مسائل مربوط به امنیت انتقال تکنولوژی های شخصی (BYOD/BYOT)-بخش۳

امنیت منابع سازمان ها امنیت انتقال دستگاه های شخصی

امنیت انتقال دستگاه های شخصی

در این مقاله قصد داریم از امنیت انتقال تکنولوژی برای شما بنویسیم. زمانی که سازمان در نظر دارد تا لپ تاپ ها، کامپیوترهای رو میزی یا سرورهای خود را ارتقا دهد، بخش فناوری اطلاعات سازمان نقش بسیاری در این کار ایفا می کند. کارهایی نظیر شناسایی تامین کنندگان منابع تخمین بازده مورد نظر سیستم های جدید و مورد نیاز، تنظیم قراردادهای تعمیر و پشتیبانی، مدیریت تعلیق سیستم های فعلی و … واضح است که تنظیم قوانین استفاده از دستگاه های همراه که جوانب فنی، حمایتی و امنیتی بسیاری دارد نیز در حیطه وظایف بخش فناوری اطلاعات قرار می گیرد. با توجه به اینکه استفاده از تکنولوژی های همراه هنوز در سازمان ها(به خصوص در ایران) زیاد جا نیافتاده است بنابراین وضع قوانین برای استفاده از این دستگاه ها قدری دشوار و از طرف دیگر توجیه مدیران در سطوح بالاتر برای قبول و تایید این قوانین دشوار تر می باشد.

یک مثال

شرایطی را تصور کنید که شما در حال وضع قوانین برای استفاده از دستگاه های همراه در سازمان هستید، در همین زمان مدیر ارشد شما از نظر خودش یکی از بهترین دستگاه های موبایل موجود در بازار را خریده است! اما در واقع این دستگاه، دستگاه خوبی نیست و سیستم عامل و امکانات مناسبی برای اتصال و استفاده از سیستم های اطلاعاتی سازمان شما ندارد.

رئیس شما وقتی متوجه می شود که با موبایلش نمی تواند به سیستم های سازمان متصل شود ممکن است به این فکر کند که قوانین و تکنولوژی هایی که شما وضع کرده اید مشکل دارند و به احتمال زیاد ممکن است پروژه دسترسی به سیستم های سازمان از طریق موبایل ها (BYOD) به حالت تعلیق در بیاید. حالت دیگری هم ممکن است وجود داشته باشد و آن هم این است که استراتژی شما جهت BYOD نتواند از برخی از دستگاه ها(که یکی از آنها نیز دستگاه رئیستان می باشد) پشتیبانی کند.

اکنون فرض کنید که پروژه به حالت تعلیق در آمده و شما می خواهید برای از سر گرفتن آن تلاش کنید. اگر مدیر شما فرد خوش بینی باشد که برای زحمتی که کارکنانش کشیده اند ارزش قائل باشد ممکن است با توضیحات شما که در راستای مزایای استفاده از BYOD است قانع شود و به شما فرصت مجددی بدهد و قبول کند که مشکل از دستگاه خودش می باشد. اما به یاد داشته باشید که در اینجا آنچه که از توضیحات فنی مهم تر می باشد قدری آشنایی به اصول مهندسی اجتماعی و اصول مذاکره حرفه ای می باشد.

در این انتهای این سناریو ممکن است که توانسته باشید که رئیس خود را مجاب کنید که BYOD برای سازمان مفید است و نباید متوقف شود. اما با تمام این فرضیات تا اینکه شما بخواهید رئیستان را قانع کنید زمان زیادی طول می کشد و اگر تقصیر کار نیز خودتان باشید می بایست در بسیاری از ساختارها و قوانینی که وضع کرده اید تغییر ایجاد کنید. این مورد یعنی صرف زمان، هزینه و انرژی مضاعف که باعث دلزدگی کارکنان بخش فناوری اطلاعات سازمان می شود.

دانستن قوانین:

اینکه شما سازمان بزرگ یا کوچکی هستید مهم نیست، چراکه همه سازمان ها به نحوی اطلاعاتی را ذخیره می کنند که اگر به دست افراد سودجو بیافتد می توانند از آنها سوء استفاده کنند. برخی از سازمان ها به اشتباه این فکر را می کنند چون آنها به مشتریان چیزی نمی فروشند و با آنها تعاملی ندارند، بنابراین نیازی به محافظت از اطلاعات خود ندارند. البته این موضوع در برخی از موارد خاص ممکن است صدق کند، اما قانون کلی این است که هرجا اطلاعات مفیدی وجود داشته باشند، افرادی نیز در صدد سوء استفاده از آنها هستند.

این سوالات را از خود بپرسید و ببینید ایا سازمان شما حداقل یکی از این موارد را ذخیره می کند یا خیر؟

  • لیست مشتریان و اطلاعات تماسیشان را؟
  • داده های مربوط به خرید و فروش را؟
  • دانش سازمان، چگونگی ساخت و تولید کالایی خاص؟
  • اطلاعات حساب های بانکی سازمان؟
  • اطلاعات شخصی کارمندان؟

اگر شما حداقل یکی از موارد بالا را در سازمان خود دارید، بنابراین حتماً می بایست تمهیدات امنیتی را برای سازمان خود و این گونه اطلاعات مهیا سازید.

هشدار:

اگر سازمان شما در حال همکاری با سازمان/سازمان هایی باشد طبیعی است که شما به یک سری از اطلاعات و منابع آن سازمان های دسترسی پیدا می کنید. اگر به هر نحوی اطلاعات سازمان های همکاری به علت ضعف امنیتی سازمان شما لو برود و یا منابع و اطلاعاتی از سازمان شما به علل نواقص امنیتی در اختیار آن سازمان های قرار گیرد، بهترین اتفاق این است که همکاری شما به پایان کار خود می رسد. اما احتمال شکایت آن سازمان از شما و یا به خطر افتادن اعتبار سازمان شما مسایل مهمتری هستند که می بایستد آنها را جدی گرفت.

پرهیز از ریسک:

مطمئناً هیچ کس از اینکه خود را در شرایط خطر قرار دهد لذت نمی برد. بنابریان اگر استراتژی موبایلی که تدوین کرده اید با خطا مواجه شود ممکن است با دو مورد زیر به شکل جدی برخورد کنید:

  • با شرایط ایجاد شده در سازمان
  • با مدیران ارشد و اسیر مسئولان عالی رتبه سازمان

به عبارتی هر کس که با به مشکل خوردن استراتژی موبایل شما که برای سازمان تدوین کرده اید کارش دچار اختلال شود می تواند علیه شما اقدامات قانونی انجام دهد و شرایط اجتماعی و کاری شما را به چالش بکشد. به این نکته توجه داشته باشید که سهام داران و سرمایه گذاران سازمان فرصت این را دارند تا در هر زمان که نقصانی در سازمان بوجود بیاید از سازمان یا مدیران شکایت کنند. پس درست انجام شدن هر کاری بخصوص کارهای امنیتی اهمیت بسیاری دارد.

وضع قوانین:

جهت جلوگیری از آسیب پذیری ها و ریسک ها که از طریق رفتارهای جامعه به سازمان کشیده می شوند، می بایست برای سازمان قوانین و اصولی را وضع نمائیم. واضح است که این اصول از جامعه ای به جامعه ای دیگر و حتی از سازمانی به سازمان دیگر فرق می کند. اما در برخی از حوزه ها قوانین مشترک زیادی یافت می شوند. برای مثال: برای حفاظت از داده ها معمولاً قوانین و اصول مشخصی وجود دارند. حال اگر شما سازمانی باشید که فعالیتش بالغ(برای مثال: کارتان در حوزه حسابداری یا بیمارستان) باشد این قوانین فراگیرتر می باشند.

قوانین برای سازمان ها

همانطور که گفته شد وضع قوانین برای سازمانها یا فعالیت هایی که بالغ هستند و مدت زمان زیادی از آنها می گذرد قدری ساده تر است چراکه طی سالیان متمادی این قوانین به کار گرفته شده اند و نواقص آنها رفع شده است. اما وضع قوانین جهت مفاهیم/تکنولوژی های جدید مساله ای دشوار و چالش برانگیز می باشد.

متاسفانه در رابطه با دسترسی از طریق موبایل یا BYOD قضیه بسیار پیچید می باشد چراکه این موضوع بحثی بسیار نو پا (از سال ۲۰۰۹ تا کنون) می باشد و با توجه به گستردگی دستگاه ها و تکنولوژی های موجود در این حوزه هنوز قوانین جامعی که بتوان از آنها به عنوان منابع و مراجع استفاده کرد وضع نشده است. بنابراین با توجه به اینکه در حال حاضر قوانین مرجعی جهت دسترسی دستگاه های همراه به داده های سازمانی در اختیار نیست می توان دو راه کار را اتخاذ کرد که از سمت مشتریان و شرکای تجاریمان مورد شکایت قرار نگیریم.

دو راه کار پیش رو

  • وضع قوانین به صورت بسیار محتاطانه: یعنی حداقل اجازه استفاده از منابع سازمانی را که هیچ گونه خطری ندارند را به کارکنان بدهیم و برای آن نیز قوانینی وضع کنیم.
  • متریک های اندازه گیری اهمیت اطلاعات: عدم اجازه دسترسی دستگاه های همراه به منابع سازمان تا بدست آوردن متریک های اندازه گیری اهمیت منابع سازمانی و اندازه گیری منابع توسط این متریک ها. پس از مشخص کردن درصد اهمیت منابع می توان قوانین دسترسی و موارد امنیتی را به طور کامل وضع کرد و سپس با توجه به این قوانین اجازه استفاده محدود از منابع را به کارکنان داد.

متریک های اندازه گیری، چه چیزهایی را اندازه می گیرند؟

اینکه متریک ها چه چیز را اندازه گیری کنند مساله پیچیده ای می باشد، با توجه به موارد زیر می توان به قسمتی از مساله پیش آمده فائق آمد. این موارد عبارتند از:

  • سازمان شما از چه بخش هایی تشکیل شده است؟
  • ارزش اطلاعاتی که شما نگهداری می کنید چقدر است؟
  • عواقب از دست دادن اطلاعاتتان چیست؟
  • میزان سرمایه ای که شما جهت اتخاذ تمهیدات امنیتی دارید چقدر است؟
  • سازمان های مشابه برای این مسائل چه فعالیت هایی انجام می دهند؟

با پاسخ به سوالات بالا می توانید نتیجه بگیرید که سازمانتان از نظر امنیت اطلاعات در چه شرایطی قرار دارد و می خواهد در چه شرایطی قرار بگیرد؟ البته در نظر گرفتن اینکه سازمانها می خواهند داده ها و اطلاعاتشان را در مقابل چه کسانی ایمن سازند؟

  • کارمندان؟
  • مشتریان؟
  • شرکای تجاری؟

هشدار:

همانطور که پیشتر نیز ذکر شد مفهوم BYOD نسبتاً جدید است، بنابراین:

  • نمی توان از بهترین تجربیات سایرین در این حوزه چندان استفاده کرد.
  • انتظارات معمول و شیوه های حفاظت به سرعت تغییر خواهند کرد! بنابراین در حال حاضر در این حیطه می توان تنها به دنبال موارد ایمنی قابل قبول بود نه ایمنی کامل!

چطور می توان به حد قابل قبول امنیتی رسید؟

برای رسیدن به سطح قابل قبول امنیتی مراحل زیر را دنبال کنید:

  • سند قوانین امنیت: تهیه سند قوانین امنیتی جهت BYOD  و انتشار آن در بین کارمندان سازمان. به روزرسانی دائم این سند و مطلع سازی کارمندان نیز از جمله موارد مهمی است که باید با آن توجه شود.
  • آموزش و بالا بردن سطح آگاهی:  برگزاری دوره های آموزشی جهت کارمندان جهت نحوه استفاده صحیح از دستگاه های همراه خود در سازمانها و ذکر کردن نکات و قوانین امنیتی در این حوزه. با ارزیابی کارکنان می توان تا حدی از سطح آگاهی یافتن آنها از مسائل مطلع شد.
  • ارتقاء دادن: سعی کنید همواره نکات امنیتی را در سند قوانین خود ارتقا دهید و تکمیل کنید و پس از هر چرخه از تکامل، دوره آموزشی را برای کارمندان خود برگزار نمائید.

اگر این مطلب رو دوست داشتید، می تونید با دوستاتون به اشتراک بگذارید:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *