چگونه می‌توانیم مانع بروز تهدیدات داخلی شویم؟

کارکنانی که در یک شرکت یا سازمان مشغول به کار هستند، در یک روز کاری با انواع مختلفی از داده‌های حساس و محرمانه سر و کار دارند. گاهی ممکن است این کارکنان در زمان ترک محل کار یک سری اطلاعات بعضاً محرمانه را به خارج از سازمان منتقل کنند.

انتقال داده‌های حساس به خارج از سازمان، کارفرمایان را در معرض تهدید بزرگی قرار می‌دهد که نقص داده‌ای اصلی‌ترین مشکلی است که این افراد با آن روبه‌رو هستند. انتقال داده‌ها به خارج از سازمان و افشا یا به سرقت رفتن این اطلاعات به‌واسطه عدم رعایت اقدامات احتیاطی، سازمان‌ها و کارفرمایان را در معرض چالش‌های جدی قرار می‌دهد. در ساده‌ترین شکل، اعتبار سازمان ممکن است به زیر سؤال برود و در موارد جدی‌تر مشکلات حقوقی یا حتی ورشکستی را برای سازمان‌ها به همراه می‌آورد. آمارها نشان می‌دهد، اکثر کارفرمایان برای مقابله با حوادثی همچون به سرقت رفتن داده‌های سازمانی و پیاده‌سازی خط‌ مشی‌هایی که باعث کم کردن مخاطرات امنیتی شود، نه تنها آمادگی کافی را ندارند، بلکه هیچ‌گونه چاره‌اندیشی نکرده‌اند. با وجود این، کارفرمایان این شانس را دارند تا با اتخاذ تصمیمات مهم از سازمان خود در برابر این تهدیدات محافظت کنند. هرچند این افراد هیچ‌گاه نمی‌توانند مخاطرات امنیتی را به‌طور کامل از میان ببرند، اما با رعایت نکاتی مهم قادر هستند آن‌ها را به حداقل برسانند و مانع از آن شوند تا اطلاعات حساسی که در اختیار کارمندان قرار دارد، به‌سادگی به خارج از سازمان منتقل شود. پژوهشی که از سوی مؤسسه Osterman Research و با حمایت مالی Archive360  انجام شده است، به ما راهکارهایی را نشان می‌دهد تا بتوانیم این تهدیدات احتمالی را کم‌اثر یا در بعضی موارد بی‌اثر کنیم.

رمزنگاری

سازمان‌هایی که رمزنگاری را به‌طور کامل پیاده‌سازی نکرده‌اند یا به‌صورت محدود از رمزنگاری استفاده می‌کنند، باید از این موضوع اطلاع داشته باشند که هکرها در نخستین گام به سراغ این سازمان‌ها و بخش‌هایی می‌آیند که داده‌های آن‌ها به‌آسانی در دسترس است. اطلاعات حساس و محرمانه و دستگاه‌هایی که برای پردازش این اطلاعات مورد استفاده قرار می‌گیرند، از جمله بخش‌هایی هستند که به حفاظت نیاز دارند. تصمیم‌گیران ارشد سازمانی در وهله نخست باید به شناسایی ارتباطات مهم بپردازند و محتوا و اسنادی که در ارتباط با تعامل سازمان با شرکای تجاری است را مورد بررسی قرار دهند و اگر تاکنون اطلاعات خود را به لحاظ درجه محرمانگی طبقه‌بندی نکرده‌اند، در اسرع وقت این ‌کار را انجام دهند و برای هر کارمندی سطح دسترسی مشخص تعیین کنند. به‌طور مثال، فایل‌هایی که در برگیرنده اطلاعات حساسی همچون پیش‌بینی‌های مالی، پیش‌نویس‌های استراتژی سازمانی، مناقصه‌ها، اطلاعات تجاری، پرونده کارمندان، اطلاعات شرکا یا مشتریان مالی سازمان‌ها هستند، جزء اطلاعات محرمانه قلمداد می‌شوند.

اطلاعاتی از این دست در صورت افشا شدن شرکت‌ها را در معرض تهدید بزرگی قرار می‌دهند. ساده‌ترین راهکاری که برای حافظت از این اطلاعات در اختیار سازمان‌ها قرار دارد، این است که در ابتدا سطح دسترسی به این اطلاعات را محدود سازند و در ادامه از الگوریتم‌های رمزنگار قوی برای محافظت از داده‌ها استفاده کنند. رمزنگاری فرآیندی است که مانع از آن می‌شود تا افراد غیرمجاز به داده‌های ما در سرویس‌های پست الکترونیک، برنامه‌های پیام‌رسان همچون واتس‌آپ و جزییات بانکی دست پیدا کنند. رمزنگاری با ایجاد یک مکانیسم ارتباطی ایمن به کاربران اجازه می‌دهد اطلاعات خود را به شیوه ایمنی مبادله کنند. به این ترتیب، دو طرف ارتباط قادر هستند فارغ از هرگونه نگرانی از بابت استراق سمع اطلاعات از سوی فرد سومی، اطلاعات خود را خواه کوتاه یا بلند برای یکدیگر ارسال کنند. زمانی که داده‌ها رمزنگاری شدند، تنها فرستنده و گیرنده با استفاده از کلیدی که در اختیار دارند، قادر به رمزگشایی اطلاعات هستند. این کلید به‌منظور تبدیل داده‌های غیر قابل فهم به داده‌های قابل فهم انسانی مورد استفاده قرار می‌گیرد.

مدیریت دستگاه‌های همراه

با توجه به افزایش ضریب نفوذ تلفن همراه در میان آحاد جامعه و شکل‌گیری مفهومی به‌نام حمل دستگاه‌های شخصی به محل کار و تحصیل (BYOD سرنام Bring Your Own Device)، شرکت‌های بزرگ به‌دنبال راهکاری بودند تا بتوانند فرآیند جداسازی اطلاعات سازمانی و نظارت بر عملکرد کارکنان خود را به‌شکل دقیق به مرحله اجرا درآورند. بر همین اساس، شرکت‌های فعال در حوزه امنیت روی فناوری ویژه‌ای موسوم به سامانه مدیریت دستگاه‌های همراه (MDM سرنام Mobile Device Management) سرمایه‌گذاری کلانی کردند. فناوری مدیریت دستگاه‌های همراه این پتانسیل را در اختیار شرکت‌ها قرار می‌دهد تا بدون آنکه محدودیتی در قبال ورود دستگاه‌های همراه به درون شرکت را به مرحله اجرا درآورند، از مزایای بالقوه این دستگاه‌ها نهایت استفاده را ببرند.

این فناوری به شرکت‌ها اجازه می‌دهد از داده‌های خود روی دستگاه‌های همراه محافظت کنند و به مدیران اجازه می‌دهد بر محتوایی که روی دستگاه‌های همراه قرار می‌گیرد نظارت کنند. داده‌هایی که روی دستگاه‌ها قرار می‌گیرند را کپسوله یا از راه دور آن‌ها را حذف کنند. در حالی که کارمندان پیش از ترک محل کار می‌توانند داده‌های برجای مانده روی دستگاه‌های همراه خود را پاک کنند، اما راه ‌حل پیشنهادی MDM به مدیران سازمان‌ها اطمینان می‌دهد کارمندان در زمان ترک محل کار خود به داده‌هایی که ممکن است روی دستگاه‌‌های همراه آن‌ها قرار داشته باشد، دسترسی نخواهند داشت.

نظارت بر محتوا و فعالیت‌های کارمندان

فناوری مهم دیگری که به شما کمک می‌کند مانع خروج اطلاعات توسط کارمندان شوید، روی فعالیت‌های کارمندان و نحوه دستیابی آن‌ها به محتوای سازمانی نظارت دارد. برای این منظور، طیف گسترده‌ای از قابلیت‌ها و ابزارهای نظارتی در اختیار شما قرار دارد که به شما اجازه می‌دهد بر فعالیت‌های مختلفی همچون ایمیل‌ها، ترافیک وب و سایت‌هایی که کارکنان مورد بازدید قرار می‌دهند نظارت داشته باشید. این ابزارهای نظارتی به شما اجازه می‌دهند تمام فعالیت‌های کارکنان همچون پیام‌ها و پست‌هایی که در شبکه‌های اجتماعی منتشر می‌کنند، فایل‌هایی که برای ورود مورد استفاده قرار داده‌اند، نوع و تعداد کلیدهایی که برای ورود به سیستم فشار داده‌اند را رصد و حتی به‌صورت دوره‌ای اسکرین ‌شات‌هایی را از صفحه ‌نمایش آن‌ها ضبط کنید.

این ابزارها به دو شکل به سازمان‌ها و مدیران کمک می‌کند. ابتدا اجازه می‌دهد هرگونه فعالیتی که کارمندان انجام می‌دهند را به‌دقت درک کنند و مطلع شوند در حال حاضر مشغول چه کاری هستند و دوم مانع از آن می‌شوند تا کارمندان در محل کار خود مرتکب اعمال ناشایستی شوند، به‌واسطه آنکه می‌دانند همه فعالیت‌هایی که از آن‌ها سر می‌زند به‌دقت ردیابی و ضبط می‌شود. (ما در شماره فروردین ماه ۱۳۹۶ مجله شبکه تعدادی از این ابزارها را مورد بررسی قرار دادیم.)

پیاده‌سازی DLP یا فناوری تحلیل فایل‌ها

یکی دیگر از قابلیت‌های مفیدی که به شما در محافظت از اطلاعاتتان کمک می‌کند، به‌کارگیری فناوری پیشگیری از گم شدن داده‌ها (DLP سرنام Data Loss Prevention) است. همچنین، ابزارهای تحلیل فایل‌ها نیز در این زمینه کمک‌کننده هستند. ابزارهای DLP این توانایی را دارند تا محتوا را مورد نظارت قرار دهند و بر اساس مجموعه سیاست‌های از پیش تعیین شده مانع از انجام یک سری کارها شوند. به‌طور مثال، اگر کارمندی سعی کند اطلاعات حساس یا محرمانه‌ای را دانلود کند، در حالی که در شرایط عادی اجازه چنین کاری را ندارد یا اگر کارمندی بیش از اندازه مجازی که برای او مشخص شده اقدام به دانلود فایل‌ها کند، این درخواست برای یک مقام مسئول ارسال می‌شود تا موضوع را مورد پیگیری قرار دهد. فناوری تحلیل فایل‌ها به مدیران و دیگر افراد ذی‌نفع اجازه می‌دهد به‌منظور پیدا کردن داده‌های بدون ساختاری که ممکن است در هر بخشی از سازمان ذخیره‌ شده باشند، جست‌وجویی را انجام دهد و محتوای این فایل‌ها را تحلیل و قوانین نظارتی و حاکمیتی را در ارتباط با این گونه فایل‌ها تدوین و اطلاعاتی را از دل این داده‌های بدون ساختار استخراج کنند. ابزارهای تحلیل‌گر فایل این توانایی را دارند تا حجم انبوهی از اطلاعات را مورد جست‌وجو و تحلیل قرار دهند و به بازیابی اطلاعات ارزشمند بپردازند. [پیشنهاد ما به شما این است که در سال جدید موضوع داده‌های بدون ساختار را به‌طور جدی مورد توجه قرار دهید، به‌واسطه آنکه در سال جاری تمرکز هکرها روی داده‌های بدون ساختار است.]

راه‌‌حل‌هایی که مانع دانلود آفلاین فایل‌ها می‌شوند


فناوری مفید دیگری که در اختیار سازمان‌ها قرار دارد به‌شکل قابل توجهی مانع از آن می‌شود تا کارکنان قبل از خروج از سامانه‌های خود اطلاعات را روی رسانه‌های فیزیکی همچون دیسک‌های نوری، هارددیسک‌های قابل حمل یا حافظه‌های فلش کپی و از سازمان خارج کنند. بسته به نوع فناوری به کار رفته در این‌گونه ابزارها، آن‌ها بر مبنای سیاست‌های از پیش تعیین شده قادر هستند نیازهای قانونی کارکنان را تشخیص دهند و مانع از آن شوند تا کارهای دیگر را انجام دهند. همچنین، این توانایی را دارند تا به تعدادی از کارکنان اجازه انجام بعضی وظایف را بدهند، در حالی که مانع از انجام همین وظایف از سوی کارکنان دیگر شوند.

متمرکز کردن فرآیند ورود و گزارش‌گیری


قابلیت مهم دیگری که سازمان‌ها باید به‌دنبال پیاده‌سازی آن باشند، متمرکزسازی ورود و گزارش‌گیری از فعالیت‌های کارکنان است. این رویکرد به مدیران اجازه می‌دهد تا اطلاع پیدا کنند چه فایل‌هایی توسط کارکنان مورد استفاده قرار می‌گیرد و مهم‌تر اینکه چه کسی از فایل‌ها استفاده می‌کند و این دستیابی چه زمانی به‌ وقوع می‌پیوندد و کارکنان از چه دستگاهی برای دستیابی به اطلاعات استفاده می‌کنند. متمرکز کردن فرآیند‌های لاگین و گزارش‌گیری نه فقط به متخصصان اجازه می‌دهد به‌شکل دقیق و قابل استنادی به تحلیل و ردیابی فایل‌ها و اشخاصی بپردازند که فایل‌ها را کپی کرده‌اند، بلکه به کارکنان نیز این موضوع را اعلام می‌دارد که تمام فعالیت‌های آن‌ها تحت نظر قرار دارد و مانع از آن می‌شود تا کارکنان رفتارهای نامناسبی از خود نشان دهند.

جایگزین کردن راه‌‌حل‌های BYOD با راهکار جامع مدیریتی

‏‏BYOD یکی از واقعیت‌های ملموس زندگی و دنیای تجارت است. بسیاری از سازمان‌ها آن ‌را قبول کرده، در آغوش گرفته یا در برابر آن تسلیم شده‌اند. این واقعیت به ما اعلام می‌دارد کارمندان یک شرکت از دستگاه‌های همراه، برنامه‌های کاربردی و ابزارهای خود برای دستیابی و پردازش اطلاعات سازمانی استفاده می‌کنند. در دنیای امروزی کارکنان مسئول دستگاه‌هایی هستند که هر روزه از آن‌ها استفاده می‌کنند. مسئولیت اولیه کارکنان یک سازمان کنترل داده‌هایی است که با استفاده از این ابزارها پردازش می‌شوند. اما به‌کارگیری وسایل شخصی به‌لحاظ انطباقی، ملاحظات حقوقی، به‌کارگیری مکانیسم‌های حفاظتی و مدیریت داده‌ها باعث بروز مشکلاتی برای سازمان‌ها می‌شود. دپارتمان‌های فناوری اطلاعات بهتر است این موضوع را مشخص کنند که بر مبنای چه دیدگاهی کارکنان ترجیح می‌دهند به‌جای بهره‌گیری از قابلیت‌های مدیریت فناوری اطلاعات از ابزارهای BYO استفاده کنند. پس از ریشه‌یابی این موضوع جایگزین‌های مناسب باید در اختیار کارکنان قرار گیرد تا چرخه فعالیت‌ها به حالت اول بازگردد و فرآیند مدیریت داده‌ها با استفاده از ابزارهای سازمانی انجام شود. برای آنکه راه‌ حل پیشنهادی کارکنان مورد قبول قرار گیرد، ابزارهایی باید به آن‌ها پیشنهاد شود که در وهله نخست به‌کارگیری آن‌ها ساده باشد و در وهله دوم از رابط کاربری خوبی برخوردار باشند. توجه به این دو نکته نه تنها باعث می‌شود کارمندان از ابزارها استقبال کنند، بلکه به سازمان‌ها اجازه می‌دهد مکانی که داده‌ها روی آن‌ها ذخیره‌ می‌شوند را کنترل کنند.

فعالیت‌های مرتبط با حساب کاربری


پژوهش انجام شده از سوی SailPoint نشان می‌دهد ۶۶ درصد کارکنان از طریق داده‌هایی که روی زیرساخت‌های ابری ذخیره‌سازی شده‌اند، به‌منظور دستیابی به داده‌های سازمانی استفاده می‌کنند. آمارها نشان می‌دهند از هر پنج کارمندی که شرکت مطبوع خود را ترک می‌کند، یک نفر از آن‌ها داده‌های سازمانی را برای اهداف خاصی همچون به‌اشتراک‌گذاری با دنیای خارج از سازمان ذخیره‌سازی می‌کند.

برای آنکه با چنین مشکلی روبه‌رو نشوید، بهتر است برای کارمندان خود آزمون‌های امنیتی دوره‌ای ترتیب دهید. زمانی که کارمندی دیگر عضو شرکت شما نیست، دسترسی او به شبکه شرکت را غیرفعال کنید. دستیابی به حساب کاربری یا معادل آن روی اکتیودایرکتوری را برای این افراد غیرفعال کنید. گذرواژه همه برنامه‌های کاربردی، فضاهای ذخیره‌سازی ابری و… شرکت را به‌طور متناوب تغییر دهید. حساب‌های ایمیل صوتی این کارکنان را حذف کنید یا گذرواژه ایمیل‌ صوتی آن‌ها را تغییر دهید. اطمینان حاصل کنید زمانی که کارمندی شرکت را ترک می‌کند نشانی ایمیل سازمانی او در اختیار کارمند جایگزین یا مقام مسئول قرار خواهد گرفت.

پشتیبان‌گیری، آرشیو کردن و قابلیت‌های مدیریت بر محتوا


سازمان‌ها برای کم کردن هزینه مربوط به پشتیبان‌گیری و به حداقل رساندن این هزینه‌ها از رویکردهای ابرمحور استفاده می‌کنند. به‌کارگیری سیاست‌های مربوط به استقرار و بازیابی باعث می‌شود تا اگر کارمندان به‌طور اشتباه فایلی را خراب یا پاک کردند، بازگرداندن فایل‌ها به حالت اولیه به‌سادگی امکان‌پذیر باشد. پیاده‌سازی مکانیسم‌های پشتیبان‌گیری خودکار مانع از آن می‌شود تا این وظیفه مهم به دست فراموشی سپرده شود. همچنین، سعی کنید از ابزارهای مدیریت محتوای سازمانی (ECM سرنام Enterprise Content Management) استفاده کنید. این ابزارها مجموعه فرآیندها و راه‌ حل‌هایی را به‌منظور مدیریت، آرشیو و تحویل محتوای غیر ساخت‌یافته، نیمه ساخت‌یافته و اطلاعات ساخت‌یافته برای هر فرآیند کسب ‌و کار و منحصر به فردی ارائه می‌کنند.

این ابزارها به کارکنان اجازه می‌دهند به‌شکل ساده‌ای به اسناد دست یابند و تغییرات مورد نیاز خود را روی آن‌ها اعمال کنند. این کار در شرایطی انجام می‌شود که همه چیز تحت کنترل باشد و برای انجام هرگونه عملی مجوز مربوط به آن تخصیص داده شده و تمام تعاملات با فایل‌ها نیز ضبط می‌شود. این ابزارها مانع به سرقت رفتن اطلاعات از سوی کارمندان متخلف می‌شوند، به‌واسطه آنکه همواره مقام مسئولی وجود دارد که این فعالیت‌ها را رصد و اطلاع پیدا می‌کند فرآیند همگام‌سازی فایل‌ها به چه شکلی انجام شده است.

مدیریت بر فعالیت‌ها


ارائه آموزش خوب به مدیران باعث می‌شود آن‌ها از بهترین رویکردهای مدیریتی در قبال کارکنان زیردست خود استفاده و مشکلات را پیش از آنکه به وجود آیند شناسایی کنند و به‌خوبی با کارکنان به تعامل بپردازند. ارائه آموزش خوب به کارکنان باعث می‌شود آن‌ها از بهترین رویکردها برای محافظت از داده‌ها استفاده و از ابزارهای مورد تأیید شرکت استفاده کنند و به سیاست‌های مدون شرکت پایبند باشند. بهتر است راه‌ حل‌های مناسبی را تدوین کنید تا مسئول منابع انسانی، مدیران ارشد و دیگر افراد مرتبط به‌درستی بتوانند بر رفتار مدیران سطوح پایین نظارت کنند و تشخیص دهند چه مدیری به آموزش‌های بیشتر برای برقراری ارتباط درست با کارکنان خود نیاز دارد، به‌گونه‌ای که رفتاری حرفه‌ای را در برخورد با کارکنان از خود نشان دهد.