مسائل مربوط به امنیت انتقال دستگاه های(تکنولوژی) شخصی (BYOD/BYOT) – بخش ۳

امنیت منابع سازمان ها

امنیت سازمان

در حال ارسال
نقد‌ و بررسی کاربر
0 (0 رای)

آیا می توان به رئیس نه گفت؟

زمانی که سازمان در نظر دارد;تا لپ تاپ ها، کامپیوترهای رو میزی یا سرورهای خود را ارتقا دهد،;بخش فناوری اطلاعات سازمان نقش بسیاری در این کار ایفا می کند.;کارهایی نظیر شناسایی تامین کنندگان منابع تخمین بازده مورد نظر سیستم های جدید و مورد نیاز،;تنظیم قراردادهای تعمیر و پشتیبانی، مدیریت تعلیق سیستم های فعلی و …. واضح است;که تنظیم قوانین استفاده از دستگاه های همراه که جوانب فنی،;حمایتی و امنیتی بسیاری دارد نیز در حیطه وظایف بخش فناوری اطلاعات قرار می گیرد.;با توجه به اینکه استفاده از تکنولوژی های همراه هنوز در سازمان ها(به خصوص در ایران) زیاد جا نیافتاده است;بنابراین وضع قوانین برای استفاده از این دستگاه ها قدری دشوار و از طرف دیگر توجیه مدیران;در سطوح بالاتر برای قبول و تایید این قوانین دشوار تر می باشد.;

یک مثال

شرایطی را تصور کنید که شما در حال وضع قوانین برای استفاده از;دستگاه های همراه در سازمان هستید، در همین زمان مدیر ارشد شما از نظر خودش یکی از بهترین دستگاه های موبایل;موجود در بازار را خریده است! اما در واقع این دستگاه، دستگاه خوبی نیست;و سیستم عامل و امکانات مناسبی برای اتصال و استفاده از سیستم های اطلاعاتی سازمان شما ندارد.;

رئیس شما وقتی متوجه می شود که با موبایلش نمی تواند به سیستم های سازمان متصل شود ممکن است;به این فکر کند که قوانین و تکنولوژی هایی که شما وضع کرده اید مشکل دارند;و به احتمال زیاد ممکن است پروژه دسترسی به سیستم های سازمان از طریق موبایل ها;(BYOD) به حالت تعلیق در بیاید. حالت دیگری هم ممکن است وجود داشته باشد;و آن هم این است که استراتژی شما جهت BYOD نتواند از برخی از دستگاه ها(که یکی از آنها نیز دستگاه رئیستان می باشد) پشتیبانی کند.;

اکنون فرض کنید که پروژه به حالت تعلیق در آمده و شما می خواهید;برای از سر گرفتن آن تلاش کنید. اگر مدیر شما فرد خوش بینی باشد;که برای زحمتی که کارکنانش کشیده اند ارزش قائل باشد ممکن است با توضیحات شما;که در راستای مزایای استفاده از BYOD است قانع شود و به شما فرصت مجددی بدهد;و قبول کند که مشکل از دستگاه خودش می باشد.;اما به یاد داشته باشید که در اینجا آنچه که از توضیحات فنی مهم تر می باشد;قدری آشنایی به اصول مهندسی اجتماعی و اصول مذاکره حرفه ای می باشد.;

در این انتهای این سناریو ممکن است;که توانسته باشید که رئیس خود را مجاب کنید که BYOD برای سازمان مفید است و نباید متوقف شود.;اما با تمام این فرضیات تا اینکه شما بخواهید رئیستان را قانع کنید;زمان زیادی طول می کشد و اگر تقصیر کار نیز خودتان باشید می بایست;در بسیاری از ساختارها و قوانینی که وضع کرده اید تغییر ایجاد کنید.;این مورد یعنی صرف زمان، هزینه و انرژی مضاعف که باعث دلزدگی کارکنان بخش فناوری اطلاعات سازمان می شود.;

دانستن قوانین:

اینکه شما سازمان بزرگ یا کوچکی هستید مهم نیست،;چراکه همه سازمان ها به نحوی اطلاعاتی را ذخیره می کنند که اگر به دست افراد سودجو بیافتد;می توانند از آنها سوء استفاده کنند. برخی از سازمان ها به اشتباه این فکر را می کنند;چون آنها به مشتریان چیزی نمی فروشند و با آنها تعاملی ندارند، بنابراین نیازی به محافظت از اطلاعات خود ندارند.;البته این موضوع در برخی از موارد خاص ممکن است صدق کند،;اما قانون کلی این است که هرجا اطلاعات مفیدی وجود داشته باشند، افرادی نیز در صدد سوء استفاده از آنها هستند.;

این سوالات را از خود بپرسید و ببینید ایا سازمان شما;حداقل یکی از این موارد را ذخیره می کند یا خیر؟;

  • لیست مشتریان و اطلاعات تماسیشان را؟
  • داده های مربوط به خرید و فروش را؟;
  • دانش سازمان، چگونگی ساخت و تولید کالایی خاص؟
  • اطلاعات حساب های بانکی سازمان؟
  • اطلاعات شخصی کارمندان؟;

اگر شما حداقل یکی از موارد بالا را در سازمان خود دارید،;بنابراین حتماً می بایست تمهیدات امنیتی را برای سازمان خود و این گونه اطلاعات مهیا سازید.;

هشدار: اگر سازمان شما در حال همکاری با سازمان/سازمان هایی باشد;طبیعی است که شما به یک سری از اطلاعات و منابع آن سازمان های دسترسی پیدا می کنید.;اگر به هر نحوی اطلاعات سازمان های همکاری به علت ضعف امنیتی سازمان شما لو برود;و یا منابع و اطلاعاتی از سازمان شما به علل نواقص امنیتی در اختیار آن سازمان های قرار گیرد،;بهترین اتفاق این است که همکاری شما به پایان کار خود می رسد.;اما احتمال شکایت آن سازمان از شما و یا به خطر افتادن;اعتبار سازمان شما مسایل مهمتری هستند که می بایستد آنها را جدی گرفت.;

پرهیز از ریسک:

مطمئناً هیچ کس از اینکه خود;را در شرایط خطر قرار دهد لذت نمی برد. بنابریان اگر استراتژی موبایلی که تدوین کرده اید;با خطا مواجه شود ممکن است با دو مورد زیر به شکل جدی برخورد کنید:;

  • با شرایط ایجاد شده در سازمان
  • با مدیران ارشد و اسیر مسئولان عالی رتبه سازمان;

به عبارتی هر کس که با به مشکل خوردن استراتژی موبایل شما که برای سازمان تدوین کرده اید;کارش دچار اختلال شود می تواند علیه شما اقدامات قانونی انجام دهد;و شرایط اجتماعی و کاری شما را به چالش بکشد.;به این نکته توجه داشته باشید که سهام داران و سرمایه گذاران سازمان فرصت این را دارند تا در هر زمان که نقصانی در سازمان بوجود بیاید از سازمان یا مدیران شکایت کنند.;پس درست انجام شدن هر کاری بخصوص کارهای امنیتی اهمیت بسیاری دارد.;

وضع قوانین:

جهت جلوگیری از آسیب پذیری ها و ریسک ها;که از طریق رفتارهای جامعه به سازمان کشیده می شوند،;می بایست برای سازمان قوانین و اصولی را وضع نمائیم. واضح است که این اصول از جامعه ای به جامعه ای دیگر;و حتی از سازمانی به سازمان دیگر فرق می کند.;اما در برخی از حوزه ها قوانین مشترک زیادی یافت می شوند. برای مثال: برای حفاظت از داده ها معمولاً قوانین و اصول مشخصی وجود دارند. حال اگر شما سازمانی باشید;که فعالیتش بالغ(برای مثال: کارتان در حوزه حسابداری یا بیمارستان) باشد این قوانین فراگیرتر می باشند.;

قوانین برای سازمان ها

همانطور که گفته شد وضع قوانین برای سازمانها یا فعالیت هایی که بالغ هستند;و مدت زمان زیادی از آنها می گذرد قدری ساده تر است چراکه طی سالیان متمادی این قوانین;به کار گرفته شده اند و نواقص آنها رفع شده است. اما وضع قوانین جهت مفاهیم/تکنولوژی های جدید;مساله ای دشوار و چالش برانگیز می باشد.

متاسفانه در رابطه با دسترسی از طریق موبایل یا BYOD قضیه;بسیار پیچید می باشد چراکه این موضوع بحثی بسیار نو پا (از سال ۲۰۰۹ تا کنون) می باشد;و با توجه به گستردگی دستگاه ها و تکنولوژی های موجود در این حوزه هنوز قوانین جامعی;که بتوان از آنها به عنوان منابع و مراجع استفاده کرد وضع نشده است.;بنابراین با توجه به اینکه در حال حاضر قوانین مرجعی جهت دسترسی دستگاه های همراه به داده های سازمانی در اختیار نیست;می توان دو راه کار را اتخاذ کرد که از سمت مشتریان و شرکای تجاریمان مورد شکایت قرار نگیریم.

دو راه کار پیش رو

  • وضع قوانین به صورت بسیار محتاطانه: یعنی حداقل اجازه;استفاده از منابع سازمانی را که هیچ گونه خطری ندارند;را به کارکنان بدهیم و برای آن نیز قوانینی وضع کنیم.
  • متریک های اندازه گیری اهمیت اطلاعات:;عدم اجازه دسترسی دستگاه های همراه به منابع سازمان تا بدست آوردن;متریک های اندازه گیری اهمیت منابع سازمانی و اندازه گیری منابع توسط این متریک ها.;پس از مشخص کردن درصد اهمیت منابع می توان قوانین دسترسی و موارد امنیتی;را به طور کامل وضع کرد و سپس با توجه به این قوانین اجازه استفاده محدود از منابع را به کارکنان داد.;

متریک های اندازه گیری،;چه چیزهایی را اندازه می گیرند؟

اینکه متریک ها چه چیز را اندازه گیری کنند;مساله پیچیده ای می باشد، با توجه به موارد زیر می توان به قسمتی از مساله پیش آمده فائق آمد. این موارد عبارتند از:;

  • سازمان شما از چه بخش هایی تشکیل شده است؟
  • ارزش اطلاعاتی که شما نگهداری می کنید چقدر است؟;
  • عواقب از دست دادن اطلاعاتتان چیست؟
  • میزان سرمایه ای که شما جهت اتخاذ تمهیدات امنیتی دارید چقدر است؟;
  • سازمان های مشابه برای این مسائل چه فعالیت هایی انجام می دهند؟

با پاسخ به سوالات بالا می توانید نتیجه بگیرید که سازمانتان;از نظر امنیت اطلاعات در چه شرایطی قرار دارد و می خواهد در چه شرایطی قرار بگیرد؟;البته در نظر گرفتن اینکه سازمانها می خواهند داده ها و اطلاعاتشان را در مقابل چه کسانی ایمن سازند؟;

  • کارمندان؟
  • مشتریان؟
  • شرکای تجاری؟;

هشدار: همانطور که پیشتر نیز ذکر شد;مفهوم BYOD نسبتاً جدید است، بنابراین:

  • نمی توان از بهترین تجربیات سایرین;در این حوزه چندان استفاده کرد.
  • انتظارات معمول و شیوه های حفاظت به سرعت تغییر خواهند کرد!;بنابراین در حال حاضر در این حیطه می توان تنها به دنبال موارد ایمنی قابل قبول بود نه ایمنی کامل!;

چطور می توان به حد قابل قبول امنیتی رسید؟;

برای رسیدن به سطح قابل قبول امنیتی مراحل زیر را دنبال کنید:;

  • سند قوانین امنیت: تهیه سند قوانین امنیتی;جهت BYOD  و انتشار آن در بین کارمندان سازمان. به روزرسانی دائم;این سند و مطلع سازی کارمندان نیز از جمله موارد مهمی است که باید با آن توجه شود.;
  • آموزش و بالا بردن سطح آگاهی:; برگزاری دوره های آموزشی جهت کارمندان جهت نحوه استفاده صحیح از دستگاه های همراه خود;در سازمانها و ذکر کردن نکات و قوانین امنیتی در این حوزه.;با ارزیابی کارکنان می توان تا حدی از سطح آگاهی یافتن آنها;از مسائل مطلع شد.
  • ارتقاء دادن: سعی کنید همواره نکات امنیتی را در;سند قوانین خود ارتقا دهید و تکمیل کنید و پس از هر چرخه از تکامل،;دوره آموزشی را برای کارمندان خود برگزار نمائید.;
اگر این مطلب رو دوست داشتید، می تونید با دوستاتون به اشتراک بگذارید:

ارسال یک پاسخ