آیا سرویس‌دهندگان عامل ایجاد ریسک امنیتی هستند؟

با وجود اینکه استانداردهای امنیتی IT در بعضی از مراکز توسعه دور افتاده و برون مرزی به نظر ظاهری و در سطح پایین هستند، ولی یک سرویس دهنده outsourcing کانادایی می‌گوید، نباید شرکت‌های آمریکای شمالی را از سپردن کار به شرکت‌های معتبر در کانادا یا خارج از آن منصرف نمود، البته پس از وقتیکه آنها کارها و وظایف خود را انجام دادند. اخیرا مقامات امنیتی گفته‌اند که در حال تحقیق روی سرقت سورس کد گزارش شده در Jolly Technologies (مرکز توسعه در Mumbai هندوستان) می‌باشند.
Jolly، فروشنده نرم‌افزار چاپ و ایجاد کننده کارت شناسایی عکس‌ و برچسب واقع در سان کارلوس کالیفرنیا می‌باشد. مرکز Mumbai این شرکت از خط مشی امنیتی پیروی نمی‌کرد و این شرکت بیانیه‌ای را تابستان سال جاری منتشر کرده بود که نشان می‌داد یک کارمند کپی فایل‌های پست‌الکترونیکی حاوی کد مبدا و دیگر اطلاعات محرمانه را روی یک صندوق پست الکترونیکی شرکت یاهو منتقل کرده بود. بعضی از مشاوران امنیتی IT‌ اظهار داشتند که سرویس دهندگان در هند، چین و آرژانتین فاقد استانداردهای مخصوص امنیتی آمریکای شمالی هستند و از آنها پیروی نمی‌کنند. با وجود این، Kim Rowe، موسس شرکت Rowebots Research در اوتاوا که گروه محصولات نرم‌افزاری مشترک را توسعه داده واختصاصی می‌نماید، گفت که ریسک سرقت مالکیت معنوی (IP) فقط به یک منطقه محدود نمی‌شود. او افزود، در حقیقت هر بار شرکت‌ها بخواهند کارهای خود را به پیمانکاران بسپارند، با یک ریسک روبرو می‌شوند.
Rowe گفت، هر بار که شما مالکیت معنوی را از شرکت خود دور می‌کنید، خطر سرقت آن بدست یک کارمند و استفاده مجدد از آن در زمینه‌های مختلف وجود دارد. این فقط قسمتی از هزینه‌ای است که شما باید در تجارت متحمل شوید. او اشاره کرد که احتمال این خطر بسیار کم و ناچیز است ولی موارد مشابه زیادی طی ۱۵ تا ۲۰ سال گذشته در اخبار گزارش شده است. Rowebots که به مشتریان کانادایی خود، کارهایش را محول کرده است و دارای مشتریانی در آمریکا می‌باشد، اکنون چندمین طرح توسعه خود را به اوکراین واگذار می‌کند. Rowe گفت، او این محل را بخاطر استانداردهای توسعه آن و اعتبار کارمندانش و احترامی که به اطلاعات و حقوق بشر قائل هستند برگزیده است. او افزود، Rowebots باید جهت کاهش ریسک سرقت IP برای مشتریان خود، چندین مرحله را پشت سر بگذارد.
او گفت، کنترل‌های امنیتی برای همه افرادی که به اطلاعات یا کد دسترسی دارند، الزامی است و این کنترل باید در هر محلی که کارمندان سکونت دارند صورت گیرد. مقیاس ظاهری و باطنی این امنیت نیز مهم است. Rowe توضیح داد که در بعضی شرایط که Rowebots کار توسعه خود را به مکان دیگری محول می‌کند، مقیاس‌های امنیتی آن بسیار گسترده است. او گفت، بعضی از کارمندان توانایی و اجازه کپی هر مطلبی را روی کامپیوتر ندارند. همچنین هیچ درایو سی‌دی و یا فلاپی موجود نمی‌باشد. شبکه رمزگذاری شده‌ای که از یک کشور خارجی دریافت می‌شود در حال بررسی و آزمایش بوده و به هیچ طریق نمی‌توان به اطلاعات آن دسترسی پیدا کرد. گاهی ما یک قابلیت (بسیار محرمانه) class را معادل استانداردهای کانادایی قرار می‌دهیم. Sheena Woodhead، مشاور مدیریت در کالگری درباره راه‌حل‌های IT و سرویس‌دهندگان EDS کانادا گفت، شرکت او مسائل و موضوعات امنیتی و خصوصی را جدی گرفته و آنها را پیگیری می‌نماید. جنبه تخصصی محافظت از اطلاعات نیز به این صورت است که وقتی توسعه دهندگان روی یک پروژه کار می‌کنند، آنها فقط به کد مبدا یا اطلاعات مورد نیاز خود دسترسی دارند نه به همه کدها.
در حالیکه در Jolly، کارمند متهم توانسته بود فایل‌ها را به یک اکانت پستی وب ارسال نماید. Woodhead افزود، با وجود EDS شما نمی‌توانید از Yahoo یا Hotmail استفاده کنید. ما فایروال‌هایی داریم که امکان دسترسی کارمندان به چنین اکانت‌هایی را میسر نمی‌سازد. علاوه بر این، EDS دارای یک بانک اطلاعاتی آن‌لاین به نام Enterprise Security Information System است که شامل یکسری اسناد امنیتی، پروتکل‌ها، روش‌ها و فرآیندهایی است که کارمندان باید از آنها پیروی کنند.
او گفت، کنترل و حسابرسی بموقع ما جزیی از برنامه‌ (این سیستم) است و بسته به کاری که برای مشتری انجام می‌دهد، EDS باید حسابرسی‌های تخصصی خود را بدون ترتیب و به طور تصادفی انجام دهد و ما نیز ID های کارمندان را به طور اتفاقی و برای اطمینان از مجوز و دسترسی مناسب آنها بازیابی و کنترل می‌کنیم. تمام کارمندان EDS باید کد اجرا و راهنمای شرکت را هر سال مرور کرده و تایید نمایند و شرکت نیز نکات مهم امنیتی و خصوصی را به آنها گوشزد می‌نماید. EDS همچنین دارای یک توافق‌نامه داخلی شرکت درباره محافظت از اطلاعات و امور شخصی است که باید همه کارمندان آنرا امضا نمایند. Woodhead گفت، این یعنی پذیرفتن مجموعه قوانینی برای کنترل اطلاعات درون EDS. وی همچنین افزود این خط مشی یک محیط کاملا مناسب برای محافظت از اطلاعات خصوصی (و محرمانه) را فراهم می‌سازد و پیروی از قانون حفظ اسرار منحصر به بخش دولتی کانادا و PIPEDA یا Personal Information Protection and Electronic Documents Act را که بخش بخصوصی را در بر می‌گیرد یا حتی در مورد Alberta و برتیش کلمبیا، قانون حفظ اسرار بخش خصوصی ایالتی را تضمین می‌کند.

نویسنده: Patrica Pickett
مترجم: شراره حداد