متخصصان امور امنیتی کامپیوترها همواره توصیهها و راهکارهایی را درباره ماهیت یک راهکار امنیتی مناسب و دلایل انعطافپذیری و سازگاری آن ارائه میدهند، که مرور دائمی آنها، امنیت را در سطح بسیار بالایی حفظ میکند.
این متخصصان بیشتر براین باورند که قدم اول در دسترسی به اطلاعات همسان در یک بستر امنیتی قوی، گسترش یک طرح امنیتی است و هنگامیکه این طرح به اندازه کافی ساده شد، آنگاه برای ایجاد آن، به کمی زمان و تلاش، نیاز خواهد بود. آنان همچنین براین باورند که گام دوم، درک این موضوع است که این طرح باید انعطافپذیر و سازگار با برنامههایی باشد که بعدها به سیستم اضافه میشود.
کریستوفر فاکنر از دانشگاه دالاس تگزاس که مدیر میزبانی وب، تخصیص فضا و روشهای تلفیقی است میگوید: حسن یک طرح امنیتی، پویایی آن است. وی همچنین میگوید: شما نمیتوانید این نقشه را یکروزه بسازید و بعد آنرا به دست فراموشی بسپارید.
از آن جاییکه امنیت یک موضوع همیشگی است، لازم است مدیران IT اطمینان حاصل کنند که کاربران به امنیت ایجاد شده و سیاستهای بهکاررفته در آن تمایل نشان میدهند. فاکنر میگوید:"مردم چیزی را که شما بررسی میکنید، انجام میدهند؛ نه چیزی را که شما حدس میزنید. همیشه یادتان باشد که کارمندان شرکت (از جمله کارکنان از راه دور) که معمولا با سیستم کار میکنند، بزرگترین تهدید امنیتی هستند."
یک متخصص دیگر نیز تمرکز بر یک برنامه جهتدار را در گسترش یک طرح، توصیه میکند. داگ کانریچ، مدیر روشهای جهانی و مسئول خدمات امنیتی IBM توضیح میدهد: ایده مناسب برای یک طرح امنیتی خوب، گذر از مرحله حفاظت محض از فناوری و رسیدن به مرحله محافظت از اطلاعات واقعی است.
بنابراین این سوال مطرح میشود که در یک نقشه امنیتی چه چیزهایی باید لحاظ شود؟ کانریچ و فالکنر ده راهکار برای این پرسش ارائه میدهند که در ادامه بیان میشوند:
۱- پوشش دادن همه زمینهها: منظور از این پوشش ایناست که علاوه بر فناوریهای بیسیم و سیمی، مجوزهای دسترسی به برنامهها (مانند بانکهای اطلاعاتی) و اطلاعات (مانند اطلاعات مشتری) نیز باید در امنیت سیستم لحاظ شود. فاکنر در این زمینه میگوید: تمام قسمتهایی را که به حفاظت نیازدارند شناسایی کنید. وی میافزاید: شما نمیتوانید بدون شناختن یک تاکتیک آنرا پدید بیاورید.
برای مثال، شما میتوانید در داخل بانکهای اطلاعاتی، اطلاعات را بر اساس نقش کارمندان تفکیک کنید. کانریچ در این زمینه میگوید: یک مسئول فروش کافیاست به اطلاعات مربوط به مشتریان و تلفن تماس آنها دسترسی داشته باشد، نه اطلاعات مربوط به صورتحساب آنها. اما کارمندان بخش صدور صورتحساب میتوانند به تمامی اطلاعات مشتریان دسترسی یابند.
۲- مدیریت تشخیص خطرپذیری: در طول پروسه ایجاد طرح امنیتی، میزان خطرپذیری دادههای شرکت را ارزیابی کنید. با این دید که کدام قسمت از دادهها بیشتر در معرض سرقت یا سوءاستفاده قرار میگیرند. وقتی سرقت فهرست ایمیلها باعث آسیبدیدگی سیستم باشد، واضح است که دزدیدن اطلاعات کارتهای اعتباری یا سایر داراییهای مشتریان بسیار بدتر است.
کانریچ میگوید: با اولویتبندی داراییها، میتوانید میزان بودجه مورد نیاز برای یک طرح امنیتی خوب را تعریف کنید. اینکار باعث میشود آندسته از ابزارهای بیسیم که در معرض تهدید و تعرض هستند و نیز اطلاعاتی که ریسک و خطرپذیری بالایی دارند، شناسایی شوند. بهعنوان مثال، اختصاص یک کلمه عبور برای یک نفر، نوعی ریسک است. اما لازم است با استفاده از دانش حرفهای، میزان خطر و آسیبپذیری آن کاهش یابد.
۳- طبقهبندی دادهها: کانریچ میگوید: طبقهبندی دادهها را در همه جای شرکت انجامدهید؛ مثلا اینکه امور عمومی یا موارد خصوصی کدامند، چه کسانی به چه دادههایی دسترسی دارند، دادهها چگونه ذخیره میشوند،پشتیبانگیری چگونه انجام میشود و ... . بهعنوان نمونه، اطلاعات عمومی مانند تبلیغات، چیزهایی هستند که همه، حتی رقیبان نیز میتوانند آنها را ببینند. اما چیزهایی مانند نحوه توزیع یک محصول، جزء اطلاعات خصوصی است. در این بخش، امنیت بهخاطر احتمال از بین رفتن دادههای قابلحمل (مانند نوارهای مغناطیسی)، با نوع و روش پشتیبانگیری رابطه تنگاتنگی دارد.
۴- تعریفکردن یک روش: فاکنر توصیه میکند در مورد اطلاعات امنیتی، یک طرح کلی قابل یادگیری ارائه دهید. وی میافزاید مردم عادی به دانستن همه چیز نیاز ندارند. لذا سعی کنید بیشتر، حساب چکها و موجودیتان را داشته باشید تا مطمئن شوید تاکتیکها و تکنیکهایتان در زمان دسترسی به اطلاعات، کارایی مناسبی دارند یا نه؟ هر کسی نیاز دارد تاکتیکها و ابزار کلیدی را بشناسد. اگر همه اطلاعات از مردم عادی دریغ شود، آنها ابهامات ذهنیشان را با تصوراتشان پر خواهند نمود.
۵- بهکارگیری یک مدیر روش: کانریچ توصیه میکند یک مدیر یا یک متخصص IT را بهعنوان مسئول روش امنیتی تعیین کنید تا بتواند آنرا با اطلاعات جدیدتر ارتقا دهد. باید این اطمینان حاصل شود که آنچه شما انجام میدهید، برای بهتر شدن اوضاع است.
وی میافزاید: این مسئِول باید بتواند روشهای امنیتی را در یک دوره متوالی نظاممند و بر اساس تغییراتی که در سیاستهای کلان شرکت ایجادمیشود، بروزرسانی کند. ممکن است برنامههای جدیدی ارائه شود یا قوانین تغییر پیدا کند. بنابراین روشها نیز باید بروز شوند تا با محیط جدید سازگاری داشته باشند.
۶- ویژگیهای یک روش خوب: به اعتقاد کانریچ: یک روش امنیتی باید مشخص کند کدامیک از اطلاعات شرکت و چگونه رمزنگاری شود (۶۴بیتی، ۱۲۸ بیتی و ...)، و نیز تعیینکند که چه کسانی حق دسترسی به کلید این رمزها را دارند. به همین ترتیب، یک روش امنیتی باید جزئیات کلمات عبور را که شامل چگونگی تغییر و تولید کلمههای عبور است، دربر بگیرد.
اگر شرکتی دادههای حساس خود را رمزنگاری کند، حتی در صورت به سرقت رفتن یا گم شدن ابزارهایی مانند لپتاپ، PDA و ...، تنها یکی از ابزارهای بیسیم خود را از دست داده است. این حالت کمک میکند تمام ابزارها، اعم از قابل حمل (نوارهای مغناطیسی) و سیستمهای ثابت (سرورها و مینیکامپیوترها) در امان باشند.
۷- کنار گذاشتن محدودیتها: کانریچ توضیح میدهد که در طراحی امنیت برای لپتاپها، کامپیوترهای خانگی و سیستمهای شبکهای محدودیتی قائل نشوید. درست سال پیش، سروکله اولین ویروس PDA پیدا شد. مسئله مهم این است که برای ابزارهایی مانند PDA و سایر ابزارهای مشابه، طرحهای امنیتی کافی وجود داشته باشد.
فاکنر میگوید: بنابراین یک طرح امنیتی باید درباره استفاده صحیح از آن ابزار در شبکه اطلاعات کافیای دربرداشته باشد. در عین اینکه تمهیدات امنیتی لازم نیز در طول زمان در اختیار کاربر قرار داده شود (مانند وصلههای امنیتی برای بروزرسانی خودکار). شاید عدم دسترسی به ابزارهای خارجی، بهترین روش باشد. هر چند بعضی از شرکتها نیز این ایده را خیلی محدودکننده میدانند.
۸- اهمیت روشهای ارتباطی: کانریچ میگوید: یک تاکتیک امنیتی بیسیم باید شامل اطلاعات کافی درباره روشهای صحیح ارتباط، چه ارتباطات درون سازمانی و چه ارتباط بیرون از سازمان باشد. مثلا، ابزارهای بیسیم نباید بهطور همزمان هم به شبکههای WLAN (درون سازمانی) و هم در شبکههای LAN متصل شوند. چرا که اینکار اطلاعات شرکت را دراختیار دنیای خارج قرارمیدهد.
۹- محدود کردن اختیارات کاربران: فاکنر توصیه میکند تاکتیک امنیتی باید هرگونه دسترسی به ارتباطات بیسیم را محدود کند. همانگونه که ماهیت فناوری، این موضوع را تأیید میکند، ناامن بودن این ارتباط واضح است. امن بودن و بیسیم بودن با هم در تضادند. اگر ابزاری بیسیم باشد، خودبهخود ناامن است. چرا که نفوذگران هوا را برای ردگیری سیگنالهای بیسیم بو میکشند.
در واقع دلیل توصیه به استفاده از خطوط ارتباطی امن برای انتقال اطلاعات حساس بهجای سیگنالهای بیسیم نیز همین است. فاکنر میافزاید: هکرها کسانی هستند که سعی دارند با استفاده از روشهای دسترسی به اطلاعات حساس یک شرکت و بهدستآوردن آن سیگنالها، کاربران ابزار بیسیم را برای استفاده از یک ابزار پر خطر در شبکه، تشویق نمایند.
۱۰- قابلیت برخورد با تخلفات امنیتی: هیچ روشی ارزشمند نخواهد بود؛ مگر آنکه بتوان با داشتن اختیارات اجرایی و محدود کننده، رفتارهای خارج از آنرا کنترل کرد. مدیران IT باید با همکاری سایر نهادهای اجرایی، جریمههایی را برای تخلفات انجام شده تعیین کنند، این جریمهها باید نسبت به ارزش اطلاعات، سختگیرانه باشد.
از دید فاکنر، لازم است برخی از سیاستهای سخت انضباطی با آموزش بیشتر و سختتر تقویت شوند. هدف ایجاد امنیت است، نه جریمه کردن. آموزش، اگر به درستی انجام شود، امنیت و آرامش خاطر را افزایش میدهد یا حداقل رفتارهای ناهنجار را کم مینماید.