بررسی دقیق معنا و تعریف امنیت داده، مزایای آن و انواع امنیت داده کدام است – قسمت دوم (پایانی)

در قسمت اول مقاله در مورد بهترین روش‌ها برای تضمین امنیت داده‌ها و حریم خصوصی و همچنین در مورد  انواع امنیت داده‌ها صحبت کردیم. حال به ادامه مقاله خواهیم پرداخت.

بزرگ‌ترین خطرات امنیت داده‌ها

سازمان‌ها با چشم‌انداز پیچیده‌تر از تهدیدات امنیتی با حملات سایبری که توسط مهاجمان پیشرفته‌تر انجام می‌شوند، روبرو هستند. برخی از بزرگ‌ترین خطرات برای امنیت داده‌ها عبارت‌اند از:

داده‌هایی که به شکل تصادفی نمایش داده می‌شوند

بسیاری از نقض‌ داده‌ها نتیجه هک نیست، بلکه از طریق کارمندانی است که به‌طور تصادفی یا سهل‌انگاری اطلاعات حساس را افشا می‌کنند. کارمندان می‌توانند به‌راحتی داده‌ها را با شخص اشتباهی به اشتراک بگذارند، یا اجازه دسترسی به داده‌ها را بدهند، یا به دلیل عدم آگاهی از سیاست‌های امنیتی شرکت خود، اطلاعات را به شکل نادرستی مدیریت کنند یا از دست بدهند.

بیشتر بخوانید: بررسی اقداماتی که امنیت داده را تضمین می کند، گام های عملی برای ساده‌سازی امنیت داده ها

حملات فیشینگ

در یک حمله فیشینگ، یک مجرم سایبری پیام‌هایی را که معمولاً از طریق ایمیل، سرویس پیام کوتاه یا SMS یا سرویس‌های پیام‌رسانی فوری ارسال می‌کند که به نظر می‌رسد از یک فرستنده قابل‌اعتماد باشد. پیام‌ها شامل پیوندهای مخرب یا پیوست‌هایی هستند که گیرندگان را به دانلود بدافزار یا بازدید از یک وب‌سایت جعلی که مهاجم را قادر می‌سازد اعتبارسنجی ورود یا اطلاعات مالی آن‌ها را بدزدد، هدایت می‌کند.این حملات همچنین می‌تواند به مهاجم کمک کند تا دستگاه‌های کاربر را به خطر بی اندازد یا به شبکه‌های سازمانی دسترسی پیدا کند. حملات فیشینگ اغلب با مهندسی اجتماعی همراه می‌شوند، که هکرها از آن برای دست‌کاری قربانیان استفاده می‌کنند تا اطلاعات حساس یا اعتبار ورود به حساب‌های دارای ممتاز را به دست آورند.

تهدیدات داخلی

یکی از بزرگ‌ترین تهدیدات امنیت داده‌ها برای هر سازمانی، کارکنان خود آن هستند. تهدیدات داخلی افرادی هستند که به‌طور عمدی یا سهوا داده‌های سازمان خود را در معرض خطر قرار می‌دهند. آن‌ها در سه نوع تقسیم‌بندی می‌شوند:

1. خودی در معرض خطر: کارمند متوجه نمی‌شود که حساب یا اعتبار آن‌ها به خطر افتاده است. یک مهاجم می‌تواند فعالیت‌های مخربی را به‌عنوان کاربر انجام دهد.
2. عامل خودی مخرب: کارمند فعالانه تلاش می‌کند تا داده‌ها را از سازمان خود بدزدد یا به نفع شخصی خود آسیب وارد کند.
3. عامل خودی غیر مخرب: کارمند به‌طور تصادفی از طریق رفتار سهل‌انگارانه، با رعایت نکردن سیاست‌ها یا رویه‌های امنیتی یا ناآگاهی از آن‌ها، باعث آسیب می‌شود.

بدافزار

نرم‌افزارهای مخرب معمولاً از طریق ایمیل و حملات مبتنی بر وب‌پخش می‌شوند مهاجمان از بدافزارها برای آلوده کردن رایانه‌ها و شبکه‌های شرکتی با سوءاستفاده از آسیب‌پذیری‌ آن‌ها در نرم‌افزار خود، مانند مرورگرهای وب یا برنامه‌های کاربردی وب، استفاده می‌کنند. بدافزار می‌تواند منجر به حوادث جدی امنیت داده‌ها مانند سرقت داده، اخاذی و آسیب به شبکه شود.

باج افزار

حملات باج افزار خطری جدی برای امنیت داده‌ها در سازمان‌ها در هراندازه‌ای که باشند ایجاد می‌کند. این نوعی بدافزار است که هدف آن آلوده کردن دستگاه‌ها و رمزگذاری داده‌های روی آن‌هاست. سپس مهاجمان با وعده بازگرداندن یا بازیابی داده‌ها پس از پرداخت، از قربانی خود باج می‌خواهند. برخی از قالب‌های باج افزار به‌سرعت پخش می‌شوند و کل شبکه‌ها را آلوده می‌کنند، که حتی می‌تواند سرورهای داده پشتیبان را از بین ببرد.

ذخیره‌سازی داده‌های ابری

سازمان‌ها به‌طور فزاینده‌ای داده‌ها را به فضای ابری منتقل می‌کنند و ابتدا به این محیط می‌روند تا همکاری و اشتراک‌گذاری آسان‌تر را فراهم کنند. اما انتقال داده‌ها به فضای ابری می‌تواند کنترل و محافظت از آن را در برابر از دست دادن داده‌ها  را دشوارتر کند.فضای ابری برای فرآیندهای کار از راه دور، که در آن کاربران با استفاده از دستگاه‌های شخصی و در شبکه‌های کمتر ایمن به اطلاعات دسترسی دارند، حیاتی است. این کار اشتراک‌گذاری تصادفی یا مخرب داده‌ها را با اشخاص غیرمجاز آسان‌تر می‌کند.

راه‌حل‌های امنیت داده‌های حیاتی

طیف گسترده‌ای از راه‌حل‌ها برای کمک به سازمان‌ها برای محافظت از اطلاعات و کاربران خود وجود دارد. این موارد عبارت‌اند از:

کنترل‌های دسترسی

کنترل‌های دسترسی سازمان‌ها را قادر می‌سازد تا قوانینی را در مورد افرادی که می‌توانند به داده‌ها و دستگاه‌ها در محیط‌های دیجیتالی خود دسترسی داشته باشند، اعمال کنند. آن‌ها این کار را از طریق فهرست‌های کنترل دسترسی ACL انجام می‌دهند که دسترسی به فهرست‌ها، فایل ها و شبکه‌ها را فیلتر می‌کنند و مشخص می‌کنند که کدام کاربران مجاز به دسترسی به اطلاعات و دستگاه‌ها هستند.

امنیت داده‌های ابری

همان‌طور که سازمان‌ها به‌طور فزاینده‌ای داده‌های خود را به فضای ابری منتقل می‌کنند، به راه‌حلی نیاز دارند که آن‌ها را قادر می‌سازد:

• داده‌ها را در حین انتقال به فضای ابری ایمن کنند
• از برنامه‌های کاربردی مبتنی بر فضای ابری محافظت کنند

این امر حتی برای ایمن کردن فرآیندهای کاری پویا بسیار مهم است زیرا کارمندان به‌طور فزاینده‌ای از خانه کار دورکاری می‌کنند.

پیشگیری از دست دادن داده‌ها

پیشگیری از دست دادن داده‌ها یا DLP سازمان‌ها را قادر می‌سازد تا نقض احتمالی داده‌ها را شناسایی و از آن جلوگیری کنند. همچنین به آن‌ها کمک می‌کند تا نشت اطلاعات را تشخیص دهند. به اشتراک‌گذاری غیرمجاز اطلاعات در خارج از سازمان، به دست آوردن دید بهتر از اطلاعات، جلوگیری از تخریب داده‌های حساس، و رعایت مقررات مربوط به داده‌ها.

امنیت ایمیل

ابزارهای امنیتی ایمیل به سازمان‌ها این امکان را می‌دهد که تهدیدات امنیتی ناشی از ایمیل را شناسایی و از آن‌ها جلوگیری کنند. این نقش مهمی در جلوگیری از کلیک کردن کارمندان بر روی لینک‌های مخرب، باز کردن پیوست‌های مخرب و بازدید از وب‌سایت‌های جعلی دارد. راه‌حل‌های امنیتی ایمیل همچنین می‌توانند رمزگذاری سرتاسری را در ایمیل‌ها و پیام‌های تلفن همراه ارائه دهند که داده‌ها را ایمن نگه می‌دارد.

Key Management

Key Management شامل استفاده از کلیدهای رمزنگاری برای رمزگذاری داده‌ها است. کلیدهای عمومی و خصوصی برای رمزگذاری و سپس رمزگشایی داده‌ها استفاده می‌شوند که امکان اشتراک‌گذاری امن داده‌ها را فراهم می‌کند. سازمان‌ها همچنین می‌توانند از Hashing برای تبدیل هر رشته از کاراکترها به مقدار دیگری استفاده کنند که از استفاده از کلیدها جلوگیری می‌کند.

مقررات امنیت داده‌ها

مقررات عمومی حفاظت از داده‌ها، General Data Protection Regulations یا GDPR

قانون GDPR یک قانون است که از داده‌های شخصی شهروندان اروپایی محافظت می‌کند. هدف آن افزایش کنترل و حقوق حریم خصوصی افراد بر روی‌داده‌هایشان است و کنترل‌های سختی را بر نحوه پردازش این اطلاعات توسط سازمان‌ها اعمال می‌کند. GDPR تضمین می‌کند که سازمان‌ها داده‌های شخصی را ایمن پردازش می‌کنند و از پردازش غیرمجاز محافظت می‌کنند. از دست دادن، آسیب و تخریب تصادفی

قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا، California Consumer Privacy یا CCPA

هدف CCPA این است که به مصرف‌کنندگان کنترل بیشتری بر نحوه جمع‌آوری داده‌های شخصی سازمان بدهد. این شامل حق دانستن اطلاعات یک سازمان و نحوه به اشتراک‌گذاری یا استفاده از آن، حق حذف آن اطلاعات، حق انصراف از فروش آن داده‌ها به اشخاص ثالث، و حق اجتناب از تبعیض برای اعمال این شامل حق دانستن اطلاعات یک کسب‌وکار و نحوه به اشتراک‌گذاری یا استفاده از آن، حق حذف آن اطلاعات، حق انصراف از فروش آن داده‌ها به اشخاص ثالث، و حق اجتناب از تبعیض برای اعمال این حقوق است. سازمان‌ها باید در مورد شیوه‌های حفظ حریم خصوصی خود به مصرف‌کنندگان اطلاع‌رسانی کنند.

قانون قابل‌حمل و پاسخگویی بیمه سلامت، Health Insurance Portability and Accountability Act یا HIPAA

HIPAA یک قانون فدرال است که از داده‌های سلامتی بیماران و در معرض انتشار قرار گرفتن بدون رضایت یا اطلاع آن‌ها محافظت می‌کند.  HIPAAحاوی یک قانون حفظ حریم خصوصی است که به افشای و استفاده از اطلاعات بیمار می‌پردازد و تضمین می‌کند که داده‌ها به‌درستی محافظت می‌شوند. همچنین دارای یک قانون امنیتی است که از تمام اطلاعات بهداشتی قابل‌شناسایی فردی که یک سازمان ایجاد، نگهداری، دریافت یا انتقال الکترونیکی می‌کند محافظت می‌کند.

قانون Sarbanes-Oxley  یا SOX

Sarbanes-Oxley یک قانون فدرال است که مقررات حسابرسی و مالی را برای سازمان‌های عمومی ارائه می‌کند. این مقررات از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیت‌های مالی متقلبانه محافظت می‌کند. هدف اصلی این مقررات تنظیم حسابرسی، گزارشگری مالی و سایر فعالیت‌های تجاری در سازمان‌های سهامی عام است. دستورالعمل‌های آن برای سایر شرکت‌ها، سازمان‌های خصوصی و شرکت‌های غیرانتفاعی نیز اعمال می‌شود.

استاندارد امنیت داده‌های صنعت پرداخت کارتی، Payment Card Industry Data Security Standard  یا PCI DSS

استاندارد امنیت داده‌های PCI (PCI DSS) تضمین می‌کند که سازمان‌ها به‌طور ایمن داده‌های کارت اعتباری را پردازش، ذخیره و انتقال می‌دهند. توسط شرکت‌هایی مانند American Express، Mastercard و Visa برای کنترل و مدیریت استانداردهای امنیتی PCI و افزایش امنیت حساب در طول تراکنش‌های آنلاین راه‌اندازی شد.

 

مقاله های مرتبط: