تشریح امنیت:
متن زیر یک تست سریع و آموزنده می‌باشد که به برخی از سئوالات شما در زمینه امنیت اطلاعات پاسخ می‌دهد. همان‌طور که خواهید دید به صورت پرسش و پاسخ بیان شده است.
1-اگر امنیت اطلاعات را افزایش دهیم، کارآیی کاهش پیدا میکند. درست یا غلط؟
درست- امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممکن است به روالهای مؤثر اضافی از جمله «تکنولوژی» و «سرمایه‌گذاری» نیاز داشته باشد.
افزایش امنیت اطلاعات ممکن است پیشرفت جریان کار را با کندی مواجهه کند و این امر ممکن است در کارایی افرادو شبکه شما نمود پیدا کند. امینت اطلاعات ممکن است به معنی قفل‌کردن ایستگاههای کاری و محدود‌کردن دسترسی به اتاقهای کامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی که به مقوله امنیت اطلاعات ی‌پردازد به صورت اندیشمندانه‌ای بین خطرات (Risks) و کارآیی توازن برقرار کند.
2-حملاتی که توسط نفوذگران خارجی انجام می‌گیرد نسبت به حملات کارمندان داخلی هزینه برتر و خسارت‌بارتر می‌باشد. درست یا غلط؟
غلط- حملات کارمندان داخلی نوعا بسیار خسارت‌بارتر از حملات خارجی گزارش شده است. بر طبق آمارهای انسیتو امنیت کامپیوتر (Computer Security Inistitu) میانگین حملات خارجی 57000 دلار و میانگین هزینه حملات داخلی 2700000 دلار برآورد شده است.
کارمندان داخلی اطلاعات محرمانه بیشتری درباره سیستم‌های هدف در دسترس دارند از آن جمله می‌توان اطلاعاتی درباره فعالیت‌های دیده‌بانی (Monitoring) را نام برد ( به خصوص نقاط ضعف این فعالیتها)
3-پیکربندی یک دیوار آتش (Firewall) به صورت کامل ما را در مقابل حملات خارجی ایمن می‌کند. درست یا غلط؟
غلط- آمارهای انسیتو امنیت کامپیوتر نشان می‌دهد که 3/1 شرکتهایی که از دیواره آتش استفاده کرده‌اند هنوز از دست نفوذگران بداندیش در امان نمانده اند. اولین کارکرد دیواره آتش‌بستن پورتهای مشخص می‌باشد به همین دلیل در بعضی از مشاغل نیاز است که بعضی از پورتها باز باشد. هر پورت باز می‌تواند یک خطری را برای سازمان ایجاد کند و یک معبر برای شبکه شما باشد.
یک دیواره آتش به تنهایی نمی‌تواند یک راه‌حل جامع باشد و باید از آن به همراه سایر تکنولوژی‌های روشهای ترکیبی استفاده کرد.
4-امنیت اطلاعات به عنوان یک مبحث تکنولوژیکی مطرح است درست یا غلط؟
غلط- امنیت اطلاعات یک پی‌آمدتجاری- فرهنگی می باشد. یک استراتژی جامع امنیتی اطلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری، کنترل دسترسی‌های فیزیکی، کنترل دسترسی‌های تکنیکی. این عناصر- اگر به صورت مناسبی اجرا شود- مجموعاً یک فرهنگ امنیتی ایجا می‌کند. بیشتر متخصصین امنیتی معتقدند که تکنولوژی‌های امنیتی فقط کمتر از 25 درصد مجموعه امنیت را شامل می‌شوند. حال آنکه در میان درصد باقیمانده آنچه که بیشتر از همه نمود دارد، «افراد» می‌باشند. (کاربر انتهایی) افراد یکی از ضعیف‌ترین حلقه‌ها، در هر برنامه امنیت اطلاعات می‌باشند.
5-هرگاه که کارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنیتی از بین می‌شوند. درست یا غلط؟
غلط- به طور واضح غلط است. برای شهادت غلط‌بودن این موضوع می‌توان به شرکت Meltdown اشاره کرد که لشکری از کارمندان ناراضی اما آشنا به سرقتهای کامپیوتری برای خود ایجاد کرده بود. بر طبق گفته‌های FBI حجم فعالیتهای خرابکارانه از کارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد کرد.
6-نرم افزارهای بدون کسب مجوز (Unauthorized Software) یکی از عمومی‌ترین رخنه‌های امنیتی کاربران داخلی می‌باشد. درست یا غلط؟
درست- رخنه‌ها (Breaches) می‌تواند بدون ضرر به نظر بیاید، مانند Screen Saverهای دریافت‌شده از اینترنت یا بازی‌ها و…
نتیجه این برنامه‌ها، انتقال ویروس‌ها، و… می‌باشد. اگرچه رخنه‌ها می‌تواند خطرناکتر از این باشد. ایجاد یا نصب یک برنامه کنترل از راه دور که می‌تواند یک در پشتی (Backdoor) قابل سوء‌استفاده‌ای را در یک شبکه ایجاد کند که به وسیله دیواره آتش محافظت نمی‌شود.
بر طبق تحقیقاتی که توسط ICSA. Net و Global Integrity انجام شده است. بیش از 78 درصد گزارش‌ها مربوط به ایجاد رخنه در نرم‌افزار دریافتی از افراد یا سایتهای ناشناخته است.
7-خسارتهای ناشی از سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می‌باشد. درست یا غلط؟
درست- درست است که خطرهای مالی در سایتهای فقط اطلاعاتی کمتر از سایتهای تجاری می‌باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می‌کند. سازمانها نیازمند این می‌باشند که مداوم سایت‌های اطلاع‌رسانی را بازبینی کنند تا به تهدیدهای احتمالی شبکه‌های خود خیلی سریع پی ببرند و در مقابل آنها واکنش نشان دهند تا از خسارتهایی که ممکن است شهرت آنها را بر باد دهد جلوگیری کنند.
8-رمزهای عبور می‌تواند جلو کسانی که دسترسی فیزیکی به شبکه را دارند، بگیرد. درست یا غلط؟
غلط- کلمات رمز نوعا خیلی کم می‌توانند جلو کارمندان داخلی و خبره را بگیرند.
9-هیچکسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبکه. غلط یا درست؟
غلط- هیچ‌کس در سازمان نباید به کلمات رمز کاربران دسترسی داشته باشد،حتی مدیر امنیتی شبکه! رمزهای عبور باید به صورت رمز شده (Encrypted) ذخیره شوند. برای کاربران جدید ابتدا با یک رمز عبور ساخته شده اجازه ورود به شبکه داده می‌شود و پس از آن باید روالی قرار داد تا کاربران بتوانند در هر زمانی کلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی که کاربران رمزهای عبور خود را فراموش کرده‌اند در نظر گرفت.
نقش یک «اساس‌نامه امنیتی» در سازمان:
در اغلب موارد، تشکیلات اقتصادی همچون شبکه‌های کامپیوتری در برابر تغییرات فشرده و ناگهانی با ضعف و شکست مواجهه می‌شدند. یک پروژه ابتدایی امنیتی نیز از این مقوله مستثنا نیست. هنگانی که من در شرکت «مارین» بودم آنجا صحبت از هفت P بود:
Proper(صحت) ، )Priorقبل از هر چی)، )Planning طراحی)، )Preventsجلوگیری کردن از)، )زیادی)Pretty،( یکنواختی) Poor، Performance (عملکرد) . آنها یک شبکه را در حالت صحیحی نگه می‌داشتند. شما باید قبل از پیاده‌سازی هر چیزی، ابتدا باید طرح و برنامه داشته باشید و سپس ابزار لازم را مهیا سازید. همیشه این ضرب‌المثل را به خاطر داشته باشید که «یک کیلو پیشگیری بهتر از یک خروار علاج است». امنیت شما بخشی از پیشگیری شما است. دلیل اینکه بیشتر تشکیلات اقتصادی با شکست مواجه می‌شوند به این دلیل است که آنها هدف اصلی از این تشکیلات را برای خود مشخص نمی‌کنند و نمی‌دانند که باید در آینده نیز فعالیت خود را ادامه دهند! برای مثال، این درست نیست که به سادگی بگوییم برای امنیت بالاتر شبکه خود نیاز به یک دیواره آتش داریم. شما باید به طور دقیقی مشخص کنید که «چه چیزی» را «چگونه» می‌خواهید امن کنید. چه نوع از ################ را می‌خواهید شما پیاده‌سازی کنید؟ چه مقدار دسترسی را می‌خواهید به کاربران خود اهداء کنید؟ فقط با پاسخ‌دادن به این سئوالات و سئوال‌های دیگر است که می‌توانید به طور دقیقی مشخص کنید که چه لازم دارید و چه چیزی را باید خریداری کنید و به طور جزیی‌تر برای دیواره آتش خود چه سیاستی را در پیش بگیرید تا آنچه را که در نظر دارید را پیاده‌سازی کنید.
هدف اساس‌نامه امنیتی:
به طور کلی، اساس‌نامه امنیتی برای این وجود دارد که هر کسی به طور دقیق و از قبل تعریف شده بداند که در کار با منابع سازمان و تشکیلات چه کار انجام دهد و روی آنها نیز تعهد لازم را داشته باشد. اساس‌نامه امنیتی نیاز دارد که مشخص کند شما دارای چه استانداردهای امنیتی هستید. سیاست‌های امنیتی شماست که حکم می‌دهد آیا باید این اتفاق بیفتد یا خیر. اساس‌نامه امنیتی شما باید مشخص کند که اهداف امنیتی شما چه هستند.
آیا سازمان شما سعی می‌کند که فشارهای ناشی از ویروس‌ها و کرم‌ها را کاهش‌ دهد؟ آیا آنها سعی می‌کنند که خطرات دسترسی‌های بیرونی را محدود کنند؟ نباید این وضعیت‌ها را فراموش کرد و باید برای آنها چاره‌ای اندیشید. حتماً آنها را بنویسید و تعریف کنید. حتما بخشی را در مجموعه خود در نظر بگیرید و به همراه افرادی که مراقب باشند تا قوانین امنیتی رعایت شوند و در صورتی که گروهی از افراد این قوانین را در نظر نگرفتند با آنها برخورد مناسب صورت گیرد. حتما سندی را نیز تهیه کنید تا به کاربران بگوید که «چرا شما باید کارها را انجام دهید و چرا ما آنها را از شما می‌خواهیم».
آخرین نکته، آنچه که باعث می‌شود اساس‌نامه امنیتی شما پابرجا بماند و یا شانس خوبی برای اجرا شدن داشته باشد؛ این است که از طرف رده‌های مدیریتی بالاتر سازمان پشتیبانی شود.
نتیجه گیری:
در دنیای سیستمهای اطلاعاتی حسابداری در محیطهای رایانه ای که هر لحظه در حال تغییر و تحول است و هر روز به تبع پیشرفت تکنولوژی در حال تکامل است , و متاسفانه به همان میزان , و حتی بیشتر, تهدیدات در این حوزه به شدت, هم به لحاظ کیفی و هم به لحاظ کمی در حال افزایش است
در نتیجه بهتر است موارد زیر در جهت به حداقل رساندن تهدیدات امنیتی در سازمانها اجرا شود:
1-بررسی کنترلهای داخلی سازمان بطور ادواری به منظور اطمینان از موثر بودن آنها در پیشگیری از وقوع تقلب .
2-به منظور کشف تقلب باید کنترلهای جدیدی طراحی و مستقر شود.
3-باید به کارکنان درباره مباحث اخلاقی امنیتی و تقلب اموزشهای, لازم داده شود.
4-مشاوره با مهندسین و طراحان سیستم ها به گونه ای که همزمان با پیشرفت تکنولوژی ارزیابیهای پیشرفته ای هم به عمل اید.
5-اموزش مدیریت امنیت سیستم چرا که مدیریت رده بالا ستاده های سیستم را به کار می گیرد و نمی تواند از امنیت روزانه سیستم اگاهی پیدا کند.
6-با ذخیره سازی مرتب اطلاعات از طریق نوارهای مغناطیسی و ابزارهای الکترونیکی و همچنین افزایش سطح امنیت مکانهائی که در انها سرورها قرار دارند و... میتوان خطرات فیزیکی و طبیعی را به حد اقل رساند.
7-با ایجاد و تهیه یک اساسنامه امنیتی در سازمان میتوان راهبرد امنیتی را هدفمند و خسارات امنیتی را به حداقل رساند.
__________________