کنترل های عمومی برای حفاظت از اطلاعات کسب و کار الکترونیکی

#حفاظت_از_اطلاعات #دانستنی #بیشتر_بدانیم

این روزها حملات هکری و افشای اطلاعات برای سایت ها و کسب و کارهای آنلاین خسارات بسیار زیادی به وجود آورده است که کاربران با انجام کنترل های عمومی برای حفاظت از اطلاعات کسب و کار الکترونیکی که انجام می شود، می توانند تا حد زیادی جلوی این خسارات را بگیرند.

کنترل های عمومی شامل موارد زیر است:

کنترل های فیزیکی:

امنیت  فیزیکی به حفاظت از تجهیزات و منابع کامپیوتر گفته می‌شود. این نوع  کنترل شامل حفاظت از سرمایه‌های فیزیکی مانند کامپیوترها، مراکز داده ها، نرم افزارها، کتابچه‌های راهنما و شبکه‌هاست. همچنین شامل محافظت در مقابل اکثر خطرات طبیعی و برخی از خطرات انسانی نیز می‌باشد. امنیت فیزیکی مناسب می‌تواند شامل کنترل‌های متعددی مانند موارد زیر باشد:

 طراحی صحیح  مرکز داده. به عنوان مثال مرکز داده باید ضد آب و غیرقابل  احتراق باشد.

 در مقابل میدان‌های الکترومغناطیسی محافظت کننده باشد.

 سیستم‌های پشیگیری از آتش سوزی، تشخیص و تمیز مناسب، از جمله سیستم‌های آب پاش، پمپ‌های آب و تجهیزات آب‌های زائد کافی.

 خاموش کننده در مواقع اضطراری و باتری‌های پشتیبان که باید در شرایط عملیاتی نگهداری شود.

 سیستم‌های تهویه هوا با طراحی مناسب.

 هشدارهای تشخیص دهنده تکان و تشخص مزاحمت فیزیکی.

 کنترل‌های دسترسی:

کنترل‌های دسترسی به مدیریت افرادی گفته می‌شوند که مجاز به  استفاده از سخت‌افزار و نرم‌افزار نیستند. روش‌های کنترل دسترسی مانند فایروال و فهرست‌های کنترل  دسترسی، دسترسی به  شبکه، پایگاه داده، فایل یا داده‌ها را محدود می‌کند. کنترل دسترسی مهم ترین خط دفاعی در برابر افراد خودی غیرمجاز و همچنین افراد خارج از سازمان است. کنترل دسترسی شامل اجازه و تأیید است که شناسایی کاربر نیز نامیده می‌شود. مدل‌های تأیید شامل موارد زیر هستند:

 چیزی که فقط کاربر می‌داند( مانند پسورد)

 چیزی که فقط کاربر دارد (مانند کارت هوشمند یا توکن)

 چیزی که فقط مربوط به کاربر است( مانند امضا، صدا، اثرانگشت یا شبکیه چشم از طریق  کنترل‌های بیومتریک که می‌تواند فیزیکی یا رفتاری باشد.)

 کنترل‌های اجرایی:

کنترل های اجرایی شامل موارد زیر است:

 آموزش، انتخاب و نظارت بر کارمندان به ویژه در سیستم‌های اطلاعاتی و حسابرسی

افزایش وفاداری به شرکت

 لزوم تغییر و اصلاح  دوره‌ای کنترل‌های دسترسی

 طراحی برنامه‌ها و استانداردهای سندسازی (به منظور سهولت در حسابرسی و کاربرد استانداردها  به عنوان رهنمون‌هایی برای کارمندان).

 اصرار بر اوراق  بهادار ایمن یا  بیمه تخلف کارمندان اصلی

 تفکیک وظایف یعنی تقسیم وظایف کامپیوتر به تعداد افراد و به طور مقرون به صرفه به منظور کاهش شانس آسیب خواسته‌ی ناخواسته

 انجام حسابرسی‌های تصادفی دوره‌ای سیستم

 امنیت شبکه ارتباطی:

اقدامات امنیت شبکه شامل سه نوع دفاع است که لایه‌ها نامیده می‌شوند.

لایه نخست: امنیت محیطی برای کنترل دستیابی به شبکه: نمونه‌های آن آنتی ویروس و فایروال  هستند.

لایه دوم: تأیید برای احرازهویت فردی که خواهان دسترسی به شبکه است. نمونه‌های آن نام  کاربری و پسوردها هستند.

لایه  سوم: اجازه برای کنترل آنچه که کاربران مجاز می‌توانند هنگام دسترسی به شبکه انجام دهند. نمونه‌های آن مجوزها و دفترهای راهنما هستند.

کنترل امنیت اطلاعات:

امنیت و کنترل نقطه پایان یا کاربر نهایی بسیار مهم است. بسیاری از مدیران ریسک تجاری ایجاد شده توسط دستگاه‌های ذخیره  قابل حمل بدون کد امنیتی را به خوبی مورد توجه قرار نمی‌دهند که نمونه‌ای از نقاط پایان است. اطلاعات تجاری غالباً از طریق تلفن‌های هوشمند و کارت‌های قابل حمل بدون مجوز و نظارت IT یا محافظت کافی در برابر مفقود شدن یا سرقت، ذخیره و جابجا می‌شود. طبق تحقیق کاربردی، از هر چهار کارمند سه نفر آن ها  اطلاعات شرکت را  بر روی این گونه وسایل ذخیره می‌کنند.

 طبق یافته‌های تحقیق آن ها، 25 درصد گزارش‌های مشتریان، 17 درصد اطلاعات مالی و 15 درصد برنامه کسب و کار را در اینگونه وسایل ذخیره  می‌کنند. اما کمتر از 50 درصد این درایوها رمزگذاری شده‌اند و حتی اطلاعات ذخیره شده در تلفن هوشمند نیز امنیت کافی را ندارند.

منبع:  پلیس فتا