مهمترین روش پیشگیری از نشت اطلاعات در سرور ابری : شرکت های بسیاری برای ذخیره ی اطلاعات خود به استفاده از سرور ابری روی آورده اند. طبق یک نظر سنجی که به تازگی توسط Intel انجام شده است. بیش از ۶۰% سازمانها اطلاعات حساس خود را در محیط ابری ذخیره می کنند. با افزایش استفاده از سرور ابری ، خطر نشت اطلاعات از این محیط نیز افزایش پیدا می کند.
روش های پیشگیری از نشت اطلاعات در سرور ابری
حال مسئله این است که با افزایش عملیات رایانش ابری ، چگونه می توان از امنیت اطلاعات اطمینان داشت؟ نوین هاست قصد دارد تا در ادامه ی این مطلب با ذکر چند نکته شما را در پیشگیری از نشت اطلاعاتتان در هنگام کار با سرور ابری و سرور مجازی ، چه در زمان ذخیره ی اطلاعات و چه در زمان استفاده از سیستمهای پشتیبان ، یاری کند.
۱. اطلاعات را طبقه بندی کنید.
طبقه بندی اطلاعات ارزشمند و قابل شناسایی شخصی اولین گام مهم در شناسایی اطلاعاتی است که لازم است یک موسسه از آنها محافظت کند. طبقه بندی اطلاعاتی مانند تاریخ تولد ، شماره ی بیمه و اطلاعات حسابهای بانکی این امکان را فراهم می کند. که اقدامات لازم برای دسترسی و همچنین ایمنی اطلاعات را بر اساس میزان حساسیت داده ها افزایش دهید.
افزایش امنیت سایبری در فضای ابری
۲. از محل نگهداری اطلاعات خود آگاهی داشته باشید.
با معرفی قوانین جدید مانند قانون عمومی حفاظت از اطلاعات (GDPR) ، آگاهی از محل فیزیکی نگهداری اطلاعات در هر موسسه برای حفاظت از آن اطلاعات ، تبدیل به یک امر حیاتی شده است. آگاهی از روش حفاظت از اطلاعات در زمان حذف اطلاعات از یک دستگاه نیز به اندازه ی حفاظت از اطلاعات در زمان ذخیره ی آنها ، اهمیت دارد. تا به حال به امنیت اطلاعات ذخیره شده در یک دستگاه بیش از حد توجه شده است. در حالیکه توجه کافی به حفاظت از اطلاعات در زمان جابجایی آنها از یک دستگاه به دستگاه دیگر نشده است. با گسترش شرکتها و ایجاد شعبات متعدد از یک شرکت در کشورهای مختلف، انتظار می رود که بیش از پیش شاهد توجه به حفاظت از اطلاعات در زمان جابجایی آنها باشید.
۳. فروشندگان خود را کنترل کنید.
با وضع مقررات جدید در مورد حفظ محرمانگی اطلاعات ، شرکتها و موسسات نیز باید همچنان به این مقررات پایبند بمانند. دیگر روزگاری که قوانین تنها برای یک بار اجرا می شدند ، گذشته است. از آنجا که مقررات هر کشور با کشور دیگر متفاوت است. حصول اطمینان از پایبندی فروشندگان به قوانین مربوطه ، به ویژه برای شرکتهایی که در کشورهای مختلف فعالیت می کنند. کاری بسیار چالش برانگیز است. لازم است که شرکتها بر کار فروشندگان خود نظارت داشته باشند تا مطمئن شوند که آنها نه محل ذخیره ی اطلاعات و نه فرایندهای انجام شده بر روی آنها را فاش نمی کنند. این دو مسئله با یکدیگر متفاوتند و پس از این دیگر یک شرکت نمی تواند. به سادگی زمانی که امور خود را به یک خدمات رسان خارج از شرکت برون سپاری می کند. از امنیت اطلاعات خود اطمینان داشته باشد.
۴. طرحی برای واکنش سریع به حوادث داشته باشید.
صرف نظر از نوع حرفه و زمینه ای که سرور مجازی در آن استفاده می شود ( خدمات بهداشتی ، دولتی و یا آموزشی) ، استفاده از این سرور نباید باعث شود که کارکنان سازمان از انجام مسئولیتهای خود شانه خالی کنند. در صورتی که در سازمان خود برنامه ی مشخصی برای واکنش سریع به حوادث داشته باشید. به راحتی می توانید از درگیری بین افراد و مقصر دانستن یکدیگر ، جلوگیری کنید. بدین ترتیب از ابتدا کاملاً مشخص است که در نهایت چه کسی مسئول رفع مشکل به وجود آمده است .
۵. از تکنولوژی مدیریت قانون اطلاعات (IRM) استفاده کنید.
زمانی که مجرمان PII را در شبکه های صنفی و شرکتی هدف قرار می دهند. تکنولوژی IRM می تواند یک ابزار حیاتی برای حفاظت از اطلاعات و استمرار رعایت قوانین باشد. این تکنولوژی اطلاعات مهم را به وسیله ی کدگذاری و تأیید رمز عبور به صورت مستقیم در داخل خود فایل به جای کل سیستم ، محافظت می کند. این کار امنیت اطلاعات فایل را در تمام مراحل ، چه هنگام ذخیره و چه هنگام انتقال به یک دستگاه یا سیستم دیگر تضمین می کند.
۶. تنها یک نسخه از اطلاعات را به عنوان فایل اصلی نگه دارید.(SSOT)
چه اطلاعات خود را در داخل سازمان به اشتراک بگذارید و چه در خارج از سازمان با سیستمها و شرکتهای دیگر به اشتراک بگذارید. مهم است که با به حداقل رساندن تعداد کپی هایی که از طریق سیستمهای مشارکت امن به اشتراک گذاشته می شوند. تنها یک نسخه ی اصلی اطلاعات را برای خود نگه دارید. این کار به افراد امکان می دهد که بتوانند با یکدیگر همکاری ایمن داشته باشند. و از پخش شدن کپی های متعدد جلوگیری می کند. با این روش هم سطح تهدید امنیت اطلاعات و هم احتمال نشت اطلاعات هاست ابری کاهش می یابد . استفاده از روش Watermarking برای اسناد می تواند سازمان را در ردیابی سریع منبع نشت اطلاعات کمک کند و اثر نشت اطلاعات را به حداقل برساند.
۷. اطلاعات را هر جا که باشد و در هر شرایطی، کدگذاری کنید.
اطلاعات مهم و حساس را در تمام اوقات شبانه روز ، چه در هنگام ذخیره در یک سیستم و یا زمان جابجایی از یک سیستم به سیستم دیگر ، کدگذاری کنید. محیط ابری یک تکنولوژی ایده آل و همه چیز تمام نیست. لازم است که هم PII و هم سایر اطلاعات مهم و حساس کدگذاری شوند. چرا؟ چون کد گذاری آخرین سد دفاعی شما در برابر Phishing اطلاعات خصوصی شما از سوی مجرمان سایبری است. زمانی که سایر تلاشهای انجام شده برای محافظت از اطلاعات با شکست مواجه می شوند ، کدگذاری آخرین امید یک سازمان برای محافظت از حساس ترین اطلاعاتش در برابر به اشتراک گذاشته شدن ناخواسته با هکرها است.
۸. در مورد رمزهای عبور دقت بیشتری به خرج دهید.
هکرها تنها با دستیابی به یک رمز عبور یا نام کاربری می توانند با صدها نفر دیگر ارتباط برقرار کنند و به ظاهر نیز معتبر و قابل قبول به نظر برسند. این امر زمان لازم را در اختیار هکر قرار می دهد تا در داخل سیستم سازمان به سمت هدف خود که در حقیقت فردی است که دسترسی مدیریتی به اطلاعات داشته باشد ، حرکت کند. اگر مجرمان سایبری به اختیارات CEO دست پیدا کنند ، می تواند بدون اطلاع CEO برای اعضای تیم اجرایی ایمیل فرستاده و از آنها بخواهند کارهای خاصی که مد نظر آنها است ، را انجام دهند. آگاهی از عواقب چنین اتفاقی ، اهمیت بیش از پیش حفاظت از اطلاعات را به خوبی نشان می دهد.
۹. برای دسترسی به اطلاعات، مجوز با شرایط محدود تعیین کنید.
سازمانها با تعیین مجوز محدود دسترسی برای کاربران ( تنها برای کسانی که نیاز به این دسترسی دارند. ) می توانند تا حد قابل ملاحظه ای احتمال copy & paste اطلاعات( که می تواند به سادگی سبب ایجاد یک آدرس ایمیل یا سند اشتباه شود ) را کاهش دهند . مثلاً اگر تیم IT مجوزهای پیش فرض یک پلت فرم اشتراک گذاری اسناد را به جای “viewer” برای “editor” تعیین کند. ممکن است بسیاری از اطلاعات مهم به خارج از سیستم درز پیدا کند.
۱۰. آموزش
نکته ی آخر که از اهمیت زیادی برخوردار است، افزایش آگاهی تمام رده های سازمان در این خصوص است. آیا کارکنان شما می توانند یک ایمیل phishing را شناسایی کنند ؟ آیا هنوز برای نگهداری اطلاعات مربوط به رمز عبور از فایلهای صفحه گسترده (excel ) استفاده می کنند؟ برای تمام رده های سازمان از کارمندان گرفته تا اهضای هیئت مدیره و تا فروشندگان هیچ چیزی بیشتر از آموزش اهمیت ندارد، اولین گام برای پیشگیری از نشت اطلاعات ، شناسایی عواقب بالقوه ی آن و همچنین بهترین اقدامات برای پیشگیری از گسترش حملات انجام شده است.
نوین هاست یار نوین شماست
جدای از این اقدامات اصلی و پایه ای ، لازم است که سازمانها از یک برنامه ایمن سازی ( مانند فایروال شبکه و برنامه های endpoint protection بر روی سرور مجازی و سرور اختصاصی ) برای محافظت از اطلاعات خود استفاده کنند. شرکتهایی که علاوه بر انجام اقدامات یاد شده از این برنامه های ایمن سازی نیز استفاده می کنند، بیشترین شانس موفقیت را در پیشگیری از نشت اطلاعات ذخیره شده ی خود در محیط و سرور ابری خواهند داشت.