امنیت اطلاعات یا داده‌ها-2

امنیت اطلاعات یا داده‌ها-2

مقدمه:

در قسمت اول در ارتباط با امنیت اطلاعات یا داده ها در فضای مجازی و اینترنتی  به سه اصل مهم  امنیت داده به چه معناست؟

چرا امنیت اطلاعات مهم است؟ اهداف امنیت اطلاعات اشاره شد و توضیحاتی مختصر در مورد هر یک ارائه شد.

در قسمت دوم  به اصول کلیدی امنیت داده ها و چالش‌های پیش روی امنیت داده‌ها و روش‌های ایمن سازی اطلاعات اشاره خواهد شد.

امنیت اطلاعات یا داده‌ها-2

اصول کلیدی امنیت داده‌ها

اصول کلیدی امنیت داده‌ها که به عنوان CIA نیز شناخته می‌شوند، عبارتند از:

محرمانگی (Confidentiality):

فقط افراد مجاز باید به داده‌ها دسترسی داشته باشند. این امر برای محافظت از اطلاعات حساس مانند اطلاعات فنی، مالی، پزشکی و اطلاعات شخصی ضروری است.

صحت (Integrity):

داده‌ها باید دقیق و قابل اعتماد باشند. این امر برای اطمینان از اینکه تصمیمات بر اساس اطلاعات صحیح گرفته می‌شود، ضروری است.

در دسترس بودن (Availability):

داده‌ها باید در زمان نیاز برای کاربران مجاز قابل دسترس باشند. این امر برای اطمینان از اینکه عملیات تجاری بدون وقفه ادامه یابد، ضروری است.

علاوه بر CIA، اصول دیگری نیز در امنیت داده‌ها وجود دارد، از جمله:

– حفظ حریم خصوصی: اطلاعات شخصی افراد باید در برابر سوء‌استفاده محافظت شود.

– پاسخگویی: باید مشخص باشد که چه کسی مسئول امنیت داده‌ها است.

– امنیت فیزیکی: تجهیزات و داده‌های فیزیکی باید در برابر دسترسی غیرمجاز، سرقت یا تخریب محافظت شوند.

– مدیریت ریسک: باید ریسک‌های مربوط به امنیت داده‌ها شناسایی و ارزیابی شده و به حداقل برسد تا مدیریت ریسک امنیت اطلاعات به‌خوبی انجام شود.

امنیت داده‌ها یک فرآیند مداوم است که باید به طور منظم به‌روز شود و بهبود یابد. با اتخاذ رویکردی جامع به امنیت داده‌ها، می‌توان از داده‌ها در برابر تهدیدات مختلف محافظت کرد و به اصول فوق دست یافت.

چالش‌های پیش روی امنیت داده‌ها

چالش‌های پیش روی امنیت داده‌ها متعدد و متنوع هستند، از جمله:

پیچیدگی روزافزون تهدیدات:

حملات سایبری پیچیده‌تر و هدفمندتر می‌شوند.

مجرمان سایبری از ابزارها و روش‌های جدیدی برای نفوذ به سیستم‌ها و سرقت داده‌ها استفاده می‌کنند.

افزایش حجم داده‌ها:

حجم داده‌ها به طور تصاعدی در حال افزایش است.

مدیریت و محافظت از حجم عظیمی از داده‌ها دشوار است.

کمبود مهارت‌های امنیتی:

تقاضا برای متخصصان امنیت سایبری بیش از عرضه است.

بسیاری از سازمان‌ها از تخصص لازم برای مقابله با تهدیدات پیچیده سایبری برخوردار نیستند.

خطاهای انسانی:

خطاهای انسانی یکی از بزرگ‌ترین تهدیدات برای امنیت داده‌ها است.

کاربران ممکن است به طور تصادفی داده‌ها را حذف کنند یا به طور غیرمجاز به آنها دسترسی داشته باشند.

علاوه بر چالش‌های ذکر شده، چالش‌های دیگری نیز در امنیت داده‌ها وجود دارد، از جمله:

امنیت اینترنت اشیاء: دستگاه‌های اینترنت اشیاء (IoT) به طور فزاینده‌ای در معرض حملات سایبری قرار دارند.

امنیت هوش مصنوعی: هوش مصنوعی (AI) می‌تواند برای حملات سایبری جدید و پیچیده استفاده شود.

امنیت زنجیره‌ی تأمین: سازمان‌ها باید از امنیت داده‌ها در سراسر زنجیره تامین خود اطمینان حاصل کنند.

انواع داده‌ها از نظر امنیت

قبل از اینکه یک ارگان تصمیم بگیرد داده‌ها را ایمن کند، اول باید بداند که اصلاً چه داده‌هایی در اختیار دارد و میزان حساسیت آنها چه قدر است. دسته‌بندی‌ اطلاعات یا Data Classification یک امر مهم در جهت ایمن‌سازی داده‌ها به‌حساب می‌آید و باعث می‌شود که مدیریت آنها، ذخیره‌سازی و ایمن ‌کردن آنها راحت‌ تر صورت بپذیرد. به ‌طور کلی 4 دسته اطلاعات وجود دارد که به صورت زیر است:

-اطلاعات عمومی (Public Information)

-اطلاعات محرمانه (Confidential Information)

-اطلاعات حساس (Sensitive Information)

-اطلاعات شخصی (Personal Information)

بسته به نوع سازمان و ارگان صاحب اطلاعات، دسته‌ها ممکن است تغییر کنند و هرکدام از شاخه‌ها نیز دارای زیرمجموعه‌ی مخصوص به خودش باشد. تمامی این موارد به خود سازمان بستگی دارد؛ ولی مهم است که قبل از هرگونه اقدامی تمامی دسته‌ها مشخص شوند.

روش‌های ایمن سازی اطلاعات

تضمین امنیت اطلاعات روش‌های مختلفی دارد؛ چراکه ماهیت داده‌ها و اطلاعات و همچنین نوع ذخیره‌سازی آنها متفاوت است؛ بنابراین نمی‌توان تنها با انجام یک تکنیک ثابت جهت ایمن سازی اطلاعات ادعا کنیم که داده‌ها دیگر در معرض خطر نیستند. مهم‌ترین تکنیک‌ها و اقدامات جهت ایمن سازی اطلاعات عبارتند از:

رمزنگاری (Encryption)

در فرایند رمزنگاری، متون ساده و قابل خواندن به سایفرتکست Ciphertext) تبدیل می‌شوند که غیرقابل خواندن است؛ این‌کار به وسیله الگوریتم‌های رمزنگاری انجام می‌شود. متون رمزشده توسط افراد متفرقه قابل رمزگشایی نیست و تنها کسی که کلید مخصوص رمزگشایی را داشته باشد قادر است تا متون رمزشده را رمزگشایی کند

پوشش داده‌ها (Data Masking)

این روش شاید شبیه به رمزنگاری به نظر برسد اما کاملاً با رمزنگاری فرق می‌کند. در این تکنیک، داده‌های ماسک شده شبیه به داده‌های اصلی بنظر می‌رسند، یعنی همان ویژگی مجموعه داده‌ها و یکپارچگی را دارند، اما اطلاعات مفیدی به خواننده نمی‌دهند و از آن نمی‌توان به داده‌های محرمانه و حساس رسید. بدین ترتیب از لو رفتن اطلاعات اصلی جلوگیری می‌شود. پوشش داده بیشتر برای وقتی استفاده می‌شود که قرار است قسمتی از داده را به کاربر نشان دهیم و همچنین برای تست نرم افزار یا Software Testing نیز مورد استفاده قرار می‌گیرد.

کنترل دسترسی (Access Control)

سطوح دسترسی و فعالیت‌های قابل انجام برای افراد مختلف تعیین می‌شود؛ به عنوان مثال ممکن است به یک شخص (مثلا منشی) تنها اجازه خواندن و مشاهده اطلاعات موجود در پایگاه داده ، داده شود و اجازه هرگونه تغییر و حذف اطلاعات از او گرفته شود. اگر هر شخصی که در سازمان حضور دارد بتواند به طور آزادانه هر عملی را بر روی داده‌ها و اطلاعات انجام دهد، آن‌وقت است که داده‌ها در معرض خطر لو رفتن و نقض شدن قرار می‌گیرد.

پیشگیری از، از دست دادن اطلاعات (Data loss Prevention)

DLP یا Data Loss Prevention  روش مناسبی است که برای جلوگیری از نشت یا از دست دادن اطلاعات حساس و محرمانه استفاده می شود. DLP از روش های گفته شده همچون کنترل دسترسی، رمزنگاری، مانیتورینگ فعالیت ها و اعمال سیاست های امنیتی برای جلوگیری از نشت اطلاعات استفاده می کند.

پشتیبان‌گیری از داده‌ها

به معنای تهیه نسخه‌ای کپی از داده‌های مهم است که در مکانی جایگزین و جدا از محل اصلی انباشت اطلاعات، ذخیره می‌شوند.

امنیت اطلاعات یا داده‌ها-2

منبع:متسا