را می‌کنند! در دنیایی که همه می‌دانند برقراری امنیت بدون دانستن اینکه ما امنیت را برای چه چیزی برقرار می‌کنیم، کار بیهوده‎ای است، هیچ راهی برای بی‎‏اعتنایی به سؤال فوق وجود ندارد. برای شرکت‎ها و سازمان‎ها نیز هیچ عذری برای پاسخ ندادن به این سؤال وجود ندارد. ازآنجایی‌که این مسئله اهمیت دارد، اجازه دهید بیشتر در این مورد صحبت کنیم.

گیک بوی بر روی سرورهای قدرتمند هاست هی میزبانی می شود


در ضرورت دانستن جواب این سؤال که اساس هرگونه عملیات امنیتی هست، هیچ شک و شبهه‎ای وجود ندارد. وقتی به این مسئله فکر می‎کنیم، فقط به حوزه امنیت فکر نمی‎کنیم. مثلاً اینکه سازمان چگونه فعالیت‎های تجاری خود را بدون توجه به اهمیت امنیت انجام می‎دهد، خود یک سؤال بزرگ است که در ذهن درست می‎شود. به‌سادگی می‎توان دریافت چنین چیزی ممکن نیست. آیا امنیت کارگزارها، مکان‎های کار، حس‎گرهای کارت شناسایی و یا بخش اسناد مهم نیست؟ آیا این بخش‎ها فقط و فقط بخش‎ها یا فرآیندهای ساده درون‎سازمانی هستند یا بخش‌های مهمی که توجه به امنیت آن‎ها امری حیاتی است؟

پاسخ هر شرکتی به این سؤال، متفاوت است، اما شرکت شما پاسخ‎های خاص خود را خواهد داشت. این سؤال بیش از هر چیزی در مورد این بحث می‎کند که کدام بخش از سازمان نیازمند بیشترین سطح عملیات امنیتی است. بدون پاسخ به این سؤال، امنیت بالاجبار باید در هر بخش از سازمان، از دستگاه پخش کاغذ گرفته تا دیگر بخش‎ها، به‌عنوان بخش حیاتی رعایت شود. این کار بی‎معنی و اشتباه خواهد بود، اما وقتی شما نتوانید بخش‎های شرکت خود را بر اساس حساسیت، طبقه‎بندی کنید، باید با چنین مشکلی روبرو شوید. متأسفانه بیشتر بخش‎ها امروزه به همین روش امنیت را برقرار می‎کنند.

سؤالی که در اینجا در ذهن درست می‎شود، این است که چرا تا به‌ حال کسی راه بهتری را ایجاد نکرده است؟ تمامی کسانی که می‎خواهند به این سؤال پاسخ دهند، قاعدتاً خواهند گفت «این کار سخت است!»

اینکه ما بگوییم این کار سخت است، به‌نوعی کتمان حقیقت کرده‎ایم. برخی شرکت‎ها پاسخ خنده‎داری به این سؤال می‎دهند. تصور کنید شما در یک شرکت بزرگ بین‌المللی با شعبه‎های مختلف در چندین جای دنیا هستید. در شرکت شما کارمندان خدمات محلی را از راه دور ارائه می‎دهند و همزمان با استفاده از گوشی همراه خود به اطلاعات شرکت دسترسی داشته و با آن‎ها کار می‎کنند. در شرکت شما هزاران کارگزار و تعداد زیادی دفتر کار وجود دارد. شرکت شما، یک شرکت پویا و فعال است و به همین دلیل با تغییر شرایط بازار و کار، امتیازاتی را کسب می‎کند و یا از دست می‎دهد. اکنون، با توجه به این شرایط، آیا می‎توانید بگویید دارایی‎ها و فرآیند مهم شرکت شما چه چیزهایی هستند؟

اکنون می‎بینید که حرف زدن راحت و عمل به آن سخت است. فقط به دلیل اینکه یک کار سخت است، نمی‎شود برای انجام آن کار تلاش نکنیم. حرکت و تلاش برای دستیابی به این اهداف باید یک هدف سازمانی باشد و نه‌تنها هدفی که در سایه عملیات امنیتی بخواهیم به آن برسیم. امنیت باید یک ابزار حمایتی برای فرآیند کار باشد، اما اگر بخش امنیتی سازمان نداند که چه چیزی را باید مراقبت کند و روش مراقبت را نداند، انگیزه کار از بین می‎رود.

برای تلاش‎هایی از این قبیل، داشتن ابزار خوب ضروری است. در طرف مقابل، ابزار بد و نامناسب، جلوی پیشرفت را می‎گیرند؛ اما ما در این مورد به‌ظاهر با ابزار بد سروکار داریم. من می‎توانم اکنون یک ابزار موجود در بازار را انتخاب کنم که برای حل این مشکل ساخته شده‎اند. دیگر ابزارها مانند ابزار جلوگیری از فقدان اطلاعات (DLP – Data Loss Prevention tools) به این دلیل استفاده می‎شوند که ما فهمیده‌ایم استفاده از آن‎ها در تشخیص اطلاعات مفید خواهد بود؛ اما مسئله این است که ما با کمبود عجیب ابزار روبرو هستیم.

اگر شما اکنون از من انتظار دارید که راه‌حل مناسب و اساسی به شما پیشنهاد کنم، متأسفانه باید بگویم که من راه‌حلی ندارم! اما پیشنهادی که من دارم این است که به‌سختی کار کنید و بین مسائل تجاری و مسائل فناوری اطلاعات، ارتباط قوی برقرار کنید و بدانید که این پیشنهادها مانند یک پروژه بی‌پایان هستند، یعنی همیشه باید این کارها را انجام دهید. نتیجه این کارها برقراری امنیت خواهد بود.

اگر تلاشی که انجام می‎دهید، چیزی بیشتر از توانایی‌های شما به نظر می‎رسد، ناامید نشوید. شما باید از بخش‎های دیگر کمک و حمایت دریافت کنید. شما باید اهداف دست‌یافتنی برای خود تنظیم کنید و قبل از هر چیز روی بخش‎های اصلی سازمان تمرکز کنید. برای این منظور، یک راهبرد طراحی کنید. برای خود یک مدل طراحی کنید و با استفاده از این مدل، کار خود را از مهم‎ترین بخش‎ها شروع کنید. حتماً توجه کنید که از لفظ «سخت است» استفاده نکنید. اگر شما این شعار مخرب را فراموش نکنید، هر آنچه را که در حوزه امنیت انجام می‌دهید، چیزی شبیه «آب در هاون کوبیدن» خواهد بود، به این معنی که هیچ سودی برایتان نخواهد داشت.

منبع: news.asis.io

image_pdfدانلود نسخه PDF

ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.