۶ توصیه به سازمان‌ها برای تامین امنیت داده‌ها

امنیت اطلاعات سازمان

طی دهه‌ی گذشته با دیجیتالی‌شدن روزافزون تمام بخش‌های صنعت، داده‌ها و به‌خصوص داده‌های حساس تبدیل به دارایی‌های باارزشی شده‌اند که هم توجه مجرمان سایبری و هم قانون‌گذاران را به خود جلب کرده‌اند. سازمان‌ها که اطلاعات شخصی کارکنان و مشتریان را جمع‌آوری می‌کنند، تبدیل به اهدافی جذاب برای حملات سایبری شده‌اند و هم‌چنین به خاطر گردش مالی بالای این حملات، به صورت مداوم قوانین جدیدی در حوزه‌ی حفاظت از داده‌ها برای آن‌ها وضع می‌شود.

سازمان‌ها برای رویارویی با دو چالش حفاظت از داده‌ها و تطبیق‌پذیری با قوانین، شروع به سرمایه‌گذاری گسترده بر روی استراتژی‌های حفاظت از داده‌کرده‌اند، ولی معمولاً در این زمینه توجه خود را معطوف تهدیدات خارجی می‌کنند؛ این در حالی است که بر اساس گزارش ارائه‌شده از هزینه‌های حوادث نقض داده‌ها که در سال 2019 توسط موسسه Ponemon و IBM Security منتشر شده است، با وجود این که تهدیدات خارجی تقریبا نیمی از حوادث مربوط به نقض داده‌ها را تشکیل می‌دهند، 49 درصد از این حوادث حاصل خطای انسانی و عیوب فنی سیستم هستند.

امنیت داده‌ها ممکن است به راحتی و بر اثر بی‌احتیاطی کارکنان به خطر بیفتد: یک ایمیل که به آدرس اشتباهی ارسال شود، یک دستگاه USB که در یک مکان عمومی جا گذاشته شود یا فایل‌هایی که برای ضمیمه به ایمیل زیادی بزرگ باشند و از طریق سرویس‌های خارجی با تمهیدات امنیتی ضعیف ارسال شوند. با این اوصاف، شرکت‌ها از چه طریقی می‌توانند اطمینان حاصل کنند که داده‌های آن‌ها نه تنها در مقابل تهدیدات خارجی، بلکه در مقابل تهدیدات داخلی نیز ایمن است؟ در این مقاله طی چند توصیه به این مساله خواهیم پرداخت.

داده‌ها را ممیزی کنید

ممیزی داده

ممیزی داده‌ها پایه‌ی هر استراتژی موثر برای حفاظت از داده‌ها به شمار می‌رود. دلیل آن هم مشخص است: پیش از آن که سازمان‌ها بتوانند حفاظت از داده‌های خود را شروع کنند، باید بدانند اطلاعات شخصی جمع‌آوری‌شده از چه نوعی هستند، کجا ذخیره می‌شوند و چطور استفاده می‌شوند. شرکت‌ها با تشخیص داده‌های حساس و نظارت بر آن‌ها، می‌توانند آسیب‌پذیری‌های موجود در جریان داده‌ها را یافته و هم‌چنین هنگام تعیین استراتژی‌های حفاظت از داده‌ها آگاهانه تصمیم بگیرند.

سازمان‌ها هم‌چنین می‌توانند با پیاده‌سازی راهکارهایی متناسب با آسیب‌پذیری‌های موجود در شبکه‌ی خودشان در هزینه‌ها صرفه‌جویی کرده و خطرات شناسایی‌شده را برطرف کنند. نظارت بر داده‌ها هم‌چنین به شرکت‌ها کمک می‌کند عادت‌های غلط کارکنان در زمینه‌ی امنیت داده‌ها را کشف کنند که این امر آن‌ها را قادر می‌کند به صورت هدفمند و بهینه به آموزش کارکنان بپردازند.

کارکنان را آموزش دهید

آموزش کارکنان

سازمان‌ها باید اطمینان حاصل کنند که کارکنان اهمیت حفاظت از داده‌ها را درک کرده و متوجه عواقب مالی و آسیب وارده به وجهه‌ی شرکت در صورت نقض داده‌ها باشند. باید به همه‌ی کارکنانی که مستقیما ً با داده‌های حساس سر و کار دارند آموزش‌های لازم ارائه شده و اطمینان حاصل شود که از عادت‌های صحیح برای حفظ امنیت داده‌ها و هم‌چنین گام‌هایی که لازم است در جهت جلوگیری از حوادث امنیتی احتمالی بردارند، آگاه شوند.

باید آموزش کارکنان را با ارائه‌ی مثال‌ها و سناریوهایی که ممکن است طی وظایف روزمره‌ی آنان رخ دهد بهبود داد. هم‌چنین ارائه‌ی توصیه‌های عملی که می‌توان پس از پایان دوره‌ی آموزشی به طور مستقیم آن‌ها را به کار بست، بخش مهمی از هرگونه برنامه‌ی آموزشی موفق به شمار می‌آید. به علاوه حین آموزش می‌توان عادت‌های غلطی را که در فرایند ممیزی داده مخاطره‌آمیز تشخیص داده شده‌اند، اصلاح کرد.

نسبت به تطبیق‌پذیری با مقررات و الزامات قانونی آگاه باشید

تطبیق‌پذیری

با این که یک استراتژی قدرتمند برای حفاظت از داده‌ها می‌تواند امنیت داده‌های حساس یک سازمان را تامین کند، این به آن معنا نیست که چنین استراتژی با قوانین مربوط به حفاظت از داده هم تطابق دارد. در واقع بسیاری از مقررات جدید مانند مقررات عمومی حفاظت از داده (GDPR) در اتحادیه‌ی اروپا یا قانون حریم خصوصی مصرف‌کننده‌ی کالیفرنیا (CCPA) نه‌تنها شرکت‌ها را ملزم به ایمن نگه‌داشتن داده‌ها می‌کنند، بلکه به مالکان داده حقوق جدیدی نسبت به داده‌های خود اعطا کرده‌اند؛ حقوقی مانند حق فراموش‌شدن (حذف تمام داده‌های آن‌ها از زیرساخت‌های سازمان) و یا حق جلوگیری از فروش داده‌های شخصی متعلق به آنها.

حتی ممکن است علی‌رغم این که ممیزی داده‌ها نشان داده که یک شرکت به تعدادی از مکانیزم‌های حفاظتی خاص نیاز ندارد، آن شرکت توسط قانون ملزم به پیاده‌سازی این مکانیزم‌ها شود، فارغ از این که پیاده‌سازی این مکانیزم‌ها برای آن شرکت خاص سودمند باشد یا خیر. به همین خاطر ضروری است که سازمان‌ها نسبت به اقدامات لازم برای تطبیق‌پذیری با قوانینی که در هر کشور برای حوزه‌ی کسب‌وکار آنها وضع شده آگاه بوده و اطمینان حاصل کنند استراتژی‌های در نظر گرفته‌شده برای حفاظت داده‌ها، این قوانین را شامل شوند.

خارج از حیطه‌ی سازمان نیز از داده‌ها حفاظت کنید

حفاظت داده خارج از سازمان

در بسیاری از سازمان‌ها تمرکز استراتژی‌های حفاظت از داده صرفاً بر روی داده‌های حساسی است که در محدوده‌ی شبکه‌ی شرکت وجود دارند. با این وجود، با افزایش محبوبیت دورکاری و یا اجباری‌شدن دورکاری به خاطر وضعیت‌های اضطراری مانند همه‌گیری اخیر بیماری کرونا، استراتژی‌های حفاظت از داده باید سیاست‌هایی را اتخاذ کنند که تضمین کند از داده‌های ذخیره‌شده بر روی دستگاه‌های شرکت محافظت می‌شود، چه این دستگاه‌ها داخل ساختمان شرکت باشند چه خارج از آن.

استفاده از شبکه‌های VPN و راهکارهای حفاظت از داده‌ از جمله اقداماتی هستند که شرکت‌ها می‌توانند هنگام تعیین استراتژی حفاظت از داده حین دورکاری آن‌ها را اجرا کنند. چنین راهکارهایی باید سیاست‌هایی را در سطح اندپوینت (endpoint) اعمال کنند تا خارج از شبکه‌های سازمانی نیز فعال بمانند.

همین حالا امنیت EndPoint های سازمان خود را تامین کنید:

دستگاه‌هایی را که به شبکه‌ی شما متصل می‌شوند کنترل کنید

یک نقطه‌ی کور دیگر در استراتژی‌های حفاظت از داده‌ دستگاه‌های جداشدنی مثل دستگاه‌های USB هستند. دستگاه‌های USB که در حال حاضر یکی از ابزارهای محبوب هک هستند و هم‌چنین امکان دارد به راحتی مفقود شوند، سال‌هاست استراتژی‌های حفاظت از داده‌ی شرکت‌ها را تضعیف می‌کنند. سازمان‌ها این امکان را دارند که با استفاده از ابزارهای کنترل دستگاه، به کلی استفاده از دستگاه‌های USB را مسدود کنند؛ این ابزارها سازمان‌ها را قادر می‌سازد استفاده از درگاه‌های جانبی و درگاه‌های USB موجود بر روی رایانه‌های شرکت را محدود کرده یا به کلی مسدود کنند.

از طرف دیگر سازمان‌ها می‌توانند شروع به استفاده از دستگاه‌های مورد اطمینان کرده، و تنها به دستگاه‌های جداشدنی ارائه‌شده توسط شرکت اجازه‌ی اتصال به رایانه‌های کارمندان را بدهند. هم‌چنین می‌توان رمزگذاری تمام دستگاه‌های USB متصل‌شده به اندپوینت‌های شرکت را الزامی کرد. با این کار تضمین می‌شود که هر بار که یکی از کارکنان فایلی را بر روی یک حافظه‌ی USB کپی می‌کند، آن فایل‌ رمزگذاری شود و هیچ‌کس نتواند بدون داشتن رمز عبور به آن دسترسی پیدا کند.

برنامه‌ای برای واکنش به حوادث نقض داده در نظر بگیرید

نقض داده‌ها

در نهایت هیچ استراتژی حفاظت از داده‌ای کاملا بی‌نقص نیست. حتی 20 کنترل امنیتی حیاتی CIS نیز می‌توانند تا 97 درصد از کل حوادث نقض داده را پوشش داده و از رخ‌دادن آن‌ها جلوگیری کنند. این مساله عمدتاً ناشی از قابل پیش‌بینی‌ نبودن حوادث امنیتی است. ممکن است یک آسیب‌پذیری جدید در نرم‌افزار یا سخت‌افزار کشف شده و پیش از برطرف‌شدن مورد سواستفاده قرار گیرد و یا یک کارمند که به خوبی آموزش دیده ممکن است در اثر خستگی مرتکب اشتباه شود.

موثرترین راه برای رویارویی با حوادث نقض داده این است که از پیش برای آن‌ها برنامه‌ریزی کرده باشید. سازمان‌ها با تنظیم یک برنامه‌ی واکنش به حوادث نقض داده و آزمودن آن می‌توانند اطمینان حاصل کنند که اگر حادثه‌ی نقض داده‌ای رخ داد، عوامل و دلایل آن به سرعت شناسایی شوند، تمهیدات لازم برای برطرف‌سازی و جبران آن صورت گرفته و کارکنان دقیقا مطلع باشند که در ادامه باید چه اقداماتی را انجام دهند. واکنش بهینه به حادثه‌ی نقض داده می‌تواند به طور قابل ملاحظه‌ای خسارات وارده به شرکت‌ها را کاهش داده و به محدودکردن دامنه‌ی تاثیرات یک حادثه‌ی امنیتی کمک کند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.