می‌خواهید داده‌های خود را ایمن سازید؟ از طبقه‌بندی شروع‌کنید

تاریخ: 95/3/30

در اقتصاد دانش‌بنیان، داده‌ها همانند نفت هستند. ارزش آن برای سازمان‌ها و تبهکاران نیاز به رویکرد امنیتی قوی در طول چرخه زندگی داده را به‌ وجود‌ می‌آورد. سوابق نیروی انسانی، دارایی‌های معنوی، اطلاعات اقتصادی؛ همه آنها بدون یک راهبرد امنیت داده همگن و جامع، ممکن‌است به‌ راحتی به‌ سرقت رفته یا مفقود شود.

  موانع امنیت داده

 با توجه به وجود ابزارهای اشتراک‌ گذاری داده مانند شبکه‌های اجتماعی، دسترسی به تجهیزات موبایل و ذخیره‌سازی ابری، ممانعت از خروج داده‌های حساس شرکتی از محیط امنیتی آن، کاری بسیار مشکل شده‌است. واقعیت این است که محیط امنیت داده برای همیشه دستخوش تغییرات شده‌ است، زیرا داده‌ها از نقاط مختلفی دسترسی پیدا‌شده و در جاهای متفاوتی ذخیره‌می‌شوند. با آپلود‌شدن داده‌ها در خدمات نا‌ایمن متعدد اشتراک‌گذاری داده توسط کارکنان، افرادی که در سازمان شما حضور دارند، خود بزرگ‌ترین تهدید برای امنیت داده هستند.

 نگرانی در مورد تهدیدات درونی تنها محدود به کاربران مخرب یا کارکنان خائن نمی‌شود؛ بلکه کارکنان مورد‌اعتمادی که تنها قصد دارند کار خود را بهینه‌ سازی کنند نیز می‌توانند دچار خطا شوند. وقتی کارکنان با دستورالعمل‌های خطمشی آشنایی ندارند و سیستم آموزشی نیز وجود‌ ندارد به آنها گوشزد‌ کنید که ممکن‌است درگیر کار ریسکی با اطلاعات شوند. در‌واقع نقض داده درونی، مشکلی فنی نیست بلکه مشکلی انسانی و فرهنگی است. شما ممکن‌است برای پیشگیری از آپلود داده به خدمات ابری، فناوری‌های خاصی را نصب‌ کنید، اما اگر کارکنان ارزش داده‌ای را که با آن کار‌می‌کنند، ندانند آن فناوری را به‌عنوان مانعی بر سر راه روند کاری خود دیده و به‌ صورت فعالی به‌ دنبال راه‌های دور زدن آن خواهند‌ بود.

 مسئله دیگر در اینجا، گرایش افراد به پنهان‌کردن داده‌هاست. با کاهش هزینه ذخیره‌سازی، میزان توجهی که قبلاً به پاک‌کردن داده‌های قدیمی و غیرضروری می‌شد، کمرنگ شده‌است؛ اما داده‌های بدون‌ساختار حدود 80 درصد دارایی‌های نرم‌افزاری را تشکیل‌ می‌دهند و رشد داده به‌ صورت انفجاری درآمده‌ است. تیم‌های امنیت آی‌تی اکنون وظیفه دارند که همه‌ چیز را تا ابد محافظت‌ کنند، اما داده‌های بسیار زیادی برای محافظت وجود‌ دارند به‌خصوص وقتی بدانیم که برخی از آنها اصلاً ارزش مورد‌حفاظت قرار‌گرفتن ندارند.

  امنیت به‌عنوان بخشی از فرهنگ شرکت

طرح‌های امنیتی از هر‌نوع به‌خصوص آنهایی که مربوط به داده‌ها می‌شوند باید به‌وسیله رهبری در سطح مدیریت، پشتیبانی‌ شوند. در غیر این‌صورت، امنیت به دوش اداره‌های آی‌تی انداخته‌ می‌شود که فعلاً خود درگیر کمبود بودجه برای امنیت داده مناسب هستند. وقتی پشتیبانی مدیریت اجرایی به‌طور مستقیم به کارکنان ابلاغ می‌شود، احتمال اینکه آنها بخواهند در مقابل تغییرات مقاومت نشان‌دهند، پایین‌ می‌آید. با توجه به نقشی که امنیت داده‌ها در سلامت سازمان بازی‌ می‌کند باید آن را به‌ شکل یکی از اقدامات حیاتی تجاری تلقی‌کرد. موفق‌ترین شرکت‌ها، شرکت‌هایی هستند که توجه زیادی به حفاظت از دارایی‌های معنوی، اطلاعات مشتریان و دیگر داده‌های حساس نشان‌ می‌دهند.

  چرا طبقه‌بندی به‌کار‌می‌آید

 طبقه‌بندی سنگ‌بنای امنیت داده است، زیرا به کاربران اجازه‌می‌دهد تا داده‌ها را شناسایی‌کنند که خود عملی در جهت ساختار‌بخشی به حجم بالایی از اطلاعات بدون‌ساختار است. وقتی که داده‌ها دسته‌بندی می‌شوند، سازمان‌ها می‌توانند آگاهی امنیتی را افزایش داده، از خسارت به داده‌ها جلوگیری‌کنند و با مقررات مدیریت سوابق انطباق یابند.

 دلیل قدرتمند‌بودن طبقه‌بندی، توانایی افزودن «متا‌ دیتا» به فایل‌هاست. متا دیتا اطلاعاتی در مورد خود داده، همانند مؤلف آن، تاریخ ساخت و طبقه آن است. وقتی کاربری ایمیل، سند یا فایلی را طبقه‌بندی‌ می‌کند، متا دیتای مقاوم و شناسایی کننده ارزش داده، درون داده ادغام‌ می‌شود. با این روش، ارزش داده بدون توجه به محلی که اطلاعات ذخیره، فرستاده یا به‌اشتراک گذاشته‌می‌شوند همواره حفظ‌ می‌شود.

 وقتی کارکنان از طبقه‌بندی استفاده‌می‌کنند به آنها مکرراً یادآوری ‌می‌شود که داده‌های مورد‌استفاده‌شان چه‌مقدار با‌ارزش هستند. وقتی طبقه‌بندی اِعمال‌می‌شود، آنها به‌شکل حفاظ بصری نیز قابل‌افزوده‌شدن به داده‌ها هستند. وقتی طبقه‌بندی در تیتر و پانوشت ایمیل یا سند قابل‌مشاهده باشد، استفاده‌کنندگان از آن نمی‌توانند ارزش آن و مسئولیت خود در قبال حفاظت از آن را – حتی هنگام چاپ- انکار‌کنند.

 متا دیتای طبقه‌بندی ادغام‌ شده در فایل قابل‌ استفاده توسط سیستم‌های پیشگیری از آسیب به داده (DLP)، دروازه‌ها و دیگر سیستم‌های امنیتی محیطی هستند، زیرا اطلاعات تنها درصورت امن‌بودن به‌اشترک‌ گذاشته‌ می‌شوند. به‌عنوان مثال، سیستم DLP را می‌توان با خط‌ مشی پیکربندی‌کرد تا از انتقال داده‌هایی با برچسب «محرمانه» به تجهیزات ذخیره‌سازی قابل‌ حمل جلوگیری‌ کند. به‌همین شکل، خط‌م شی‌هایی که رمزنگاری داده‌ها را الزامی‌ می‌کنند نیز می‌توان فعال‌ کرد. ابزارهای مدیریت حقوق و دسترسی را می‌توان بر‌اساس طبقه‌بندی به‌کار انداخت، برای مثال می‌توان دستور رمزنگاری ایمیل‌های خروجی و اسناد ذخیره‌شده در شیرپوینت را اجرایی‌ کرد.

 طبقه‌بندی همچنین می‌تواند در موقعیت‌هایی که حفاظت و نگه‌داری سوابق شرکت توسط نهادهای قانونی مورد‌ نظارت است، به‌ کار‌آید. با افزودن ساختارمندی به اطلاعات بدون‌ ساختار خاص، طبقه‌بندی به سازمان‌ها اجازه‌می‌دهد تا توزیع اطلاعات حساس‌شان را برحسب مقرراتی مانند ITAR، HIPAA، PIPEDA، SOX و غیره کنترل‌ کنند.

 سوابق مورد‌نظارت، همچنین باید برای اهداف ممیزی قانونی سریعاً قابل‌دسترسی باشند. طبقه‌بندی می‌تواند اطلاعات افزونی را که نشان‌دهنده اداره مربوطه و دسته مدیریتی آن باشد نیز به داده‌ها بیفزاید. این اطلاعات اضافه نه‌ تنها کار بازیابی سریع اسناد را راحت‌تر می‌کند، بلکه می‌تواند با خط‌ مشی‌های مرتبط با مدت‌ زمان حفظ داده و نابودی ایمن آن نیز هم‌خوانی داشته‌ باشد.

  کلیدی برای امنیت داده

 حال‌که ارزش حیاتی داده‌ها مشخص‌شد، امنیت داده‌ها در طول چرخه زندگی‌شان باید جزو اولویت‌ها باشد. وقتی خط‌مشی‌ها نامعلوم باشند یا به‌صورت تعمدی دور زده شوند، امنیت داده به خطر می‌افتد. طبقه‌بندی داده، برای ایجاد فرهنگ امنیت داده بسیار حیاتی است. درک اهمیت داده‌ها باید همان‌طوری که متا دیتاها وارد داده‌ها می‌شوند در ذهن کارکنان وارد شود. این متا دیتاها به اتوماسیون اجرای خط‌مشی‌ها و بازیابی سریع اطلاعات برای ممیزی کمک‌می‌کنند. بااین‌همه، طبقه‌بندی تاکتیک امنیتی راحتی است که مزایای اقتصادی بی‌شماری دارد.

 

منبع: بولتن خبری پیشرو نگار هدف