کنترل های عمومی برای حفاظت از اطلاعات و جلوگیری از کلاهبرداری در کسب و کار الکترونیکی
کنترل های عمومی برای حفاظت از اطلاعات و جلوگیری از کلاهبرداری در کسب و کار الکترونیکی
این روزها حملات هکری و افشای اطلاعات برای سایت ها و کسب و کارهای آنلاین خسارات بسیار زیادی به وجود آورده است که کاربران با انجام کنترل هایی که انجام می شود، می توانند تا حد زیادی جلوی این خسارات را بگیرند.
این روزها حملات هکری و افشای اطلاعات برای سایت ها و کسب و کارهای آنلاین خسارات بسیار زیادی به وجود آورده است که کاربران با انجام کنترل هایی که انجام می شود، می توانند تا حد زیادی جلوی این خسارات را بگیرند.
کنترل های عمومی شامل موارد زیر است:
کنترل های عمومی شامل موارد زیر است:
- کنترل فیزیکی
- کنترل دستیابی
- کنترل امنیت اطلاعات
- کنترل شبکه ارتباطی
- کنترل اجرایی
کنترل های فیزیکی: امنیت فیزیکی به حفاظت از تجهیزات و منابع کامپیوتر گفته میشود. این نوع کنترل شامل حفاظت از سرمایههای فیزیکی مانند کامپیوترها، مرکز دادهمراکز داده، نرم افزارها، کتابچههای راهنما و شبکههاست. همچنین شامل محافظت در مقابل اکثر خطرات طبیعی و برخی از خطرات انسانی نیز میباشد. امنیت فیزیکی مناسب میتواند شامل کنترلهای متعددی مانند زیر باشد:
- طراحی صحیح مرکز داده. به عنوان مثال مرکز داده باید ضد آب و غیرقابل احتراق باشد.
- در مقابل میدانهای الکترومغناطیسی محافظت کننده باشد.
- سیستمهای پشیگیری از آتش سوزی، تشخیص و تمیز مناسب، از جمله سیستمهای آب پاش، پمپهای آب و تجهیزات آبهای زائد کافی.
- خاموش کننده در مواقع اضطراری و باتریهای پشتیبان که باید در شرایط عملیاتی نگهداری شود.
- سیستمهای تهویه هوا با طراحی مناسب.
- هشدارهای تشخیص دهنده تکان و تشخص مزاحمت فیزیکی.
کنترلهای دسترسی: کنترلهای دسترسی به مدیریت افرادی گفته میشوند که مجاز به استفاده از سختافزار و نرمافزار نیستند. روشهای کنترل دسترسی مانند فایروال و فهرستهای کنترل دسترسی، دسترسی به شبکه، پایگاه داده، فایل یا دادهها را محدود میکند. کنترل دسترسی مهمترین خط دفاعی در برابر افراد خودی غیرمجاز و همچنین افراد خارج از سازمان است. کنترل دسترسی شامل اجازه و تایید است که شناسایی کاربر نیز نامیده میشود. مدلهای تایید شامل موارد زیر هستند:
- چیزی که فقط کاربر میداند مانند پسورد
- چیزی که فقط کاربر دارد مانند کارت هوشمند یا توکن
- چیزی که فقط مربوط به کاربر است مانند امضا، صدا، اثرانگشت یا شبکیه چشم از طریق کنترلهای بیومتریک که میتواند فیزیکی یا رفتاری باشد.
کنترلهای اجرایی
کنترل های اجرایی شامل موارد زیر است:
کنترل های اجرایی شامل موارد زیر است:
- آموزش، انتخاب و نظارت بر کارمندان به ویژه در سیستمهای اطلاعاتی و حسابرسی
- افزایش وفاداری به شرکت
- لزوم تغییر و اصلاح دورهای کنترلهای دسترسی
- طراحی برنامهها و استانداردهای سندسازی (به منظور سهولت در حسابرسی و کاربرد استانداردها به عنوان رهنمونهایی برای کارمندان).
- اصرار بر اوراق بهادار ایمن یا بیمه تخلف کارمندان اصلی
- تفکیک وظایف یعنی تقسیم وظایف کامپیوتر به تعداد افراد و به طور مقرون به صرفه به منظور کاهش شانس آسیب خواستهی ناخواسته
- انجام حسابرسیهای تصادفی دورهای سیستم
امنیت شبکه ارتباطی
اقدامات امنیت شبکه شامل سه نوع دفاع است که لایهها نامیده میشوند.
لایه نخست: امنیت محیطی برای کنترل دستیابی به شبکه: نمونههای آن آن آنتی ویروس و فایروال هستند.
لایه دوم: تایید برای احرازهویت فردی که خواهان دسترسی به شبکه است. نمونههای آن نام کاربری و پسوردها هستند.
لایه سوم: اجازه برای کنترل آنچه که کاربران مجاز میتوانند هنگام دسترسی به شبکه انجام دهند. نمونههای آن آن مجوزها و دفترهای راهنما هستند. جزئیات این سه لایه در شکل 5.12 نشان داده شده است.
کنترل امنیت اطلاعات:
امنیت و کنترل نقطه پایان یا کاربر نهایی بسیار مهم است. بسیاری از مدیران ریسک تجاری ایجاد شده توسط دستگاههای ذخیره قابل حمل بدون کد امنیتی را به خوبی مورد توجه قرار نمیدهند که نمونهای از نقاط پایان است. اطلاعات تجاری غالبا از طریق تلفنهای هوشمند، و کارتهای قابل حمل بدون مجوز و نظارت IT یا محافظت کافی در برابر مفقود شدن یا سرقت ذخیره و جابجا میشود. طبق تحقیق کاربردی، از هر چهار کارمند سه نفر آنها اطلاعات شرکت را بر روی اینگونه وسایل ذخیره میکنند.
طبق یافتههای تحقیق آنها، 25 درصد گزارشهای مشتریان، 17 درصد اطلاعات مالی و 15 درصد برنامه کسب و کار را در اینگونه وسایل ذخیره میکنند. اما کمتر از 50 درصد این درایوها رمزگذاری شدهاند و حتی اطلاعات ذخیره شده در تلفن هوشمند نیز امنیت کافی را ندارند.
اقدامات امنیت شبکه شامل سه نوع دفاع است که لایهها نامیده میشوند.
لایه نخست: امنیت محیطی برای کنترل دستیابی به شبکه: نمونههای آن آن آنتی ویروس و فایروال هستند.
لایه دوم: تایید برای احرازهویت فردی که خواهان دسترسی به شبکه است. نمونههای آن نام کاربری و پسوردها هستند.
لایه سوم: اجازه برای کنترل آنچه که کاربران مجاز میتوانند هنگام دسترسی به شبکه انجام دهند. نمونههای آن آن مجوزها و دفترهای راهنما هستند. جزئیات این سه لایه در شکل 5.12 نشان داده شده است.
کنترل امنیت اطلاعات:
امنیت و کنترل نقطه پایان یا کاربر نهایی بسیار مهم است. بسیاری از مدیران ریسک تجاری ایجاد شده توسط دستگاههای ذخیره قابل حمل بدون کد امنیتی را به خوبی مورد توجه قرار نمیدهند که نمونهای از نقاط پایان است. اطلاعات تجاری غالبا از طریق تلفنهای هوشمند، و کارتهای قابل حمل بدون مجوز و نظارت IT یا محافظت کافی در برابر مفقود شدن یا سرقت ذخیره و جابجا میشود. طبق تحقیق کاربردی، از هر چهار کارمند سه نفر آنها اطلاعات شرکت را بر روی اینگونه وسایل ذخیره میکنند.
طبق یافتههای تحقیق آنها، 25 درصد گزارشهای مشتریان، 17 درصد اطلاعات مالی و 15 درصد برنامه کسب و کار را در اینگونه وسایل ذخیره میکنند. اما کمتر از 50 درصد این درایوها رمزگذاری شدهاند و حتی اطلاعات ذخیره شده در تلفن هوشمند نیز امنیت کافی را ندارند.
منبع:
ایران هشدار
