۱۰ مشخصه یک طرح خوب امنیتی

متخصصان امور امنیتی كامپیوترها همواره توصیه‌ها و راهكار‌هایی را درباره ماهیت یك راهكار امنیتی مناسب و دلایل انعطاف‌پذیری و سازگاری آن ارائه می‌دهند، كه مرور دائمی آن‌ها، امنیت را در سطح بسیار بالا‌یی حفظ می‌كند.
این متخصصان بیشتر براین باورند كه قدم اول در دسترسی به اطلاعات همسان در یك بستر امنیتی قوی، گسترش یك طرح امنیتی است و هنگامی‌كه این طرح به اندازه كافی ساده شد، آن‌گاه برای ایجاد آن، به كمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند كه گام دوم، درك این موضوع است كه این طرح باید انعطاف‌پذیر و سازگار با برنامه‌هایی باشد كه بعدها به سیستم اضافه می‌شود.
كریستوفر فاكنر از دانشگاه دالاس تگزاس كه مدیر میزبانی وب، تخصیص فضا و روش‌های تلفیقی است می‌گوید: حسن یك طرح امنیتی، پویایی آن است. وی همچنین می‌گوید: شما نمی‌توانید این نقشه را یك‌روزه بسازید و بعد آن‌‌را به دست فراموشی بسپارید.
از آن جایی‌كه امنیت یك موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل كنند كه كاربران به امنیت ایجاد شده و سیاست‌های به‌كار‌رفته در آن تمایل نشان می‌دهند. فاكنر می‌گوید:"مردم چیزی را كه شما بررسی می‌كنید، انجام می‌دهند؛ نه چیزی را كه شما حدس می‌زنید. همیشه یادتان باشد كه ‌كارمندان شركت (از جمله كاركنان از راه دور) كه معمولا با سیستم كار می‌كنند، بزرگ‌ترین تهدید امنیتی هستند."
یك متخصص دیگر نیز تمركز بر یك برنامه جهت‌دار را در گسترش یك طرح، توصیه می‌كند. داگ كانریچ، مدیر روش‌های جهانی و مسئول خدمات امنیتی IBM توضیح می‌دهد: ایده مناسب برای یك طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است.
بنابراین این سوال مطرح می‌شود كه در یك نقشه امنیتی چه چیزهایی باید لحاظ شود؟ كانریچ و فالكنر ده راهكار برای این پرسش ارائه می‌دهند كه در ادامه بیان می‌شوند:
۱- پوشش دادن همه زمینه‌ها: منظور از این پوشش این‌است كه علاوه بر فناوری‌های بی‌سیم و سیمی، مجوزهای دسترسی به برنامه‌ها (مانند بانك‌های اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاكنر در این زمینه می‌گوید: تمام قسمت‌هایی را كه به حفاظت نیازدارند شناسایی كنید. وی می‌افزاید: شما نمی‌توانید بدون شناختن یك تاكتیك آن‌را پدید بیاورید.
برای مثال، شما می‌توانید در داخل بانك‌های اطلاعاتی، اطلاعات را بر اساس نقش كارمندان تفكیك كنید. كانریچ در این زمینه می‌گوید: یك مسئول فروش كافی‌است به اطلاعات مربوط به مشتریان و تلفن تماس آن‌ها دسترسی داشته باشد، نه اطلاعات مربوط ‌به صورتحساب آن‌ها. اما كارمندان بخش صدور صورتحساب می‌توانند به تمامی اطلاعات مشتریان دسترسی یابند.
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری داده‌های شركت را ارزیابی كنید. با این دید كه كدام قسمت از داده‌ها بیشتر در معرض سرقت یا سوءاستفاده قرار می‌گیرند. وقتی سرقت فهرست ایمیل‌ها باعث آسیب‌دیدگی سیستم باشد، واضح است كه دزدیدن اطلاعات كارت‌های اعتباری یا سایر دارایی‌های مشتریان بسیار بدتر است.
كانریچ می‌گوید: با اولویت‌بندی دارایی‌ها، می‌توانید میزان بودجه مورد نیاز برای یك طرح امنیتی خوب را تعریف كنید. این‌كار باعث می‌شود آن‌دسته از ابزارهای بی‌سیم كه در معرض تهدید و تعرض هستند و نیز اطلاعاتی كه ریسك و خطرپذیری بالایی دارند، شناسایی شوند. به‌عنوان مثال، اختصاص یك كلمه عبور برای یك نفر، نوعی ریسك است. اما لازم است با استفاده از دانش حرفه‌ای، میزان خطر و آسیب‌پذیری آن كاهش یابد.
۳- طبقه‌بندی داده‌ها: كانریچ می‌گوید: طبقه‌بندی داده‌ها را در همه جای شركت انجام‌دهید؛ مثلا‌ این‌كه امور عمومی یا موارد خصوصی كدامند، چه كسانی به چه داده‌هایی دسترسی دارند، داده‌ها چگونه ذخیره می‌شوند،پشتیبان‌گیری چگونه انجام می‌شود و ... . به‌عنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند كه همه، حتی رقیبان نیز می‌توانند آن‌ها را ببینند. اما چیزهایی مانند نحوه توزیع یك محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت به‌خاطر احتمال از بین رفتن داده‌های قابل‌حمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبان‌گیری رابطه تنگاتنگی دارد.
۴- تعریف‌كردن یك روش: فاكنر توصیه می‌كند در مورد اطلاعات امنیتی، یك طرح كلی قابل یادگیری ارائه دهید. وی می‌افزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی كنید بیشتر، حساب چك‌ها و موجودیتان را داشته باشید تا مطمئن شوید تاكتیك‌ها و تكنیك‌هایتان در زمان دسترسی به اطلاعات، كارایی مناسبی دارند یا نه؟ هر كسی نیاز دارد تاكتیك‌ها و ابزار كلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آن‌ها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود.
۵- به‌كارگیری یك مدیر روش: كانریچ توصیه می‌كند یك مدیر یا یك متخصص IT را به‌عنوان مسئول روش امنیتی تعیین كنید تا بتواند آن‌را با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود كه آنچه شما انجام می‌دهید، برای بهتر شدن اوضاع است.
وی می‌افزاید: این مسئِول باید بتواند روش‌های امنیتی را در یك دوره متوالی نظام‌مند و بر اساس تغییراتی كه در سیاست‌های كلان شركت ایجاد‌می‌شود، بروز‌رسانی كند. ممكن است برنامه‌های جدیدی ارائه شود یا قوانین تغییر پیدا كند. بنابراین روش‌ها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند.
۶- ویژگی‌های یك روش خوب: به اعتقاد كانریچ: یك روش امنیتی باید مشخص كند كدام‌یك از اطلاعات شركت و چگونه رمزنگاری شود (۶۴‌‌بیتی، ۱۲۸ بیتی و ...)، و نیز تعیین‌كند كه چه كسانی حق دسترسی به كلید این رمزها را دارند. به همین ترتیب، یك روش امنیتی باید جزئیات كلمات عبور را كه شامل چگونگی تغییر و تولید كلمه‌های عبور است، دربر بگیرد.
اگر شركتی داده‌های حساس خود را رمزنگاری كند، حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپ‌تاپ، PDA و ...، تنها یكی از ابزارهای بی‌سیم خود را از دست داده است. این حالت كمك می‌كند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستم‌های ثابت (سرورها و مینی‌كامپیوترها) در امان باشند.
۷- كنار گذاشتن محدودیت‌ها: كانریچ توضیح می‌دهد كه در طراحی امنیت برای لپ‌تاپ‌ها، كامپیوترهای خانگی و سیستم‌های شبكه‌ای محدودیتی قائل نشوید. درست سال پیش، سروكله اولین ویروس PDA پیدا شد. مسئله مهم این است كه برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرح‌های امنیتی كافی وجود داشته باشد.
فاكنر می‌گوید: بنابراین یك طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبكه اطلاعات كافی‌ای دربرداشته‌ باشد. در عین این‌كه تمهیدات امنیتی لازم نیز در طول زمان در اختیار كاربر قرار داده شود (مانند وصله‌های امنیتی برای بروزرسانی خودكار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شركت‌ها نیز این ایده را خیلی محدودكننده می‌دانند.
۸- اهمیت روش‌های ارتباطی: كانریچ می‌گوید: یك تاكتیك امنیتی بی‌سیم باید شامل اطلاعات كافی درباره روش‌‌های صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بی‌سیم نباید به‌طور همزمان هم به شبكه‌های WLAN (درون سازمانی) و هم در شبكه‌های LAN متصل شوند. چرا كه این‌كار اطلاعات شركت را در‌اختیار دنیای خارج قرارمی‌دهد.
۹- محدود كردن اختیارات كاربران: فاكنر توصیه می‌كند تاكتیك امنیتی باید هرگونه دسترسی به ارتباطات بی‌سیم را محدود كند. همان‌گونه كه ماهیت فناوری، این موضوع را تأیید می‌كند، ناامن بودن این ارتباط واضح است. امن بودن و بی‌سیم بودن با هم در تضادند. اگر ابزاری بی‌سیم باشد، خودبه‌خود ناامن است. چرا كه نفوذگران هوا را برای ردگیری سیگنال‌های بی‌سیم بو می‌كشند.
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس به‌جای سیگنال‌های بی‌سیم نیز همین است. فاكنر می‌افزاید: هكرها كسانی هستند كه سعی دارند با استفاده از روش‌های دسترسی به اطلاعات حساس یك شركت و به‌دستآوردن آن سیگنال‌ها، كاربران ابزار بی‌سیم را برای استفاده از یك ابزار پر خطر در شبكه، تشویق نمایند.
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آن‌كه بتوان با داشتن اختیارات اجرایی و محدود كننده، رفتارهای خارج از آن‌را كنترل كرد. مدیران IT باید با همكاری سایر نهادهای اجرایی، جریمه‌هایی را برای تخلفات انجام شده تعیین كنند، این جریمه‌ها باید نسبت به ارزش اطلاعات، سختگیرانه باشد.
از دید فاكنر، لازم است برخی از سیاست‌های سخت انضباطی با آموزش بیشتر و سخت‌تر تقویت شوند. هدف ایجاد امنیت است، نه جریمه كردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش می‌دهد یا حداقل رفتار‌های ناهنجار را كم می‌نماید.