حفاظت از داده‌ها و فعالیت‌های کسب‌وکار

/
/
/

امنیت اطلاعات و شبکه چیست؟ بیشتر افراد سخت‌افزار یا نرم‌افزار را در پاسخ‌هایشان ذکر می‌کنند؛ مثلاً، دیواره‌های آتش ، رمز‌گذاری ، نرم‌افزارهای ضد ویروس ، ضد هرزنامه ، ضد جاسوسی ، ضد فیشینگ  و غیره. همان‌طور که شکل ۱ نشان می‌دهد، دیواره‌های آتش و سیستم‌های تشخیص نفوذ در سراسر شبکه‌ها قرار داده‌ می‌شوند تا ترافیک ورودی و خروجی یک شبکه را پایش و کنترل کنند.
مطمئناً، دفاع با استفاده از فناوری ضروری است، اما کافی نیست، چون حفاظت از داده‌ها و فعالیت‌های کسب‌وکار در برگیرنده تمام این موارد است:
*     مهیا کردن و در دسترس قرار دادن داده‌ها و اسناد در تمام اوقات شبانه‌روز و همزمان محدودکردن دسترسی غیرمجاز
*     اجرا و اعمال روال‌ها و خط‌مشی‌های استفاده قابل‌قبول از داده‌ها، سخت‌افزار، نرم‌افزار و شبکه‌های متعلق به شرکت
*     ترویجِ به‌اشتراک‌گذاری امن و قانونی اطلاعات در میان افراد و شرکای مجاز
* تضمین پیروی از مقررات و قوانین دولتی
*     جلوگیری از حملات با مستقر کردن ابزارهای دفاعی در مقابل نفوذ به شبکه
* کشف، تشخیص و واکنش‌دهی بلادرنگ به حوادث و حملات
*     نگهداری کنترل‌های داخلی جهت جلوگیری از دستکاری داده‌ها و رکوردها
* بازیابی سریع از فجایع و اختلالات کسب‌وکار
همان‌طور که فهرست فوق نشان‌ می‌دهد، خط‌مشی‌های کسب‌وکار، روال‌ها، آموزش‌ها و طرح‌های بازیابی از فاجعه در کنار فناوری، همگی نقشی حیاتی را در امنیت فناوری اطلاعات ایفا می‌کنند. امنیت فناوری اطلاعات  حفاظت از اطلاعات، شبکه‌های ارتباطی، فعالیت‌های کسب‌وکار سنتی و تجارت الکترونیکی را تحت پوشش خود قرار می‌دهد تا محرمانگی، جامعیت و استفاده قابل‌قبول از آن‌ها را تضمین کند.
تا سال ۲۰۰۲، امنیت اطلاعات عموماً موضوعی بود که به بخش فناوری اطلاعات یک سازمان محول می‌شد. مشکلات پیش آمده به شکل مورد به مورد و بر پایه «پاک‌سازی» و نه با اتخاذ یک رویکرد پیش‌گیرانه رفع و رجوع می‌شدند. امنیت اطلاعات، به جای این‌که به‌عنوان یک منبع برای پیش‌گیری از اختلال در کسب‌وکار و انجام مسئولیت‌های مدیریتی دیده شود، به شکل یک هزینه در نظر گرفته می‌شد. اما مشخص شد که این دیدگاه مبتنی بر هزینه به‌طور خطرناکی در ایمن‌سازی سازمان در برابر خودی‌های (درون‌سازمانی) متقلب و دسترسی خارجی بزهکاران سایبری، بدافزارها، نرم‌افزارهای جاسوسی و کلاهبرداری ناکارآمد است.
طبق گزارشی از شرکت Symantec که یک شرکت ارائه‌کننده محصولات امنیتی در فناوری اطلاعات است، در سال ۲۰۱۰، بزهکاران سایبری بیش از ۱۰۰ حمله در ثانیه را روی کامپیوتر‌های جهان به اجرا در آوردند. اگرچه بیشتر این حملات دردسری را ایجاد نکردند، اما قطعاً در هر ۵/۴ ثانیه، یک حمله می‌توانست یک کامپیوتر شخصی را متأثر کند. Symantec تقریباً ۹/۲ میلیون قطعه از کدهای مخرب را در طی یک دوره ۱۲ ماهه شناسایی کرد. افزایش سریع بدافزارها تا حد زیادی به‌دلیل در دسترس بودن مجموعه برنامه‌های رایگان و قدرتمندی بود که به‌راحتی قابل‌استفاده بودند و بزهکاران سایبری مبتدی از آن‌ها برای ساخت بدافزار خود استفاده می‌کردند. مثلاً، قیمت یک مجموعه برنامه بدافزاری به نام زئوس ۷۰۰ دلار ( ۴۵۸ پوند) بود و بسیاری از آن‌ها آنقدر موفق شده بودند که سازندگان آن‌ها پشتیبانی تلفنی را هم برای کسانی که نمی‌توانستند کرم‌ها یا ویروس‌های خود را اجرا کنند ارائه می‌کردند. هزینه‌های پاک‌سازی پس از یک حادثه تا صدها میلیون دلار می‌تواند برآورد شود.

شناخت دشمن و ریسک‌ها
هر سازمانی اطلاعاتی دارد که بزهکاران سودجو (که ممکن است در سراسر جهان بوده یا کارمندان مورد اعتماد باشند) می‌خواهند و ممکن است در واقع تلاش کنند تا آن‌ها را سرقت کرده و به فروش برسانند. نمونه آغازین درباره بانک خصوصی HSBC نشان می‌دهد که چرا مخاطرات امنیت فناوری اطلاعات از نوع مخاطرات کسب‌وکار هستند. چنین مخاطراتی می‌توانند از نفوذی‌ها، نفوذ‌کننده‌ها، سازمان‌های بزهکاری سایبری یا بدافزارها سرچشمه بگیرند. بدافزار  نام دیگر نرم‌افزار مخرب یا بد‌خواه است که به ویروس‌ها، کرم‌ها ، اسب‌های تروا ، نرم‌افزارهای جاسوسی و دیگر انواع مخرب و مختل‌کننده یا نامطلوب اشاره دارد. چون واژه‌های امنیت اطلاعات، همچون تهدیدات و بهره‌برداری، معانی دقیقی دارند، این واژه‌های کلیدی و معانی آن‌ها در جدول ۵-۱ فهرست شده‌اند.

جدول ۱ اصطلاحات امنیت فناوری اطلاعات

به‌طور کلی، اقدامات امنیت فناوری اطلاعات روی حفاظت در مقابل نفوذگران خارجی و بدافزارها تمرکز یافته‌اند. در حالی که کنترل دسترسی فیزیکی یا از راه‌دور به پایگاه‌های داده‌ای و شبکه‌ها هنوز هم چالش‌برانگیز است، بیشتر رخنه‌ها به داده‌ها به نوعی مربوط به عمل یا خطای یک کارمند خودی – چه به عمد یا سهواً- می‌شود. این یعنی بزرگ‌ترین مخاطرات امنیت اطلاعات کارمندان و مدیران هستند. شرکت‌ها هزینه‌های بسیار زیادی را به خاطر تقلب و فریب‌های کارمندان خود متحمل می‌شوند. این مسئله‌ای بسیار شایع است که همه شرکت‌ها را صرف‌نظر از اندازه، محل یا صنعت تحت تأثیر قرار می‌دهد.
امنیت فناوری اطلاعات آن‌قدر با اهداف عینی کسب‌وکار پیوند خورده است که نمی‌توان با آن به شکل یک عملکرد جداگانه رفتار کرد. شکست در این حوزه اثر مستقیمی بر عملکرد کسب‌وکار، مشتریان، شرکای کسب‌وکار و ذی‌نفعان دارد و می‌تواند منجر به جریمه‌ها و اقدامات قانونی شده و به‌دلیل واکنش سرمایه‌گذاران به این بحران، باعث افت شدید در قیمت سهام گردد.
تهدیدات داخلی: کارمندان. تهدیدات ایجاد شده از سوی کارمندان که به آن‌ها تهدیدات داخلی  می‌گویند، به‌دلیل وجود روش‌های متعددی که یک کارمند ممکن است فعالیت مخرب داشته باشد چالشی بزرگ محسوب می‌شوند. خودی‌ها ممکن است بتوانند امنیت فیزیکی (از قبیل در‌ها) و سازوکارهای امنیت فنی (همچون رمزهای عبور) را که سازمان‌ها برای جلوگیری از دسترسی غیرمجاز برقرار کرده‌اند دور بزنند. چرا؟ چون روش‌های دفاعی همچون دیواره‌های آتش، سیستم‌های تشخیص نفوذ  (IDS) و درهای قفل اکثراً در مقابل تهدیدات خارجی محافظت می‌کنند. همان‌طور که قبلاً اشاره شد، حوادثی که بیشترین میزان خسارت یا زیان را به بار می‌آورند توسط خودی‌ها رخ می‌دهند. علیرغم این چالش‌ها، حوادث داخلی را می‌توان با یک استراتژی دفاع لایه‌ای متشکل از روال‌های امنیتی، خط‌مشی‌های قابل‌قبول در استفاده و کنترل‌ با فناوری به حداقل رساند.
در صورتی‌که خط‌مشی‌ها و اقدامات دفاعی جدی اعمال شده بودند، این امکان وجود داشت که از وقوع حوادث زیر که همه آن‌ها توسط خودی‌ها ایجاد شده‌اند، پیش‌گیری شود:
*     در ماه آوریل سال ۲۰۱۰، توماس ای. درِیک ، یک مقام عالی‌رتبه سابق سازمان امنیت ملی آمریکا (NSA)، متهم شد که از یک حساب رایانامه سری غیردولتی برای انتقال اطلاعات طبقه‌بندی شده استفاده کرده است در حالی که مجاز به دسترسی یا افشای آن‌ها نبوده‌ است. این اتهام اظهار می‌داشت که در اوایل سال ۲۰۰۶، درِیک یک حساب کاربری را در Hushmail که ارائه‌گر رایانامه‌های رمز‌گذاری شده است، ثبت کرد. او با گزارشگری از یک روزنامه ملی تماس برقرار کرده بود که او نیز حسابی در Hushmail داشت و آن دو قادر بودند تا اسناد سری دولتی را رد و بدل کنند. آن گزارشگر گزارش‌هایی را درباره NSA منتشر کرد که در بردارنده اطلاعات طبقه‌بندی شده در مورد «اطلاعات سیگنال‌ها»  بود، اطلاعاتی که مجموعه‌ای از ارتباطات خارجی و تحلیل آن‌ها را شامل می‌شد (Aftergood, 2010).
سه واحد تجاری HSBC به‌دلیل مشکلات امنیتی که منجر به از دست رفتن داده‌های حساس شخصی مشتریان شد و آن‌ها را در معرض خطر سرقت هویت و کلاه‌برداری قرار داد، توسط مرجع خدمات مالی (FSA) بیش از ۲/۳ میلیون پوند جریمه شدند. به گفته FSA داده‌های مشتریان HSBC دو بار در پست گم شده بود. در سال ۲۰۰۷، کارشناسان بیمه HSBC دیسکی رمزگذاری نشده حاوی جزئیات شخصی ۲۰۰۰ عضو بیمه از جمله تاریخ تولد، آدرس و اطلاعات بیمه را در پست گم کردند. علی‌رغم عذرخواهی و هشدار به کارکنان از سوی بانک درباره نیاز به رویه‌های امنیتی اثربخش، دیسک رمز‌گذاری نشده دیگری توسط HSBC Life در پست گم شد که حاوی جزئیات شخصی ۰۰۰,۱۸۰ بیمه‌گذار بود.
* در ماه می ‌سال ۲۰۰۶، دزدیدن یک لپ‌تاپ در حین یک سرقت خانگی از منزل یک کارمند اداره امور سربازان بازنشسته برای مالیات‌دهندگان ۱۰۰ میلیون دلار هزینه به همراه داشت. برای توصیف بیشتر درباره سرقت داده‌های اداره امور سربازان بازنشسته بخش فناوری اطلاعات در عمل ۱ را مشاهده کنید.
* در سال ۲۰۰۷، شرکت‌ TJX فاش ساخت که از سال ۲۰۰۵ داده‌های مربوط به ۱۰۰ میلیون کارت اعتباری و کارت‌های بدهی توسط هکرها دزدیده شده‌اند. سرقت داده‌های TJX با توجه به تعداد رکوردهای درگیر بزرگ‌ترین رخنه تا آن موقع بود. به‌دنبال این افشاسازی بانک‌ها اعلام کردند که ده‌ها میلیون دلار خرج متقلبانه با کارت‌ها انجام شده است. انجمن بانک‌داران ماساچوست شرکت TJX را به‌خاطر سهل‌انگاری به محاکمه کشاند. FTC شکایتی را تنظیم کرد که TJX را متهم به نداشتن اقدامات امنیتی مناسب برای جلوگیری از دسترسی غیرمجاز به اطلاعات شخصی حساس مشتریان می‌کرد. هزینه کل این رخنه به داده‌ها به اندازه ۱۹۷ میلیون دلار تخمین زده شد.
* در ماه نوامبر سال ۲۰۰۷، اداره مالیات انگلستان فاش ساخت که دیسک رمزگذاری نشده‌ای حاوی داده‌های شخصی، اطلاعات بانکی و شماره شناسنامه مربوط به ۲۵ میلیون نوجوان مدعی مزایا را گم کرده است. شرکت تحلیل‌گر گارتنر  تخمین زد که بستن حساب‌های فاش شده و ایجاد حساب‌های جدید برای بانک‌های بریتانیایی در حدود ۵۰۰ میلیون دلار هزینه دارد.
این حوادث نشان می‌دهند که قربانیان رخنه‌ها اغلب طرف‌های سومی همچون مشتریان، بیماران، کاربران شبکه‌های اجتماعی، شرکت‌های کارت اعتباری و سهام‌داران هستند؛ هزینه ترمیم خسارت ممکن است متحیر‌کننده باشد.
مخاطرات مرتبط با رایانش ابری و شبکه‌های اجتماعی. با رشد محبوبیت کتابخوان‌های الکترونیکی ، نت‌بوک‌ها، سیستم عامل گوگل کروم ، فیس‌بوک، یوتیوب، توئیتر، لینکدین و دیگر شبکه‌های اجتماعی، خطرات در امنیت فناوری اطلاعات تشدید شده است. شبکه‌های اجتماعی و رایانش ابری به‌دلیل ایجاد یک نقطه واحد شکست و مهیا کردن زمینه حمله برای شبکه‌های بزهکاری سازمان‌یافته، آسیب‌پذیری‌ها را افزایش می‌دهند. اطلاعات حیاتی، حساس و خصوصی در خطر هستند. همانند روندهای پیشین در فناوری اطلاعات، از قبیل شبکه‌های بی‌سیم، هدف نهایی ایجاد اتصال بدون نگرانی‌های امنیتی است. در حالی‌که شبکه‌های اجتماعی خدماتشان را افزایش می‌دهند، شکاف بین خدمات و امنیت اطلاعات بیشتر می‌شود. به‌دلیل پیشرفت امنیت در رایانامه‌ها، ویروس‌ها و بدافزارهای رایانامه‌ برای سال‌ها در حال زوال بودند. این روند همان‌طور که ارتباطات به سمت شبکه‌های اجتماعی و تلفن‌های هوشمند جدید سوق پیدا کرد ادامه پیدا کرد. متأسفانه، بدافزارها از طریق آسیب‌پذیری‌های این خدمات و دستگاه‌های جدید راه خود را به سمت کاربران پیدا کردند. فیلترینگ وب، آموزش کاربران و خط‌مشی‌های سخت‌گیرانه کلید جلوگیری از گسترش این خطرات است.
در توئیتر و فیس‌بوک، کاربران دیگران را دعوت می‌کنند و با آن‌ها رابطه ایجاد می‌کنند. بزهکاران سایبری با استفاده از اطلاعات ورود سرقت شده (نام کاربری و رمز عبور) این رابطه‌های مورد اعتماد را هک می‌کنند. تشخیص ضدویروس‌های جعلی و دیگر حملاتی که از اعتماد کاربران سوء‌استفاده می‌کنند بسیار مشکل است.
دلیل مهم‌تر این‌که چرا این شبکه‌ها و سرویس‌ها در معرض ریسک بیشتری هستند، زمان بهره‌برداری  نرم‌افزارهای جاسوسی و ویروس‌های تلفن همراه بسیار پیچیده امروزی است. زمان بهره‌برداری زمانی است که از هنگام کشف آسیب‌پذیری تا هنگام بهره‌برداری از آن سپری می‌شود. این زمان از ماه‌ها به چند دقیقه کاهش یافته است. بنابراین، مسئولین فناوری اطلاعات پیش از این‌که یک سیستم به‌وسیله یک حمله از پا درآید، مدت زمان کمتری را برای پیدا کردن و ترمیم عیوب آن دارند. بعضی از حملات فقط در مدت دو ساعت اجرا شده‌اند و این یعنی سیستم‌های امنیت فناوری اطلاعات در سازمان باید دارای حفاظت بلادرنگ باشند. از سال ۲۰۱۱، سازمان‌ها برای افزایش امنیت خود به خدمات ابری متوسل شده‌اند.
هنگامی که در سیستم‌های عامل، برنامه‌های کاربردی یا شبکه‌های سیمی و بی‌سیم آسیب‌پذیری‌هایی یافت می‌شود توسط فروشنده یا سازمان امنیتی ترمیم‌هایی  ارائه و منتشر می‌شود. ترمیم‌ها برنامه‌های نرم‌افزاری هستند که کاربران دانلود و نصب می‌کنند تا آسیب‌پذیری را رفع کنند. به‌عنوان نمونه، مایکروسافت ترمیم‌هایی را که بسته سرویس  می‌نامد برای بهنگام‌سازی و رفع آسیب‌پذیری‌های سیستم‌های عاملش، از جمله ویندوز ۷ و ۸ و نیز برنامه‌های کاربردی از قبیل آفیس منتشر می‌کند. بسته‌های سرویس در وب‌سایت مایکروسافت در دسترس هستند.
در صورتی که آسیب‌پذیری‌ها تشخیص داده نشده یا بدون حفاظ بمانند، دری باز را برای حملات بر ضد فناوری اطلاعات مهیا می‌کنند که منجر به قطع کسب‌وکار و خسارت‌های مالی می‌شوند. علی‌رغم بهترین ابزارهای فناورانه دفاعی، حوادث امنیت اطلاعات اکثراً به‌ خاطر کاربرانی اتفاق می‌افتد که شیوه‌ها و رویه‌های رایانش امن را رعایت نمی‌کنند.
فیشینگ  و تهدیدات تحت وب. روند به‌کارگیری برنامه‌های کاربردی خارجی و تحت وب توسط شرکت‌ها رو به افزایش است و کارمندان برنامه‌های کاربردی مصرف‌کننده را به درون سازمان وارد می‌کنند. سازمان‌های بزهکاری در اینترنت به دنبال پول هستند، جایی که بازار جهانی از قربانیان بالقوه وجود دارد.
از سال ۲۰۰۷، تهدیدات تحت وب روش اصلی سرقت داده‌های محرمانه و آلوده کردن کامپیوتر‌ها بوده است. در سال ۲۰۰۸، دو سوم از تمام بدافزارهای شناخته شده ساخته شد. سپس در نیمه اول سال ۲۰۰۹، بدافزارهای جدید از تمامی بدافزارهای شناسایی شده در سال ۲۰۰۸ بیشتر شد، فیشینگ به اندازه ۵۸۵ درصد افزایش داشت و بیش از ۳۰۰ شرکت تجاری خوش‌نام قربانی شدند. فیشینگ تلاشی فریبه‌کارانه است که بزهکاران برای سرقت اطلاعات محرمانه یک شخص انجام می‌دهند و این کار از طریق وانمود کردن به این‌که آن‌ها یک سازمان مشروع، همچون PayPal، یک بانک، یک شرکت کارت اعتباری و غیره هستند انجام می‌گیرد. پیام‌های فیشینگ شامل پیوندی به یک وب‌سایت تقلبی است که مانند یک وب‌سایت مجاز واقعی ساخته شده است. هنگامی که یک کاربر روی پیوند کلیک می‌کند از او درخواست می‌شود که اطلاعات کارت اعتباری، شماره تأمین اجتماعی، شماره حساب یا رمز عبور خود را ارائه دهد. در سال‌های ۲۰۱۰ و ۲۰۱۱، فیشینگ به شکل نمایی افزایش یافت چون کاربران ناآگاه هنوز هم فریب این حقه را می‌خورند.
بزهکاران از اینترنت و شبکه‌های اختصاصی برای ربودن تعداد زیادی از کامپیوترها استفاده می‌کنند و از این طریق از کاربران جاسوسی کنند، هرزنامه ارسال کنند، از بنگاه‌ها باج‌خواهی کرده و هویت کاربران را بدزدند. اما چرا آن‌ها تا این حد موفق هستند؟ در مجمع امنیت اطلاعات  که سازمانی خوداتکا و شامل بیش از ۱۰۰ شرکت‌ برتر Fortune است، فهرستی از مهم‌ترین مشکلاتی اطلاعاتی را تهیه کرده است. بر طبق این فهرست، از هر ده حادثه، نُه حادثه ناشی از سه عامل زیر است:
* اشتباهات یا خطاهای انسانی
* سیستم‌هایی که بد عمل می‌کنند
* فقدان درک صحیح از اثرات افزودن نرم‌افزارهای ناسازگار به یک سیستم موجود
متأسفانه، این عوامل اغلب می‌توانند بر فناوری‌های امنیت اطلاعات که شرکت‌ها و افراد جهت حفاظت از اطلاعات‌شان به‌کار می‌برند، چیره شوند. عامل چهارمی نیز به‌وسیله این مجمع امنیتی شناسایی شد که انگیزه نام دارد و در بخش فناوری اطلاعات در عمل ۲ توصیف می‌شود.
دستکاری موتور جست‌وجو. دستکاری موتور جست‌وجو روشی است که توسط بزهکاران سایبری برای بهره‌برداری از الگوریتم‌های جست‌وجو به‌کار می‌برند تا وب‌سایت‌های هک شده را در رتبه بالاتری در نتایج جست‌وجو نشان دهند. این دستکاری کاربران را به سوی وب‌سایت‌های مخرب مانند صفحات طعمه که نرم‌افزارهای ضدویروس جعلی یا «نرم‌افزارهایی که به‌صورت غیرقانونی در اینترنت توزیع شده‌اند»  (نرم‌افزارها، موسیقی‌ و بازی‌های سرقت شده و …) سوق می‌دهد. بدافزارهایی نیز که از طریق موتورهای جست‌وجو منتشر می‌شوند در حال افزایش هستند، چون کاربران به موتورهای جست‌وجو اعتماد زیادی دارند و رتبه‌بندی‌ها به‌راحتی می‌توانند دست‌کاری شده و تغییر یابند.
حملات چند پیوندی . حملات وقتی که به‌همدیگر پیوند می‌خورند پیچیده‌تر می‌شوند. مثلاً پیوند‌های دست‌کاری شده موتورهای جست‌وجو ممکن است به صفحات یک وبلاگ‌ هک شده که به یک بدافزار متصل است مرتبط باشند و این بدافزار می‌تواند بدون آگاهی کاربر یا اجازه او دانلود شود. این حملات پیوندی به این منظور طراحی می‌شوند که مسیر خاصی داشته باشند و در صورتی که کاربر آن مسیر را طی نکند حملات عمل نمی‌کنند. این آگاهی از مسیر یافتن و شناسایی تهدیدات را برای خزندگان وب  سنتی بسیار دشوار می‌کند. همچنان‌که بزهکاران سایبری رویکرد‌های چند لایه‌ای را برای دوری از شناسایی به‌کار می‌گیرند، حملات چند پیوندی قسمتی از تهدیدات پیچیده‌تر و ترکیبی می‌شوند. در ادامه مطالبی در مورد مقررات دولتی و استانداردهای سنتی که به منظور الزام شرکت‌ها به سرمایه‌گذاری روی امنیت اطلاعات تدوین شده‌اند، ارائه خواهد شد.

مقررات دولتی
داده‌ها باید در برابر طرح‌های حمله‌ای حال و آینده محافظت شوند و روش‌های دفاعی فناوری اطلاعات باید مقررات سخت دولتی و بین‌المللی را رعایت کنند. مقررات اولیه قانون ساربینس-اوکسلی  (SOX)، قانون گرَم-لیچ-بلایلی  (GLB)، قانون فدرال مدیریت امنیت اطلاعات  (FISMA) و قانون پاتریوت آمریکا  در ایالات متحده؛ قانون حفاظت از اطلاعات شخصی ژاپن؛ قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی  (PIPEDA) در کانادا؛ قانون حریم خصوصی فدرال استرالیا؛ قانون حفاظت از داده‌ها در انگلستان؛ و بازل ۳  (خدمات مالی جهانی) هستند. همه این قوانین حفاظت از داده‌های خصوصی را الزام‌آور دانسته‌اند. مدیر اداره محافظت از مصرف‌کننده کمیسیون تجارت فدرال  (FTC) هشدار داده‌ است که این اداره اقدامات اجبارکننده‌ای را علیه بنگاه‌های کوچکی که از خط‌مشی‌ها و رویه‌های مناسب برای حفاظت از داده‌های مصرف‌کننده پیروی نمی‌کنند انجام خواهد داد.
دو مدل پذیرفته‌شده برای «حاکمیت فناوری اطلاعات»  عبارتند از: مدیریت ریسک سازمانی  (ERM) و COBIT (اهداف کنترلی برای اطلاعات و فناوری‌‌ مربوطه) . ERM رویکردی مبتنی بر ریسک برای مدیریت یک سازمان است که کنترل داخلی، الزامات قانون ساربینس-اوکسلی و برنامه‌ریزی استراتژیک را با هم تلفیق می‌کند. ERM باید قسمتی از فرآیند برنامه‌ریزی روزمره باشد و نه یک اقدام مجزا. محل ایده‌آل برای شروع آن سطوح عالی مدیریت سازمان است و جلب ضمانت و تعهد هیئت مدیره بسیار مهم است.
COBIT که در بخش فناوری اطلاعات در عمل ۳ توصیف می‌شود، چارچوب کنترل و حاکمیت فناوری اطلاعات است که به‌طور بین‌المللی پذیرفته شده است و برای هم‌راستا کردن فناوری اطلاعات با اهداف کسب‌وکار، تحویل ارزش و مدیریت مخاطرات مربوطه به‌کار می‌رود. این چارچوب مرجعی را برای مدیران، کاربران و کارشناسان ممیزی، کنترل و امنیت سیستم‌های اطلاعاتی مهیا می‌کند.
استانداردهای صنعتی
گروه‌های صنعتی استانداردهای خود را برای حفاظت از مشتریان و تصویر تجاری و سود اعضای خود اعمال می‌کنند. یک نمونه را می‌توان استاندارد امنیت داده‌های صنعت کارت‌های پرداخت  (PCI DSS) دانست که توسط شرکت‌های Visa، MasterCard، American Express و Discover تدوین شده است.
این استاندارد برای همه اعضا، تجار یا ارائه‌کنندگان خدمات که داده‌های دارندگان کارت را ذخیره و پردازش کرده یا انتقال می‌دهند لازم است. PCI DSS در ماه ژوئن ۲۰۰۸ به مرحله اجرای کامل در آمد. به‌طور خلاصه، این بخش تجار و ارائه‌کنندگان کارت‌های پرداخت را ملزم می‌کند که از عملکرد امن برنامه‌های کاربردی تحت وب خود اطمینان حاصل کنند. انجام درست این کار می‌تواند تعداد موارد نقض امنیتی مرتبط با وب را کاهش دهد.
از PCI DSS خرده‌فروشان را ملزم می‌کند که اطمینان حاصل کنند که برنامه‌های کاربردی تحت وب آن‌ها از طریق به‌کار بردن یکی از دو روش زیر در مقابل حملات شناخته شده محافظت می‌شوند:
۱-    تمام کدهای سفارشی برنامه برای کشف آسیب‌پذیری‌ها به‌وسیله یک شرکت امنیتی بازبینی شوند.
۲-    یک دیواره آتش لایه کاربرد در جلوی برنامه‌های کاربردی تحت وب مستقر گردد. هر برنامه کاربردی دارای دیواره آتش مخصوص به خود است تا در مقابل نفوذها و بدافزارها محافظت شود.
هدف از PCI DSS بهبود اعتماد مشتریان در تجارت الکترونیکی، به‌ویژه در پرداخت‌های آنلاین و افزایش امنیت وب مربوط به فروشندگان اینترنتی است. برای ایجاد انگیزه برای پیروی از این استانداردها، جریمه‌های سنگینی برای عدم اجرای آن‌ها در نظر گرفته شده است. تولید‌کنندگان کارت‌ها می‌توانند خرده‌فروشان را جریمه کنند یا حق‌الزحمه هر تراکنش با کارت اعتباری یا کارت بدهی را افزایش دهند. یافتن هر نوع عدم پیروی می‌تواند پایه‌ای برای یک دعوی حقوقی باشد.
نظرسنجی CompTIA درباره امنیت اطلاعات. مؤسسه صنعت و فناوری رایانش  (CompTIA) که یک گروه تجاری غیرانتفاعی است. این شرکت در نظرسنجی سال ۲۰۰۸ خود پیرامون امنیت اطلاعات، گزارش داد که چگونه شرکت‌ها در کشورهای ایالات متحده، انگلستان، کانادا و چین تلاش می‌کنند استانداردهای امنیت اطلاعات خود را بهبود دهند. یافته‌های اصلی آن‌ها به شرح زیر است:
* تقریباً نزدیک به ۶۶ درصد از شرکت‌های آمریکایی، ۵۰ درصد از انگلیسی‌ها و چینی‌ها و ۴۰ درصد از شرکت‌های کانادایی‌ خط‌مشی‌های نوشته شده امنیت فناوری اطلاعات را به اجرا در آورده‌اند.
* درصدی از بودجه‌ فناوری اطلاعات که شرکت‌ها برای امنیت اختصاص داده‌اند سال به سال افزایش می‌یابد. در آمریکا، شرکت‌ها ۱۲ درصد از بودجه‌ فناوری اطلاعات خود در سال ۲۰۰۷ را برای مقاصد امنیتی تخصیص دادند که این سهم در سال ۲۰۰۵ به ۷ درصد می‌رسید. کل این بودجه صرف خرید فناوری‌های مرتبط با امنیت می‌شد.
* حدود ۳۳ درصد از شرکت‌های آمریکایی داشتن گواهی‌نامه در امنیت شبکه و داده‌ها را برای کارکنان فناوری اطلاعات خود الزامی کرده‌اند. در چین، ۷۸ درصد از شرکت‌ها گواهی‌نامه‌های امنیت فناوری اطلاعات را از کارکنان خود مطالبه می‌کنند.
طبق هفتمین گزارش CompTIA درمورد روند سالانه امنیت اطلاعات: تحلیلی بر امنیت فناوری اطلاعات و مطالعه نیروی کار، امنیت فناوری اطلاعات هم‌چنان یک نگرانی اصلی برای کارشناسان فناوری اطلاعات در سراسر دنیا است. همان‌طور که نقش فناوری اطلاعات در سازمان‌ها رو به گسترش است، پتانسیل نقض امنیتی نیز رو به رشد است.

فروپاشی امنیت اطلاعات خارج از کنترل شرکت
بعضی از حوادث خارج از کنترل یک شرکت هستند. در سال ۲۰۱۰، خاکستر‌های آتشفشانی در ایرلند اختلالات طولانی و بحرانی را ایجاد کردند که تا آن زمان در بنگاه‌ها تجربه نشده بود. رویدادهای نامشخصی که می‌توانند باعث از بین رفتن امنیت اطلاعات شوند، همچون حوادثی که در ذیل می‌آیند، نیازمند طرح‌های بازیابی از حادثه و تداوم کسب‌وکار هستند.
حادثه ۱- بزهکاران سایبری حمله‌ای را برای اخاذی پول از StormPay که یک شرکت پردازش پرداخت‌های آنلاین است، اجرا کردند. این حمله مراکز داده و کسب‌وکار آن شرکت را برای دو روز از کار انداخت و منجر به ضرر مالی و عصبانیت ۳ میلیون مشتری شد.
حادثه ۲- منهتن پایین  (شکل ۲-۵) پر ارتباط‌ترین منطقه ملکی در سراسر دنیا است. بسیاری از شرکت‌ها در آنجا فاقد طرح‌های تداوم کسب‌وکار خارج از محل کسب‌وکار بودند و در نتیجه حملات یازده سپتامبر ۲۰۰۱ داده‌های حیاتی خود را در مورد مشتریان، کارمندان و فعالیت‌ها برای همیشه از دست دادند. سیستم‌ها و شبکه‌های حیاتی از کار افتادند. آن‌ها همچنین زمانی که برج‌های تجارت جهانی فرو ریختند و دفتر مرکزی Verizon که دقیقاً روبروی مرکز تجارت جهانی قرار داشت، دچار خسارت عظیم شده و اتصالات شبکه‌ای و تلفنی خود را از دست دادند. در مجموع، ۳۰۰ هزار خط تلفنی و ۶/۳ میلیون مدار داده‌ای با ظرفیت بالا که توسط این دفتر خدمت‌رسانی می‌شدند، از دسترس خارج گردیدند.
این حوادث نشان‌دهنده تنوع مشکلات امنیت اطلاعات و خسارات قابل‌توجهی است که آن‌ها می‌توانند به سازمان‌ها در هر محلی از دنیا تحمیل کنند.
مدل دفاع در عمق امنیت فناوری اطلاعات
دفاع در عمق  رویکردی چند لایه در امنیت اطلاعات است. اصل اساسی در این رویکرد این است که وقتی یک لایه ناتوان می‌شود، لایه دیگر محافظت را به عهده می‌گیرد. مثلاً اگر امنیت در یک شبکه بی‌سیم از بین رفت، آنگاه داشتن داده‌های رمزنگاری شده همچنان داده‌ها را از دسترسی سارقان به اطلاعات آن‌ها مصون می‌دارد، مشروط بر این‌که سارقان نتوانند آن‌ها را رمزگشایی کنند.
موفقیت هر نوع پروژه فناوری اطلاعات متکی بر تعهد و التزام مدیران اجرایی است که به‌عنوان «لحن بالا»  نیز گفته می‌شود. این اصل برای امنیت فناوری اطلاعات نیز صدق می‌کند. هنگامی که مدیریت ارشد تعهد خود را به امنیت فناوری اطلاعات نشان می‌دهد، این موضوع برای دیگران هم اهمیت پیدا می‌کند. این لحن در امنیت اطلاعات به کاربران گوشزد می‌کند که شیوه‌های نا‌امن و اشتباهات تحمل نخواهد شد. بنابراین، همان‌طور که در شکل ۳ نشان داده شده است، یک مدل امنیت فناوری اطلاعات و کنترل داخلی با تعهد و پشتیبانی مدیریت ارشد سازمان آغاز می‌شود. این مدل امنیت اطلاعات را به‌عنوان ترکیبی از افراد، فرآیندها و فناوری دیده می‌شود.
گام ۱- تعهد و پشتیبانی مدیریت ارشد. نفوذ مدیران ارشد برای اجرا و حفظ امنیت، استانداردهای اخلاقی، حریم خصوصی و کنترل داخلی لازم است. کنترل داخلی فرآیندی است که به منظور فراهم کردن تضمین معقول برای فعالیت‌های مؤثر و گزارش‌‌دهی مالی قابل‌اطمینان طراحی می‌شود.
گام ۲- خط‌مشی‌های استفاده قابل‌قبول و آموزش امنیت فناوری اطلاعات. گام بعدی در ساخت یک برنامه مؤثر امنیت فناوری اطلاعات توسعه خط‌مشی‌های امنیتی و فراهم کردن آموزش برای ایجاد اطمینان از آگاهی و درک همگان از آن‌هاست. درک بیشتر نسبت به نحوه تأثیرگذاری امنیت بر سطوح تولید، ارتباط با مشتریان و تأمین‌کنندگان، جریان سود و مسئولیت مدیران موجب افزایش امنیت در طرح‌ها و پروژه‌های کسب‌وکار می‌شود.
مهم‌ترین این خط‌مشی‌ها خط‌مشی استفاده قابل‌قبول  (AUP) است که کاربران را از مسئولیت‌هایشان آگاه می‌کند. یک AUP به دو دلیل موردنیاز است: ۱) برای جلوگیری از سوء‌استفاده از اطلاعات و منابع کامپیوتری و ۲) برای کاهش قرارگیری در معرض جریمه‌ها، تحریم‌ها و مسئولیت‌های حقوقی. برای این‌که یک AUP مؤثر باشد باید مسئولیت کاربران، اعمال قابل‌قبول و غیرقابل‌قبول و عواقب عدم پیروی از خط‌مشی را مشخص کند. خط‌مشی‌های استفاده قابل‌قبول مربوط به رایانامه، اینترنت و کامپیوتر‌ها باید به‌عنوان افزونه‌ای بر دیگر خط‌مشی‌های سازمانی در نظر گرفته شوند، همچون خط‌مشی‌هایی که به ایمنی فیزیکی، فرصت‌های برابر، آزار و اذیت و تبعیض می‌پردازند.
گام ۳- رویه‌ها و اعمال امنیت فناوری اطلاعات. اگر فعالیت کاربران برای بررسی پیروی آنان پایش نشود، خط‌مشی استفاده قابل‌قبول بی‌فایده است. بنابراین، گام بعدی اجرای رویه‌های پایشی، آموزش و اعمال این خط‌مشی‌هاست. بنگاه‌ها توان پرداخت هزینه‌های زیاد امنیت کامل را ندارند، از این رو، آن‌ها سطح مناسب حفاظت را محاسبه می‌کنند. این محاسبه بر اساس ریسکی است که دارایی‌های دیجیتال در معرض آن قرار دارند. مدل قرارگیری در معرض ریسک برای دارایی‌های دیجیتال از پنج عامل تشکیل شده است که در جدول ۲ نشان داده شده‌اند.
روش دیگری برای ارزیابی ریسک تحلیل تأثیر بر کسب‌وکار  (BIA) است. BIA عملی است که اثر از دست دادن پشتیبانی یا در دسترس بودن یک منبع را تعیین می‌کند. به‌عنوان مثال، برای بیشتر افراد از دست دادن یک تلفن هوشمند اثر بیشتری نسبت به از دست دادن یک دوربین دیجیتال دارد. BIA به شناسایی حداقل منابع موردنیاز برای بازیابی کمک کرده و بازیابی فرآیندها و سیستم‌های پشتیبان را اولویت‌بندی می‌کند. وقتی که تهدیدهای جدیدی در فناوری اطلاعات ظهور می‌یابند، BIA را باید به‌روزرسانی کرد. پس از اینکه ریسک دارایی‌های دیجیتال برآورد شد، آنگاه می‌توان تصمیمات آگاهانه‌ای در مورد میزان سرمایه‌گذاری در امنیت اطلاعات اتخاذ کرد.
گام ۴- سخت‌افزار و نرم‌افزار. گام نهایی در این مدل پیاده‌سازی نرم‌افزارها و سخت‌افزارهایی است که برای اِعمال و پشتیبانی از AUP و اقدامات امنیتی لازم هستند. به خاطر داشته باشید که امنیت فرآیندی مستمر و بی‌پایان است و مسئله‌ای نیست که با سخت‌افزار یا نرم‌افزار رفع شود. اقدامات دفاعیِ امنیتی با سخت‌افزار و نرم‌افزار نمی‌توانند حفاظتی را در مقابل شیوه‌های غیرمسئولانه در کسب‌وکار ایجاد کنند.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text