پنج پیشنهاد کلیدی برای بهبود امنیت ایمیل سازمانی

ایجاد بستری امن و اطمینان از عملکرد کارکنان سازمان‌ها در استفاده‌ صحیح از ایمیل از ملزومات امنیتی هر سازمانی به حساب می‌آید. در این مقاله شما با پیشنهادات ارائه شده از سوی [b]بهترین‌های [/b]امنیت دنیا در خصوص حفظ امنیت ایمیل سازمانی آشنا خواهید شد. این افراد از بهترین مدیران امنیتی دنیا هستند و راه‌‌هایی که در این مقاله مطالعه می‌کنید را برای به بهبود راهکارهای امنیتی ایمیل سازمانی پیشنهاد داده‌اند:

پیش از ارائه راه حل با این محققان آشنا شوید:

• John Pescatore مدیر روالهای امنیتی نو‌ظهور در موسسه‌ی SANS
• Craig Gormé مدیر امنیت اطلاعات در مرکز بهداشت دانشگاه فلوریدا
• Seth Robinson، مدیر ارشد تجزیه و تحلیل فن‌آوری در شرکت CompTIA
• Duke Prestridge، مدیر مالی جامعه بانکی در کارولینای شمالی
• Peter Firstbrook معاون مدیرعامل شرکت تحقیقاتی Gartner
• Osterman، مدیرعامل مرکز پژوهشی Osterman

 راهکارها:

1- بررسی مجدد نقش ایمیل در سازمان

علیرغم این که همه افراد در سازمانها و شرکت‌ها امنیت ایمیل را درک می‌کنند ولیکن همچنان به صورت نا امن ایمیل می‌فرستند. سازمانها باید چگونگی استفاده از ایمیل در بین کارکنان خود را بررسی کرده تا اطمینان حاصل کنند که منطبق بر سیاست‌های امنیتی برای رویارویی با خطرات و ریسک‌های سازمان است. این بررسی باید شامل روش‌های محافظت از تمام سیستم از جمله برنامه، سرور و نحوه‌ی اتصال به اینترنت باشد، چرا که بسیاری از سازمان‌ها زیرساخت‌های ایمیل خود را مدتها پیش ساخته و آسیب‌پذیری خود را به تازگی بررسی نکرده‌اند.

به عنوان مثال، قوانینی مانند “قانون انتقال و پاسخ گويي الکترونيک بيمه سلامت آمریکا” سازمان مرکز بهداشت دانشگاه فلوریدا را به ویژه در مواردی که مربوط به اطلاعات سلامت شخصی بود مجبور به بازبینی دستورالعمل ایمیل کرد.

بر اساس دستورالعمل‌های جدید کاربران موظفند ایمیل‌های حاوی اطلاعات سلامت شخصی را فقط به صورت داخلی ارسال کنند و ارسال این‌گونه ایمیل‌ها به خارج از سازمان و یا از طریق سرویس‌های ایمیل دیگر ممنوع است. در صورتی که در مکاتبات نیاز به اطلاعات سلامت شخصی است، آنها باید از روشهای امن‌تر دیگری مانند پیام رمزگذاری شده و یا انتقال امن فایل استفاده کنند.

سازمان‌ها باید با کاربران خود بسیار شفاف و قاطع باشند. ایمیل شرکتی صرفا برای مکاتبات مربوط به شرکت است و نباید آن را برای استفاده شخصی بکار برد. با نظارت دقیق بر نحوه کاربری، سازمان‌ها باید توان خود را در جهت کنترل و محدودیت کاربری ایمیل و در نتیجه حفظ کاربران از شرایط منجر به خطرات امنیتی معطوف کنند. به عنوان مثال، سازمان باید چگونگی برخورد با تبادل ویدئوها و فایل‌های پیوست شده را تعیین کنند و سیاست واضحی در خصوص چگونگی اداره‌ی این موارد داشته باشند.

2-بازبینی حاکمیت سازمان

سیاست‌های مربوط به ایمیل باید به اصطلاح “تا بن دندان مسلح” باشند و تنها راه انجام این کار ایجاد حاکمیت مناسب، اجرای سیاست‌ها و پشتیبانی قدرتمند [b]مدیریت فنی[/b] سازمان است. بسیاری از مدیران امنیتی معتقدند که وضعیت پیش آمده برای خانم هیلاری کلینتون می‌تواند ریشه در حمایت ضعیف مدیران فنی از سیاست‌های مربوط به استفاده از ایمیل داشته باشد.

معمولا در ابتدای کار، پایه‌گذاری دستورالعملهای نظارتی بر اساس استانداردها با مقاومت مواجه خواهند شد، ولی به مرور مقاومت از بین خواهد رفت. مدیران فنی باید تمام موقعیت‌ها را هم در حوزه‌ مدیریت فنی هم در حوزه مدیریت ریسک در نظر بگیرند. این احتمال وجود دارد که بر اثر حمله‌های هوشمندانه‌ای که از نقص‌های عمومی استفاده می‌کنند، همه چیز تغییر کند. بنابراین موقعیت مدیر فنی باید قدرتمندتر شده ومجوزهای مورد نیاز برای حفاظت از سازمان را داشته باشد.

در صورتی ‌که بدنه‌ حاکمیت قدرتمند و دقیق باشد، می‌تواند در یک وضعیت نامطلوب -مانند زمانی که مدیری به طور خودسر بخواهد از منابع استفاده کند- مداخله کند. یک بدنه قدرتمند با عملکرد متقابل (که مسئولانی از واحدهای مختلف سازمان مثل حقوقی، فنی، و منابع انسانی داشته باشد) قادر خواهد بود خطرات مربوط به استفاده‌ غیر اصولی از منابع را به مدیران توضیح دهد درحالی‌که همزمان بخش فنی را برای یافتن روش‌های امن‌تر تشویق میکند.

در نهایت، با توجه تغییرات روز افزون تکنولوژی‌ها در استفاده از خدمات نوینی مانند سرویس‌های ابری سازمان باید درک صحیحی از فرآیندها و تست فرآیندهای معادل در سیستم ابری داشته باشد. بدنه حاکمیت قدرتمند قادر است انتقال خدمات ایمیل سازمان به سرویس ایمیل مبتنی بر ابر را به درستی مدیریت کند و فرآیندهای رویارویی با رخدادها نیز به طور منظم تست شوند.

3-کاربردی کردن سیاست‎های معتبر امنیتی

حاکمیت سازمان باید سیاست‌ها و دستورالعمل‌های کاربری معینی برای استفاده از تکنولوژی‌های نوین نظیر متحرک بودن، سیستم ابری، شبکه‌های‌ اجتماعی و سایر سرویس‌های روز دنیا ارائه دهد.

متخصصان امنیتی معتقدند بیشتر سازمان‌ها دستورالعمل‌های کاربری قابل قبولی ندارند و یا کاربران را در مورد سیاست‌های امینتی به اندازه کافی آموزش نداده‌‌، یا به اندازه کافی اهمیت این دستورالعمل‌ها را یادآوری نکرده‌اند. سیاست‌های امنیتی باید سالیانه تجدید شده و باید کاربر پسندتر شود. مشتریان باید به وضوح درک کنند که چه کاری بکنند و چه کاری نکنند و از همه مهمتر اینکه دلیل این سیاست‌ها را بدانند.

امروزه بسیاری از دستورالعمل‌های کاربری تنها در یک وب‌سایت و یا بر روی کاغذ بصورت مشروح ارائه شده است. حال آنکه لازم است در آینده کاربران این دستورها را از طریق کانالهای ارتباطی متداول خود دریافت کنند (مانند متن‌های به اشتراک گذاشته شده). همچنین بهتر است کاربران طی یک آزمون، میزان درک خود از سیاست‌های امنیتی را نشان دهند که این کار به تیم فنی در شناسایی نقصان در دانش کاربران و برطرف کردن آن کمک شایانی خواهد کرد.

در دستورالعمل‌های کاربری، آگاهی دادن در خصوص تغییرات به کاربران بسیار مهم است. کاربران باید بدانند که به چه دلیل کسب و کاری و خطرات احتمالی، دیگر نمی‌توانند کارهای خاصی با ایمیل انجام دهند. به عنوان مثال، کاربران ممکن است متوجه نباشند زمانی که یک ایمیل را فروارد می‌کنند، ممکن است موضوعی شامل اطلاعات حساس و محرمانه را جابجا کنند. با اشاره‌ به این موضوع در سیاست کاربری تبیین شده، کاربران احتمالا خطر را درک کرده و از انجام آن اجتناب می‌کنند.

4-کاربران آموزش دیده؛ بهترین راه مبارزه با سارقان دیجیتال

درکنار تبیین دستورالعمل‌های کاربری؛ باید آموزشهای لازم در مورد حمله‌های فیشینگ به کاربران داده شود. اکثر کاربران اینترنت هنوز هم به راحتی گول می‌خورند و به اندازه‌ی کافی محتویاتی که دریافت می‌کنند را بررسی نمی‌کنند. بنابراین زمانی که تکنولوژی‌هایی چون جلوگیری از از بین رفتن داده‌ها می‌تواند برای کشف اقدام به حمله‌ی فیشینگ کمک کند، کاربران باید خط مقدم در دفاع باشند.

تجمع ایمیل‌های مختلف و اشتراک‌گذاری فایل‌ها در محیط‌های اجتماعی منجر به بالا رفتن احتمال وقوع اتفاقات ناخوشایند شده است. کاربران آموزش‌دیده کمک می‌کنند تا چاله‌های امنیتی بیشتری با بودجه‌ی کمتر پوشانده شود. اغلب اوقات سازمان‎ها آموزش را بسیار هزینه‌بر میدانند درحالیکه آموزش کارکنان سازمان با پیشگیری از یک واقعه‌ی فیشینگ متوسط در هر 5 سال، از نظر هزینه برد محسوب می‌شود.

5-استفاده از ایمیلهای شرکتی و شخصی به طور همزمان روی یک دستگاه

همانند مشکلی که برای هیلاری کلینتون و استفاده از ایمیل شخصی‌اش وجود داشت، بسیاری از مدیران هم مشکل استفاده از چندین دستگاه مجزا برای حسابهای کاربری شخصی و سازمانی خود دارند. کمتر کسی حاضر است که دو تبلت یا تلفن هوشمند حمل کند ولی در عین حال هیچ کسی نمی‌خواهد ایمیل‌های شخصی و ایمیل‌های محرمانه کاری او به صورت ناامن در کنار هم قرار گیرند.

تکنولوژی Good برای پاسخ به همین نیاز توسعه داده شد. این راهکار ابتدا با همکاری یکی از متخصصین امنیت و شرکت بلکبری و سرویس شرکت بلکبری راه‌اندازی شد. در ادامه، برای سهیم شدن کاربران آیفون و اندروئید نیز هزینه‌ای را برای نصب برنامه ی Good روی دستگاه‌شان درنظر گرفته شد.

برای دسترسی به داده‌های شرکتی، کاربران باید برنامه‌ی Good را روی گوشی خود دانلود کنند. این برنامه تضمین می‌کند که ایمیل‌های شخصی از ایمیل‌های شرکتی و خصوصی کاملا جدا می‌مانند. کاربران قادر به کپی کردن یا فروارد کردن ایمیل‌های شرکتی نخواهند بود. Good همچنین فعالیت‌های کاربران را ره‌گیری و ثبت می‌کند تا درصورت انتشار یا دزدیده شدن اطلاعات کارشناسان فنی بتوانند آنرا ردیابی و کشف کنند. همچنین در صورتی که دستگاهی گم شده یا به سرقت رود، می‌توان آنرا به سرعت ردیابی کرده یا اطلاعات آنرا پاک کرد.به‌علاوه، کاربران می‌توانند از تمام امکانات دستگاه خود استفاده کنند بدون این که امنیت اطلاعاتی به خطر افتد.

و در آخر یک توصیه مهم برای مدیران:

البته در کنار این موارد، باید توجه داشت که کارهای بسیاری وجود دارند که برای انجام دادن آنها ایمیل اصلا کانال مناسبی نیست. مثلا زمانی که یک هیات مدیره بخواهد در مورد آخرین تصمیمات مالی و یا اجرایی با مدیران بحث و گفتگو کند و همزمان، مدیران مالی مجبور به تعامل با یک شرکت رقیب در خصوص خرید باشد، ایمیل اصلا گزینه‌ی امنی برای تعامل به حساب نمی‌آید. در این مورد کاربران باید با یک پرتال خصوصی یا چهارچوب محرمانه با هم مرتبط شوند به طوری که در پایان جلسه تمام اطلاعات را پاک‌سازی و حذف کند و اجازه‌ی کپی‌برداری و یا ارسال اطلاعات را ندهد.