امروز روش‌هایی که در امنیت اطلاعات باب شده‌اند شامل «مدیریت رخدادها و اطلاعات امنیتی شبکه» (SIEM) و یادگیری ماشین در مقابل APT یا همان Advanced Persistent Threat هستند. در نتیجه، امتحان کردن این فناوری‌های جدید برای سازمان­‌های معتبر و سرمایه‌دار جذاب است. شکی نیست که این فناوری‌های جدید بسیار کارآمد و جذاب هستند. ولی ما به کسب و کارها هشدار می­‌دهیم که روندی آرام در راستای بکارگیری این فناوری‌های جدید را اتخاذ کنند. یکی از مؤثرترین ابزارهای امنیت سایبری «فرایند کامل مدیریت دارایی‌ها» است. در ادامه به تفصیل دلیل اهمیت این فرایند را توضیح می‌دهیم.

بدانید تا بتوانید ارزیابی و محافظت کنید

شما نمی­‌توانید آنچه را که قادر به سنجیدن نیستید، ارزیابی کنید. و اگر بخواهید چیزی را بسنجید باید در موردش اطلاعات داشته باشید.

به محض اینکه مدیریت ارشد سازمان، سیاست‌­های امنیت اطلاعات را امضا کند، اولین بخش از عملی کردن آن، این است که بدانید چه چیزی دارید. اگر این مرحله را درست انجام دهید مراحل بعدی کارآمدتر و بهتر به اجرا درمی‌آیند. استاندارد طلایی که همه ارگان‌های دولتی آمریکا (و بسیاری از شرکت‌های خصوصی) از آن استفاده می‌کنند، استاندارد (NIST (National Institute of Standard and technology است. NIST استاندارد بسیار کامل و همه‌جانبه‌ای است که تقریباً در مورد همه صنایع موجود می‌تواند کارآمد باشد. داخل این استاندارد چارچوبی به نام (CSF (Cyber Security Framework وجود دارد که به کار بیشتر سازمان‌های متوسط و حتی بزرگ می‌آید. در این چارچوب اولین مرحله‌ای که برای امنیت اطلاعات ذکر شده است ID.AM یا Identify. Asset Management به معنای مدیریت دارایی‌ها است. «مدیریت دارایی‌ها» به این معناست:

” داده‌ها، پرسنل، دستگاه‌ها، سیستم‌ها و امکانات سازمان، با توجه به اهمیت نسبی‌ آنها برای اهداف سازمانی، شناسایی و مدیریت می­‌شوند.”

تنها راهی که می­‌توانید تهدیدات سازمانی خود را تحلیل و خود را ایمن کنید، دانستن وسعت آن تهدیدات است. یعنی شما در ابتدا باید بدانید که دقیقاً چه چیزهایی دارید. این دانش به بخش “شناسایی و مدیریت” کمک خواهد کرد.

با این­ حال، بخش بعدی این تعریف، یعنی بخش “با توجه به اهمیت نسبی آنها …” نیز اهمیت ویژه‌ای دارد؛

همه فکر می‌کنند مدیرعامل مهم‌ترین لپ‌تاپ را دارد. اما او فقط یک نفر است. به خاطر داشته باشید، برای دستیابی به ریسک باید تاثیر و احتمال آن­را مد نظر قرار دهید. شما یک مدیر عامل دارید، اما احتمالاً در بخش فروش تعداد زیادی پرسنل وجود دارند که دائماً با اسرار شرکت، لیست مشتریان و دسترسی به داده‌های مهم در لپ‌تاپ‌های خود، به داخل و خارج رفت و آمد می‌­کنند. پس باید دقیقاً بدانید که نقاط ضعفتان در کجاهاست و برای هریک از آنها فکری بکنید.

 

از تحلیل بیش از حد دارایی (asset) خود بپرهیزید

به محض آنکه دریافتید چه چیزی دارید، باید معنی، کاربرد و روش‌­های ارائه آن را نیز دریابید. فقط در این صورت می‌‌توانید مقدار ریسک واقعی را درک کنید و بر اساس آن اقدامات حفاظتی را انجام دهید. اگر اموال شرکت را فقط نوعی دارایی‌ در نظر بگیریم، این دیدگاه محدود به ارزش مالی مستقیم آن اشیا می‌گردد. برای دستیابی به سطح مناسبی از امنیت، باید نقش دارایی­‌ها را به عنوان یک Configuration Item هم در نظر گرفت. (چون برای Configuration Item معادل فارسی خوبی پیدا نکردیم به آن «آیتم پیکربندی» می‌گوییم. اگر شما معادل بهتری یافتید در کامنت‌های همین مقاله به ما اطلاع بدهید تا آن را ویرایش کنیم.)

بدون داشتن نظر کارشناسانه در مورد اینکه «دارایی» و «آیتم پیکربندی» چه هستند و چه تفاوتی با هم دارند نمی‎توانیم راه درستی را در برقراری امنیت اطلاعات در پیش بگیریم. برای ساده­‌سازی اجازه دهید تعاریف زیر را ارائه دهیم:

  • دارایی: هرچیزی که می­‌تواند خریداری شود و چرخه حیات ارزشی دارد. (مثل اشیاء)
  • آیتم پیکربندی: آیتم­‌های منطقی که در زیرساخت یا CMDB شما هستند. (CMDB=Configuration Management DataBase)

یک میز می­‌تواند دارایی محسوب شود. ولی vlan یک آیتم پیکربندی است. بحث عمده ما در مورد اشیائی است که در چرخه حیات خود هم دارایی محسوب می­‌شوند و هم آیتم پیکربندی. مثل لپ‌تاپ، کامپیوتر شخصی، دستگاه PDA، سرور، سوئیچ­ و غیره.

دانستن اینکه هر کدام از اموال شرکت دارایی محسوب می‌شود یا آیتم پیکربندی است، کار را ساده می‌کند و اهمیت زیادی هم دارد، زیرا هر کدام از این دو حالت خطرات خاص خود را دارند. برای تشخیص چنین چیزی ما نیاز به یک یک فرایند اساسی ITAM داریم. (ITAM=IT Asset Mnagement). یک فرآیند ITAM می‌تواند چنین چیزی باشد:

خرید← دریافت← پیکربندی← استقرار← پشتیبانی← بازنشستگی← واگذاری (دورانداختن)

این فرایند البته مفید است. اما باز هم تاثیر هرکدام از اموال در کسب­ و کار را نشان نمی­‌دهد. اینگونه فرآیندها عمدتاً فقط کاهش ارزش مالی و حسابداری اموال را نشان می­‌دهند. یک تحقیق نشان داده است که دلیل اصلی اینکه شرکت­‌ها از مدیریت دارایی اشیا استفاده می‌­کنند، ردیابی موجودی بوده است و نه برای امنیت داده‌­ها. در این تحقیق 96 درصد شرکت‌ها گفته‌اند که برای ردیابی موجودی این کار را انجام می‌دهند و فقط 55 درصد به امنیت داده‌ها هم رای داده‌اند. این آمار واقعاً تعجب‌آور است!

چند ثانیه به این سوال فکر کنید. چند بار اتفاق افتاده که برای تمدید ضمانت یکی از اموال شرکت به دردسر افتاده باشید؟ یا برای به دست آوردن ارقام دقیق جهت ارائه به رئیس، برای بودجه‌بندی به مشکل برخورده باشید؟

حال اجازه دهید از شما بپرسم، چقدر نگران هستید که یک دستگاه در سیستم به اشتباه نام­گذاری شده باشد؟ یا به درستی به‌­روزرسانی نشده باشد؟ یا به اشتباه پیکربندی شده و درنتیجه پورت‌­های غیرضروری آن باز مانده باشند؟

پی بردن به این مسائل غیرملموس‌­تر و دشوارتر است، اما این­ها موارد مهم‌تری هستند که باید شما را نگران کنند. هزینه از دست دادن دارایی فیزیکی چقدر است؟ مثلاٌ هزار دلار برای یک لپ‌­تاپ در نظر بگیریم. هزینه حمله نفوذ به داده‌­ها که در نتیجه امنیت ضعیف لپ­‌تا­پ رخ می­‌دهد چقدر است؟ براساس برآوردها حدود 3.62 میلیون دلار! از دست دادن هزار دلار شما را بیشتر نگران می‌کند یا 3.62 میلیون دلار؟

اموال و دارایی‌های فیزیکی شما به‌هیچ‌وجه بی‌اهمیت نیستند، ولی در مقایسه با داده‌های مربوط به آن اموال و نقاط ورود به شبکه، ارزش مادی آن اموال بسیار ناچیز است. در واقع، ارزش اموال از لحظه‌ای که آنها را می‌خرید درحال کاهش است. اما داده‌­های موجود در آن­ها، و بیشمار راه موجود جهت بهره‌برداری از آن داده‌ها و زیرساخت‌های شما، داستانی متفاوت است. بنابراین اهمیت را برای موردی قائل شوید که واقعاً مهم است. یعنی پیکربندی مناسب آیتم­‌ها.‌

درباره روند کار صریح باشید

مدیریت دارایی و مدل‌سازی ریسک یک فعالیت یک‌بارمصرف نیست؛ بلکه یک روند مداوم است. دانستن اینکه آیتم‌ها در یک لحظه واحد در کجا قرار دارند، یا حتی اینکه تحت حفاظت و پیکربندی مناسب هستند یا خیر، تنها یک قطعه از این پازل است. ارزش دارایی­‌ها کاهش می­‌یابد، دسترسی‌های آن­ها تغییر می­‌کند، داده‌ها از بین می­‌روند یا از اهمیتشان کاسته می­‌شود و غیره. همه اینها چیزهایی است که باید در هر لحظه از آن مطلع باشید. کل چرخه زندگی یک دارایی باید برای شما واضح باشد تا بتوانید امنیت را در همه فرایندهای خود برقرار کنید. برخی از ایده‌ها برای کمک به این تامین امنیت عبارتند از:

  • استانداردها، پیکربندی‌­ها و فرایندها، برای تک‌تک دارایی­‌ها را به صورت واضح تعریف کنید.
  • روندی داشته باشید که ارزش دارایی‌ها همواره براساس استهلاک، ضمانت و عملکرد آن دارایی به روز شود.
  • یک کارمند پشتیبانی داشته باشید که به­ خوبی در زمینه اهمیت فهرست کردن دارایی‌های آسیب­‌دیده آموزش دیده باشد.

استفاده از ایده­‌های بیان شده به شما در ایجاد یک رویکرد جامع­‌تر در فرایند امنیت اطلاعات دارایی‌هایتان کمک خواهد کرد، و لذا شما را آگاه می‌سازد. این آگاهی شما را قادر به تصمیم­‌گیری بهتر خواهد کرد‌.

شناسایی و حفاظت

همه کارهایی که برای تامین امنیت اطلاعاتتان انجام می‌دهید، نیاز به توجیه هزینه دارند. حتی اگر روی جدیدترین SIEMها (Security information and event management) سرمایه‌گذاری کنید، وقتی چند لپ‌تاپ قدیمی با سیستم عامل به روزنشده دارید، به مشکل برخواهید خورد.

«مدیریت دارایی فناوری اطلاعات» اولین مورد در فهرست چارچوب­‌های امنیتی است، و ارتباط کمی با “دارایی‌ها” دارد. در عوض، شما باید تصویر بزرگ­تری را مد نظر قرار دهید. لپ‌تاپی که در یک گوشه از شرکت شما در حال استفاده است، تنها یک دارایی هزار دلاری نیست. بلکه درگاهی است به همه اسرار شرکت شما. بر این اساس خطرات آن را شناسایی و از این خطرات محافظت کنید.