امنیت صددرصد وجود ندارد

امنیت صددرصد وجود ندارد. اگر هم وجود داشت، برای پیاده سازی آن باید پول خیلی زیادی خرج می‌كردیم، و بدتر از آن، تقریبا تمام عملیات تجاری را متوقف می‌نمودیم. بهترین كاری كه یك شركت در زمینه امنیت می‌تواند انجام دهد، این است كه خطرها و تهدیدهایش را ارزیابی كند، خود را با حداقل نیازهای یكی از استانداردهای قابل پیاده‌سازی تطبیق دهد، و برای دستیابی به سطح امنیتی موجود در استاندارد، كنترل‌های لازم را اعمال كند. سازمان‌های امنیتی، بخش‌های تحقیق و توسعه كارخانجات كه طرح‌ها و ایده‌های گرانقیمتی دارند و سیستم‌های تراكنشی و نقل و انتقالات مالی، به شرایط امنیتی در بهترین حد آن نیاز دارند. در جهان IT معمولا این وظیفه متخصصانIT است كه بین هزینه‌ها و كار لازم برای اعمال كنترل‌های امنیتی، و هزینه‌های كلی IT سازمان، یك تعادل برقرار كنند و به سطح امنیتی‌ای برسند كه پاسخگوی مجموعه قابل قبولی از خطرات باشد. 

در وب سایت اداره فدرال مواد غذایی و دارو در امریكا، اعلام شده‌است كه GxP استاندارد جاری برای شركت های دارو سازی جهت مطابقت با قوانین فدرال است. GxP یعنی راهكار خوب (Good Practices) نه بهترین راهكار. مثلاGood Clinical Practice یا Good Manufacturing Practice. 
البته ممكن است این موضوع كمی عجیب به نظر برسد. یعنی استاندارد لازم برای تولید داروهای حیاتی فقط در حد یك استاندار خوب است و نه بهترین استاندارد یا در زمینه دیگر، مجموعه استانداردهای ساختمانی همگی فقط "حداقل استاندارد قابل قبول" را برای خانه‌ها، زمین، و سازه تعیین می كنند. به همین ترتیب در امور قضایی، به مفهوم محتاط در حد منطقی بر می‌خوریم. یا مثلا، پزشكان و متخصصان معمولا در امور مراقبتی، مطابق استانداردی معقول و متعادل عمل می‌كنند، نه این‌كه كارها را در حد عالی و بهترین سطح ممكن انجام دهند. 
بنابراین، از متخصصان IT هم نباید خواسته شود كه بهترین راهكار امنیتی را پیاده كنند. آن‌ها باید برای حفاظت از اطلاعات و حفظ سازگاری با قوانین فدرال، كنترل‌های منطقی و مناسبی را اعمال نمایند. جالب توجه این است كه تا وقتی كه از اطلاعات به طرز مناسبی حفاظت شود و این حفاظت برمبنای استفاده از یك سند ثبت شده ارزیابی ریسك باشد، استانداردهای امنیتی حتی در روش دستیابی به این حفاظت انعطاف‌پذیرند و برای پیاده‌سازی‌كننده آزادی عمل قائل هستند. 
برای این كه بفهمید آیا هزینه معقولی بابت امنیت اطلاعات می پردازید یا خیر، برای هریك از تصمیم گیری‌های مهم در مورد تكنولوژی امنیتی، ریسك‌های موجود را ارزیابی نمایید. ثبت نتایج و این‌كه چگونه به این نتیجه‌گیری رسیده‌اید، باعث می‌شود سازمان شما با قوانین و استانداردهای موجود سازگار باشد و احترام بخش‌های اداری و مالی سازمان را نسبت به شما جلب نماید. 
برای مثال یك پیشنهاد تغییر معماری شبكه را در نظر بگیرید. مهندسان شبكه، یك معماری با رعایت افزونگی(Redundancy) را برای یكی از شعبه‌های شركت پیشنهاد كرده‌اند. این طرح با درنظر گرفتن "بهترین راهكار " و نظرات كارمندان مبنی بر این كه آن‌ها باید دائما به شبكه دسترسی داشته باشند وگرنه كارشان متوقف خواهد‌شد، ارائه شده است. 
در این مورد یك ارزیابی ریسك انجام می‌شود. این شعبه، اگرچه بخش مهمی است، ولی این امكان وجود دارد كه سایت آن چند ساعت به شبكه دسترسی نداشته باشد، بدون این‌كه به عملكرد كلی سازمان لطمه‌ای وارد شود. 
كارمندان این دفتر و مسئولان شبكه، در ارزیابی اهمیت این بخش در عملكرد كلی شركت اغراق كرده‌اند و به همین دلیل طرحی ارائه كرده اند كه تقریبا چهار برابر گران‌تر از مقدار مورد نیاز است؛ به خاطر خرید تجهیزاتی با قابلیت دسترسی بالا. تجهیزات آن نیز دو برابر مقدار مورد نیاز است. در مقابل تیم امنیت/ ریسك، تجهیزاتی را با سطح دسترس پذیری پایین‌تری پیشنهاد كرده است كه موجب صرفه جویی در هزینه‌های سازمان می شود. <بهترین راهكار> برای این مورد راهكار مناسبی نبود و بیش از حد نیاز بود. 
برای ارزیابی ریسك، روند آسانی پیشنهاد شده است كه در فرایند طراحی و تصمیم گیری می توان آن‌را به كار بست. سند ۳۰-۸۰۰ از موسسه ملی استانداردها و تكنولوژی، فرایندهایی را برای تشخیص تهدیدها و نقاط ضعف و مشخص كردن كنترل‌هایی كه در حال حاضر برای كم كردن این تهدیدها به كار می‌روند (كنترل‌های موجود)، ارائه می‌دهد. با توجه به این موارد، می‌توان احتمال رخ‌دادن یك تهدید و تاثیر سوءاستفاده‌های احتمالی از نقاط ضعف را تخمین زد كه این موارد به عنوان یك ریسك تعریف می شوند. 
راحت‌ترین كار برای ارزیابی ریسك‌ها، تهیه لیستی از تمام تهدیدها و نقاط ضعف است. بسیاری از افراد كه با مفهوم مطلق یك ریسك آشنایی ندارند، به‌طور كلی تهدیدها را به عنوان "چیز بدی كه ممكن است اتفاق بیفتد" مطرح می كنند. فهرست كردن تهدیدها به‌صورت یك كلیت، فرایند دنبال‌كردن و به‌دستآوردن ورودی درست درباره آن‌ها را برای سازمان و پرسنل IT آسان‌تر می‌سازد. سپس موارد دیگر را در گروه‌های جداگانه طبقه‌بندی كنید و روی لیست نهایی به اجماع برسید. 
هدف باید این باشد كه فهرستی با تعداد معقولی مورد به دست بیاوریم. بین ۱۰ تا ۵۰ مورد، تعداد مناسبی است. برای مثال دسترسی غیرمجاز به یك web application می‌تواند همه ریسك‌های هك كردن، دسترسی غیرمجاز، و دستیابی به اطلاعات دیگران را دربربگیرد. از این فهرست هریك از ریسك‌ها را از نظر احتمال رخ دادن و تاثیر آن‌ها، به صورت زیاد، متوسط و كم طبقه بندی كنید. این‌كار نسبتا آسان است. مثلا واضح است كه ریسك ویروس‌ها مكررا وجود دارد، ولی ریسك بلایای طبیعی این‌طور نیست. 
● تحلیل گزینه ها برای صرف هزینه ها
ازآن فهرست برای تعیین میزان كنترل‌هایی كه نیاز دارید، استفاده كنید. واضح است كه یك ریسك با ویژگی احتمال زیاد/زیاد نیازمند توجه و كنترل بیشتری است تا به یك ریسكِ متوسط متوسط یا كم/متوسط تبدیل شود. راه‌حلی كه یك ریسك زیاد/زیاد را به یك ریسك كم/كم تبدیل كند، معمولا بیش از حد نیاز این ریسك را كاهش داده‌است و هزینه زیادی همراه خواهد داشت.  راه‌حلی كه تاثیر بالایی در كاهش ریسك دارد، ولی هزینه اجرای پایینی دارد، باید بلافاصله انجام شود. 
برای مثال، نصب یك فایروال داخلی كه دسترسی به لیست پرداخت‌ها و داده‌های مالی را محدود كند، برای مطابقت با قانون Sarbanes-Oxley اهمیت حیاتی دارد، ولی یك كنترل پرهزینه/كم‌تاثیر، مانند استفاده از یك فایروال برای جداكردن هریك از سرورهای شركت، هدر دادن پول است.
یك مدیر موفق IT باید بر این نكته كه چقدر از ریسك‌ها باید كاهش داده شوند و هریك از راه‌حل‌های كنترلی مختلف برای انجام این‌كار چقدر هزینه دارد، تمركز كند. با در نظر گرفتن این فرایند، می‌توانید در صورتی كه واقعا به اعمال یك كنترل نیاز دارید، كم هزینه ترین راه حل را پیدا كنید.
David Lynas مدیر اجرایی امنیت در موسسه SABSA می گوید: در حد نیازتان هر چه كه لازم است برای امنیت پول خرج كنید، ولی حتی یك پنی هم بیشتر از نیازتان هزینه نكنید.
منبع : ماهنامه شبکه(زردشت هدایی)
 

    نظرات

    رویداد ساعت زمین چیست؟
    انرژی های نو
    رویداد ساعت زمین چیست؟
    ساعت زمین یک رویداد جهانی سازماندهی شده توسط صندوق جهانی طبیعت (World Wide Fund for Nature‏) است که در آخرین شنبه ماه مارس هر سال برگزار می شود. خانواده ها و کسب و کارها با خاموش کردن چراغ ها و سایر دستگاه های الکتریکی غیر ضروری خود به مدت یک ساعت این طرح را یادآوری می کنند.
      2017-03-24 18:15:39
    طرح تجاری چیست و چگونه باید آن را تدوین کرد؟
    بازاریابی و بازارسازی
    طرح تجاری چیست و چگونه باید آن را تدوین کرد؟
    اگر برای شروع کسب‌وکارتان با کسی مشورت کنید ممکن است به شما توصیه کند: «اول بیزینس پلن کارت را طراحی کن.» اما بیزینس پلن چیست؟ بیزینس پلن که آن را به «طرح کسب‌وکار» ترجمه می‌کنند به منظور کمک به شما برای رسیدن به اهداف کسب‌وکارتان طراحی می‌شود.
      2017-03-24 12:05:09
    ویکی لیکس افشا کرد؛ جاسوسی سیا از رایانه‌های اپل
    شرکت ها و برندها
    ویکی لیکس افشا کرد؛ جاسوسی سیا از رایانه‌های اپل
    براساس اسناد منتشر شده توسط ویکی‌لیکس، سازمان اطلاعات مرکزی آمریکا «سیا» به‌شکل دائمی رایانه‌های مک شرکت اپل را به گونه‌ای آلوده کند که حتی نصب مجدد سیستم عامل نیز به پاک شدن و از بین رفتن این ویروس کمکی نمی‌کند.
      2017-03-24 11:23:14
    ربات تلگرام که نوشته عکس‌ها را ترجمه می‌کند
    رسانه های اجتماعی
    ربات تلگرام که نوشته عکس‌ها را ترجمه می‌کند
    استفاده از ربات‌های تلگرام برای انجام کارهای مختلف، یکی از ویژگی‌های مهم تلگرام است که آن را از سایر پیام‌رسان‌ها محبوب‌تر کرده است. شما را با رباتی آشنا می‌کنیم که قادر است نوشته‌های عکس‌ها را به زبان‌های مختلف ترجمه کند.
      2017-03-24 10:25:30
    بدون اتصال به اینترنت هم ممکن است هک شوید
    اینترنت
    بدون اتصال به اینترنت هم ممکن است هک شوید
    اگرچه معمولا هکرها رایانه یا یک پایگاه اینترنتی را که به خوبی محافظت نشده می‌یابند تا به اطلاعاتی که در آن ذخیره شده دسترسی پیدا کنند، اما راه‌هایی توسط پژوهشگران کشف شده که می‌توان داده‌ها را از رایانه‌ای که به اینترنت وصل نیست نیز سرقت کرد.
      2017-03-24 08:00:00
    با قابلیت‌های مخفی مرورگر کروم آشنا شوید
    نرم افزارها
    با قابلیت‌های مخفی مرورگر کروم آشنا شوید
    بسیاری از کاربران فضای مجازی از مرورگر گوگل کروم (Google Chrome) استفاده می‌کنند. محبوبیت بسیار زیاد سیستم‌عامل اندروید و همگام‌سازی این مرورگر در بین پلتفرم‌ها، وابستگی کاربران به این مرورگر اینترنتی بیش‌از‌پیش ساخته است. آیا از قابلیت‌های مخفی این مرورگر باخبر هستید؟
      2017-03-24 08:00:00
    سامسونگ؛ یکبار برای همیشه
    تلفن همراه و تبلت
    سامسونگ؛ یکبار برای همیشه
    دستیار هوشمند سامسونگ (S Voice) هرگز نتوانست رقابت نزدیکی با سیری اپل و دستیار هوشمند گوگل و حتی کورتانای مایکروسافت داشته باشد. حالا نوبت یک تغییر است؛ تغییری بزرگ با پرچمدارانی درخشان.
      2017-03-19 16:31:55
    تلویزیونی در قاب عکس برای تطابق بیشتر با دکوراسون خانه شما
    تازه های فناوری
    تلویزیونی در قاب عکس برای تطابق بیشتر با دکوراسون خانه شما
    روز گذشته سامسونگ محصول جدیدی را معرفی کرد که علاوه بر داشتن امکانات معمولی یک تلویزیون، ظاهری همچون یک قاب عکس با لبه‌های چوبی دارد. تلویزیون سامسونگ The Frame در واقع گذر از طراحی‌های سیاه و درخشان به سمت محصولی متناسب‌تر با دکوراسیون خانه است.
      2017-03-19 15:33:33
    کنترل‌های امنیتی که کاربران سامانه‌های وبی باید برای محافظت در برابر بدافزارها به کار بندند
    تازه های فناوری
    کنترل‌های امنیتی که کاربران سامانه‌های وبی باید برای محافظت در برابر بدافزارها به کار بندند
    بانک ملی ایران در آستانه نوروز طی اطلاعیه‌ای درخصوص آلوده شدن سیستم‌های کامپیوتری و تلفن‌های همراه هوشمند کاربران به بدافزارهایی مانند TorDow و TrickBot هشدار داد.
      2017-03-16 16:02:00
    عزم جدی غول فناوری کره برای ساخت پردازنده
    تلفن همراه و تبلت
    عزم جدی غول فناوری کره برای ساخت پردازنده
    سامسونگ نخستین گوشی هوشمند مجهز به چیپست های 10 نانومتری را روانه بازار خواهد کرد. هرچند شرکت سونی زودتر از سامسونگ گوشی اکسپریا ایکس زد پریمیوم (Sony Xperia XZ Premium) مجهز به چیپست اسنپدراگون 835 را معرفی کرد، اما عملا گلکسی اس 8 سامسونگ(Samsung Galaxy S8) اولین گوشی خواهد بود که همراه با این چیپست و یا اگزینوس 8895 وارد بازار می‌شود.
      2017-03-16 10:38:27
    ال جی آخرین دستاوردهایش را برای خانه های هوشمند روانه بازار ایران میکند
    شرکت ها و برندها
    ال جی آخرین دستاوردهایش را برای خانه های هوشمند روانه بازار ایران میکند
    سرانجام پس از انتظار نسبتا طولانی، برند فوق پریمیوم LG Signature در منطقه خاورمیانه و آفریقا رونمایی شد. این اتفاق در مراسم منطقه‌ای شرکت ال جی الکترونیکس یعنی Innofest 2017 رخ داد که در آن بیش از 250 نمایندگی فروش و شریک ال جی در منطقه خاورمیانه و آفریقا حضور داشتند.
      2017-03-16 10:28:39
    اگر در تمامی رشته‌ها و زمینه‌ها، از رایانش ابری استفاده کنیم، چه اتفاقی می‌افتد؟
    رایانش ابری
    اگر در تمامی رشته‌ها و زمینه‌ها، از رایانش ابری استفاده کنیم، چه اتفاقی می‌افتد؟
    تقریباً تمامی مدیران، به دنبال این هستند که از فضای ابری در کسب و کار خود استفاده کنند. در بخش‌های زیربنایی، فضای ابری از کاربردهای تست و توسعه، به پلتفرمی برای خدمات تولیدی تبدیل شده است
      2017-03-16 13:32:09
    تدارک سازمان بورس برای تضمین امنیت سهام داران .
    اقتصاد
    تدارک سازمان بورس برای تضمین امنیت سهام داران .
    بر اساس قانون اوراق بهادار، مشاوران سرمایه‌گذاری یا سبدگردان نیز حتما باید از سازمان بورس و اوراق بهادار مجوز بگیرند و تنها کسانی می‌توانند در این فضا این خدمات را ارائه کنند که شرکت ثبت کرده باشند و صلاحیت علمی و مالی آنها احراز شده باشد.
      2017-03-16 08:33:45
    امروزه سرمایه‌گذاران به جای سرمایه‌گذاری در ملک و طلا به سرمایه‌گذاری بر استارت‌آپ‌های جدید روی آورده‌اند
    استارتاپ ها
    امروزه سرمایه‌گذاران به جای سرمایه‌گذاری در ملک و طلا به سرمایه‌گذاری بر استارت‌آپ‌های جدید روی آورده‌اند
    در سه سال گذشته اتفاقات مهمی باعث شکل‌گیری شتاب‌دهنده‌ها شد که از جمله آنها توجه به شرکت‌های دانش‌بنیان و برگزاری رویدادهای کارآفرینی بود که موجب شد فضای کارآفرینی تشویق شود
      2017-03-16 08:15:48