۳ کنترل ضروری که می تواند سازمان شما را از تهدیدات سایبری ایمن نگه دارد
سازمان هایی که خواهان یک رویکرد اثبات شده و ساختاریافته برای امنیت اطلاعات هستند، نباید فراتر از ISO 27001 نگاه کنند.این استاندارد بهترین روش را برای پیادهسازی و نگهداری یک ISMS (سیستم مدیریت امنیت اطلاعات) توصیف میکند که بر اساس سیستمی از کنترلها ساخته شده است که اطلاعات شما را در برابر انواع مختلفی از تهدیدات محافظت میکند.فهرست کامل کنترل ها در پیوست A استاندارد فهرست شده است. در مجموع ۱۱۴ مورد وجود دارد که به ۱۴ بخش تقسیم شده است.
اگر فکر می کنید این کار زیاد است، استراحت کنید. شما نیازی به اجرای همه آنها ندارید، فقط مواردی که به مسائل شناسایی شده در ارزیابی ریسک ISO 27001 شما می پردازند.ارزیابی و مدیریت خطرات امنیت اطلاعات در هسته استاندارد ISO 27001 قرار دارد، متخصصان شرکت امن افزار با تحلیل بخش ۶٫۱٫۲ استاندارد ISO/IEC ۲۷۰۰۱ بیان میکنند که فرآیند ارزیابی ریسک باید:
- ایجاد و حفظ معیارهای خطر امنیت اطلاعات خاص؛
- اطمینان حاصل کنید که ارزیابی های مکرر ریسک “نتایج منسجم، معتبر و قابل مقایسه را ایجاد می کند”.
- شناسایی خطرات مرتبط با از دست دادن محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات در محدوده سیستم مدیریت امنیت اطلاعات.
- صاحبان آن خطرات را شناسایی کنید. و
- تجزیه و تحلیل و ارزیابی ریسک های امنیت اطلاعات بر اساس معیارهای خاص.
سه مورد از مهم ترین مجموعه های کنترلی را برای ایمن نگه داشتن اطلاعات شناسایی می کنیم.
- مدیریت دارایی
اگر کسی در سازمان شما نداند که چه کسی مسئول امنیت اطلاعات است، رخ دادن حوادث امنیتی آسان است.
مدیریت دارایی فرآیند شناسایی مالک اطلاعات در مراحل مختلف چرخه حیات آن و اقداماتی است که برای حفظ امنیت آن باید انجام شود.
کنترل ها برای اطمینان از مدیریت مؤثر دارایی در پیوست A.8 ISO 27001 تشریح شده است:
A.8.1 مسئولیت دارایی، که دارایی های اطلاعاتی در محدوده ISMS شما و همچنین سیاست های قابل قبول استفاده و بازگشت شما را مشخص می کند.
الف-۸-۲ طبقه بندی اطلاعات، که در آن سازمان ها سطح حفاظت را تعیین می کنند اطلاعات باید داده شود.
الف-۸-۳ مدیریت رسانه، که از افشای غیرمجاز، اصلاح، حذف یا تخریب اطلاعات ذخیره شده در رسانه جلوگیری می کند.
- کنترل های دسترسی
سازمانها اغلب تهدیدی را که کارمندان ایجاد میکنند در نظر نمیگیرند، این اشتباه بزرگی است وقتی متوجه میشوید که چه تعداد از نقضها ناشی از خطای انسانی یا اقدامات بدخواهانه است.
بسیاری از این تهدیدات را می توان با کنترل های دسترسی کاهش داد. اینها اقداماتی هستند که سازمانها برای اطمینان از اینکه کارکنان فقط به اطلاعات مرتبط با شغلشان دسترسی دارند، اجرا می کنند.
کنترل های دسترسی ISO 27001 در ضمیمه A.9 مشخص شده است:
الف.۹٫۱ خط مشی کنترل دسترسی، که در آن کنترل ها مستند شده و با کارکنان به اشتراک گذاشته می شود. این خطمشی باید الزامات امنیتی را که در طول طبقهبندی اطلاعات شناسایی کردهاید و دسترسی به اطلاعات و شبکه لازم برای هر نقش شغلی را در نظر بگیرد.
A.9.2 مدیریت دسترسی کاربر، که روشی را که شما به کارمندان اجازه دسترسی یا حذف می کنید، از جمله دسترسی ممتاز را پوشش می دهد.
A.9.3 مسئولیت های کاربر، که کاربران را برای حفاظت از اطلاعات احراز هویت خود مسئول می داند.
الف.۹٫۴ کنترل دسترسی سیستم و برنامه، که از دسترسی غیرمجاز به سیستم ها و برنامه ها جلوگیری می کند. این شامل رویههای ورود امن و سیستمهای مدیریت رمز عبور است.
- امنیت فیزیکی و محیطی
سازمان ها اغلب اهمیت حفاظت از محل خود را هنگام رسیدگی به امنیت اطلاعات نادیده می گیرند. با این حال، ضروری است که خطرات مرتبط با آسیب پذیری های فیزیکی را درک کنید.
دو مورد از رایجترین انواع آسیبپذیریهای فیزیکی، تهدیدات محیطی (به عنوان مثال طوفان برفی که خطوط برق را از بین میبرد) و کلاهبردارانی که اطلاعات حساس را در بخش عمومی ساختمان پیدا میکنند، هستند.
کنترل ها برای اطمینان از امنیت فیزیکی و محیطی موثر در پیوست A.11 ISO 27001 تشریح شده است:
الف.۱۱٫۱ ایمن سازی محل خود، که در آن مکان های حاوی اطلاعات حساس و حیاتی را شناسایی می کنید و اقداماتی را برای جلوگیری از دسترسی فیزیکی غیرمجاز، آسیب و تداخل به اطلاعات انجام می دهید. این شامل کنترلهای ورود فیزیکی در ورودی اصلی، مناطق تحویل و بارگیری، و هر اتاق یا دفتری در محل شما است که اطلاعات حساس را در خود جای داده است. همچنین باید در برابر تهدیدات خارجی و محیطی و فرآیندهای مستندسازی برای کار در مناطق امن محافظت کنید.
الف.۱۱٫۲ تجهیزاتی که از گم شدن، آسیب، سرقت یا به خطر افتادن دارایی ها و وقفه در عملیات سازمان جلوگیری می کند.
آیا کنترل های لازم را دارید؟
با وجود خطر بالای جرایم سایبری، بسیار مهم است که کنترلهای امنیتی سازمان شما چیزی را به جا نگذارد. یکی از کنترلهای گمشده میتواند تفاوت بین یک ترس امنیتی جزئی و یک نقض بزرگ داده باشد.