۳ کنترل ضروری که می تواند سازمان شما را از تهدیدات سایبری ایمن نگه دارد

 

سازمان هایی که خواهان یک رویکرد اثبات شده و ساختاریافته برای امنیت اطلاعات هستند، نباید فراتر از ISO 27001 نگاه کنند.این استاندارد بهترین روش را برای پیاده‌سازی و نگهداری یک ISMS (سیستم مدیریت امنیت اطلاعات) توصیف می‌کند که بر اساس سیستمی از کنترل‌ها ساخته شده است که اطلاعات شما را در برابر انواع مختلفی از تهدیدات محافظت می‌کند.فهرست کامل کنترل ها در پیوست A استاندارد فهرست شده است. در مجموع ۱۱۴ مورد وجود دارد که به ۱۴ بخش تقسیم شده است.

اگر فکر می کنید این کار زیاد است، استراحت کنید. شما نیازی به اجرای همه آنها ندارید، فقط مواردی که به مسائل شناسایی شده در ارزیابی ریسک ISO 27001 شما می پردازند.ارزیابی و مدیریت خطرات امنیت اطلاعات در هسته استاندارد ISO 27001 قرار دارد، متخصصان شرکت امن افزار با تحلیل بخش ۶٫۱٫۲ استاندارد ISO/IEC  ۲۷۰۰۱  بیان می‌کنند که فرآیند ارزیابی ریسک باید:

 

• ایجاد و حفظ معیارهای خطر امنیت اطلاعات خاص؛
• اطمینان حاصل کنید که ارزیابی های مکرر ریسک “نتایج منسجم، معتبر و قابل مقایسه را ایجاد می کند”.
• شناسایی خطرات مرتبط با از دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات.
• صاحبان آن خطرات را شناسایی کنید. و
• تجزیه و تحلیل و ارزیابی ریسک های امنیت اطلاعات بر اساس معیارهای خاص.

 

سه مورد از مهم ترین مجموعه های کنترلی را برای ایمن نگه داشتن اطلاعات شناسایی می کنیم.

1. مدیریت دارایی

 

اگر کسی در سازمان شما نداند که چه کسی مسئول امنیت اطلاعات است، رخ دادن حوادث امنیتی آسان است.

 

مدیریت دارایی فرآیند شناسایی مالک اطلاعات در مراحل مختلف چرخه حیات آن و اقداماتی است که برای حفظ امنیت آن باید انجام شود.

 

کنترل ها برای اطمینان از مدیریت مؤثر دارایی در پیوست A.8 ISO 27001 تشریح شده است:

 

A.8.1 مسئولیت دارایی، که دارایی های اطلاعاتی در محدوده ISMS شما و همچنین سیاست های قابل قبول استفاده و بازگشت شما را مشخص می کند.

الف-۸-۲ طبقه بندی اطلاعات، که در آن سازمان ها سطح حفاظت را تعیین می کنند اطلاعات باید داده شود.

الف-۸-۳ مدیریت رسانه، که از افشای غیرمجاز، اصلاح، حذف یا تخریب اطلاعات ذخیره شده در رسانه جلوگیری می کند.

2. کنترل های دسترسی

 

سازمان‌ها اغلب تهدیدی را که کارمندان ایجاد می‌کنند در نظر نمی‌گیرند، این اشتباه بزرگی است وقتی متوجه می‌شوید که چه تعداد از نقض‌ها ناشی از خطای انسانی یا اقدامات بدخواهانه است.

 

بسیاری از این تهدیدات را می توان با کنترل های دسترسی کاهش داد. اینها اقداماتی هستند که سازمانها برای اطمینان از اینکه کارکنان فقط به اطلاعات مرتبط با شغلشان دسترسی دارند، اجرا می کنند.

 

کنترل های دسترسی ISO 27001 در ضمیمه A.9 مشخص شده است:

 

الف.۹٫۱ خط مشی کنترل دسترسی، که در آن کنترل ها مستند شده و با کارکنان به اشتراک گذاشته می شود. این خط‌مشی باید الزامات امنیتی را که در طول طبقه‌بندی اطلاعات شناسایی کرده‌اید و دسترسی به اطلاعات و شبکه لازم برای هر نقش شغلی را در نظر بگیرد.

A.9.2 مدیریت دسترسی کاربر، که روشی را که شما به کارمندان اجازه دسترسی یا حذف می کنید، از جمله دسترسی ممتاز را پوشش می دهد.

A.9.3 مسئولیت های کاربر، که کاربران را برای حفاظت از اطلاعات احراز هویت خود مسئول می داند.

الف.۹٫۴ کنترل دسترسی سیستم و برنامه، که از دسترسی غیرمجاز به سیستم ها و برنامه ها جلوگیری می کند. این شامل رویه‌های ورود امن و سیستم‌های مدیریت رمز عبور است.

 

3. امنیت فیزیکی و محیطی

 

سازمان ها اغلب اهمیت حفاظت از محل خود را هنگام رسیدگی به امنیت اطلاعات نادیده می گیرند. با این حال، ضروری است که خطرات مرتبط با آسیب پذیری های فیزیکی را درک کنید.

 

دو مورد از رایج‌ترین انواع آسیب‌پذیری‌های فیزیکی، تهدیدات محیطی (به عنوان مثال طوفان برفی که خطوط برق را از بین می‌برد) و کلاهبردارانی که اطلاعات حساس را در بخش عمومی ساختمان پیدا می‌کنند، هستند.

 

کنترل ها برای اطمینان از امنیت فیزیکی و محیطی موثر در پیوست A.11 ISO 27001 تشریح شده است:

 

الف.۱۱٫۱ ایمن سازی محل خود، که در آن مکان های حاوی اطلاعات حساس و حیاتی را شناسایی می کنید و اقداماتی را برای جلوگیری از دسترسی فیزیکی غیرمجاز، آسیب و تداخل به اطلاعات انجام می دهید. این شامل کنترل‌های ورود فیزیکی در ورودی اصلی، مناطق تحویل و بارگیری، و هر اتاق یا دفتری در محل شما است که اطلاعات حساس را در خود جای داده است. همچنین باید در برابر تهدیدات خارجی و محیطی و فرآیندهای مستندسازی برای کار در مناطق امن محافظت کنید.

الف.۱۱٫۲ تجهیزاتی که از گم شدن، آسیب، سرقت یا به خطر افتادن دارایی ها و وقفه در عملیات سازمان جلوگیری می کند.

 

آیا کنترل های لازم را دارید؟

 

با وجود خطر بالای جرایم سایبری، بسیار مهم است که کنترل‌های امنیتی سازمان شما چیزی را به جا نگذارد. یکی از کنترل‌های گمشده می‌تواند تفاوت بین یک ترس امنیتی جزئی و یک نقض بزرگ داده باشد.