طبقه بندی اطلاعات یک نیاز اساسی برای امنیت اطلاعات است، اما چه چیزی این عدم موفقیت را توضیح میدهد؟؟
اول، برخی از متخصصان امنیتی بر طرحی اصرار دارند که از نظر تئوری کامل است، اما اجرای آن در همه سازمانها بجز منظم ترین سازمانها دشوار است.
مثال: اگر بیشتر کاربران از اقدامات اساسی امنیتی بی اطلاع باشند، اجرای موفقیت آمیز یک طرح طبقه بندی اطلاعات چالش برانگیز خواهد بود. برنامه طبقه بندی اطلاعات درصورتی موثر خواهد بود که کارمندان بخواهند اطلاعات را بدرستی طبقه بندی کرده و آنرا حفظ کنند. اگر طرح بیش از حد پیچیده یا محدود کننده باشد، بدلیل عدم استفاده از آن شکست میخورد.
یک سازمان با استفاده از یک طرح طبقه بندی اطلاعات ساده که بصورت عملی- حتی از نظر تئوریک ناقص باشد- بهتر از یک طرح کامل که فقط به نام وجود دارد، عمل خواهد کرد.
دوم، توسعه و اجرای طبقه بندی اطلاعات میتواند کاملاً گران باشد.
هزینه ها دو برابر هزینه توسعه طرح طبقه بندی اطلاعات با کنترلهای مناسب بر اساس هر کلاس داده و سپس آموزش کارکنان برای شناسایی و طبقه بندی اطلاعات است. برای سازمانهای مراقبتهای بهداشتی و خدمات مالی که طبق قانون، طبقه بندی اطلاعات لازم است، هزینه از نظر انطباق با مقررات منطقی است. اما برای سازمانهای غیرتنظیمی، درصورتیكه مستقیماً منجر به درآمدزایی نشوند، توجیه آن برای مدیریت دشوار است.
در بسیاری از شرکتها، برنامه امنیتی از نفوذ سیاسی لازم برای جلب مقبولیت برای چنین ابتکار جاه طلبانه ای برخوردار نیست. این نوع تلاش با الزام به تغییر در روش انجام کار، بر کل سازمان تأثیر میگذارد.
با توجه به اینکه این چالشها اکنون روی میز است، بیایید برخی از رویکردهای عملی برای اجرای طرح طبقه بندی اطلاعات را بررسی کنیم:
صرف نظر از رویکرد انتخاب شده، مهم است که ذینفعان اصلی، بخشی از استراتژی و طراحی طبقه بندی اطلاعات باشند. افرادی که احساس میکنند بخشی از استراتژی هستند، به احتمال زیاد در حین اجرا از آن حمایت میکنند.
تعیین اینکه چه نوع داده های حساسی در سازمان شما وجود دارد، میتواند چالشهایی بوجود آورد. تلاشی است که باید حول فرآیندهای کسب و کار سازماندهی شود و صاحبان فرآیند آن را هدایت کنند. ردیابی جریان داده، بینشی را در مورد اینکه چه داده هایی و چگونه باید محافظت شوند، فراهم میکند.
سوالات زیر را در نظر بگیرید:
پس از ایجاد انواع اطلاعات در سازمان، مهم است که همه مکانهایی را که اطلاعات بصورت الکترونیکی ذخیره میشوند فهرست کنید. جریان اطلاعات به داخل و خارج از سازمان یک نکته اساسی است.
ابزارهای کشف داده میتوانند به تولید موجودی از اطلاعات غیرساختاری کمک کرده و به شما کمک کنند بدون در نظر گرفتن قالب و مکان، دقیقاً محل ذخیره اطلاعات شرکت خود را درک کنید. این ابزارها همچنین با ارائه بینش درباره کاربرانی که اطلاعات را مدیریت میکنند، به رفع مشکلات شناسایی مالکان داده کمک میکنند.
در تلاشهای خود برای کشف، میتوانید کلمات کلیدی یا انواع خاص یا قالبهای داده مانند شماره پرونده پزشکی، شماره های تأمین اجتماعی یا شماره کارت اعتباری را در آن بگنجانید.
فقط پس از دانستن اینکه اطلاعات شما در کجا ذخیره شده اند، میتوانید آنها را شناسایی کرده و سپس طبقه بندی کنید تا بطور مناسب محافظت شود. سیستمهای طبقه بندی قوی قابلیتهای؛ کاربر محور، پیشنهادی سیستم و خودکار را ارائه میدهند:
برای اطمینان از وجود راه حلهای مناسب، اقدامات اساسی امنیت سایبری را تعیین کرده و کنترلهای مبتنی بر سیاست را برای هر برچسب طبقه بندی اطلاعات تعریف کنید. داده های با ریسک بالا به سطح محافظت پیشرفته تری نیاز دارند در حالیکه داده های کم خطر به محافظت کمتری نیاز دارند.
با درک محل استقرار اطلاعات و ارزش سازمانی آنها، میتوانید کنترلهای امنیتی مناسب را بر اساس خطرات مرتبط پیاده سازی کنید. فراداده طبقه بندی را میتوان با جلوگیری از سرقت اطلاعات (DLP)، رمزگذاری و سایر راه حلهای امنیتی برای تعیین حساسیت اطلاعات و نحوه محافظت از آنها، استفاده کرد.
برای نظارت و حفظ سیستم طبقه بندی اطلاعات سازمان، در صورت لزوم، بروزرسانی ها را انجام دهید. سیاستهای طبقه بندی باید پویا باشد. شما باید فرآیندی برای بررسی و بروزرسانی ایجاد کنید که شامل کاربران شود و اطمینان حاصل کنند که رویکرد شما پاسخگوی نیازهای متغیر تجارت است.
برای سازمانهایی که بنظر میرسد طبقه بندی داده ها یک هدف غیرقابل دسترسی است، سعی کنید شبکه ها را بجای داده ها طبقه بندی کنید. اگر یک شبکه حاوی داده های حساس باشد، آنرا بعنوان یک شبکه محرمانه یا حساس طبقه بندی میکند. سپس طبقه بندی شبکه نوع کنترلهای امنیتی را که شبکه باید داشته باشد الزام میکند.
برای مثال، شبکه ای که دسترسی به اطلاعات محرمانه را فراهم میکند ممکن است فایروال هایی را که از محیط محافظت میکنند و اتصال از طریق شبکه های دیگر و همچنین نظارت و ورود به سیستم گسترده تر را محدود میکند، محافظت کند.
طبقه بندی شبکه یک تمرین بی اهمیت نیست، اما اغلب آسانتر از اجرای یک طرح جامع طبقه بندی داده برای اطلاعاتی است که بصورت دیجیتالی در سازمانهای بزرگ ذخیره میشود.
همانطور که دیدیم، طبقه بندی داده ها یک نیاز اساسی برای امنیت اطلاعات و پیشگیری از نشت اطلاعات است و عواقب عدم اجرای کامل طرح طبقه بندی داده ها میتواند شدید باشد. با این وجود، بسیاری از سازمانها طبقه بندی اطلاعات را اجرا نمیکنند. بنابراین، مدیر ارشد امنیت اطلاعات باید بر اساس انتظارات واقع بینانه، در پیشنهاد و توسعه این طرح خردمندانه عمل کند.
در پایان، دستورالعملهای عملی ذکر شده در این مقاله سودآور خواهد بود، حتی اگر طرح ایده آل طبقه بندی اطلاعات بلافاصله قابل دستیابی نباشد.
از زمان ایجاد اطلاعات تا نابودی آنها، طبقه بندی اطلاعات میتواند به سازمان شما کمک کند تا از محافظت، ذخیره و مدیریت موثر آنها اطمینان حاصل کند. قرار دادن طبقه بندی اطلاعات در قلب استراتژی محافظت از داده ها به شما امکان میدهد خطرات مربوط به اطلاعات حساس را کاهش دهید، تصمیم گیری را افزایش داده و اثربخشی DLP، رمزگذاری و سایر کنترلهای امنیتی را افزایش دهید.
با ایجاد یک طرح طبقه بندی ساده، ارزیابی و مکان یابی جامع اطلاعات و پیاده سازی راه حلهای مناسب، سازمان شما میتواند اطمینان حاصل کند که اطلاعات حساس بطور مناسب اداره میشوند و تهدیدات مربوط به تجارت شما را کاهش میدهد.
