بگذارید یک سؤال ساده از شما بپرسم. «مهمترین اطلاعات شرکت شما چیست و کجاست؟!» شما نمیتوانید به این سؤال بیاعتنایی کنید، اما کارشناسان امنیتی بیش از ده سال است این کار را میکنند! در دنیایی که همه میدانند برقراری امنیت بدون دانستن اینکه ما امنیت را برای چه چیزی برقرار میکنیم، کار بیهودهای است، هیچ راهی برای بیاعتنایی به سؤال فوق وجود ندارد. برای شرکتها و سازمانها نیز هیچ عذری برای پاسخ ندادن به این سؤال وجود ندارد. ازآنجاییکه این مسئله اهمیت دارد، اجازه دهید بیشتر در این مورد صحبت کنیم.
در ضرورت دانستن جواب این سؤال که اساس هرگونه عملیات امنیتی هست، هیچ شک و شبههای وجود ندارد. وقتی به این مسئله فکر میکنیم، فقط به حوزه امنیت فکر نمیکنیم. مثلاً اینکه سازمان چگونه فعالیتهای تجاری خود را بدون توجه به اهمیت امنیت انجام میدهد، خود یک سؤال بزرگ است که در ذهن درست میشود. بهسادگی میتوان دریافت چنین چیزی ممکن نیست. آیا امنیت کارگزارها، مکانهای کار، حسگرهای کارت شناسایی و یا بخش اسناد مهم نیست؟ آیا این بخشها فقط و فقط بخشها یا فرآیندهای ساده درونسازمانی هستند یا بخشهای مهمی که توجه به امنیت آنها امری حیاتی است؟
پاسخ هر شرکتی به این سؤال، متفاوت است، اما شرکت شما پاسخهای خاص خود را خواهد داشت. این سؤال بیش از هر چیزی در مورد این بحث میکند که کدام بخش از سازمان نیازمند بیشترین سطح عملیات امنیتی است. بدون پاسخ به این سؤال، امنیت بالاجبار باید در هر بخش از سازمان، از دستگاه پخش کاغذ گرفته تا دیگر بخشها، بهعنوان بخش حیاتی رعایت شود. این کار بیمعنی و اشتباه خواهد بود، اما وقتی شما نتوانید بخشهای شرکت خود را بر اساس حساسیت، طبقهبندی کنید، باید با چنین مشکلی روبرو شوید. متأسفانه بیشتر بخشها امروزه به همین روش امنیت را برقرار میکنند.
سؤالی که در اینجا در ذهن درست میشود، این است که چرا تا به حال کسی راه بهتری را ایجاد نکرده است؟ تمامی کسانی که میخواهند به این سؤال پاسخ دهند، قاعدتاً خواهند گفت «این کار سخت است!»
اینکه ما بگوییم این کار سخت است، بهنوعی کتمان حقیقت کردهایم. برخی شرکتها پاسخ خندهداری به این سؤال میدهند. تصور کنید شما در یک شرکت بزرگ بینالمللی با شعبههای مختلف در چندین جای دنیا هستید. در شرکت شما کارمندان خدمات محلی را از راه دور ارائه میدهند و همزمان با استفاده از گوشی همراه خود به اطلاعات شرکت دسترسی داشته و با آنها کار میکنند. در شرکت شما هزاران کارگزار و تعداد زیادی دفتر کار وجود دارد. شرکت شما، یک شرکت پویا و فعال است و به همین دلیل با تغییر شرایط بازار و کار، امتیازاتی را کسب میکند و یا از دست میدهد. اکنون، با توجه به این شرایط، آیا میتوانید بگویید داراییها و فرآیند مهم شرکت شما چه چیزهایی هستند؟
اکنون میبینید که حرف زدن راحت و عمل به آن سخت است. فقط به دلیل اینکه یک کار سخت است، نمیشود برای انجام آن کار تلاش نکنیم. حرکت و تلاش برای دستیابی به این اهداف باید یک هدف سازمانی باشد و نهتنها هدفی که در سایه عملیات امنیتی بخواهیم به آن برسیم. امنیت باید یک ابزار حمایتی برای فرآیند کار باشد، اما اگر بخش امنیتی سازمان نداند که چه چیزی را باید مراقبت کند و روش مراقبت را نداند، انگیزه کار از بین میرود.
برای تلاشهایی از این قبیل، داشتن ابزار خوب ضروری است. در طرف مقابل، ابزار بد و نامناسب، جلوی پیشرفت را میگیرند؛ اما ما در این مورد بهظاهر با ابزار بد سروکار داریم. من میتوانم اکنون یک ابزار موجود در بازار را انتخاب کنم که برای حل این مشکل ساخته شدهاند. دیگر ابزارها مانند ابزار جلوگیری از فقدان اطلاعات (DLP – Data Loss Prevention tools) به این دلیل استفاده میشوند که ما فهمیدهایم استفاده از آنها در تشخیص اطلاعات مفید خواهد بود؛ اما مسئله این است که ما با کمبود عجیب ابزار روبرو هستیم.
اگر شما اکنون از من انتظار دارید که راهحل مناسب و اساسی به شما پیشنهاد کنم، متأسفانه باید بگویم که من راهحلی ندارم! اما پیشنهادی که من دارم این است که بهسختی کار کنید و بین مسائل تجاری و مسائل فناوری اطلاعات، ارتباط قوی برقرار کنید و بدانید که این پیشنهادها مانند یک پروژه بیپایان هستند، یعنی همیشه باید این کارها را انجام دهید. نتیجه این کارها برقراری امنیت خواهد بود.
اگر تلاشی که انجام میدهید، چیزی بیشتر از تواناییهای شما به نظر میرسد، ناامید نشوید. شما باید از بخشهای دیگر کمک و حمایت دریافت کنید. شما باید اهداف دستیافتنی برای خود تنظیم کنید و قبل از هر چیز روی بخشهای اصلی سازمان تمرکز کنید. برای این منظور، یک راهبرد طراحی کنید. برای خود یک مدل طراحی کنید و با استفاده از این مدل، کار خود را از مهمترین بخشها شروع کنید. حتماً توجه کنید که از لفظ «سخت است» استفاده نکنید. اگر شما این شعار مخرب را فراموش نکنید، هر آنچه را که در حوزه امنیت انجام میدهید، چیزی شبیه «آب در هاون کوبیدن» خواهد بود، به این معنی که هیچ سودی برایتان نخواهد داشت.
منبع: news.asis.io
گیگ بوی سایت آموزش شبکه به صورت فارسی و تصویری و دانلود نرم افزار