امنیت اطلاعات در فضای سایبری
در آموزش قبل با فضای سایبری و فضای مجازی آشنا شدید و در این آموزش قصد داریم امنیت اطلاعات تمامی کاربران را در فضای پرهیاهوی سایبری که در هرلحظه امکان سرقت دادهها وجود دارد، مورد بررسی قرار دهیم تا بتوانیم از تمامی دادههای شخصی و سازمانی به بهترین شکل ممکن محافظت کنیم. امروزه زندگی شغلی بیشتر افراد وابسته به شبکه جهانی اینترنت است. برخلاف انتظار اکثر کاربران، همواره افرادی وجود دارند که قصد دستیابی به اطلاعات شخصی یا سازمانی را با انگیزه های مختلف دارند، به همین دلیل باید یک قدم از این افراد جلوتر بوده و به دنبال راهحلهایی امن برای تبادلات اطلاعات باشیم.
امنیت اطلاعات (Information Security) در فضای مجازی با سه مفهوم حفظ محرمانگی (security)، حفظ یکپارچگی (Functionality) و قابلدسترس بودن (Ease of use) اطلاعات، تعریف و ارزیابی می شود که این سه ویژگی مثلث معروف امنیت را تشکیل می دهند.
حفظ محرمانگی (security): به اصطلاح جلوگیری از افشای اطلاعات به افراد غیرمجاز است که در آن افراد غیرمجاز (هکرها) نباید به اطلاعات اشخاص دست یابند.
حفظ یکپارچگی (Functionality): به معنی جلوگیری از تغییر اطلاعات حساس بهصورت غیرمجاز است و درصورتیکه دادهها دستکاری شوند، باید سریعاً تغییرات تشخیص داده شوند.
قابلدسترس بودن (Ease of use): زمانی که افراد مجاز نیاز به اطلاعات خود دارند، سریعاً بتوانند آنها را در اختیار خود داشته باشند یعنی باید از صحت درست کار کردن سامانهها مطمئن باشیم.
امن کردن کامل سازمان و یا شبکه هزینه زیادی می طلبد بنابراین ما نمی توانیم رویکرد کاملا امنی در این زمینه داشته باشیم به همین علت باید روش های امنسازی مختلفی را پیاده سازی کنیم تا به این نتیجه برسیم که کدام روش بیشترین بهره را برای ما دارد. برای مثال اگر کابل شبکه را از سیستم جدا کنیم، سیستم ما در مقابل حملات مبتنی بر اینترنت کاملاً امن خواهد بود اما قابلیت استفاده آن بهشدت کاهش مییابد و اگر آن را به اینترنت متصل کنیم و برای کارایی بیشتر از هیچگونه آنتیویروس، فایروال و… استفاده نکنیم، مسلماً امنیت سیستم به خطر خواهد افتاد. بنابراین علاوه بر این که برای حفظ امنیت اطلاعات بایستی این سه ویژگی سرلوحه کار قرار داده شود، متخصصان امنیت نیز وظیفه دارند که تعادلی بین این سه ویژگی ایجاد کنند تا هیچ نقصی در کار هر یک از سه ویژگی ذکرشده ایجاد نشود.
متأسفانه باوجود احتمال بازگشتناپذیر بودن اطلاعات تغییر داده شده و سرقت شده، همواره پیشگیری از فقدان اطلاعات (Data Loss Prevention) در برخی از سازمانها و شرکتها نادیده گرفته میشود و حتی با پرداخت خسارت نیز قابل جبران نمی شود. بیتوجهی به این امر ممکن است پیامدهای منفی زیر را در پی داشته باشد:
۱-مشکل در عملکرد کسبوکار و عدم اعتماد مشتریان
۲-کاهش درآمد و یا حتی ورشکستگی
۳-تخریب اعتبار یک سازمان و یا شرکت
۴-از دست دادن گواهینامهها، رتبهبندیها و…
۵-از دست دادن اعتماد سرمایهگذاران
و…
یکی از خبرسازترین سرقت اطلاعات در دسامبر ۲۰۱۷ مربوط به اکوئیفاکس بود. این مجموعه به عنوان یکی از شرکت های خدمات مالی و اعتباری به شمار می رفت که در پی این حادثه، اطلاعات مالی و محرمانه بیش از ۱۴۵ میلیون نفر از کاربرانش به سرقت رفت. مدیریت اشتباه این حادثه به شدت مورد توجه رسانه ها قرار گرفت و خسارت ناشی از این اتفاق بین ۵۷۵ تا ۷۰۰ میلیون دلار اعلام شد. حادثههای نفوذ دیگری همچون کپیتالوان، واناکرای و… همچون حادثه ذکرشده در صدر جدول سرقت اطلاعات دنیای تکنولوژی قرار دارند. بنابراین تمامی کارمندان و پرسنل سازمانها و شرکتها باید در قبال اطلاعات قابلدسترس خود مسئول باشند. امید است تمامی کاربران پیشگیری از فقدان اطلاعات را بهعنوان موضوعی جدی برای کسبوکارهای خود در نظر بگیرند تا شاهد کاهش خسارات ناشی از تغییر و سرقت اطلاعات حساس باشیم و روزبهروز امنیت اطلاعات خود را در فضای نا امن سایبری بالا ببریم.
ضمن تشکر از مطلب مفید ارسالی،
برای اصطلاحات زیر
محرمانگی= confidentiality
یکپارچگی= integrity
در دسترس بودن= availability
مثلث امنیت به طور اختصار CIAهم گفته میشه.
بازتاب: برنام امن سازان روبین شرکت برنا امن سازان روبین بارو