سیستم مدیریت امنیت اطلاعات (ISMS)

پیشگیری از حمله‌ سایبری برای کسب و کارهای کوچک موردی است که امنیت سایبری آن‌ها باید بسیار جدی گرفته‌ شود. اکنون مهاجمین به دلیل ضعف‌های امنیتی موجود در این بخش، به طور جدی در حال انجام حملات سایبری هدفمند هستند. در واقع، در آخرین گزارشات 43 درصد از حملات سایبری مربوط به شرکت‌های کوچک‌تر است.

متأسفانه، در شرایط کنونی شرکت‌هایی که مورد حملات سایبری قرار می‌‎گیرند، ضرر و زیان‌های مختلف را در ابعاد گوناگون تجربه می‌کنند. حملات سایبری می‌‎تواند باعث خرابی، بدنامی و از دست رفتن درآمد شود که این موارد، از دسته مواردی هستند که کسب و کارهای کوچک از آن‌ها دوری می‌کنند. البته پیشگیری از حملات سایبری نیز یک بخش چالش برانگیز برای آن‌ها است.

خوشبختانه اگر صاحب کسب و کار کوچک باشید، بدانید که می‌توانید امنیت خود را بهبود بخشید. ارائه‌دهندگان راه‌حل‌های امنیتی، ابزارهایی را برای کسب و کارهای کوچک و ارزان‌تر ارائه می‌دهند.

امروزه امکان عضویت در سرویس‌های ضدبدافزار و فایروال cloud-based وجود دارد که می‌توانند حفاظتی مشابه با آنچه که شرکت‌های بزرگ از آن لذت می‌برند را فراهم کنند.

گذشته از این راه‌حل‌های متداول‌، اقدامات پیشرفته‌تری مانند شبیه‌سازی نشت اطلاعات و حمله (BAS) در حال حاضر برای کسب و کار کوچک قابل دسترسی است. BAS می‌تواند با ارزیابی راه‌حل‌های امنیتی شما و تمام پیشگیری‌هایی که از حملات سایبری کرده‌اید، به شما کمک کند.

پلتفرم BAS Cymulate به شما امکان می‌دهد با راه‌اندازی حملات شبیه‌سازی شده علیه آن، تمهیدات امنیتی خود را برای آسیب‌پذیری‌های احتمالی بررسی کنید.

ارزیابی‌‌های مختلف اگر بتوانند فایروال را برای نقص‌های احتمالی در پیکربندی و حتی راه‌حل‌های امنیتی نقطه پایانی را بررسی کنند، به راحتی نقاط ضعف را تشخیص خواهند داد. در زیر تصویری از Cymulate نشان داده شده است.

این ابزار حتی می‌تواند حملات فیشینگ را شبیه‌سازی کرده تا ببیند کاربران تا چه حد احتمالاً در برابر حملات مهندسی اجتماعی آموزش دیده‌اند. با دانستن این مشکلات می‌توانید تنظیمات یا تغییرات لازم را برای برطرف کردن نقص‌ها انجام دهید.

بنا بر آمارهای موجود در حوزه کسب و کارهای کوچک، باید توجه کرد که تهدیدات در حوزه امنیت سایبری واقعی و جدی هستند و بعید نیست هکرها در حال حاضر شرکت شما را مورد هدف قرار داده باشند. به همین دلیل، شما باید اقدامات سختگیرانه امنیتی را اجرا کنید که بتواند حتی تهدیدات پیچیده را خنثی کند.

در این گزارش، پنج مرحله وجود دارد که می‌توان برای اطمینان از محافظت از اطلاعات شرکت، از آنها استفاده کرد:

1 - تعیین یک سطح پایه از نیازهای امنیتی

2 – سرمایه‌گذاری بر روی راه‌حل‌های امنیتی کارا

3 – پیاده‌سازی دقیق کنترل‌ سطوح مختلف دسترسی

4 –تهیه‌ نسخه‌ پشتیبان از برنامه‌ها و به‌روزرسانی مداوم نرم‌افزار‌ها

5- آموزش کارمندان

1 - تعیین یک سطح پایه از نیازهای امنیتی

صاحبان کسب و کار برای جلوگیری از حملات سایبری مربوط به کسب و کارهای کوچک، با مجموعه‌ای از راه‌حل‌ها طرف هستند که ممکن است گاهی استفاده از کدام یک از آن موارد گمراه کننده باشد.

برای شما مهم است که ابتدا درک کنید که نیازهای تجاری شما به چه صورت است، بنابراین می‌دانید برای پشتیبانی از این نیازها به چه نوع زیرساخت‌های فناوری اطلاعات نیاز دارید. این را باید دانست که بدون توجه به نیازهای خود، اگر هم حتی بالاترین هزینه‌ها در حوزه فناوری اطلاعات و امنیت انجام شود، بدیهی است منابع با ارزش خود را به آسانی هدر داده‌‎اید.

ابتدا باید درک کنید که چه حوزه‌هایی از کسب و کارتان باید توسط فناوری پشتیبانی شود. به این ترتیب، شما قادر خواهید بود نرم افزار و سخت افزار‌های مورد نیاز خود را شناسایی کنید. علاوه بر این، می‌دانید که داده‌ها و منابع مربوط به شرکت به چه صورت مورد استفاده خواهند بود.

باید دانست که آیا از سرور داخلی یا فضای ذخیره‌سازی ابری استفاده می‌کنید؟ با بررسی نیازها و داشتن تصوری از ساختار کلی شرکت خود در این حوزه، می‌توان مشخص کرد که چه راه‌حل‌های امنیتی برای محافظت از هر یک از این مؤلفه‌ها مورد نیاز است.

اگر شبکه اداری کوچک شما فقط دارای سه ایستگاه کاری باشد، دستیابی به راه‌حل‌های امنیتی ارائه شده برای شرکت‌های بزرگ مانند پلتفرم‌های مدیریت IT یا حتی security information and event management (SIEM) می‌تواند برای شرکت شما زیاده‌روی و هدر رفت هزینه باشد.

اگر بدون بررسی نیازها و بسترهای خود از راه‌حل‌ها و ابزارهایی استفاده کرده و هزینه‌هایی را انجام دهید، به احتمال فراوان قادر به بازگشت سرمایه خود نخواهید بود.

برای انتخاب راه‌حل‌ها، صرف نظر از مقیاس شرکت از نظر تعداد کارمندان و بسترها، بررسی وضعیت دفاعی شرکت بسیار مهم است. اینجا است که BAS مفید است. برای پیشگیری از حملات سایبری، Cymulate می‌تواند یک حسابرسی جامع از تمام نقاط بسترها و مؤلفه‌های آسیب‌پذیری را انجام دهد.

2 – سرمایه‌گذاری بر روی راه‌حل‌های امنیتی کارا

سرمایه‌گذاری در ابزارهای امنیتی کارا گامی مهم است که بتوان امنیت سایبری را تا حد زیادی برقرار ساخت. استفاده از ابزارها برای محافظت از سیستم‌های کارمندان مانند انتی‌ویروس، ضد بدافزار و ابزارهای امنیتی شبکه مانند فایروال از جمله راه‌حل‌هایی است که باید در شرکت پیاده‌ کرد.

ممکن است نیاز شما فراتر از ابزارهای رایگان باشد و میبایستی راه‌حل‌های بهتری که بتواند تهدیدهای پیشرفته را شناسایی و با آن‌ها مقابله کند، مورد استفاده قرار دهید و بر روی این موارد باید سرمایه‌گذاری کنید.

خوشبختانه، اکنون بسیاری از سرویس‌ها برای سازمان‌ها از طریق سرویس‌های ابری موجود است که می‌توان به راحتی از آنها استفاده کرد. حتی برای استفاده از بسیاری از ویژگی‌ها نیاز به دانش بالا نیست و می‌توان به راحتی از این سرویس‌ها استفاده کرد.

منبع: مرکز ماهر

مشاوره دیجیتال مارکتینگ - آموزش یزد

نیویورک تایمز در گزارشی که روز سه‌شنبه ۱۹ آذر منتشر شد نوشت در پی رویدادهای اخیر ایران که با اعتراض به گران شدن بنزین آغاز شد، یک شکاف امنیتی در سامانه‌های بانکی این کشور پدید آمده که می‌تواند به چالش مالی عمده‌ای برای جمهوری اسلامی بدل شود. این اتفاق در حالی افتاده که در نخستین روزهای پس از اعتراض‌های خونین در ایران، مقام‌های این کشور اینترنت را قطع کرده بودند.

این رومه آمریکایی شمار مشتریانی را که شماره کارت بانکی آنها لو رفته و در اینترنت منتشر شده، ۱۵ میلیون نفر ذکر کرده است.

محمد جواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات ایران هک» شدن بانک‌ها را نپذیرفته اما تلویحا خبر انتشار اطلاعات مشتریان ایرانی را تأیید کرده است. آقای آذری جهرمی در این زمینه گفت: بانک‌ها هک نشده بودند، بلکه پیمانکار فنی سابق یک مجموعه از اطلاعاتی که به آنها دسترسی داشت، نسخه پشتیبان گرفته بود و اکنون با دسترسی به این نسخه در حال تهدید و باج‌گیری است.»

وزیر ارتباطات همچنین تأیید کرد که به دولت الکترونیک حمله شده است. وی گفت: ما با حمله بسیار سازمان‌یافته علیه دولت الکترونیک مواجه بودیم که توسط سپر امنیتی دژفا با آن مقابله شد.»

رومه نیویورک تایمز در مورد بانک‌هایی که به نوشته این رومه مورد حمله سایبری قرار گرفته‌اند نوشت که این رویداد مربوط به سه بانک ملت، تجارت و سرمایه بوده است. هر سه این بانک‌ها در فهرست تحریم‌های آمریکا قرار دارند.

نیویورک تایمز به نقل از برخی کارشناسان امنیت اطلاعات نوشته است: پشت شکافی امنیتی در این ابعاد احتمالا یک دولت قرار دارد و هدف آن هم احتمالا ایجاد بی‌ثباتی بوده است. این کار تبهکارانی که قصد باج‌گیری داشته باشند، نیست.»

این رومه با اعلام این که اتفاق اخیر جدی‌ترین» نقص امنیتی بانکی ایران بوده، همچنین توضیح داده که اطلاعات منتشر شده شامل نام دارنده حساب و شماره حساب بانکی افراد بوده است.

کاخ سفید و ارتش اسرائیل در واکنش به پرسش خبرنگار نیویورک‌تایمز در این زمینه از اظهار نظر خودداری کرده‌اند.

منبع : یورونیوز

امنیت شبکه - مشاوره دیجیتال مارکتینگ - آموزش امنیت شبکه و امنیت اطلاعات

یک سیستم مدیریت امنیت اطلاعات(ISMS) باعث جلوگیری و کاهش صدمات ناشی از لو رفتن اطلاعات یک سازمان به کمک امن سازی اطلاعات می‌شود. همچنین عواملی نظیر نیازها و اهداف سازمان، اامات امنیتی، اندازه و ساختار سازمان بر طراحی و پیاده سازی سیستم مدیریت امنیت اطلاعات در سازمان تأثیر خواهد گذاشت.

پیاده سازی سیستم مدیریت امنیت اطلاعات (ISMS)

مراحل پیاده سازی ISMS

فاز صفر

• شناخت و مستندسازی وضعیت موجود شبکه و امنیت شبکه
• تحلیل وضعیت مــــوجود و ارائه گزارش فنـــــی و مدیریتــی
• انجام آزمون تست نفوذ‌پذیری (Penetration Test)
• ارائه راهکارهای امنیتی و اولویت‌بندی آن‌ها
• امن‌سازی در سطح پیکربندی
• گزارش وضعیت موجود شبکه طبق کنترل‌های امنیتی استاندارد ISO/IEC 27002 و تعیین شکاف موجود

سیستم مدیریت امنیت اطلاعات ISMS چیست؟