ایجاد بستری امن و اطمینان از عملکرد کارکنان سازمانها در استفاده صحیح از ایمیل از ملزومات امنیتی هر سازمانی به حساب میآید. در این مقاله شما با پیشنهادات ارائه شده از سوی [b]بهترینهای [/b]امنیت دنیا در خصوص حفظ امنیت ایمیل سازمانی آشنا خواهید شد. این افراد از بهترین مدیران امنیتی دنیا هستند و راههایی که در این مقاله مطالعه میکنید را برای به بهبود راهکارهای امنیتی ایمیل سازمانی پیشنهاد دادهاند:
پیش از ارائه راه حل با این محققان آشنا شوید:
- John Pescatore مدیر روالهای امنیتی نوظهور در موسسهی SANS
- Craig Gormé مدیر امنیت اطلاعات در مرکز بهداشت دانشگاه فلوریدا
- Seth Robinson، مدیر ارشد تجزیه و تحلیل فنآوری در شرکت CompTIA
- Duke Prestridge، مدیر مالی جامعه بانکی در کارولینای شمالی
- Peter Firstbrook معاون مدیرعامل شرکت تحقیقاتی Gartner
- Osterman، مدیرعامل مرکز پژوهشی Osterman
راهکارها:
1- بررسی مجدد نقش ایمیل در سازمان
علیرغم این که همه افراد در سازمانها و شرکتها امنیت ایمیل را درک میکنند ولیکن همچنان به صورت نا امن ایمیل میفرستند. سازمانها باید چگونگی استفاده از ایمیل در بین کارکنان خود را بررسی کرده تا اطمینان حاصل کنند که منطبق بر سیاستهای امنیتی برای رویارویی با خطرات و ریسکهای سازمان است. این بررسی باید شامل روشهای محافظت از تمام سیستم از جمله برنامه، سرور و نحوهی اتصال به اینترنت باشد، چرا که بسیاری از سازمانها زیرساختهای ایمیل خود را مدتها پیش ساخته و آسیبپذیری خود را به تازگی بررسی نکردهاند.
به عنوان مثال، قوانینی مانند “قانون انتقال و پاسخ گويي الکترونيک بيمه سلامت آمریکا” سازمان مرکز بهداشت دانشگاه فلوریدا را به ویژه در مواردی که مربوط به اطلاعات سلامت شخصی بود مجبور به بازبینی دستورالعمل ایمیل کرد.
بر اساس دستورالعملهای جدید کاربران موظفند ایمیلهای حاوی اطلاعات سلامت شخصی را فقط به صورت داخلی ارسال کنند و ارسال اینگونه ایمیلها به خارج از سازمان و یا از طریق سرویسهای ایمیل دیگر ممنوع است. در صورتی که در مکاتبات نیاز به اطلاعات سلامت شخصی است، آنها باید از روشهای امنتر دیگری مانند پیام رمزگذاری شده و یا انتقال امن فایل استفاده کنند.
سازمانها باید با کاربران خود بسیار شفاف و قاطع باشند. ایمیل شرکتی صرفا برای مکاتبات مربوط به شرکت است و نباید آن را برای استفاده شخصی بکار برد. با نظارت دقیق بر نحوه کاربری، سازمانها باید توان خود را در جهت کنترل و محدودیت کاربری ایمیل و در نتیجه حفظ کاربران از شرایط منجر به خطرات امنیتی معطوف کنند. به عنوان مثال، سازمان باید چگونگی برخورد با تبادل ویدئوها و فایلهای پیوست شده را تعیین کنند و سیاست واضحی در خصوص چگونگی ادارهی این موارد داشته باشند.
2-بازبینی حاکمیت سازمان
سیاستهای مربوط به ایمیل باید به اصطلاح “تا بن دندان مسلح” باشند و تنها راه انجام این کار ایجاد حاکمیت مناسب، اجرای سیاستها و پشتیبانی قدرتمند [b]مدیریت فنی[/b] سازمان است. بسیاری از مدیران امنیتی معتقدند که وضعیت پیش آمده برای خانم هیلاری کلینتون میتواند ریشه در حمایت ضعیف مدیران فنی از سیاستهای مربوط به استفاده از ایمیل داشته باشد.
معمولا در ابتدای کار، پایهگذاری دستورالعملهای نظارتی بر اساس استانداردها با مقاومت مواجه خواهند شد، ولی به مرور مقاومت از بین خواهد رفت. مدیران فنی باید تمام موقعیتها را هم در حوزه مدیریت فنی هم در حوزه مدیریت ریسک در نظر بگیرند. این احتمال وجود دارد که بر اثر حملههای هوشمندانهای که از نقصهای عمومی استفاده میکنند، همه چیز تغییر کند. بنابراین موقعیت مدیر فنی باید قدرتمندتر شده ومجوزهای مورد نیاز برای حفاظت از سازمان را داشته باشد.
در صورتی که بدنه حاکمیت قدرتمند و دقیق باشد، میتواند در یک وضعیت نامطلوب -مانند زمانی که مدیری به طور خودسر بخواهد از منابع استفاده کند- مداخله کند. یک بدنه قدرتمند با عملکرد متقابل (که مسئولانی از واحدهای مختلف سازمان مثل حقوقی، فنی، و منابع انسانی داشته باشد) قادر خواهد بود خطرات مربوط به استفاده غیر اصولی از منابع را به مدیران توضیح دهد درحالیکه همزمان بخش فنی را برای یافتن روشهای امنتر تشویق میکند.
در نهایت، با توجه تغییرات روز افزون تکنولوژیها در استفاده از خدمات نوینی مانند سرویسهای ابری سازمان باید درک صحیحی از فرآیندها و تست فرآیندهای معادل در سیستم ابری داشته باشد. بدنه حاکمیت قدرتمند قادر است انتقال خدمات ایمیل سازمان به سرویس ایمیل مبتنی بر ابر را به درستی مدیریت کند و فرآیندهای رویارویی با رخدادها نیز به طور منظم تست شوند.
3-کاربردی کردن سیاستهای معتبر امنیتی
حاکمیت سازمان باید سیاستها و دستورالعملهای کاربری معینی برای استفاده از تکنولوژیهای نوین نظیر متحرک بودن، سیستم ابری، شبکههای اجتماعی و سایر سرویسهای روز دنیا ارائه دهد.
متخصصان امنیتی معتقدند بیشتر سازمانها دستورالعملهای کاربری قابل قبولی ندارند و یا کاربران را در مورد سیاستهای امینتی به اندازه کافی آموزش نداده، یا به اندازه کافی اهمیت این دستورالعملها را یادآوری نکردهاند. سیاستهای امنیتی باید سالیانه تجدید شده و باید کاربر پسندتر شود. مشتریان باید به وضوح درک کنند که چه کاری بکنند و چه کاری نکنند و از همه مهمتر اینکه دلیل این سیاستها را بدانند.
امروزه بسیاری از دستورالعملهای کاربری تنها در یک وبسایت و یا بر روی کاغذ بصورت مشروح ارائه شده است. حال آنکه لازم است در آینده کاربران این دستورها را از طریق کانالهای ارتباطی متداول خود دریافت کنند (مانند متنهای به اشتراک گذاشته شده). همچنین بهتر است کاربران طی یک آزمون، میزان درک خود از سیاستهای امنیتی را نشان دهند که این کار به تیم فنی در شناسایی نقصان در دانش کاربران و برطرف کردن آن کمک شایانی خواهد کرد.
در دستورالعملهای کاربری، آگاهی دادن در خصوص تغییرات به کاربران بسیار مهم است. کاربران باید بدانند که به چه دلیل کسب و کاری و خطرات احتمالی، دیگر نمیتوانند کارهای خاصی با ایمیل انجام دهند. به عنوان مثال، کاربران ممکن است متوجه نباشند زمانی که یک ایمیل را فروارد میکنند، ممکن است موضوعی شامل اطلاعات حساس و محرمانه را جابجا کنند. با اشاره به این موضوع در سیاست کاربری تبیین شده، کاربران احتمالا خطر را درک کرده و از انجام آن اجتناب میکنند.
4-کاربران آموزش دیده؛ بهترین راه مبارزه با سارقان دیجیتال
درکنار تبیین دستورالعملهای کاربری؛ باید آموزشهای لازم در مورد حملههای فیشینگ به کاربران داده شود. اکثر کاربران اینترنت هنوز هم به راحتی گول میخورند و به اندازهی کافی محتویاتی که دریافت میکنند را بررسی نمیکنند. بنابراین زمانی که تکنولوژیهایی چون جلوگیری از از بین رفتن دادهها میتواند برای کشف اقدام به حملهی فیشینگ کمک کند، کاربران باید خط مقدم در دفاع باشند.
تجمع ایمیلهای مختلف و اشتراکگذاری فایلها در محیطهای اجتماعی منجر به بالا رفتن احتمال وقوع اتفاقات ناخوشایند شده است. کاربران آموزشدیده کمک میکنند تا چالههای امنیتی بیشتری با بودجهی کمتر پوشانده شود. اغلب اوقات سازمانها آموزش را بسیار هزینهبر میدانند درحالیکه آموزش کارکنان سازمان با پیشگیری از یک واقعهی فیشینگ متوسط در هر 5 سال، از نظر هزینه برد محسوب میشود.
5-استفاده از ایمیلهای شرکتی و شخصی به طور همزمان روی یک دستگاه
همانند مشکلی که برای هیلاری کلینتون و استفاده از ایمیل شخصیاش وجود داشت، بسیاری از مدیران هم مشکل استفاده از چندین دستگاه مجزا برای حسابهای کاربری شخصی و سازمانی خود دارند. کمتر کسی حاضر است که دو تبلت یا تلفن هوشمند حمل کند ولی در عین حال هیچ کسی نمیخواهد ایمیلهای شخصی و ایمیلهای محرمانه کاری او به صورت ناامن در کنار هم قرار گیرند.
تکنولوژی Good برای پاسخ به همین نیاز توسعه داده شد. این راهکار ابتدا با همکاری یکی از متخصصین امنیت و شرکت بلکبری و سرویس شرکت بلکبری راهاندازی شد. در ادامه، برای سهیم شدن کاربران آیفون و اندروئید نیز هزینهای را برای نصب برنامه ی Good روی دستگاهشان درنظر گرفته شد.
برای دسترسی به دادههای شرکتی، کاربران باید برنامهی Good را روی گوشی خود دانلود کنند. این برنامه تضمین میکند که ایمیلهای شخصی از ایمیلهای شرکتی و خصوصی کاملا جدا میمانند. کاربران قادر به کپی کردن یا فروارد کردن ایمیلهای شرکتی نخواهند بود. Good همچنین فعالیتهای کاربران را رهگیری و ثبت میکند تا درصورت انتشار یا دزدیده شدن اطلاعات کارشناسان فنی بتوانند آنرا ردیابی و کشف کنند. همچنین در صورتی که دستگاهی گم شده یا به سرقت رود، میتوان آنرا به سرعت ردیابی کرده یا اطلاعات آنرا پاک کرد.بهعلاوه، کاربران میتوانند از تمام امکانات دستگاه خود استفاده کنند بدون این که امنیت اطلاعاتی به خطر افتد.
و در آخر یک توصیه مهم برای مدیران:
البته در کنار این موارد، باید توجه داشت که کارهای بسیاری وجود دارند که برای انجام دادن آنها ایمیل اصلا کانال مناسبی نیست. مثلا زمانی که یک هیات مدیره بخواهد در مورد آخرین تصمیمات مالی و یا اجرایی با مدیران بحث و گفتگو کند و همزمان، مدیران مالی مجبور به تعامل با یک شرکت رقیب در خصوص خرید باشد، ایمیل اصلا گزینهی امنی برای تعامل به حساب نمیآید. در این مورد کاربران باید با یک پرتال خصوصی یا چهارچوب محرمانه با هم مرتبط شوند به طوری که در پایان جلسه تمام اطلاعات را پاکسازی و حذف کند و اجازهی کپیبرداری و یا ارسال اطلاعات را ندهد.