کنترل های عمومی برای حفاظت از اطلاعات و جلوگیری از کلاهبرداری در کسب و کار اینترنتی

به گزارش سایبرلا به نقل از ایران‌هشدار، این روزها حملات هکری و افشای اطلاعات برای سایت ها و کسب و کارهای آنلاین خسارات بسیار زیادی به وجود آورده است که کاربران با انجام کنترل هایی که انجام می شود، می توانند تا حد زیادی جلوی این خسارات را بگیرند.

کنترل های عمومی شامل موارد زیر است:

• کنترل فیزیکی
• کنترل دستیابی
• کنترل امنیت اطلاعات
• کنترل شبکه ارتباطی
• کنترل اجرایی

کنترل های فیزیکی:

امنیت فیزیکی به حفاظت از تجهیزات و منابع کامپیوتر گفته می‌شود. این نوع  کنترل شامل حفاظت از سرمایه‌های فیزیکی مانند کامپیوترها، مرکز داده، نرم افزارها، کتابچه‌های راهنما و شبکه‌هاست. همچنین شامل محافظت در مقابل اکثر خطرات طبیعی و برخی از خطرات انسانی نیز می‌باشد. امنیت فیزیکی مناسب می‌تواند شامل کنترل‌های متعددی مانند زیر باشد:

• طراحی صحیح  مرکز داده. به عنوان مثال مرکز داده باید ضد آب و غیرقابل  احتراق باشد.
• در مقابل میدان‌های الکترومغناطیسی محافظت کننده باشد.
• سیستم‌های پشیگیری از آتش سوزی، تشخیص و تمیز مناسب، از جمله سیستم‌های آب پاش، پمپ‌های آب و تجهیزات آب‌های زائد کافی.
• خاموش کننده در مواقع اضطراری و باتری‌های پشتیبان که باید در شرایط عملیاتی نگهداری شود.
• سیستم‌های تهویه هوا با طراحی مناسب.
• هشدارهای تشخیص دهنده تکان و تشخص مزاحمت فیزیکی.

کنترل‌های دسترسی:

کنترل‌های دسترسی به مدیریت افرادی گفته می‌شوند که مجاز به  استفاده از سخت‌افزار و نرم‌افزار نیستند. روش‌های کنترل دسترسی مانند فایروال و فهرست‌های کنترل  دسترسی، دسترسی به  شبکه، پایگاه داده، فایل یا داده‌ها را محدود می‌کند. کنترل دسترسی مهمترین خط دفاعی در برابر افراد خودی غیرمجاز و همچنین افراد خارج از سازمان است. کنترل دسترسی شامل اجازه و تایید است که شناسایی کاربر نیز نامیده می‌شود. مدل‌های تایید شامل موارد زیر هستند:

• چیزی که فقط کاربر می‌داند مانند پسورد
•  چیزی که فقط کاربر دارد مانند کارت هوشمند یا توکن
•  چیزی که فقط مربوط به کاربر است مانند امضا، صدا، اثرانگشت یا شبکیه چشم از طریق  کنترل‌های بیومتریک که می‌تواند فیزیکی یا رفتاری باشد.

کنترل‌های اجرایی:

کنترل های اجرایی شامل موارد زیر است:

• آموزش، انتخاب و نظارت بر کارمندان به ویژه در سیستم‌های اطلاعاتی و حسابرسی
• افزایش وفاداری به شرکت
• لزوم تغییر و اصلاح  دوره‌ای کنترل‌های دسترسی
• طراحی برنامه‌ها و استانداردهای سندسازی (به منظور سهولت در حسابرسی و کاربرد استانداردها  به عنوان رهنمون‌هایی برای کارمندان).
• اصرار بر اوراق  بهادار ایمن یا  بیمه تخلف کارمندان اصلی
• تفکیک وظایف یعنی تقسیم وظایف کامپیوتر به تعداد افراد و به طور مقرون به صرفه به منظور کاهش شانس آسیب خواسته‌ی ناخواسته
• انجام حسابرسی‌های تصادفی دوره‌ای سیستم

امنیت شبکه ارتباطی:

اقدامات امنیت شبکه شامل سه نوع دفاع است  که لایه‌ها نامیده می‌شوند.

لایه نخست: امنیت محیطی برای کنترل دستیابی به شبکه: نمونه‌های آن  آن آنتی ویروس و فایروال  هستند.

لایه دوم: تایید برای احرازهویت فردی که خواهان دسترسی به شبکه است. نمونه‌های آن نام  کاربری و پسوردها هستند.

لایه  سوم: اجازه برای کنترل آنچه که کاربران مجاز می‌توانند هنگام دسترسی به شبکه انجام دهند. نمونه‌های آن  آن مجوزها و دفترهای راهنما هستند. جزئیات این سه لایه در شکل 5.12 نشان داده شده است.

کنترل امنیت اطلاعات:

امنیت و کنترل نقطه پایان یا کاربر نهایی بسیار مهم است. بسیاری از مدیران ریسک تجاری ایجاد شده توسط دستگاه‌های ذخیره  قابل حمل بدون کد امنیتی را به خوبی مورد توجه قرار نمی‌دهند که نمونه‌ای از نقاط پایان است. اطلاعات تجاری غالبا از طریق تلفن‌های هوشمند، و کارت‌های قابل حمل بدون مجوز و نظارت IT یا محافظت کافی در برابر مفقود شدن یا سرقت ذخیره و جابجا می‌شود. طبق تحقیق کاربردی، از هر چهار کارمند سه نفر آنها  اطلاعات شرکت را  بر روی اینگونه وسایل ذخیره می‌کنند.

طبق یافته‌های تحقیق آنها، 25 درصد گزارش‌های مشتریان، 17 درصد اطلاعات مالی و 15 درصد برنامه کسب و کار را در اینگونه وسایل ذخیره  می‌کنند. اما کمتر از 50 درصد این درایوها رمزگذاری شده‌اند و حتی اطلاعات ذخیره شده در تلفن هوشمند نیز امنیت کافی را ندارند.