امروز : یکشنبه ۲۵ تیر ۱۳۹۶
تاریخ : ۱۳۹۶/۰۴/۲۵ - ۱۲:۰۹ ذخیره فایل ارسال به دوستان
مسعود بادآور

ایمن سازی فضای مجازی سازمانی

امنیت فضای مجازی بسیار فراتر از سرمایه گذاری در حوزه سخت افزار و نرم افزار است. اول و مهمتر از همه اینکه امنیت فضای مجازی یک مسئله تجاری است.

به گزارش عصرساري،

امنیت فضای مجازی بسیار فراتر از سرمایه گذاری در حوزه سخت افزار و نرم افزار است. اول و مهمتر از همه اینکه امنیت فضای مجازی یک مسئله تجاری است. این بدان معنی است که مدیریت ارشد پاسخگو است تا اطمینان حاصل شود که استراتژی امنیت فضای مجازی آن سازگار با اهداف تجاری است و به عنوان یک خطر راهبردی پذیرفته شده است.  بحث در مورد خطر فضای مجازی در سطح هیئت مدیره باید شامل شناسایی خطرات اجتناب،  پذیرش، کاهش یا انتقال (از جمله از طریق بیمه فضای مجازی) و نیز بررسی برنامه های خاص مرتبط با هر رویکرد باشد.

سه حوزه اساسی یک استراتژی امن امنیتی فضای مجازی عبارتند از  مردم، فرایندها و تکنولوژی حال آنکه در ادامه با جزئیات بیشتری توضیح  می دهم که چگونه این دامنه ها با هم در ارتباط هستند.

یک رویکرد منسجم به امنیت در فضای مجازی

سازمان هایی که قادر به درک وابستگی های متقابل بین افراد، فرایندها و تکنولوژی ها نباشند، توانایی مقاومت در برابر حملات رو به رشد در فضای مجازی را ندارند. به عنوان مثال، استقرار نرم افزار ضد تروجان (بدافزار) نیاز به مهارت دارد و باید توسط یک فرایند مدیریت شود.

علاوه بر این، تلاش تنها برای جلوگیری از حمله دیگر یک راه حل نیست. سازمان ها باید برای جلوگیری کردن، واکنش نشان دادن و بازیابی کردن در برابر طیف وسیعی از حملات احتمالی آماده شوند. این امر تنها در صورتی امکان پذیر است که مردم، فرایندها و فن آوری مورد توجه قرار گیرند.

۱٫         مردم
عامل انسانی باید در دو سطح کلیدی مورد توجه قرار گیرد:

کارکنان غیر فنی باید آگاهی کامل و به روز از نقش آنها در جلوگیری و کاهش تهدیدات اینترنتی داشته باشند.

هنگامی که  برنامه آگاهی کارکنان به طور موثر انجام شود به شرکت ها کمک می کند مشکلات امنیتی بالقوه را شناسایی کنند، به کارکنان کمک کند تا پیامد های امنیت اطلاعات ضعیف را درک کنند، موجب اطمینان از تطابق روش ها و همچنین بهبود ارتباط بین تیم های مختلف و سطوح مختلف شرکت می شود .

پرسنل فنی باید دارای مهارت های جامع و مهارت های امنیتی فضای مجازی به روز، صلاحیت و مدارک باشند.

هر سازمان نیاز به متخصص برای برنامه ریزی و اجرای فعالیت های پیچیده تر لازم برای ارائه یک راهبرد موثر امنیت فضای مجازی دارد. کارکنان مدیریت امنیت با آموزش ناکافی ممکن است به معنای مدیریت ریسک نادرست و یا استفاده از برنامه های کنترل امنیتی فضای مجازی که به معنای ساده کار نمی کنند باشد. علاوه بر این، توانایی سازمان در پاسخ دادن به نقض داده ها و بهبود آن نیز به شایستگی کارکنان فنی بستگی دارد.

۲٫         فرآیند

فرآیندهای کارآمد تعریف و توضیح می دهند که چگونه بسیاری از فعالیت های سازمانی، رویه ها، نقش ها و مستندات برای کاهش خطرات اطلاعات سازمان استفاده می شود و کلید اجرای استراتژی امن امنیتی فضای مجازی است.

ISO 27001  مجموعه کاملی از فرآیندهای امنیتی یکپارچه امنیتی را بر اساس اجرای یک سیستم مدیریت امنیت اطلاعات (ISMS) ارائه می دهد.

ISO 27001  همچنین نیاز به ارزیابی و بهبود مستمر دارد. فرآیندها این اطمینان را تضمین می کنند که خطرات سازمان به طور مداوم تحت نظارت قرار می گیرند و کنترل مناسب کاهش خطر بهبود یافته یا اجرا می شود.

ابزارهای مستند سازی قالب های آماده و راهنمایی برای ایجاد سیاست ها، رویه ها، دستورالعمل های کاری، نقش ها و روش های بهبود را مطابق با چارچوب ISO 27001  ارائه می دهند.
طرح ضروری فضای مجازی (CES) یک طرح حمایت شده از سوی دولت انگلیس و صنعت است تا کسب و کارها را برای محافظت از خود در برابر تهدیدات اینترنتی هدایت کند و می تواند در جلوگیری از ۸۰ درصد حملات سایبری کمک کند.
ایزو ۲۷۰۰۱ بسته های مشاوره ای  فراهم می کند که همه چیز های مورد نیاز برای اجرایی  شدن آن بدون هیچ گونه پیچیدگی و هزینه های معمول را شامل می شود.

۳٫         فناوری

فناوری یک عنصر کلیدی در دستیابی به امنیت سایبری موثر برای هر سازمان است. یک برنامه امنیتی موثر در فضای مجازی نیاز به شناسایی خطرات و انتخاب اقدامات مناسب (کنترل) برای جلوگیری یا کاهش تاثیر این خطرات دارد.

استاندارد ISO27001 راهنمایی در مورد مدیریت ریسک و نوع کنترل هایی که می تواند برای کاهش مخاطرات سایبری استفاده شود، فراهم می کند.

کنترلهای امنیتی ۲۰ گانه بحرانی ، کنترل های امنیتی فنی خاص فضای مجازی هستند. هر یک از ۲۰ کنترل بحرانی ذکر شده توسط پیاده سازی دقیق، هدایت خودکار، اندازه گیری و راهنمایی های تست / بازرسی پشتیبانی می شود که نشان دهنده توافق کارشناسان امنیتی مختلف در موثرترین راه های کاهش حملات خاص است که این کنترل ها برای مقابله با آن طراحی شده اند.

دهمین گام دولت بریتانیا در چارچوب امنیت سایبر، خلاصه ای از ۱۰ کنترل کلیدی فنی را تشکیل می دهد که باید بخشی از یک استراتژی امن امنیتی سایبری باشد و نقش مردم، فرایندها و فن آوری را در امنیت اطلاعات تأکید کند که در ذیل آمده اند:

یک روش بازدارنده مدیریت ریسک اطلاعات که توسط رهبری سازمانی تایید شده است
ایمن سازی کار در خانه و در حالت سیار
آموزش و آگاهی کاربر
مدیریت امتیاز کاربر
کنترل واسط های قابل جابجایی
نظارت بر فعالیت
پیکربندی های امن
حفاظت از تروجان
امنیت شبکه
مدیریت حوادث
ارزیابی ریسک امنیت فضای مجازی

هر گونه برنامه بازدارنده قوی امنیتی سایبری براساس ارزیابی خطر جامع فضای مجازی خواهد بود. به عنوان بخشی از یک سیستم مدیریت امنیت اطلاعات، ISO 27001  نیاز دارد که محیط پرخطر به طور مداوم تحت نظارت و بررسی قرار گیرد تا بتواند هرگونه تغییر در محتوای سازمان را تشخیص دهد و همچنین کلیه مراحل فرایند مدیریت خطر را حفظ نماید.

بررسی سلامت  فضای مجازی  یک نقطه شروع خوب برای آغاز یک برنامه بهبود امنیت سایبری است و شما را قادر به شناسایی ضعیف ترین بخش های امنیتی می کند و اقدامات مناسب برای کاهش این خطرات را انجام می دهد.
فرایند تست برنامه های شما برای آسیب پذیری ها و ارزیابی اینکه آیا هکرها می توانند به سازمان شما آسیب برسانند انجام می شود. تست نفوذ بخش مهمی از فرایند شناسایی، اندازه گیری و ارتباط برقرار کردن با خطرات سایبری شماست تا استراتژی های کاهش خطر هوشمندانه اجرا شود.  با نتایج یک آزمون تست نفوذ موفق، می توانید به سرمایه گذاران که از اهداف کلی کسب و کار سازمان شما پشتیبانی می کند نشان دهید که مزایای واقعی دارند.
vsRisk ™، با ارائه یک راهکار ساده، هوشمند و کارآمد، تعداد ساعاتی که صرف انجام ارزیابی های جامع خطر می شود، کاهش می یابد. به طور کامل با استاندارد  ISO 27001: 2013سازگار است، این ابزار ارزیابی ریسک به طور گسترده ای مورد استفاده قرار می گیرد و چارچوب و منابع را برای ارزیابی ریسک امنیت اطلاعات به سرعت و به آسانی فراهم می کند.
گردآوری و ترجمه : مسعود بادآور
منبع : www.itgovernance.co.uk

ارسال دیدگاه

دوره شهید اوینی
نشر خبر
تیتر امروز
سیمرغ ما
بلاغ
یتیم خانه
آشکده
خبرنگار