درسهایی که از WikiLeaks می توانیم یاد بگیریم؟ امنیت اطلاعات دقیقا چیه؟
این روزها WikiLeaks یک ماجرای داغ است و آن هم این است که خیلی مرسوم نیست که اسناد محرمانه قدرتمندترین دولت جهان بخواهد فاش شود و بر روی اینترنت منتشر شود.
من نمی خواهم در مورد این بنویسم که اصلا کار WikiLeaks برای افشای چنین اطلاعاتی قانونی بوده یا نه، آیا این اطلاعات باید برای عموم صرفا به این دلیل که مردم علاقه به دانستن آن اطلاعات داشتند منتشر میشد یا نه، چه اتفاقی برای موسسش خواهد افتاد (در زمان نوشتن این مقاله Julian Assange در بازداشت بود) و …
مشکل این است که اگر WikiLeaks تعطیل شود یک WikiLeaks جدید دوباره باز می شود یعنی تهدید فاش شدن اطلاعات برای مردم همیشه هست. (به هر حال قبل از دستگیر شدنش جولین اعلام کرد که می خواهد اطلاعاتی در مورد بانک اصلی ایالت متحده امریکا و قصورش را منتشر کند.)
من اینجا می خواهم از دید شرکت ها نگاه کنم، اینکه چه اتفاقی می افتد اگر هدف بعدی WikiLeaks شرکت ما باشد؟ چطوری می توانیم از امنیت اطلاعاتمان مطمئن شویم و از آسیب چنین حوادث بزرگی به دور باشیم؟
یک مثال ساده:
امنیت اطلاعات در عمل چطوری است؟ بیاید یک مثال ساده بزنیم: شما اغلب لپ تاپتان را در ماشین خود در صندلی عقب می گذارید. شانس شما دیر یا زود لپ تاپتان را می دزدند. چه کاری می توانیم انجام بدهیم که این ریسک را کم کنیم؟ اول از همه شما می توانید یه قائون بگذارید (نوشتن یک رویه یا یک سیاست)، اینکه نمی توانید لپ تاپ را بدون مراقبت درون ماشین نگهدارید و یا اینکه شما مجبور هستید که ماشینتان را در جایی که حفاظت فیزیکی هست پارک کنید. دوم اینکه شما می توانید اطلاعاتتان را با گذاشتن یک پسورد قوی و رمز کردن داده هایتان محافظت کنید. پس شما میتوانید چند تا کارمند داشته باشید که به صورت قانونی مسئولیت هرآسیبی که پیش بیاید بر عهده آنها باشد اما همه اینها موثر نخواهد بود اگر که شما قوانین را برای کارمندانتان در قالب یک آموزش کوتاه توضیح ندهید.
خب چه نتیجه ایی می توانیم از این مثال بگیریم؟ امنیت اطلاعات هرگز به تنهایی یک معیار امنیتی نیست و معیارها هم تنها معیارهای مرتبط با IT نیست بلکه شامل مسائل سازمانی، مدیریت منابع انسانی، امنیت فیزیکی و حمایت قانونی می شود. این یک مثال از یک لپ تاپ تنها بود. حالا در نظر بگیرید که حفاظت از اطلاعات درون سازمان شما چقدر پیچیده می شود جایی که اطلاعات نه تنها بر روی کامپیوتر شما ذخیره می شود، بلکه بر روی چندین سرور نیز ذخیره می شود، نه تنها بر روی USB memory بلکه در راس همه کارمندان و شما ممکن است یک کارمند ناراضی داشته باشید. به نظر یک کار غیر ممکن می رسد؟ سخت است بله اما غیرممکن نیست.
چگونه به آن نزدیک شویم؟
چیزی که شما برای حل این مشکل پیچیده نیاز دارید یک چارچوب است. خبر خوب این است که چنین چارچوب هایی تحت استاندارهایی وجود دارند که متداول ترین آن ISO 27001 است، استاندارد بین المللی پیشرو برای مدیریت امنیت اطلاعات اما چارچوب های دیگری مثل COBIT، سری های NIST SP 800، PCI DSS و … وجود دارد.
ما می خواهیم بر روی استاندراد ISO 27001 تمرکز کنیم. تصور می کنم که این استاندارد زمینه خوبی برای ایجاد سیستم امنیت اطلاعات ایجاد می کند زیرا کاتالوگی از 133 کنترل امنیتی ارائه می دهد و هم چنین این انعطاف پذیری را دارد که تنها آن کنترل هایی را که واقعا در ارتباط با ریسک مورد نیاز است را بخواهیم داشته باشیم اما بهترین ویژگی اش این است که یک چارچوب مدیریتی برای کنترل، مدیریت و هدایت مسائل امنیتی تعریف می کند. بنابراین، دستیابی به چنین مدیریت امنیتی بخشی از مدیریت کلی سازمان می شود.
به طور خلاصه، این استاندارد شما را قادر می سازد که تمامی اطلاعات در اشکال مختلف، تمامی ریسکها را در نظر بگیرید و مسیر جدیدی برای حل مجدد هرگونه مشکل احتمالی و حفظ امنیت اطلاعاتتان را در اختیارتان قرار می دهد.
پیامدهای کسب و کار:
خب آیا سازمانها باید نگران باشند که اطلاعاتشان در بین مردم افشا شود؟ اگر کاری غیر قانونی یا غیر اخلاقی انجام میدهند حتما باید نگران باشند.
با این حال، برای سازمان هایی که قانونی عمل می کنند اگر بخواهند که کسب و کارشان را حفظ کنند، آنها نباید تنها به بازگشت سرمایه، سهم بازار، چشم انداز دراز مدت فکر کنند بلکه باید استراتژی آنها مسائل امنیتی را نیز در نظر بگیرد. به دلیل اینکه داشتن اطلاعات ناامن به مراتب می تواند هزینه بیشتری از مثلا خرابی یک محصول جدید به دنبال داشته باشد. امنیت منظورم تنها امنیت فیزیکی نیست چون به سادگی دیگر این کافی نیست ، تکنولوژی باعث می شود که اطلاعات از راه های مختلفی نشت کند.
چیزی که نیاز است یک رویکرد جامع برای امنیت اطلاعات است. مهم نیست که از ISO 27001 استفاده میکنید یا COBIT و یا هر چارچوب دیگری. این تلاش تنها برای یکبار نیست بلکه یک عملیات مداوم است. بله این چیزی نیست که افراد IT بتوانند به تنهایی انجام دهند، این چیزی است که کل سازمان باید در آن شرکت داشته باشد، شروع از هیئت مدیره.
