4/1
امنیت اطلاعات (Information Security)، که اغلب به عنوان InfoSec شناخته می شود، به فرآیندها و ابزارهایی گفته میشود که برای محافظت از اطلاعات حساس تجاری در برابر تغییر، ایجاد اختلال، تخریب، و نظارت بر آنها طراحی و مستقر شدهاند.
امنیت اطلاعات، که اغلب به عنوان InfoSec شناخته می شود، به فرآیندها و ابزارهایی گفته میشود که برای محافظت از اطلاعات حساس تجاری در برابر تغییر، ایجاد اختلال، تخریب، و نظارت بر آنها طراحی و مستقر شدهاند.
امنیت اطلاعات و امنیت سایبری اغلب با هم اشتباه گرفته میشوند. امنیت اطلاعات بخش مهمی از امنیت سایبری است که منحصراً به فرآیندهای طراحی شده برای تأمین امنیت دادهها اشاره دارد. امنیت سایبری یک اصطلاح کلیتر است که شامل امنیت اطلاعات میشود.
یک سیستم مدیریت امنیت اطلاعات (ISMS) مجموعهای از دستورالعملها و فرآیندهایی است که برای کمک به سازمانها در صورت ایجاد نقص در دادهها ایجاد شده است. با استفاده از این دستورالعملها، کسب و کارها میتوانند ریسک خود را به حداقل برسانند و در صورت تغییر کارکنان، تداوم و پیوستگی کار خود را حفظ کنند. ISO 27001 یکی از مشخصههای شناخته شده برای ISMS یک کمپانی است.
در سال 2016، پارلمان و شورای اروپا روی «مقررات حفاظت از دادههای عمومی» (GDPR) به توافق رسیدند. از بهار سال 2018 و طبق GDPR، شرکتها باید:
تمام شرکتهایی که در اتحادیه اروپا فعالیت می کنند باید از این قوانین پیروی کنند.
مدارک مختلفی برای مشاغل امنیت سایبری وجود دارد. برای برخی از شرکتها، افسر ارشد امنیت اطلاعات (Chief Information Security Officer) (CISO) یا مدیر رسمی امنیت اطلاعات (Certified Information Security Manager) (CISO) آنها، باید به صورت ویژه آموزشهای مخصوص همان شرکت را طی کنند.
به طور کلی، سازمانهای غیرانتفاعی مانند کنسرسیوم بینالمللی صدور گواهینامهی امنیت سامانههای اطلاعاتی International Information Systems Security Certification Consortium - (ISC) گواهینامههای امنیتی قابل قبولی را ارائه میکنند. این مدارک و گواهینامهها میتوانند از CompTIA Security + تا Certified Information Systems Security Professional (CISSP) متغیر باشند.
امنیت برنامه یک موضوع گسترده است که آسیبپذیریهای نرم افزار در برنامههای کاربردی تحت وب و موبایل و رابطهای برنامهنویسی اپلیکیشنهای (Application Programming Interface) (API) آنها را پوشش میدهد. این آسیبپذیریها ممکن است در مواردی مانند احراز هویت یا تعیین مجوز کاربران، یکپارچگی و پیکربندی کد، و خطمشیها و رویههای بالغ یافت شوند. آسیبپذیریهای موجود در برنامهها میتوانند نقاط ورودی مهمی برای تهدیدات سایبری به حساب بیایند. امنیت برنامه بخش مهمی از امنیت اطلاعات است.
امنیت ابری بر روی ساخت، هاست، و استفاده از برنامههای کاربردی ایمن در محیطهای ابری تمرکز میکند. "ابر" به سادگی به این معنی است که برنامه در یک محیط مشترک اجرا می شود. شرکتها باید مطمئن شوند که بین فرآیندهای مختلف موجود در محیطهای مشترک جداسازی کافی وجود دارد.
رمزنگاری دادههای در حال انتقال و دادههای در حال استراحت (دادههایی که در حال انتقال نیستند) به محرمانه بودن و یکپارچگی دادهها کمک میکند. معمولاً برای تأیید درستی دادههای رمزنگاری شده از امضای دیجیتال استفاده می شود. امروزه رمزنگاری و رمزگذاری از اهمیت بالایی برخوردار هستند. یک مثال خوب از استفاده از رمزنگاری، استاندارد رمزگذاری پیشرفته (Advanced Encryption Standard) (AES) است. AES یک الگوریتم کلید متقارن (Symmetric Key Algorithm) است که برای محافظت از اطلاعات طبقه بندی شده دولتی استفاده می شود.
امنیت زیرساخت با حفاظت از شبکه های داخلی و خارجی، آزمایشگاه ها، مراکز داده، سرورها، دسکتاپها و دستگاه های تلفن همراه سر و کار دارد.
پاسخ به حادثه عملکردی است که رفتارهای مخرب را کنترل و بررسی میکند.
برای اینکه کارکنان فناوری اطلاعات برای نقصها آماده شوند آنها باید طرح پاسخ به حادثه داشته باشند و از آن برای مهار تهدید و بازیابی شبکه استفاده کنند. علاوه بر آن، این طرح باید سیستمی برای حفظ شواهد ایجاد کند، شواهدی که ممکن است برای بررسی تهدید و به عنوان مدرک در مراجع قانونی استفاده شوند. این دادهها میتوانند به جلوگیری از ایجاد اختلال بیشتر کمک کنند و به کارکنان این امکان را دهند که مهاجم را پیدا کنند.
مدیریت آسیبپذیری فرآیند اسکن یک محیط براییافتن نقاط ضعف یک محیط (مانند نرمافزار اصلاح یا به روز نشده) و اولویتبندی آنها بر اساس میزان ریسک و خطر آنها است.
در بسیاری از شبکهها، کسب و کارها به طور مداوم برنامهها، کاربران، و زیرساختهای جدیدی اضافه می کنند. به همین دلیل، بررسی دائمی شبکه برای آسیبپذیریهای احتمالی مهم است. پیدا کردن نقاط ضعف قبل از اینکه دردسرساز شوند می تواند کسب و کار شما را از پرداخت هزینههای فاجعه بار ایجاد شده توسط نقص امنیتی نجات دهد.
نظرات کاربران: