چگونه امنیت داده را تضمین می‌کنید؟

در حالی که امنیت داده راه حلی برای تمام مشکلات نیست، اما می‌توانید در چند قدم ، امنیت داده را تضمین کنید. در اینجا چند مورد که آن را توصیه می‌کنیم آمده است:

  • فایل‌های حساس را قرنطینه کنید

یکی از خطاهای مدیرانِ داده‌ی تازه کار، این است که فایل‌های حساس را در دسترس تمام شرکت قرار می‌دهند. سریعا با استفاده از نرم‌افزارهای امنیت داده که داده‌های حساس را مدام دسته‌بندی می‌کنند و آن‌ها را به یک مکان امن منتقل می‌کنند، کنترل داده‌های خود را به‌ دست بگیرید.

  • رفتار کاربر نسبت به گروه‌های داده را ردیابی کنید

“بیش از حد مجوز دادن”، اصطلاحی عمومی است برای به مشکل افتادنِ مدیریت حقوق دیجیتال در یک سازمان، که پروژه‌های موقت یا مجوزهای اعطا شده بر روی یک شبکه، به تدریج به شبکه‌ای پیچیده از وابستگی‌های متقابل تبدیل می‌شوند و منجر به این می‌شود که کاربران بیش از آنچه برای کارشان مورد نیاز است، به اطلاعات روی شبکه دسترسی پیدا کنند. می‌توانید با استفاده از نرم‌افزار امنیت داده که رفتار کاربر را نشان می‌دهد و به صورت خودکار مجوز‌هایی صادر می‌کند که با آن رفتارها مطابق باشد، آسیب کاربر را محدود کنید.

  • به محرمانه بودن اطلاعات توجه کنید

محرمانگی داده‌ها، جنبه‌ی متمایزی از امنیت سایبری است که با حقوق افراد و دسترسی مناسب‌شان به داده‌های تحت کنترل شما، سر‌وکار دارد.

مقررات امنیت داده‌ها

مقرراتی مانند HIPAA (مربوط به سلامت)، SOX (مربوط به شرکت‌های سهامی عام) و GDPR (مربوط به هر کسی که از وجود اتحادیه‌ی اروپا خبر دارد) از نظر امنیت داده به بهترین شکل ممکن مطرح شده‌اند. از منظر امنیت داده، مقرراتی مانند HIPAA و SOX و GDPR، از سازمان‌ها انتظار دارند که :

  • انواع داده‌های حساسی که دارند را ردیابی کنند.
  • در صورت نیاز، قادر به تولید آن داده‌ها باشند.
  • به حسابرسان ثابت کنند که اقدامات مناسبی برای حفاظت از داده‌ها انجام می‌دهند.

این مقررات در حوزه‌های مختلفی قرار دارند، اما تمام آن‌ها به یک رویکرد امنیت داده‌ی قوی نیاز دارند. بیایید نگاه دقیق‌تری بیاندازیم تا ببینیم که چگونه امنیت داده با تبعیت از این الزامات اجرا می‌شود :

قانون انتقال و پاسخ‌گویی بیمه سلامت (HIPAA)

قانون انتقال و پاسخ‌گویی بیمه سلامت به منظور کنترل بیمه‌ی سلامت وضع شد. بخش 1173d ، وزارت بهداشت و خدمات انسانی را فرا می‌خواند تا ” استانداردهای امنیتی‌ای را به کار بگیرد که از امکانات فنیِ سیستم‌های ثبت برای نگهداری از اطلاعاتِ سلامت، هزینه‌ی اقدامات امنیتی و ارزش فایل‌های رخداد در سیستم ثبت رایانه‌ای، استفاده ‌کند”. این‌ها مواردی هستند که از نظر امنیت داده، می‌توانید برای تبعیت از HIPAA بر روی آن‌ها تمرکز کنید :

  • به طور پیوسته بر فعالیت فایل و محیط پیرامونش نظارت کنید ــ به طور پیوسته بر فعالیت و دسترسی به داده‌های حساس نظارت کنید ــ نه فقط برای رعایت قانون HIPAA ، بلکه به عنوان یک روش عمومیِ عالی.
  • کنترل دسترسی – با استفاده از سیستم مجوزدهیِ خودکار برای دسترسی کاربرانی که حق “نیاز به دانستن” دارند (need-to-know : فقط اطلاعاتی که نیاز دارند را مشاهده می‌کنند و اطلاعات محرمانه به کسی نشان داده نمی‌شوند ) ، مجوزهای مربوط به داده‌های اشتراک گذاری فایل را لغو کنید .
  • یک بایگانیِ مکتوب نگه دارید – از نگهداریِ سوابق با جزئیاتی از تمام کاربران و از جمله مدیرانِ موجود در دایرکتوریِ فعال و تمام اشیاء داده‌ی موجود در سیستم‌های فایل، اطمینان حاصل کنید. تغییرات را به صورت اتوماتیک ایجاد کنید و آن‌ها را برای اشخاص وابسته که باید گزارش تغییرات را دریافت کنند، ارسال کنید.

 

قانون ساربینز اکسلی (SOX)

قانون ساربینز اکسلی 2002 که معمولا “SOX” یا  “Sarbox” نامیده می‌شود، یک قانون فدرال ایالات متحده است که شرکت‌های سهامی عام را ملزم می‌کند که سالانه یک ارزیابی از میزان سودمندیِ کنترل‌های حسابرسیِ مالیِ داخلی‌شان، ارائه دهند.

این‌ها مواردی هستند که از نظر امنیت داده، می‌توانید برای تبعیت از SOX بر روی آن‌ها تمرکز کنید :

  • حسابرسی و نظارت پیوسته – بخش 404 SOX نقطه‌ی شروعی است برای اتصال کنترل حسابرسی با حفاظت از داده، که از شرکت‌‌های سهامی عام می‌خواهد که در گزارش سالیانه‌ی خود یک ارزیابی از کنترل داخلی‌شان برای گزارش‌های مالی معتبر و گواهیِ یک حسابرس را ارائه دهند.
  • کنترل دسترسی کنترل دسترسی، به ویژه دسترسی اداری به سیستم‌های کامپیوتری حساس، یکی از مهم‌ترین جنبه‌های قانون SOX است. باید بدانید که کدام‌ یک از مدیران، تنظیمات امنیتی و مجوزهای دسترسی به سرویس‌دهنده‌ی فایل و محتوایش را تغییر داده است. همین سطح از جزئیات برای کاربران داده محتاطانه است، و سابقه‌ی دسترسی و هرگونه تغییر در دسترسی به کنترل فایلها و پوشه‌ها را نشان می‌دهد.
  • گزارش برای ارائه‌ی شواهدی مبنی بر تبعیت از این قانون، به گزارش‌های دقیقی نیاز خواهید داشت ، از جمله:
  • استفاده از داده‌ها و هر دسترسی به فایلی از طرف هر کاربر
  • فعالیت کاربر بر روی داده‌های حساس
  • تغییرات از جمله تغییرات مجوز که بر حق دسترسی به فایل یا فولدر مخصوص تاثیر می‌گذارد
  • مجوزهای باطل شده‌ی مربوط به مجموعه داده‌هایی که شامل نام کاربران می‌شود