امنیت

اجزای اصلی امنیت اطلاعات (pentest)

اجزای امنیت اطلاعات:

امنیت اطلاعات شامل 3 قسمت از یک کانون مرکزی است

  1. امنیت فیزیکی
  2. امنیت عملیاتی
  3. مدیریت و تدابیر امنیتی

هر یک از این سه مورد برای برقراری امنیت در یک سازمان بسیار حیاتی است. فرض کنید که امنیت اطلاعات مانند یک سه پایه است که اگر یکی از این پایه ها شکسته شود شما به پایین خواهید افتاد و خودتان را زخمی می کنید. شما باید به تمامی جنبه های مربوط به امنیت اطلاعات در سازمان خود نگاه عمیق داشته باشید. بخشی از کار شما پیدا نمودن نیازهای امنیتی یک سازمان و ارائه پیشنهادات مدیریتی برای رفع آن است. شما باید کاری کنید که اطلاعات و کامپیوترها کمتر در معرض دید قرار بگیرند و نقاط ریسک پذیر را تا حد امکان به حداقل برسانید و در جهت حفظ و برقراری و به اجرا در آوردن آن در محیط کار خود تلاش کنید. این کار کوچکی نیست و شما برای اینکه بتوانید امنیت محیط کار خود را به حد معقولی برسانید باید هر کدام از این پایه های اساسی را رعایت کرده تا بتوانید مدیریت امنیت درستی بر روی سازمان خود پیاده سازی کنید، در ادامه به بررسی این سه پایه می پردازیم.

1- برقراری امنیت فیزیکی (Physical Security)

منظور از امنیت فیزیکی، حفاظت از داراییها و اطلاعات در مقابل دسترسی فیزیکی افراد یا پرسنل غیر مجاز است. به عبارت دیگر شما مسئول حفاظت از بخش هایی هستید که قابل لمس کردن، دیده شدن و دزدیده شدن هستند. این تهدیدات اغلب توسط سرویس کارها، دربان ها یا سرایدارها، مشتری ها، فروشنده ها و حتی کارمندان بوجود می آیند. اینگونه افراد می توانند ابزارها را ببینند و یا آنها را خراب کنند، یا از دفتر کار مدارک و اسنادی را به سرقت ببرند و یا در در داخل آنها اطلاعات ناخواسته قرار دهند، انگیزه آنها در انجام این کارها می تواند انتقام گرفتن از شما باشد، حال این انتقام می تواند به خاطر بوجود آمدن یک سوء تقاهم باشد و یا اینکه به خاطر کینه جویی آن فرد نسبت به شما باشد و به خاطر همین دلیل، اطلاعات محرمانه شما را به سرقت برده و در اختیار رقیبان شما قرار می دهند.

پیاده سازی امنیت فیزیکی به نسبت کار آسانی است، شما می توانید تاسیسات خود را با استفاده از کنترل کردن دسترسی به دفتر کارتان ایمن کنید، مدارک و اسناد غیر ضروری را حتما ریز ریز کنید (نوعی حمله به نام dumpster diving معروف است) سیستم های امنیتی نصب کنید و به قسمت های خاصی از فعالیتهای بازرگانی خود محدودیت دسترسی بدهید. بیشتر سازمان های اداری در ساعات غیر فعال کاری محیط اطراف ساختمان را به تحت پوشش امنیتی قرار می دهند و به این وسیله آنجا را ایمن می کنند، همین کار را می توان در ساعات اداری و فعال سازمان ها نیز اعمال کرد و چندان هم که به نظر می رسد دشوار نیست  بسیاری از سازمان ها و شرکت ها از سیستم های مختلف امنیتی از قبیل نگهبان، قفل های کنترل ورود و خروج، سیستم های الکترونیکی رمز ورود، دوربین های امنیتی، درگاه های کنترل و بازرسی بدنی و بسیاری دیگر از امکانات و تجهیزات امنیتی استفاده می کنند. در اکثر موارد مدیران قسمت ها به امنیت داخلی قسمت ها که مربوط به کامپیوترها، اسناد و مدارک شخصی شما می باشد سرو کاری ندارند، در واقع حفاظت از این موارد جزء وظایف شخصی شما در آن قسمت می باشد.

2- برقراری امنیت عملیاتی (Operational Security)

امنیت عملیاتی یا اجرایی نحوه انجام شدن کارها توسط سازمان را بیان می کند. در معنای عام می توان به عنوان مدیریت اطلاعات از آن نام برد. امنیت عملیاتی پهنه وسیعی را در بر میگیرد که شما به نوبه خود بخشی از آن هستید. اصول امنیت عملیاتی شامل: کنترل دسترسی، شناسایی و توپولوژی های امنیتی است. موارد ذکر شده شامل فعالیت های روزانه شبکه، اتصال به شبکه های دیگر، طراحی نحوه تهیه کردن نسخه پشتیبان و طراحی نحوه بازگردانی آن می شود که البته همه این موارد در حالتی امکان پذیرند که نصب شبکه کامل شده باشد. اگر بخواهیم امنیت عملیاتی را در یک جمله خلاصه کنیم به این صورت بیان می شود: شامل هر چیزی در شبکه شما می شود که به طراحی و امنیت فیزیکی شما بستگی ندارد.

3- مدیریت و خط مشی ها (Management and Policies)

مدیریت و خط مشی ها در واقع برنامه هایی هستند که با توجه به آنها می توانیم امنیت یک محیط را پیاده سازی کنیم. خط مشی ها برای اینکه موثر باشند نیاز به پشتیبانی همه جانبه از جانب تیم مدیریتی سازمان دارند. راهنما های درست نه تنها می توانند باعث بوجود آمدن ابتکارهای امنیتی در محیط شوند بلکه باعث بوجود آمدن یک امنیت موثر نیز هستند. متخصصین امنیت اطلاعات می توانند خط مشی های امنیتی خود را ادامه دهند، اما برای اینکه بتوانند آنها را پیاده سازی کنند نیاز به حمایت و پشتیبانی مدیران دارند، این نکته را همیشه به یاد داشته باشید که شما هیچوقت نمی تواندی ادعا کنید که شبکه من ایمن است و این در حالی باشد که از حمایت مدیران برخوردار نیستید. تصمیماتی که باید در سطح مدیریت و خط مشی ها اتخاذ شود به طور کامل سازمان را تحت پوشش قرار می دهد و می تواند بهره وری، روحیه کاری و فرهنگ سازمان را تحت تاثیر خود قرار بدهد. اینگونه تصمیمات و خط مشی ها می تواند تاثیر بسزایی بر روی مسائل مرتبط با امنیت نیز داشته باشد. اینگونه خط مشی ها باید طوری طراحی شوند که هدایت سازمان، راحتی در مواقعی که سازمان در تعطیلات بسر می برد یا کارمندان به مرخصی می روند و یا کار آنها به اتمام می رسد را کاملا تحت پوشش قرار دهند.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code