احمد حاتمی، حسابدار رسمی، حسابدار مالی خبره
امنیت سایبری به مجموعه فناوری ها، فرآیندها و روش هایی گفته می شود که برای محافظت از شبکه ها، دستگاه ها، برنامه ها و داده ها در برابر حملات، آسیب ها یا دسترسی های غیر مجاز طراحی شده اند. همچنین می توان از امنیت سایبری به عنوان امنیت فناوری اطلاعات یاد کرد.
فناوری اطلاعات در قرن حاضر و با شیوع پاندمی کرونا توسعه افزونی داشته است و امروزه در سراسر دنیا استفاده و بکارگیری این فناوری به حدی است که همه جا وجود دارد.ابزارهایی همچون: تلفن های هوشمند، تبلت ها و سایر دستگاه های متصل دیگر، در طی چند سال کاملاً در زندگی روزمره ما ادغام شده اند. در حالی که همه این فناوری های جدید مزایا و فرصت های مهمی را برای شهروندان همه کشورها به ارمغان آورده اند، اما خطرات جدیدی را نیز به همراه آورده اند که باید به دقت مدیریت شوند. ویروس های رایانه ای، باج افزارها، فیشینگ، هک و سرقت اطلاعات هویتی، همگی نمونه هایی از تهدیدهای امنیت سایبری هستند که می توانند عواقب فاجعه بار و پرهزینه ای را به همراه داشته باشند. همه دستگاه های متصل، در معرض خطر هک شدن قرار دارند. و هرچه تعداد و انواع دستگاه های متصل با افزایش زمان افزایش می یابد، تعداد هکرها و مهارت های آن ها در یافتن نقاط ضعف در سیستم های IT نیز افزایش می یابد.
در شرایط فعلی و استفاده بسیار زیاد از فناوری در عملیات روزمره به دلیل وجود سویه های جدید ویروس کرونا، سازمان ها، از جمله سازمان های بخش عمومی باید بیش از حد هوشیار باشند. آن ها باید از آخرین اقدامات لازم در زمینه مدیریت ریسک فناوری اطلاعات استفاده کنند تا خود را از دسترسی های غیرمجاز محافظت کنند و از سوء استفاده، افشای اطلاعات، ایجاد اختلال، نفوذ، انتشار ناخواسته و تخریب اطلاعات موجود جلوگیری کنند.
حسابرسان داخلی خاصه کمیته ریسک سازمان ها می توانند با ارائه اطمینان مستقلی در مورد مدیریت صحیح خطرات امنیت سایبری و ارائه توصیه هایی برای بهبود در صورت لزوم، از سازمان ها منجمله سازمان های بخش عمومی حمایت كنند.
لیست زیر 10 زمینه اصلی امنیت سایبری را ارائه می دهد که باید برای استقرار امنیت سایبری توسط کمیته ریسک از وظایف اهم آن هم بشمار میرود در نظر گرفته شوند. اهمیت هر یک به طور خلاصه توضیح داده شده و برخی از عناصر خاص برای بررسی بیشتر کمی تقصیلی تر بیان شده است.
1- برنامه لیست سفید
لیست سفید برنامه های کنترلی است که از برنامه های غیرمجاز روی سیستم محافظت می کند. لیست سفید می تواند مکانیسمی مؤثر برای جلوگیری از به خطر افتادن سیستم های IT توسط اجرای کدهای مخرب باشد.
برای اثرگذاری، در لیست سفید به (1) خط مشی ای نیاز دارد که مشخص کند انواع برنامه های کاربردی مجاز است که کاربران به عنوان بخشی از وظایف خود بر روی دستگاه های خود اجرا کنند، (2) لیست دقیق برنامه های تأیید شده و (3) اجرای فنی مطابق با قصد رویه و استراتژی تعیین شده.
2-تداوم فعالیت های تجاری
حملات سایبری و نقض داده ها می تواند به طور قابل توجهی سازمان ها را مختل کرده و حتی از ارائه خدمات کلیدی به مردم جلوگیری کند. یک حمله سایبری می تواند منجر به از دست رفتن داده ها، به خطر انداختن اطلاعات شخصی یا مالی، خرابی برنامه ریزی نشده و سایر چالش ها شود. برای کاهش پیامدهای حمله سایبری، سازمان ها باید اقدامات امنیتی IT را در برنامه تداوم تجارت خود ادغام کنند. این طرح باید شامل موارد دیگر، اطلاعات مربوط به مراحل پشتیبان گیری و بازیابی اطلاعات باشد.
3-حاکمیت استقرار امنیت
حاکمیت استقرار امنیت IT به سیستم ها و روش هایی اطلاق می شود که توسط آن سازمان ها امنیت IT را هدایت و کنترل می کنند. این اساساً در مورد، تعریف نقش ها و مسئولیت ها، ایجاد سیاست ها، سوء گیری های استراتژیک، اطمینان حاصل می شود که خطرات به خوبی مدیریت می شوند، بررسی عملکردها، و نظارت بر انطباق با سیاست ها و مقررات های مصوب شده نیز از اجزای این مسئولیت قلمداد می شود.
4-دسترسی های منطقی
سازمان ها بطور کلی، شامل سیستم ها و پایگاه های اطلاعاتی می باشند که در بردارنده اطلاعات طبقه بندی شده از قبیل، اطلاعات حساس، قراردادهای محرمانه، اطلاعاتی درباره تعداد زیادی از شهروندان در سازمان های بخش عمومی، داده های مالی در سیستم های مالی و پولی و همچنین داده های مالکیت در سازمان های چون مالیاتی و... هستند، اشتباهات امنیتی، موجب می گردد این داده ها برای اهداف بدخواهانه(سوء) استفاده شوند، بنابراین بواسطه کنترل های دقیق باید اطمینان حاصل کنند که فقط افراد مجاز می توانند به این داده ها دسترسی پیدا کنند. برای جلوگیری از دسترسی غیر مجاز به سیستم های فناوری اطلاعات و پایگاه های داده توسط افراد خارجی که قصد دارند از نقاط ضعف اینترنت استفاده کنند یا افرادی که قصد دارند از وضعیت قابل اعتماد خود سوء استفاده کنند، باید ضمانت های دسترسی منطقی (مانند حقوق دسترسی و سطح اختیارات تعریف شده) وجود داشته باشد.
5-شبکه ها
مدیران در کلیه سطوح، کاربران مجاز و عموماً کارمندان در سازمان ها به شبکه های رایانه ای متصل هستند که از طریق آن ها می توانند اطلاعات حساس را تبادل و ذخیره کنند. اگر به اندازه کافی در جهت نظام نامه مدون پایش محیط کاربری شبکه ها اقدامات تأمینی لازم همچون احراز هویت چند عاملی(MFA:Multi-factor authentication )محافظت نشود، می تواند پروتکل های امنیتی این شبکه ها را نقض کرده و اطلاعات آن ها توسط کاربران غیر مجاز قابل دسترسی قرار گیرد. برای جلوگیری از چنین نقص هایی، باید پیکربندی های مناسب شبکه در همه دستگاه های پرتابل و بی سیم که می توانند به شبکه دسترسی داشته باشند، حفظ شود. این شامل اقدامات دیگری همچون استفاده از نرم افزار رمزگذاری، نصب و به روزرسانی نرم افزار ضد ویروس و پیکربندی صحیح فایروال ها، روترها و ... می باشد.
6-بد افزارها
بدافزارها (نرم افزار مخرب) یک برنامه رایانه ای مضر هستند که می تواند اطلاعات کاربر (مانند نام کاربری و رمزهای عبور، شماره کارت اعتباری، یا پرونده ها و اسناد) را برباید یا به یک مهاجم امکان کنترل از راه دور رایانه و دسترسی به هر شبکه متصل را بدهد. با بارگیری یک فایل آلوده توسط کاربر، باز کردن ضمیمه در پیام فیشینگ یا استفاده از درگاه USB آلوده، می توان یک رایانه توسط بدافزار آلوده شود. محافظت موثر در برابر بدافزارها شامل نرم افزارها و سیستم عامل های ضد ویروس به روز، نظارت کافی بر سیستم های IT و آموزش آگاهی برای کارمندان عمومی است.
7-افزونه ها
هکرها به طور مداوم در تلاشند تا اشکالات و خلأهای ساختاری که عمدتاً از زبان های برنامه نویسی پدیدار می گردد را در نرم افزار و سیستم های IT پیدا کنند که به آن ها امکان دسترسی غیر مجاز به داده های حساس را می دهد. در نتیجه، متخصصان فناوری اطلاعات به طور مداوم در حال توسعه راه حل ها یا اصلاحاتی برای شناسایی مشکلات موجود در نرم افزار و سیستم های IT هستند. سازمان هایی که این افزونه ها Plugin را به موقع اجرا نمی کنند، سیستم های IT خود را در معرض حملات سایبری قرار می دهند.
برای اطمینان از اجرای به موقع همه افزونه های لازم، سازمان ها باید سیاست ها و فرایندهایی را در مورد شناسایی و اجرای نیازهای افزونه ها برای ایستگاه های کاری و سرورها مستند داشته باشند. آن ها همچنین باید مرتباً سطح انطباق با الزامات افزونه ها را ارزیابی کنند.
8-آگاهی از امنیت
سازمانی با سیستم های IT خوب و یک تیم حرفه ای از متخصصان IT همچنان در معرض خطر خواهند بود، حتی اگر کارمندان آن که هر روز از برنامه های متنوعی استفاده می کنند، از سیاست های داخلی IT آگاهی نداشته باشند و نتوانند رفتارهایی را که خطرات IT را برای سازمان ایجاد می کند، شناسایی کنند. به همین دلیل، ارائه آموزش آگاهی از امنیت IT برای کلیه کارکنانی که از تجهیزات IT استفاده می کنند، باید یکی از عناصر اصلی یک استراتژی موثر IT باشد.
9-ارزیابی آسیب پذیری
با داشتن رویه ای مصوب و منسجم برای شناسایی مداوم، طبقه بندی و اولویت بندی آسیب پذیری ها در سیستم های فناوری اطلاعات خود، همراه با اقدامات سریع برای رسیدگی به موضوعات اولویت دار، یک سازمان می تواند از آسیب پذیری سیستم های IT خود و احتمال حمله سایبری موفقیت آمیز بکاهد. ابزارها و روش های مختلفی برای ارزیابی ارزیابی شبکه ها، برنامه ها و پایگاه های داده وجود دارد. برخی از این ابزارها خودکار هستند و می توانند به سازمان ها در انجام ارزیابی های استاندارد منظم کمک کنند.
10-برنامه های تحت وب
برنامه های تحت وب برنامه های رایانه ای هستند که در وب سایت ها تعبیه شده اند و به کار وب سایت ها کمک می کنند. سازمان های بخش دولتی اغلب برنامه های وب را طراحی می کنند که به شهروندان امکان دسترسی به خدمات خاص دولتی را می دهد. هنگامی که به درستی طراحی نشده باشد، برنامه های وب می توانند نقاط ضعفی را نشان دهند که می تواند توسط دزدان دریایی سایبری مورد سوء استفاده قرار گیرد تا به اطلاعات حساس (مانند تاریخ تولد یا شماره کارت اعتباری) دسترسی پیدا کند، در حالی که توسط برنامه پردازش می شود یا در شبکه ذخیره می شود.
برای محافظت در برابر چنین نقایص احتمالی، سازمان ها باید از یک رویکرد امنیتی چند لایه استفاده کنند که حتی در صورت به خطر افتادن یک لایه هنوز می تواند از آن محافظت کند. فایروال ها، پروتکل های کدگذاری ایمن و کنترل های دسترسی منطقی برخی از اقداماتی است که می تواند برای ایمن سازی برنامه های وب اعمال شود.
در پایان، گزارش های تهیه شده از میزان رعایت توسط کمیته ریسک، به همراه مستندات انجام و بازخورد گیری و چک لیست ها در اختیار مدیر انطباق قرار خواهد گرفت و بررسی های دوره ای را باید در برنامه نیز رعایت کرد تا بتوان اطمینان بخشی معقولی از رعایت، حفاظت و امنیت را بدست آورد.
CFA
