رفتن به مطلب

5 گام در ارزیابی خطرات سایبری


ارسال های توصیه شده

5 گام در ارزیابی خطرات سایبری

 

امنیت اطلاعات یعنی حفاظت از اطلاعات و سیستم های اطلاعاتی از فعالیت غیرمجاز. این فعالیت ها عبارتند از دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر، دستکاری.23551199147371004123466148815222822241109.jpg

واژه های امنیت اطلاعات، امنیت کامپیوتری و اطلاعات مطمئن گاها به اشتباه به جای هم بکاربرده میشود. اگر چه اینها موضوعات به هم مرتبط هستند و همگی دارای هدف مشترک حفظ محرمانگی اطلاعات، یکپارچه بودن اطلاعات و قابل دسترس بودن را دارند ولی تفاوت های ظریفی بین آنها وجود دارد. این تفاوت ها در درجه اول در رویکرد به موضوع امنیت اطلاعات، روش های استفاده شده برای حل مسئله، و موضوعاتی که تمرکز کرده اند دارد.

امنیت اطلاعات به محرمانگی، یکپارچگی و در دسترس بودن داده ها مربوط است بدون در نظر گرفتن فرم اطلاعات اعم از الکترونیکی، چاپ، و یا اشکال دیگر.

امنیت کامپیوتر در حصول اطمینان از در دسترس بودن و عملکرد صحیح سیستم کامپیوتری تمرکز دارد بدون نگرانی از اطلاعاتی که توسط این سیستم کامپیوتری ذخیره یا پردازش می شود.

دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، و مشاغل خصوصی مقدار زیادی اطلاعات محرمانه در مورد کارکنان، مشتریان، محصولات، تحقیقات، و وضعیت مالی گردآوری میکنند. بسیاری از این اطلاعات در حال حاضر بر روی کامپیوتر های الکترونیکی جمع آوری، پردازش و ذخیره و در شبکه به کامپیوترهای دیگر منتقل می شود.اگر اطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید موسسه ای به دست رقیب بیافتد، این درز اطلاعات ممکن است به خسارات مالی به کسب و کار، پیگرد قانونی و یا حتی ورشکستگی منجر شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و در بسیاری از موارد نیز نیاز اخلاقی و قانونی است.

برای افراد، امنیت اطلاعات تاثیر معنی داری بر حریم خصوصی دارد. البته در فرهنگ های مختلف این مفهوم حریم خصوصی تعبیرهای متفاوتی دارد.

بحث امنیت اطلاعات در سال های اخیر به میزان قابل توجهی رشد کرده است و تکامل یافته است. راههای بسیاری برای ورود به این حوزه کاری به عنوان یک حرفه وجود دارد. موضوعات تخصصی گوناگونی وجود دارد از جمله: تامین امنیت شبکه (ها) و زیرساخت ها، تامین امنیت برنامه های کاربردی و پایگاه داده ها، تست امنیت، حسابرسی و بررسی سیستم های اطلاعاتی، برنامه ریزی تداوم تجارت و بررسی جرائم الکترونیکی، و غیره.

1041856823320716713320020411217020133124124163.jpg

سازمان ها دائما در معرض تهدیدهای امنیتی سایبری هستند. Botnet ها، بدافزارها، ویروس ها، کرم های رایانه ای و هک تنها چند نمونه کوچک است که مدیران IT را همیشه بیدار نگه می دارد، تا از ایمنی و قدرت شبکه خود برای مقابله با این حملات مطمئن باشند. به جای این شب بیداری ها، به نظر می رسد که سازمان ها نیاز به یک شیوه و اسلوب مشخص برای اولویت بندی و نشان یابی خطرات امنیت سایبری دارند.

سازمان های بسیار زیادی از ضعف های امنیتی رنج می برند که اولویت بندی برای برطرف کردن آن ها با وجود منابع محدود، غیر ممکن است. برخی هم تلاش می کنند بهترین عملکردهایی را که برای دیگر سازمان ها مفید بوده به کار ببرند.، به این امید که آنچه برای دیگران مفید بوده برای آنها نیز کاربردی باشد. اما هیچ یک از این راهها استراتژی معقولی برای محافظت از اطلاعات نیست.

CDW به سازمان ها 5 گام را در توسعه پایه های محکم برای استراتژی امنیتی شان توصیه می کند. این گام ها برای سازمان هایی که راهنمای ساده ای برای شروع به کار نیاز دارند مناسب است. برای شروع به کار باید تصمیم گیرندگان را از تمام سازمان دور هم جمع کنند. بهترین حالت گروهی متشکل از 5 تا 6 نفر است، اما هدف این است که از تمامی بخش ها (برای مثال : واحد کسب و کار، واحد IT ، واحد مالی ، مدیریت و غیره) افرادی حاضر باشند.

شناسایی اطلاعات ارزشمند

 

انواع اطلاعات اولیه ای که یک سازمان دارد (برای مثال شماره های تامین اجتماعی، شماره کارت های حقوق، سوابق بیماری، طرح ها، اطلاعات منابع انسانی ) را در نظر بگیرید و یک لیست از اولویت های اطلاعاتی که باید نگهداری و حفاظت شوند را تهیه کنید. به عنوان یک راهنمایی بیشتر از یک یا دو ساعت روی این مرحله زمان نگذارید.

تعیین محل اطلاعات ارزشمند

 

لیستی از مکان نگه داری اطلاعات ارزشمند در سازمان را تهیه کنید. مانند سرورها، کامپیوترهای کاری، لپ تاپ ها، ابزارهایهای جداشدنی (هارد اکسترنال، کول دیسک و…) تلفن ها، بانک های اطلاعاتی و…

16248974417767910411933891377679190208.jpg

طبقه بندی اطلاعات ارزشمند

 

لیست اطلاعات ارزشمند را رتبه بندی کنید. یک مقیاس از 1 تا 5 را با دسته بندی زیر در نظر بگیرید:

1. اطلاعات عمومی (مثلا بازاریابی و فروش، اطلاعات تماس، گزارش های مالی اتمام یافته و غیره )

2. اطلاعات داخلی غیر محرمانه (مثلا لیست تلفن، چارت سازمانی، بیمه نامه و غیره )

3. اطلاعات حساس داخلی (مثلا برنامه های کسب و کار، طرح های استراتژیک، موارد مربوط به توافق نامه های پنهانی و غیره )

4. اطلاعات داخلی طبقه بندی شده ( مثلا اطلاعات پاداش ها، برنامه های ادغام و کسب رتبه، طرح های پرداخت غرامت و غیره )

5. اطلاعات کنترل شده کاملا محرمانه (مثلا اطلاعات بیماران ، اطلاعات طرح های انحصاری و غیره )

این طرح طبقه بندی به سازمان این امکان را می دهد که اطلاعات ارزشمند را بر اساس میزان ضرر و خسارتی که در صورت فاش شدن یا تغییر کردن وارد می شود، دسته بندی کند. تیم بررسی باید در اینجا سعی کنند که واقع بین باشند و به توافق برسند.

اجرای شبیه سازی خطر

 

خطراتی که دارایی اطلاعاتی یک سازمان بیشترین برخورد را با آنها دارند، ارزیابی کنید. یک راه برای انجام این کار استفاده از روش STRIDE مایکروسافت است، که ساده، روشن و واضح بوده و حاوی بیشتر خطرات درجه یک است. همچنین استفاده از یک مشاور با تجربه خارج از سازمان در این جا توصیه می شود. یک صفحه گسترده (فایل اکسل) برای هر دارایی بسازید و دسته های STRIDE را بر روی محور X آن لیست کنید.

STRIDE :

 

S : سرقت هویتT : دستکاری داده ها

R : لغو تراکنش ها

I : افشای اطلاعات

D: محرومیت از سرویس

E : افزایش سطح دسترسی

بر روی محور Y، محل قرار گیری داده که در گام 2 شناسایی شد را لیست کنید. برای هر سلول براوردهای زیر را انجام دهید:

* احتمال بروز این خطر در دارایی مورد نظر

* تاثیری که این ضعف امنیتی بر روی سازمان خواهد داشت

7919111261203165164120180182221557359254221.jpg

هر یک از دو مورد بالا را با اعداد یک تا ده امتیاز بدهید. (مثلا 1 برای احتمال کم و یا تاثیر بسیار کم، 10 برای احتمال قطعی و فاجعه آمیز ) سپس امتیاز این دو مورد را در هم ضرب کرده و در سلول ها قرار دهید. صفحه گسترده باید با اعداد 1 تا 100 پر شود. این کار برای سازمان های کوچک یک روز کامل و برای سازمان های بزرگ تر چندین روز طول می کشد.

مرحله جمع آوری اطلاعات را به اتمام رسانده و برنامه ریزی را شروع کنید

 

تمامی سلول های برگه ها را در عدد طبقه بندی مشخص شده در مرحله سه (اعداد 1 تا 5) ضرب کنید. نتیجه این کار رتبه بندی کامل و معقولانه از تهدیدهایی است که برای سازمان وجود دارد. این درجه بندی، هم شامل اهمیت دارایی مورد نظر و هم طیف گسترده ای از پیش آمدهای احتمالی است. یک برنامه امنیتی مناسب تمامی خطرات شناسایی شده با بالاترین اعداد را بررسی می کند.

بسیاری از سازمان ها حدودی به صورت زیر تعیین می کنند:

 

* 1-250 در این رنج بر روی تهدید و خطر تمرکز نمی شود.* 250-350 بر روی این خطرات تا جایی که زمان و بودجه اجازه دهد تمرکز می شود.

* 350-450 در پایان سال مالی بعدی به آنها رسیدگی می شود.

* 450-500 بلافاصله مورد توجه قرار می گیرند.

این حدود فقط نمونه هستند و در عمل نتایج بالا یا پایین بازه در نظر گرفته می شوند. و بنابراین سازمان ها باید بر اساس آن واکنش ها و پاسخ ها را تنظیم کنند. هدف از ارزیابی ریسک، پایه ریزی درست برنامه امنیتی است. اما ارزیابی ریسک به تنهایی مسائل و مشکلات امنیتی را حل نمی کند.

CDW پیشنهاد می کند که سازمان ها با تمرکز بر روی خطرات خاص و استفاده از راههای مقرون به صرفه، هزینه ها را کاهش دهند. با داشتن لیستی از خطرات، سازمان ها می توانند تلاش خود را بر روی خطراتی که از اهمیت بیشتری برخوردارند متمرکز کنند و بر روی تکنولوژی های امنیتی یا فعالیت های غیر ضروری یا غیر مرتبط با مشکلات شناسایی شده، وقت و هزینه صرف نکنند.

لینک به دیدگاه
×
×
  • اضافه کردن...