بخش سیزدهم
آموزش رایگان سکیوریتی‌ پلاس: اهمیت خط‌مشی‌ها برای امنیت سازمان
خط‌مشی‌ها به همان اندازه‌ای که راه‌حل‌ها و ابزارهای امنیتی برای مقابله با حمله‌های هکری موثر واقع می‌شوند، حائز اهمیت هستند. این خط‌مشی‌ها نه تنها بر نحوه عملکرد کارمندان نظارت می‌کنند، بلکه نحوه تعامل شرکت با شرکای تجاری و پیمان‌کاران را نیز مشخص می‌کند.

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

خط‌مشی میز تمیز  (Clean Desk Policy)

بسیاری از سازمان‌ها یک خط‌مشی فضای میز تمیز را اجرا می‌کنند که از کاربران می‌خواهد اطمینان حاصل کنند که اسناد حساس همیشه در مکانی امن ذخیره می‌شوند و روی میز شخصی در معرض دید قرار نمی‌گیرند. مهم است که به کارمندان تأکید کنید که تبعات عدم پیروی از خط‌مشی تمیز میز چیست و مطمئن شوید هنگام قدم زدن و سرکشی به اتاق‌های آن‌‌ها، اسناد حساس در معرض دید قرار نگرفته باشند. یکی دیگر از جنبه‌های خط‌مشی میز تمیز در محیط‌های بسیار امن، اطمینان از این موضوع است که اسناد در کابینت‌های قفل‌شده و دستگاه‌هایی مانند تلفن‌های همراه در کشوهای قفل شده یا قفسه‌های بایگانی در صورت عدم استفاده قرار می‌گیرند.

Tailgating  و  Piggybacking

از جمله مشکلاتی که هیچ وقت به درستی به آن‌ها رسیدگی نمی‌شود و از نقاط کور سیستم‌های کنترل دسترسی به حساب می‌آیند حفره‌های امنیتی Piggybacking و Tailgating هستند. این مفهوم به روش‌هایی اشاره دارند که مزاحمان برای دور زدن کنترل‌های امنیتی فیزیکی اعمال شده توسط یک شرکت از آن‌ها استفاده می‌کنند. Tailgating  به حالتی اشاره دارد که یک مزاحم منتظر می‌ماند تا یک شخص مجاز کارت عبوری یا رمزعبوری خود برای باز کردن یک در را باز کند و به سرعت بدون اطلاع شخص به ان محل وارد شود. Piggybacking زمانی است که مزاحم با اطلاع شخص مجاز به یک مکان غیرمجاز وارد می‌شود. راه حل سنتی جلوگیری از بروز این مشکل، استفاده از فضای کوچکی به‌نام Mantrap است که در نقاط ورودی و خروجی نصب می‌شود. ساختار Mantrap بدین گونه است که در لحظه اجازه عبور تنها یک فرد را از ورودی و خروجی می‌دهد. Mantrapها به شکل‌های گوناگونی ساخته می‌شوند که از جمله آن‌ها می‌توان به مدل دو در و مدل گردان اشاره کرد. Mantrap ناحیه‌ای بین دو درب به هم پیوسته است که در آن فرد باید منتظر بماند تا درب اول کاملاً بسته شود و درب دوم باز شود تا امکان دسترسی به ساختمان فراهم شود. در این حالت یک نگهبان امنیتی می‌تواند تمامی رفت‌وآمدها را زیر نظر بگیرد تا مطمئن شود که هر بار فقط یک نفر وارد می‌شود. اکثر شرکت‌ها به کارمندان خود می‌گویند که اگر کسی در اطراف ورودی است در را باز نکنند و پس از ورود یا خروج از ساختمان مطمئن شوند که درب کاملا بسته می‌شود.

دستگاه‌های تحت مالکیت شخصی

باید اطمینان حاصل کنید خط‌مشی امنیتی و AUP شما همسو با خط‌مشی شرکت در مورد استفاده از دستگاه‌های شخصی به منظور انجام کارهای تجاری است. این موضوع به عنوان خط‌مشی دستگاه خود را بیاورید (BYOD) شناخته می‌شود. بهترین روش امنیتی این است که به کاربران اجازه استفاده از دستگاه‌های شخصی را ندهید، زیرا اگر دستگاه متعلق به شرکت نباشد، شرکت حق جست‌وجو یا نظارت بر فعالیت‌ها را ندارد. به همین دلیل، ایمن‌تر است که به سادگی بیان کنیم کاربران نباید از وسایل شخصی خود برای کارهای تجاری استفاده کنند.

تهدیدات جدید و روندهای امنیتی

اطمینان حاصل کنید که برنامه آموزشی و آگاهی‌رسانی شما به این نکته اشاره دارد که ویروس‌های جدید هر روز منتشر می‌شوند و کارمندان باید اطمینان حاصل کنند که دانش آن‌ها در ارتباط با بدافزارها به‌روز است. اطمینان حاصل کنید که شرکت روشی کارآمد برای اطلاع‌رسانی به کارکنان از تهدیدات بدافزاری جدید دارد تا همه کارکنان به سرعت از تهدید آگاه شوند.

اطمینان حاصل کنید که کارکنان از تهدیدات رایج مانند حملات فیشینگ آگاه هستند. حمله فیشینگ زمانی است که کارمند ایمیلی دریافت می‌کند که از او می‌خواهد برای بازدید از یک سایت روی پیوند ارائه شده کلیک کنند. در این روش یک ایمیل جعلی ارسال می‌شود که به نظر می‌رسد از طرف بانک یا مدیرعامل ارسال شده و از شما درخواست می‌کند روی پیوند ارائه شده کلیک کنید تا تأیید کنید حساب بانکی شما دستکاری نشده است. کارمندان را از چنین تهدیداتی مطلع کنید و به آن‌ها بگویید که ایمیل را حذف کنند و روی پیوند ارائه شده کلیک نکنند.

همچنین به کارمندان خود در مورد سوء استفاده‌های مرتبط با روز صفر آموزش دهید که اشاره به حملاتی دارند که مرتبط با آسیب‌پذیری‌هایی هستند که به‌تازگی کشف شده‌اند و فروشنده نرم‌افزار یا سخت‌افزار هنوز از آن آگاه نیست. مسئله این است که اگر فروشنده از یک اکسپلویت آگاه نباشد، راه‌حلی برای آن وجود ندارد. مهم است که به کاربران خود آموزش دهید که هکرها همیشه راه‌های جدیدی برای بهره‌برداری از سیستم‌ها ارائه می‌کنند و بنابراین کاربران باید دانش امنیتی خود در این زمینه را بهبود بخشند.

استفاده از شبکه‌های اجتماعی و برنامه‌های P2P

یکی از نگرانی‌های امنیتی پیشرو در مورد استفاده روزمره کارمندان از رایانه به نحوه استفاده آن‌ها از اینترنت در خانه، دفتر یا لپ‌تاپ شرکت باز می‌گردد. دو حوزه مورد توجه سایت‌های شبکه‌های اجتماعی و برنامه‌های همتا به همتا (P2P) هستند که به کاربران امکان دانلود موسیقی، فیلم و نرم‌افزار را می‌دهند. هر دو رسانه‌ اجتماعی و دانلود P2P می‌توانند راهی برای انتشار ویروس‌ها به سیستم‌های کاربر باشند.

برخی شرکت‌ها رسانه‌های اجتماعی را ارزیابی می‌کنند تا ببیند آیا کارمندان اطلاعات حساسی در مورد کار در رسانه‌های اجتماعی در معرض نمایش قرار داده‌اند یا خیر. این مورد می‌تواند چیزی به سادگی عکس گرفتن از خودشان در پشت میزشان و یا ارایه دورنمایی از میز کاری باشد که فایل‌های محرمانه‌ای روی آن قرار دارد و هر فردی با بزرگ‌نمایی تصاویر قادر به مشاهده جزییات است. یک شرکت همچنین ممکن است رسانه‌های اجتماعی را برای پست‌های منفی در مورد شرکت زیر نظر بگیرد.

حتماً کارمندان خود را در مورد استفاده درست از رسانه‌های اجتماعی مانند توییتر، اینستاگرام و فیس‌بوک آموزش دهید. اطمینان حاصل کنید که کارمندان به‌درستی می‌دانند اطلاعات مربوط به شرکت را نباید در چنین سایت‌هایی پست کنند و آن‌ها را از ارسال تصاویر مهمانی‌های شرکت و سایر رویدادها منع کنید. چنین فعالیت‌هایی می‌تواند به امنیت یا شهرت شرکت آسیب برساند.

همچنین باید در خط‌مشی قوانین شرکت در مورد استفاده از سایت‌های شبکه‌های اجتماعی در ساعات کاری نکات مهم را به آن‌ها یادآور شوید. برخی کسب‌و‌کارها استفاده از چنین سایت‌هایی را در زمان استراحت یا ناهار مجاز می‌دانند، اما بسیاری از مردم بیشتر از آنچه که باید در چنین سایت‌هایی حتی در ساعات کاری وقت می‌گذرانند. بسیاری از سازمان‌ها این سایت‌ها را در فایروال مسدود می‌کنند. حتما نرم‌افزار آنتی‌ویروس را به‌روز نگه دارید، زیرا بدافزارهای مختلفی در برنامه‌های مورد استفاده در سایت‌های شبکه‌های اجتماعی قرار دارند.

نرم‌افزارهای نظیر به نظیر مثل BitTorrent برای به‌اشتراک‌گذاری موسیقی، ویدئو و برنامه‌های نرم‌افزاری در اینترنت و دانلود ساده طراحی شده‌اند. برای مقابله با این مشکل دو راه‌حل در اختیارتان قرار دارد. اول این‌که به کارمندان اجازه استفاده از نرم‌افزارهای P2P در شرکت را ندهید، زیرا روش محبوب هکرها برای توزیع ویروس‌ها در یک شبکه هستند. بنابراین به کارکنان یادآور شوید که نرم‌افزار آنتی ویروس به‌روزی روی تمامی سیستم‌ها در منزل داشته باشند. نکته دومی که در AUP باید به آن اشاره شود این است که دانلود یا به اشتراک‌گذاری هر گونه مطالب دارای حق چاپ (مانند موسیقی، فیلم، برنامه‌های تلویزیونی یا نرم‌افزار) از سیستم‌ها و دارایی‌های شرکت ممنوع است. شفاف‌سازی کنید که شرکت هیچ اغماضی برای نقض حق چاپ و دزدی نرم‌افزار ندارد.

معیارهای آموزشی و پیگیری

مهم است که معیارهای آموزشی را برای سنجش موفقیت آموزش امنیتی خود جمع‌آوری کنید. شما باید یک برنامه آموزشی داشته باشید که شامل تمام آموزش‌های مورد نیاز برای هر کارمند و راهی برای ردیابی این‌که آیا آموزش گذرانده شده موثر بوده یا خیر را پوشش دهد. همچنین باید روشی برای آزمایش اثربخشی آموزش داشته باشید، چه با آزمایش یا شبیه‌سازی. شما باید اثربخشی آموزش، انطباق با خط‌مشی و وضعیت امنیتی سازمان را با این معیارها تأیید کنید.

طراحی یک برنامه آموزشی

در این تمرین باید مدت زمانی را صرف طراحی یک برنامه آگاهی امنیتی برای شرکت خود کنید. برای این منظور برنامه راهبردی خود را مستند کنید و به سوالات زیر پاسخ دهید:

1.   از چه روش‌هایی برای آموزش کارمندان در مورد امنیت استفاده می‌کنید؟ برای پاسخ‌گویی به این پرسش از کدامیک از روش‌های زیر کاربرد بهتری دارند؟

■   CBT

■   سمینارها

■   ویدیوهای پورتال وب

■   سایت اینترانت

2.   اگر از بیش از یک روش برای آموزش کارکنان استفاده می‌کنید، مستند کنید که چه کسی از کدام روش استفاده می‌کند.

3.   ‌چه نوع اطلاعاتی در اختیار کاربران تجاری قرار می‌دهید؟

4.   چه جلساتی با مدیریت برگزاری می‌کنید؟

5. قصد دارید در مورد چه جزئیات فنی با تیم فنی صحبت کنید؟

اهمیت خط‌مشی‌ها برای امنیت سازمان

خط‌مشی‌های امنیتی بخش مهمی از برنامه امنیتی هر شرکتی هستند، زیرا به کارکنان و مدیریت از خطرات احتمالی برای امنیت و نحوه کاهش خطر اطلاع می‌دهند. در این بخش با خطرات مربوط به شرکت‌های شخص ثالث و خط‌مشی‌هایی که بر داده‌ها و اعتبارنامه ها تأثیر می‌گذارد، آشنا می‌شوید.

مدیریت ریسک شخص ثالث

هنگامی که یک کسب و کار با سایر شرکت‌ها یا افراد ثالث تعامل دارد، ممکن است با خطرات مختلفی روبرو شود که باید شناسایی شوند. فهرست زیر به تشریح برخی از سازمان‌های شخص ثالث کلیدی می‌پردازد که ممکن است شرکت شما با آن‌ها تعامل داشته باشد:

■   فروشندگان: فروشندگان شرکت‌هایی هستند که شما با آن‌ها تعامل دارید و ممکن است سخت‌افزار رایانه، کابل شبکه یا سایر ملزومات سخت‌افزاری تجاری یا تفریحی را از آن‌ها خریداری کنید. مهم است که اطلاعاتی که با فروشندگان به اشتراک گذاشته می‌شود را شناسایی کنید و اطمینان حاصل کنید که فروشنده اقدامات لازم را برای محافظت از هرگونه اطلاعات حساس را انجام می دهد.

■   زنجیره تأمین: زنجیره تأمین از شرکت‌های مختلفی تشکیل شده است که مواد اولیه یا سخت‌افزارهای زیربنایی در اختیار شرکت شما قرار می‌دهند تا محصولات یا خدمات خود را به مشتریان ارائه کنید. هنگامی که ملزومات موردنیاز به شرکت شما ارسال می‌شود، مهاجمان ممکن است سعی کنند زنجیره تامین شما را هک کنند تا به تجارت شما نفوذ کنند.

■   شرکای تجاری: شرکت شما ممکن است شرکای تجاری داشته باشد که با آن‌ها کار می کند. این خطر وجود دارد که سیستم‌های شرکای تجاری به خطر بیفتند به‌طوری که وقتی آن‌ها به شبکه شرکت شما متصل می‌شوند، مهاجم بتواند به زیرساخت شما دسترسی پیدا کند. باید اقداماتی انجام شود تا اطمینان حاصل شود که شرکای تجاری فقط به اطلاعات مورد نیاز دسترسی دارند.

هنگامی که با تامین کنندگان و شرکای تجاری سروکار دارید، مهم است که اطمینان حاصل کنید که اسناد قانونی مناسب برای نوع تعامل با تامین کننده یا شریک تجاری آماده کرده‌اید. در زیر انواع قراردادهایی وجود دارد که باید برای امتحان گواهینامه سکیوریتی‌پلاس با آن‌ها آشنا باشید:

■   قرارداد سطح خدمات:  SLA سرنام  Service level agreement  قرارداد یا موافقت‌نامه‌‌ای است که بین سازمان شما و هر کسی که به سازمان خدمات ارائه می‌کند تنظیم می‌شود. SLA به وضوح نشان می‌دهد که طرف مقابل به چه نوع دارایی‌هایی مثل سرویس اینترنت یا منابع دسترسی خواهد داشت. مهم است که اطمینان حاصل کنید که یک SLA با همه ارائه‌دهندگان، از جمله ارائه‌دهندگان اینترنت، ارائه‌دهندگان پیوندهای ارتباطی و حتی تیم خدمات شبکه منعقد شده باشد. همچنین لازم به ذکر است که SLA ها در داخل یک شرکت بین بخش فناوری اطلاعات و سایر بخش‌ها نیز استفاده می‌شود تا بخش‌های مختلف انتظارات معقولی در مورد کیفیت خدمات داشته باشند.

■    یادداشت تفاهم‌نامه: MOU سرنام Memorandum of understanding سندی است که توافقی را بین دو طرف ایجاد می‌کند و رابطه آن‌ها با یکدیگر را مشخص می‌کند.

■   بیانیه کار: SOW سرنام Statement of work دستورالعملی است که نوع کاری که یک شرکت برای آن استخدام می‌شود، جدول زمانی آن کار، هزینه کار انجام‌شده، برنامه پرداخت و هر شرایط مربوط به کار را مشخص می‌کند.

■   تحلیل سیستم‌های اندازه‌گیری: MSA  سرنام Measurement systems analysis  به عنوان معیاری برای تجزیه و تحلیل سیستم و ارزیابی آن استفاده می‌شود که مبتنی بر عملیات ریاضی است که برای تعیین موارد مختلف کاربرد دارد. در حوزه کنترل کیفیت لازم است تا تمامی ابزار سنجش و اندازه‌گیری مورد تحلیل و بررسی قرار بگیرند تا از صحت انجام فرآیندهای ارزیابی اطمینان حاصل شده و کیفیت محصولات یا خدمات تایید شود. MSA روشی برای تحلیل سیستم‌های اندازه‌گیری است که در سال‌های گذشته در بخش کنترل و کیفیت کاربرد فراوانی داشته است. در این سند می‌توانید جزئیات کار را شرح دهید و آن‌را مرتبط با SOW کنید.

■   قرارداد مشارکت تجاری: BPA سرنام  Business partnership agreement  قراردادی بین دو یا چند شرکت است که شرایط تعامل آن‌ها را مشخص می‌کند. BPA حوزه‌های کلیدی مانند مشارکت سرمایه، توزیع ضرر یا سود و وظایف هر یک از شرکا را مشخص می‌کند.

■   پایان عمر: EOL سرنام End of life  زمانی که فروشنده تولید محصولی را متوقف کند یا یک محصول به پایان عمر خود رسیده است را نشان می‌دهد. در این حالت محصول با نسخه جدیدتر جایگزین می‌شود.

■   پایان عمر: EOSL سرنام  End of service life  اشاره به سخت‌افزار یا نرم‌افزاری دارد که دیگر توسط فروشنده پشتیبانی نمی‌شود. محصولی که به EOSL رسیده است دیگر به‌روزرسانی‌های امنیتی توسط فروشنده را دریافت نمی‌کند که استفاده از آن محصول امنیت سازمان را به خطر می‌اندازد.

■   قرارداد عدم افشا: NDA سرنام  Nondisclosure agreement  سندی است که محرمانه بودن رابطه بین دو طرف و اطلاعاتی که محرمانه تلقی می‌شوند را مشخص می‌کند. NDA همچنین نحوه رسیدگی به اطلاعات محرمانه در طول رابطه و پس از پایان رابطه را مشخص می‌کند.

خط‌مشی‌های موثر بر داده‌ها

تعدادی از خط‌مشی‌های امنیتی بر دسترسی کارمندان به داده‌ها و نحوه مدیریت داده‌های شرکت تأثیر می‌گذارد. برخی از خط‌مشی‌های متداول مؤثر بر داده‌ها به شرح زیر است:

■   طبقه‌بندی: همان‌گونه که قبلاً اشاره شد، به داده‌ها یک برچسب امنیتی اختصاص داده می‌شود و برای این‌که شخصی به آن اطلاعات دسترسی داشته باشد، باید مجوز امنیتی مربوطه را دریافت کند. هنگامی که برای آزمون سکیوریتی پلاس آماده می‌شوید، حتماً طبقه‌بندی داده‌ها را که قبلاً به آن اشاره کردیم، مرور کنید.

■   حاکمیت: برای کمک به حداقل رساندن حوادث امنیتی در مورد داده‌ها، یک شرکت باید خط‌مشی‌های حاکمیت داده داشته باشد که تعیین کند چه کسی بر داده‌ها کنترل دارد و همچنین نحوه مدیریت داده‌ها در سازمان را تعیین ‌کند.

■   شرکت‌های نگه‌دارنده اطلاعات: باید خط‌مشی‌های نگهداری داشته باشند که تعیین می‌کند داده‌ها چقدر باید حفظ شوند. انواع مختلف داده‌ها ممکن است الزامات نگهداری متفاوتی داشته باشند. برای مثال، سوابق مالی معمولاً به مدت هفت سال نگهداری می‌شوند.

خط‌مشی‌های اعتبارنامه

نوع دیگری از خط‌مشی‌هایی که باید در سازمان وجود داشته باشد، خط‌مشی‌های مربوط به اعتبارنامه‌ها است. خط‌مشی‌های اعتبارنامه، به مجوزها یا نام‌های کاربری اختصاص داده شده به شرکت‌ها برای استفاده از خدمات کسب‌وکار اشاره دارد. در زیر برخی از ملاحظات رایج برای اعتبارنامه را مشاهده می‌کنید.

■    پرسنل: هر کارمند در شرکت باید اعتبار خود را برای دسترسی به شبکه و سیستم‌های رایانه‌ای داشته باشد. به کارمندان باید نکات مهم در خصوص عدم اشتراک‌گذاری اعتبارنامه با سایر کارمندان را آموزش دهید.

■   نهادهای شخص ثالث: مانند شرکای تجاری یا پیمانکاران این گروه نیز باید اعتبارنامه‌هایی برای دسترسی به سیستم‌های مورد نیاز داشته باشند. مهم است که بهترین شیوه‌ها را در مورد این اعتبارنامه‌ها دنبال کنید. به‌طور مثال اطمینان حاصل کنید گزینه‌ انقضای حساب در اعتبارنامه پیمانکاران قرار گرفته است.

■   دستگاه‌ها: ممکن است لازم باشد اعتبار دستگاه‌ها را به چند روش مختلف مدیریت کنید. ابتدا باید گذرواژه‌هایی را روی دستگاه‌ها تنظیم کنید تا فقط افراد مجاز بتوانند به آن دستگاه‌ها دسترسی داشته باشند. همچنین باید زمان بیکاری را در هر دستگاه به گونه‌ای تنظیم کنید که دستگاه پس از مدت زمان کوتاهی بلااستفاده بودن به طور خودکار قفل شود.

■   حساب‌های سرپرست/روت: باید اعتبار حساب‌های سرپرست در سیستم‌ها را مدیریت کنید. مهم است که اطمینان حاصل شود که حساب مدیر در هر سیستم از رمز عبور متفاوتی استفاده می‌کند تا اگر رمز عبور در یک سیستم به خطر افتاد، رمز عبور مشابه در سیستم‌های دیگر قابل استفاده نباشد.

در شماره آینده مبحث فوق را ادامه می‌دهیم

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

تلفن: 02188549150           کانال: Asrehshabakeh@


تبلیغات لینکی: 

استخدام کارشناس پشتیبانی شبکه

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟