امنیت صددرصد وجود ندارد

امنیت صددرصد وجود ندارد. اگر هم وجود داشت، برای پیاده سازی آن باید پول خیلی زیادی خرج می‌كردیم، و بدتر از آن، تقریبا تمام عملیات تجاری را متوقف می‌نمودیم. بهترین كاری كه یك شركت در زمینه امنیت می‌تواند انجام دهد، این است كه خطرها و تهدیدهایش را ارزیابی كند، خود را با حداقل نیازهای یكی از استانداردهای قابل پیاده‌سازی تطبیق دهد، و برای دستیابی به سطح امنیتی موجود در استاندارد، كنترل‌های لازم را اعمال كند. سازمان‌های امنیتی، بخش‌های تحقیق و توسعه كارخانجات كه طرح‌ها و ایده‌های گرانقیمتی دارند و سیستم‌های تراكنشی و نقل و انتقالات مالی، به شرایط امنیتی در بهترین حد آن نیاز دارند. در جهان IT معمولا این وظیفه متخصصانIT است كه بین هزینه‌ها و كار لازم برای اعمال كنترل‌های امنیتی، و هزینه‌های كلی IT سازمان، یك تعادل برقرار كنند و به سطح امنیتی‌ای برسند كه پاسخگوی مجموعه قابل قبولی از خطرات باشد. 

در وب سایت اداره فدرال مواد غذایی و دارو در امریكا، اعلام شده‌است كه GxP استاندارد جاری برای شركت های دارو سازی جهت مطابقت با قوانین فدرال است. GxP یعنی راهكار خوب (Good Practices) نه بهترین راهكار. مثلاGood Clinical Practice یا Good Manufacturing Practice. 
البته ممكن است این موضوع كمی عجیب به نظر برسد. یعنی استاندارد لازم برای تولید داروهای حیاتی فقط در حد یك استاندار خوب است و نه بهترین استاندارد یا در زمینه دیگر، مجموعه استانداردهای ساختمانی همگی فقط "حداقل استاندارد قابل قبول" را برای خانه‌ها، زمین، و سازه تعیین می كنند. به همین ترتیب در امور قضایی، به مفهوم محتاط در حد منطقی بر می‌خوریم. یا مثلا، پزشكان و متخصصان معمولا در امور مراقبتی، مطابق استانداردی معقول و متعادل عمل می‌كنند، نه این‌كه كارها را در حد عالی و بهترین سطح ممكن انجام دهند. 
بنابراین، از متخصصان IT هم نباید خواسته شود كه بهترین راهكار امنیتی را پیاده كنند. آن‌ها باید برای حفاظت از اطلاعات و حفظ سازگاری با قوانین فدرال، كنترل‌های منطقی و مناسبی را اعمال نمایند. جالب توجه این است كه تا وقتی كه از اطلاعات به طرز مناسبی حفاظت شود و این حفاظت برمبنای استفاده از یك سند ثبت شده ارزیابی ریسك باشد، استانداردهای امنیتی حتی در روش دستیابی به این حفاظت انعطاف‌پذیرند و برای پیاده‌سازی‌كننده آزادی عمل قائل هستند. 
برای این كه بفهمید آیا هزینه معقولی بابت امنیت اطلاعات می پردازید یا خیر، برای هریك از تصمیم گیری‌های مهم در مورد تكنولوژی امنیتی، ریسك‌های موجود را ارزیابی نمایید. ثبت نتایج و این‌كه چگونه به این نتیجه‌گیری رسیده‌اید، باعث می‌شود سازمان شما با قوانین و استانداردهای موجود سازگار باشد و احترام بخش‌های اداری و مالی سازمان را نسبت به شما جلب نماید. 
برای مثال یك پیشنهاد تغییر معماری شبكه را در نظر بگیرید. مهندسان شبكه، یك معماری با رعایت افزونگی(Redundancy) را برای یكی از شعبه‌های شركت پیشنهاد كرده‌اند. این طرح با درنظر گرفتن "بهترین راهكار " و نظرات كارمندان مبنی بر این كه آن‌ها باید دائما به شبكه دسترسی داشته باشند وگرنه كارشان متوقف خواهد‌شد، ارائه شده است. 
در این مورد یك ارزیابی ریسك انجام می‌شود. این شعبه، اگرچه بخش مهمی است، ولی این امكان وجود دارد كه سایت آن چند ساعت به شبكه دسترسی نداشته باشد، بدون این‌كه به عملكرد كلی سازمان لطمه‌ای وارد شود. 
كارمندان این دفتر و مسئولان شبكه، در ارزیابی اهمیت این بخش در عملكرد كلی شركت اغراق كرده‌اند و به همین دلیل طرحی ارائه كرده اند كه تقریبا چهار برابر گران‌تر از مقدار مورد نیاز است؛ به خاطر خرید تجهیزاتی با قابلیت دسترسی بالا. تجهیزات آن نیز دو برابر مقدار مورد نیاز است. در مقابل تیم امنیت/ ریسك، تجهیزاتی را با سطح دسترس پذیری پایین‌تری پیشنهاد كرده است كه موجب صرفه جویی در هزینه‌های سازمان می شود. <بهترین راهكار> برای این مورد راهكار مناسبی نبود و بیش از حد نیاز بود. 
برای ارزیابی ریسك، روند آسانی پیشنهاد شده است كه در فرایند طراحی و تصمیم گیری می توان آن‌را به كار بست. سند ۳۰-۸۰۰ از موسسه ملی استانداردها و تكنولوژی، فرایندهایی را برای تشخیص تهدیدها و نقاط ضعف و مشخص كردن كنترل‌هایی كه در حال حاضر برای كم كردن این تهدیدها به كار می‌روند (كنترل‌های موجود)، ارائه می‌دهد. با توجه به این موارد، می‌توان احتمال رخ‌دادن یك تهدید و تاثیر سوءاستفاده‌های احتمالی از نقاط ضعف را تخمین زد كه این موارد به عنوان یك ریسك تعریف می شوند. 
راحت‌ترین كار برای ارزیابی ریسك‌ها، تهیه لیستی از تمام تهدیدها و نقاط ضعف است. بسیاری از افراد كه با مفهوم مطلق یك ریسك آشنایی ندارند، به‌طور كلی تهدیدها را به عنوان "چیز بدی كه ممكن است اتفاق بیفتد" مطرح می كنند. فهرست كردن تهدیدها به‌صورت یك كلیت، فرایند دنبال‌كردن و به‌دستآوردن ورودی درست درباره آن‌ها را برای سازمان و پرسنل IT آسان‌تر می‌سازد. سپس موارد دیگر را در گروه‌های جداگانه طبقه‌بندی كنید و روی لیست نهایی به اجماع برسید. 
هدف باید این باشد كه فهرستی با تعداد معقولی مورد به دست بیاوریم. بین ۱۰ تا ۵۰ مورد، تعداد مناسبی است. برای مثال دسترسی غیرمجاز به یك web application می‌تواند همه ریسك‌های هك كردن، دسترسی غیرمجاز، و دستیابی به اطلاعات دیگران را دربربگیرد. از این فهرست هریك از ریسك‌ها را از نظر احتمال رخ دادن و تاثیر آن‌ها، به صورت زیاد، متوسط و كم طبقه بندی كنید. این‌كار نسبتا آسان است. مثلا واضح است كه ریسك ویروس‌ها مكررا وجود دارد، ولی ریسك بلایای طبیعی این‌طور نیست. 
● تحلیل گزینه ها برای صرف هزینه ها
ازآن فهرست برای تعیین میزان كنترل‌هایی كه نیاز دارید، استفاده كنید. واضح است كه یك ریسك با ویژگی احتمال زیاد/زیاد نیازمند توجه و كنترل بیشتری است تا به یك ریسكِ متوسط متوسط یا كم/متوسط تبدیل شود. راه‌حلی كه یك ریسك زیاد/زیاد را به یك ریسك كم/كم تبدیل كند، معمولا بیش از حد نیاز این ریسك را كاهش داده‌است و هزینه زیادی همراه خواهد داشت.  راه‌حلی كه تاثیر بالایی در كاهش ریسك دارد، ولی هزینه اجرای پایینی دارد، باید بلافاصله انجام شود. 
برای مثال، نصب یك فایروال داخلی كه دسترسی به لیست پرداخت‌ها و داده‌های مالی را محدود كند، برای مطابقت با قانون Sarbanes-Oxley اهمیت حیاتی دارد، ولی یك كنترل پرهزینه/كم‌تاثیر، مانند استفاده از یك فایروال برای جداكردن هریك از سرورهای شركت، هدر دادن پول است.
یك مدیر موفق IT باید بر این نكته كه چقدر از ریسك‌ها باید كاهش داده شوند و هریك از راه‌حل‌های كنترلی مختلف برای انجام این‌كار چقدر هزینه دارد، تمركز كند. با در نظر گرفتن این فرایند، می‌توانید در صورتی كه واقعا به اعمال یك كنترل نیاز دارید، كم هزینه ترین راه حل را پیدا كنید.
David Lynas مدیر اجرایی امنیت در موسسه SABSA می گوید: در حد نیازتان هر چه كه لازم است برای امنیت پول خرج كنید، ولی حتی یك پنی هم بیشتر از نیازتان هزینه نكنید.
منبع : ماهنامه شبکه(زردشت هدایی)
 

    نظرات

    گوشی جدید هوآوی با دوربین سه بعدی عرضه شد؛ قیمت باورنکردنی
    تلفن همراه و تبلت
    گوشی جدید هوآوی با دوربین سه بعدی عرضه شد؛ قیمت باورنکردنی
    گوشی هواوی آنر وی 9 (Honor V9) امروز پیش به طور رسمی در کشور چین معرفی شد و طرفداران گوشی های اندرویدی سطح بالای ساخته شده توسط دو برند هواوی و زیرمجموعه‌ی آن یعنی برند آنر می‌توانند نام محصول جدیدی را در لیست خرید خود برای تعطیلات عید نوروز یادداشت کنند.
      2017-02-23 00:05:00
    مالیات، بیمه و خدمت سربازی ؛ مهم ترین مشکل استارت آپ ها و کسب و کارهای نوین
    تازه های کسب و کار
    مالیات، بیمه و خدمت سربازی ؛ مهم ترین مشکل استارت آپ ها و کسب و کارهای نوین
    استارت آپ ها و کسب و کارهای الکترونیکی و نوین برای ماندگاری و پابرجایی باید محکم باشند و در مقابل مشکلات بایستند تا با تعامل بتوانند خود را ثابت کرده و جایگاه اصلی خود را کسب کنند.
      2017-02-22 16:19:00
    فقدان راهبرد و اولويت بندي مشخص ؛ وضعيت نامطلوب زيست فناوري كشوررا رقم زده است
    فرادانش
    فقدان راهبرد و اولويت بندي مشخص ؛ وضعيت نامطلوب زيست فناوري كشوررا رقم زده است
    كاربردهاي فراوان زيست فناوري، آن را به عنوان برجسته ترين نشانه پيشرفت بشر در قرن حاضر و همتراز با فناوري اطلاعات قرار داده و به يكي از مهمترين ابزارها براي تأمين نيازهاي متنوع و گوناگون تبديل كرده است.
      2017-02-22 14:32:17
    دیگر سالاد شیرازی نخورید!
    کلینیک سلامت
    دیگر سالاد شیرازی نخورید!
    ترکیب مواد تشکیل دهنده که از گوارش سریع و کند برخودار هستند، ایده خوبی نیست. این شرایط می تواند تخمیر مواد غذایی در معده را به همراه داشته باشد که ممکن است کل بدن را مسموم سازد.
      2017-02-22 12:28:00
    جدیدترین تصاویر لورفته از گوشی جدید سامسونگ
    تلفن همراه و تبلت
    جدیدترین تصاویر لورفته از گوشی جدید سامسونگ
    در حالی که احتمالا در تاریخ ۲۹ مارس (۹ فروردین ماه ۱۳۹۶) قرار است برای اولین بار شاهد رونمایی رسمی از پرچمدار نسل بعد سامسونگ باشیم، از حدود چند هفته‌ی قبل انتشار شایعات مربوط به گلکسی​ اس 8 (Samsung Galaxy S8) آغاز شده است و در گزارش امروز نیز که لحظاتی پیش به دستمان رسیده، شاهد افشای تصاویری جدید از این اسمارت فون هستیم.
      2017-02-22 12:00:00
    پژو شاسی بلند جدیدی را وارد بازار ایران کرد
    گوناگون
    پژو شاسی بلند جدیدی را وارد بازار ایران کرد
    در هر صورت پژو 3008 جز جدیدترین محصولات این شرکت فرانسوی است که در کلاس کراس اوور های سایز متوسط قرار می گیرد. نسل دوم پژو 3008 در نمایشگاه پاریس 2016 به صورت رسمی رونمایی و فروش آن از اوایل سال 2017 میلادی آغاز شده است.
      2017-02-22 11:00:00
    تصاویری شگفت انگیز و فوق العاده از آسمان زیباترین شهرهای دنیا
    گوناگون
    تصاویری شگفت انگیز و فوق العاده از آسمان زیباترین شهرهای دنیا
    گروهی از عکاسان روسی با نام تیم AirPano به آسمان شهرهای زیبای جهان رفته و معماری و مدنیت مکان‌های مختلف این مناطق را از نمای بالا به تصویر کشیده‌اند. نتیجه کار بسیار دیدنی و شگفت‌انگیز است. پیشنهاد می‌کنیم دیدن این عکس های زیبا را از دست ندهید.
      2017-02-22 10:00:00
    دستاوردهای چهار ساله وزارت ICT در بستر سازي و توسعه فضاي مجازي ايران
    جامعه
    دستاوردهای چهار ساله وزارت ICT در بستر سازي و توسعه فضاي مجازي ايران
    توسعه شبکه فیبر نوری و شبکه انتقال، افزایش پهنای باند داخل و بین‌الملل، توسعه دسترسی اینترنت پرسرعت ثابت و سیار و توسعه دسترسی اینترنت پرسرعت روستایی در کنار دیگر شاخص‌های کلیدی وزارت ارتباطات و....
      2017-02-22 08:28:40
    فرايند جهاني‌شدن و ظهور و گسترش رسانه‌هاي جديد چه تأثيري بر جايگاه مذهب داشته است؟
    جامعه
    فرايند جهاني‌شدن و ظهور و گسترش رسانه‌هاي جديد چه تأثيري بر جايگاه مذهب داشته است؟
    ادعاي ما در اين نوشتار اين است که: فرايند جهاني‌شدن فرهنگي و گسترش رسانه‌هاي جديد اجتناب‌ناپذير است؛ وباوجود چالش‌ها و بحران‌هايي که به همراه دارد ، استفاده از اين فضا و امکانات تقويت‌کننده و مروج امت واحد اسلامي و زمينه‌ساز جهاني‌شدن اسلام خواهد بود.
      2017-02-21 09:23:34
    شاید واقعیت افزوده فناوری جایگزین آیفون باشد
    واقعیت افزوده
    شاید واقعیت افزوده فناوری جایگزین آیفون باشد
    از نظر من اهمیت واقعیت افزوده​ به اندازه‌ی گوشی‌های هوشمند زیاد است. گوشی هوشمند محصولی است که به همه تعلق دارد و نمی‌توان تصور کرد که آیفون محدود به کشور، موقعیت جغرافیایی یا فرهنگ خاصی باشد. من تصور می‌کنم واقعیت افزوده به همین اندازه بزرگ است
      2017-02-21 11:16:41
    لطفا وضعیت حجم اینترنت اپراتورها و نحوه محاسبه  را به سامانه و شماره تلفن ۱۹۵ اعلام فرمایید
    جامعه
    لطفا وضعیت حجم اینترنت اپراتورها و نحوه محاسبه را به سامانه و شماره تلفن ۱۹۵ اعلام فرمایید
    وزیر ارتباطات از تشکیل کمیته‌ای برای بررسی وضعیت حجم اینترنت اپراتورها و نحوه محاسبه آن خبر داد. طی مدتی که از روی کار آمدن نسل سوم و چهارم ارتباطی می‌گذرد تعداد کاربران اینترنت موبایل به یک باره گسترش قابل توجهی پیدا کرده است.
      2017-02-21 08:55:00
    ‏کسب وکارها امروز به جای وام، فضای نفس کشیدن جدید می خواهند
    تازه های کسب و کار
    ‏کسب وکارها امروز به جای وام، فضای نفس کشیدن جدید می خواهند
    در ادامه حمایت از شرکت های دانش بنیان و محصولات داخلی در حوزه ارتباطات و فناوری اطلاعات عصر دوشنبه 2 اسفند 95 دومین تفاهمنامه میان وزارت ارتباطات و فناوری اطلاعات و معاونت علمی و فناوری ریاست جمهوری به امضا رسید.
      2017-02-21 08:27:00
    تلفن‌های همراه به زودی بدون لمس کردن و شارژ شدن با نور محیط، کنترل خواهند شد
    تازه های فناوری
    تلفن‌های همراه به زودی بدون لمس کردن و شارژ شدن با نور محیط، کنترل خواهند شد
    مونساب شیم (Moonsub Shim)، استاد دانشگاه ایلینوی در اوربانا-شامپاین ایالات متحده اظهار داشت که تلفن ها ی همراه از حالت نمایش اطلاعات صرف، بیشتر به سمتی می روند که به دستگاه‌های تعاملی تبدیل شوند.
      2017-02-20 20:56:04