ویرگول
ورودثبت نام
hamid reza Nasr
hamid reza Nasr
hamid reza Nasr
hamid reza Nasr
خواندن ۳ دقیقه·۵ روز پیش

روزی که فهمیدم مشکل سازمان‌ها «هکرها» نیستند

در طول سالیان گذشته، در جلساتی که با مدیران سازمان های مختلف داشتم. همیشه یک داستان اما با ادبیات های مختلف روایت می شد. به عنوان مثال در یکی از جلسات طبق معمول، صحبت از امنیت اطلاعات شد. انتظار داشتم بحث درباره حملات سایبری، باج‌افزارها یا هکرها باشد. اما مدیرعامل حرف دیگری زد. او می گفت:

من از هکرها کمتر می‌ترسم تا از اینکه ندانم چه کسی، چه زمانی و برای چه کاری وارد اطلاعات شرکت من شده است. این جمله تا مدت‌ها در ذهنم ماند. ما معمولاً امنیت را با دیوارهای بلند، رمزهای پیچیده و تجهیزات گران‌قیمت تصور می‌کنیم. اما دغدغه واقعی مدیران چیز دیگری است. آن‌ها می‌خواهند بدانند آیا می‌توانند به فرآیندهای کسب‌وکار خود اعتماد کنند یا نه.

اجازه بدهید یک مثال بزنم:

فرض کنید شرکت شما برای به‌روزرسانی نرم‌افزار مالی/اتوماسیون اداری، از یک پیمانکار کمک می‌گیرد. قرار است او فقط چند ساعت روی یک بخش مشخص کار کند. بعد از پایان کار، همه چیز به حالت عادی برگردد.

اما در عمل چه اتفاقی می‌افتد؟

برای اینکه کار سریع‌تر پیش برود، دسترسی گسترده‌ای در اختیار او قرار می‌گیرد. شاید یک حساب کاربری ایجاد شود، شاید اتصال از راه دور فعال شود و شاید رمز عبوری هم برایش ارسال شود. همه این کارها با نیت خوب انجام می‌شوند؛ کسی نمی‌خواهد ریسک ایجاد کند، فقط می‌خواهد پروژه متوقف نشود.

حالا چند ماه بعد از خودتان بپرسید:

·         اگر امروز بخواهیم دقیقاً بفهمیم آن پیمانکار در آن چند ساعت چه کارهایی انجام داده، آیا پاسخ روشنی داریم؟

·         آیا می‌دانیم فقط به همان بخشی که قرار بود دسترسی داشته، وارد شده است؟

·         آیا مطمئن هستیم هیچ دسترسی اضافه‌ای باقی نمانده است؟

در بسیاری از سازمان‌ها، پاسخ این سؤال‌ها «نه» است.

و نکته جالب اینجاست که این موضوع معمولاً به دلیل ضعف کارکنان یا بی‌توجهی مدیران نیست. بلکه حاصل سال‌ها عادت است. ما یاد گرفته‌ایم برای حل هر مسئله، ابزار جدیدی اضافه کنیم؛ یک VPN، یک سامانه احراز هویت، یک ابزار ثبت رویداد، یک راهکار کنترل دسترسی. هر کدام بخشی از مشکل را حل می‌کنند، اما تصویر کلی همچنان ناقص می‌ماند.

در تمام سال‌هایی که در حوزه امنیت و زیرساخت فعالیت کرده‌ام، کم‌کم به این نتیجه رسیدم که شاید سؤال را اشتباه مطرح کرده‌ایم. سال‌ها از خودمان پرسیده‌ایم: چطور دسترسی را امن‌تر کنیم؟

اما شاید سؤال درست این باشد:

چطور تجربه دسترسی را از نو طراحی کنیم؟

وقتی یک کارمند وارد شرکت می‌شود، نباید درگیر فناوری شود. او فقط می‌خواهد کارش را انجام دهد. وقتی یک مدیر در سفر است، نمی‌خواهد نگران تنظیمات امنیتی باشد. وقتی یک پیمانکار برای انجام یک مأموریت مشخص دعوت می‌شود، نباید بیشتر از همان چیزی که لازم است ببیند.

امنیت زمانی موفق است که تقریباً دیده نشود؛ اما همیشه حضور داشته باشد.

این نگاه، نقطه آغاز مسیری بود که بعدها به شکل‌گیری پلتفرم دسترسی سدرا انجامید. نه با این هدف که محصول دیگری به بازار اضافه شود، بلکه با این ایده که شاید بتوان تجربه دسترسی به دارایی‌های سازمان را ساده‌تر، شفاف‌تر و قابل اعتمادتر کرد. امروز، هر بار که با مدیران سازمان‌ها صحبت می‌کنم، کمتر درباره فناوری حرف می‌زنیم و بیشتر درباره اعتماد صحبت می‌کنیم. اعتمادی که باعث می‌شود مدیر با خیال راحت دسترسی بدهد، کارمند بدون دردسر کارش را انجام دهد و سازمان بداند در هر لحظه چه کسی، برای چه کاری و در چه محدوده‌ای از دارایی‌هایش استفاده می‌کند.

شاید آینده امنیت، ساخت دیوارهای بلندتر نباشد؛ شاید آینده، ساختن سازمان‌هایی باشد که اعتماد را مدیریت می‌کنند، نه فقط دسترسی را.

 

ماهاحراز هویتامنیت اطلاعاتحساب کاربریحملات سایبری
۰
۰
hamid reza Nasr
hamid reza Nasr
شاید از این پست‌ها خوشتان بیاید