امنیت اطلاعات، که اغلب به عنوان InfoSec شناخته می شود، به فرآیندها و ابزارهایی گفته می‌شود که برای محافظت از اطلاعات حساس تجاری در برابر تغییر، ایجاد اختلال، تخریب، و نظارت بر آن‌‌ها طراحی و مستقر شده‌اند.

تفاوت بین امنیت سایبری و امنیت اطلاعات چیست؟

امنیت اطلاعات و امنیت سایبری اغلب با هم اشتباه گرفته می‌شوند. امنیت اطلاعات بخش مهمی از امنیت سایبری است که منحصراً به فرآیندهای طراحی شده برای تأمین امنیت داده‌ها اشاره دارد. امنیت سایبری یک اصطلاح کلی‌تر است که شامل امنیت اطلاعات می‌شود.

سیستم مدیریت امنیت اطلاعات (Information Security Management System) (ISMS) چیست؟

یک سیستم مدیریت امنیت اطلاعات (ISMS) مجموعه‌ای از دستورالعمل‌ها و فرآیندهایی است که برای کمک به سازمان‌ها در صورت ایجاد نقص در داده‌ها ایجاد شده است. با استفاده از این دستورالعمل‌ها، کسب و کارها می‌توانند ریسک خود را به حداقل برسانند و در صورت تغییر کارکنان، تداوم و پیوستگی کار خود را حفظ کنند. ISO 27001 یکی از مشخصه‌های شناخته شده برای ISMS یک کمپانی است.

مقررات حفاظت از داده‌های عمومی (General Data Protection Regulation) (GDPR) چیست؟

در سال 2016، پارلمان و شورای اروپا روی «مقررات حفاظت از داده‌های عمومی» (GDPR) به توافق رسیدند. از بهار سال 2018 و طبق GDPR، شرکت‌ها باید:

• • در صورت نقص داده‌ها اطلاع‌رسانی‌های لازم را انجام دهند.
• • یک افسر حفاظت از داده‌ها استخدام کنند.
• • برای پردازش داده‌‌ي کاربران ابتدا رضایت آن‌ها را بگیرند.
• • داده‌ها را ناشناس‌سازی کنند تا حریم خصوصی حفظ شود.

تمام شرکت‌هایی که در اتحادیه اروپا فعالیت می کنند باید از این قوانین پیروی کنند.

چه مدارکی برای شغل امنیت سایبری مورد نیاز است؟

مدارک مختلفی برای مشاغل امنیت سایبری وجود دارد. برای برخی از شرکت‌ها، افسر ارشد امنیت اطلاعات  (Chief Information Security Officer) (CISO) یا مدیر رسمی امنیت اطلاعات (Certified Information Security Manager) (CISO) آن‌ها، باید به صورت ویژه آموزش‌های مخصوص همان شرکت را طی کنند.

به طور کلی، سازمان‌های غیرانتفاعی مانند کنسرسیوم بین‌المللی صدور گواهینامه‌ی امنیت سامانه‌های اطلاعاتی International Information Systems Security Certification Consortium - (ISC)  گواهینامه‌های امنیتی قابل قبولی را ارائه می‌کنند. این مدارک و گواهینامه‌ها می‌توانند از CompTIA Security + تا Certified Information Systems Security Professional (CISSP) متغیر باشند.

انواع امنیت اطلاعات

امنیت برنامه Application

امنیت برنامه یک موضوع گسترده است که آسیب‌پذیری‌های نرم افزار در برنامه‌های کاربردی تحت وب و موبایل و رابط‌‌های برنامه‌نویسی اپلیکیشن‌‌های (Application Programming Interface) (API) آن‌ها را پوشش می‌دهد. این آسیب‌پذیری‌ها ممکن است در مواردی مانند احراز هویت یا تعیین مجوز کاربران، یکپارچگی و پیکربندی‌‌ کد، و خط‌مشی‌ها و رویه‌های بالغ یافت شوند. آسیب‌پذیری‌های موجود در برنامه‌ها می‌توانند نقاط ورودی مهمی برای تهدیدات سایبری به حساب بیایند. امنیت برنامه بخش مهمی از امنیت اطلاعات است.

امنیت ابری

امنیت ابری بر روی ساخت، هاست، و استفاده از برنامه‌های کاربردی ایمن در محیط‌های ابری تمرکز می‌کند. "ابر" به سادگی به این معنی است که برنامه در یک محیط مشترک اجرا می شود. شرکت‌ها باید مطمئن شوند که بین فرآیندهای مختلف موجود در محیط‌های مشترک جداسازی کافی وجود دارد.

رمزنگاری

رمزنگاری داده‌های در حال انتقال و داده‌های در حال استراحت (داده‌هایی که در حال انتقال نیستند) به  محرمانه بودن و یکپارچگی داده‌ها کمک می‌کند. معمولاً برای تأیید درستی داده‌های رمزنگاری شده از امضای دیجیتال استفاده می شود. امروزه رمزنگاری و رمزگذاری از اهمیت بالایی برخوردار هستند. یک مثال خوب از استفاده از رمزنگاری، استاندارد رمزگذاری پیشرفته (Advanced Encryption Standard) (AES) است. AES یک الگوریتم کلید متقارن (Symmetric Key Algorithm) است که برای محافظت از اطلاعات طبقه بندی شده دولتی استفاده می شود.

امنیت زیرساخت

امنیت زیرساخت با حفاظت از شبکه های داخلی و خارجی، آزمایشگاه ها، مراکز داده، سرورها، دسکتاپ‌ها و دستگاه های تلفن همراه سر و کار دارد.

پاسخ به حادثه Incident response

پاسخ به حادثه عملکردی است که رفتارهای مخرب را کنترل و بررسی می‌کند.

برای اینکه کارکنان فناوری اطلاعات برای نقص‌ها آماده شوند آن‌ها باید طرح پاسخ به حادثه داشته باشند و از آن برای مهار تهدید و بازیابی شبکه استفاده کنند. علاوه بر آن، این طرح باید سیستمی برای حفظ شواهد ایجاد کند، شواهدی که ممکن است برای بررسی تهدید و به عنوان مدرک در مراجع قانونی استفاده شوند. این داده‌ها می‌توانند به جلوگیری از ایجاد اختلال بیشتر کمک کنند و به کارکنان این امکان را دهند که مهاجم را پیدا کنند.

مدیریت آسیب پذیری Vulnerability management

مدیریت آسیب‌پذیری فرآیند اسکن یک محیط براییافتن نقاط ضعف یک محیط (مانند نرم‌افزار اصلاح یا به روز نشده) و اولویت‌بندی آن‌ها بر اساس میزان ریسک و خطر آن‌ها است.

در بسیاری از شبکه‌ها، کسب و کارها به طور مداوم برنامه‌ها، کاربران، و زیرساخت‌های جدیدی اضافه می کنند. به همین دلیل، بررسی دائمی شبکه برای آسیب‌پذیری‌های احتمالی مهم است. پیدا کردن نقاط ضعف قبل از اینکه دردسرساز شوند می تواند کسب و کار شما را از پرداخت هزینه‌های فاجعه بار ایجاد شده توسط نقص امنیتی نجات دهد.