5 اشتباه سازمان ها در هنگام تامین امنیت سیستم ها

نویسنده : دپارتمان فنی شرکت ارتباط امن - چهارشنبه 29 آبان 1398 در ساعت 01:08:43

امنیت سیستم

با افزایش روزافزون مقررات مربوط به محافظت از داده ها و حملات مخرب مداوم در سطح جهانی ، حفاظت از داده ها به بخشی اجباری، از استراتژی امنیتی هر شرکتی تبدیل شده است. اما سازمان ها در تلاشند تا با الزامات پیچیده مقررات و تهدیدهای جدید مطابقت داشته باشند ، اما غالباً از بعضی از نقاط کلیدی غافل شده و در عین حال نقاط ضعف آشکاری در سیاست های حفاظت از داده خود دارند.

امروزه در محیط تجارت دیجیتالی شده، بیشتر داده ها به صورت الکترونیکی در نقاط انتهایی متصل به اینترنت جمع آوری و پردازش می شوند ، دو موردی که ضمن آسان کردن و انعطاف پذیر نمودن استفاده از داده ها، آنها را نیز در برابر از بین رفتن یا سرقت بی دفاع می کند. این وظیفه یک شرکت است – و اخیرا ، وظیفه قانونی آن – تا از حفاظت داده های حساس و جمع آوری آنها اطمینان حاصل کند. عدم انجام این امر می تواند عواقب فاجعه آمیزی داشته باشد. شرمساری عمومی ، از بین رفتن اعتماد مشتری و به لطف اجرای مقررات سختگیرانه محافظت از داده جدید ، جریمه های سنگین برای سازمان در پی خواهد داشت .

بنابراین برای شرکت ها مهم است که استراتژی های مؤثر در زمینه حفاظت از داده ها را ایجاد کنند که تمام موارد پایه ای را در بر گیرد. در اکثر اوقات ، استراتژی های امنیتی چنان بر روی تهدید حملات سایبری متمرکز شده اند که از موارد روزمره غافل می شوند ، اما به همان اندازه برای امنیت داده ها خطرناک هستند. بگذارید ببینیم که رایج ترین اشتباهات چیست!

1- موارد پایه ای را فراموش نکنید

اولین موردی که هر راهنمای امنیتی به شما می گوید این است که شما باید سیستم عامل ها را به روز نگه دارید و فایروال ها و راهکار های ضد ویروس را نصب کنید. با این حال ، این موارد در حالی بخش ضروری از هر استراتژی امنیتی هستند ، اساسی ترین اقداماتی است که یک شرکت می تواند برای محافظت از شبکه و داده های حساس ذخیره شده روی آن انجام دهد.

در بسیاری از موارد، نقض داده ها در نتیجه نفوذ افراد مخرب بیرونی است ، اما تنها بخشی از این حملات سایبری از روش های معمول هک شدن مانند brute force انجام می شود. بسیاری از آنها به دلیل وجود رمز عبورهای ضعف یا کارمندان ساده لوح که قربانی مهندسی اجتماعی می شوند رخ می دهند.

بنابراین ضروری است که شرکت ها هم بتوانند به کارمندان خود آموزش دهند و هم اقدامات تضمینی اضافی در جهت کاهش پتانسیل مداخلات خارجی در محیط کار را انجام دهند.

2- فراموش کردن خطای انسانی

کارمندان یک شرکت غالباً ضعیف ترین پیوند آن هستند. این مورد شاید بزرگترین اشتباهی باشد که شرکتها هنگام تدوین استراتژی های محافظت از داده خود مرتکب می شوند: آنها خطای انسانی و خرابی که می توانند به وجود آورند را در نظر نمی گیرند.

کارمندان می توانند نسبت به نحوه برخورد با داده های حساس ، خواه انتقال ، ذخیره یا استفاده از آن ، سهل انگاری کنند. آنها می توانند به طور تصادفی داده های مهم را به فرستنده اشتباهی ایمیل کنند. آنها می توانند چیزی را به صورت عمومی ارسال کنند ، کامپیوتر خود را در جایی که دیگران می توانند به آن دسترسی داشته باشند بدون قفل رها کنند و یا داده های حساس را که در یک نقطه در رایانه های خود ذخیره می کنند، فراموش کنند.

و در حالی که در بعضی موارد این ها می توانند خطاهای جزئی و بدون عواقب باشند ، در موارد دیگر می توانند مشکلات قابل توجهی ایجاد کنند. به عنوان مثال ، ذخیره کردن داده های حساس پس از آن که دیگر نیازی به آنها نیست و یا استفاده از فایلی که دیگر رضایت استفاده از آن داده نشده، یا حذف آن درخواست شده است که در نتیجه نقض مستقیم مقرراتی مانند GDPR یا CCPA است.

به همین دلیل مهم است که سازمان ها راهکارهای جلوگیری از دست دادن داده ها (DLP) را استفاده می کنند که بیشتر بر روی محافظت از داده های خاص تمرکز می کند تا سیستم کلی و استفاده از فایل ها و انتقال داده را برای سازمان ها تسهیل می کند.

3- بی توجهی به فناوری اطلاعات سایه (shadow IT)

یکی دیگر از پیامدهای یک نیروی کار بیش از حد مشتاق ، فناوری اطلاعات سایه یا استفاده از برنامه های غیر مجاز و خدمات فناوری اطلاعات در محل کار است. بیشتر شرکت ها از فناوری اطلاعات سایه رنج می برند. از برنامه های پیام رسان محبوب گرفته تا فضاهای همکاری در ابر ، کارکنان مشتاقانه روش های جدیدی را اتخاذ می کنند که به آنها کمک می کند وظایف خود را سریعتر و مؤثرتر انجام دهند ، و غالباً از روز غفلت یا در بعضی موارد آگاهانه اقدامات محافظت از داده را دور می زنند. به عنوان یک راه حل ، بسیاری از شرکت ها نصب برنامه های جدید را در نقاط انتهایی یا استفاده از وب سایت های خاص که ناامن تلقی می شوند، را مسدود می کنند ، اما در بسیاری از مواقع ، آنها موفق به گرفتن همه آنها نمی شوند.

دلیل گسترش فناوری اطلاعات سایه کاملاً ساده است: کارکنان ترجیح می دهند در صورت وجود ابزاری در دسترس ، اقدامات مربوط به حفاظت از داده ها را نادیده بگیرند. این البته می تواند عواقب ناخواسته فاجعه باری داشته باشد: داده های حساس می توانند توسط اشخاص ثالث به سرقت برده شوند ، عمومی شوند یا در دست افراد غیرمجاز قرار گیرند.

4- نادیده گرفتن داده های در حال حرکت

محیط کار امروز انعطاف پذیرتر از همیشه است. رایانه های قابل حمل به کارمندان امکان می دهند از خانه و یا در حالی که در سفرهای شغلی هستند ، وظایف خود را انجام داده و یا بدون در نظر گرفتن مکان آنها در مواقع اضطراری فعالیت نمایند. با این حال ، این بدان معناست که نقاط پایانی و تمام داده هایی که در آن قرار دارند از امنیت شبکه های شرکت خارج می شوند و باعث می شود آنها نه تنها در مقابل سرقت فیزیکی بلکه در ارتباطات ناامن اینترنت و دستکاری نیز آسیب پذیر باشند.

شرکت ها گاهی اوقات تمام توجه خود را به تأمین امنیت شبکه های شرکت معطوف می کنند و تهدیداتی را که توسط داده ها در حال حرکت ایجاد می شوند و یا سیاست هایی مانند رمزگذاری سخت افزار و VPN هایی که روی تهدیدهای بیرونی متمرکز شده اند ، کاملاً نادیده می گیرند. راهکار DLP در نقطه پایانی می تواند به سازمان ها کمک کند تا حتی در هنگام حرکت کارمندان خود امنیت داده های حساس را تأمین کنند.

5- استفاده نکردن از راهکارهای امنیتی

امنیت خوب نشان دهنده سرمایه گذاری برای هر شرکتی است ، به همین دلیل آنها باید از آنچه که ارائه می دهند ، نهایت استفاده را ببرند. متأسفانه همیشه اینگونه نیست. به عنوان مثال ، در مورد راهکار های DLP ، سازمان هایی که DLP را در سراسر شرکت پیاده سازی می کنند ، گاهی از توانایی های کامل آن استفاده نمی کنند. آنها داده های حساس را به وضوح تعریف نکرده و یا سطحی غلط از مجوز و استثناء را تعریف می کنند و باعث می شوند که ابزارهای DLP کارایی لازم را نداشته باشند.

خوشبختانه ، برخی از راهکار های DLP با پیش تعریف هایی برای رایج ترین انواع داده های حساس مانند اطلاعات شناسایی شخصی (PII) یا داده های حساس که تحت مقررات خاص حفاظت از داده ها محافظت می شوند ، وجود دارند ، اما بیشتر شرکت ها نوع خاصی از داده های حساس مخصوص به خود را نیز دارند. ابزارهای DLP در صورت تعریف صحیح سیاست های قابل تنظیم می توانند به محافظت از اطلاعات، به سازمان ها کمک کنند.

لینک خبر: Endpoint Protector Blog

افزودن دیدگاه جدید

دیدگاههای شما