بیت دیفندر

امنیت داده (Data Security) چیست؟

تعریف امنیت داده

امنیت داده، پروسه محافظت از اطلاعات دیجیتال در تمام چرخه حیات آن جهت پیشگیری از هر گونه سوءاستفاده، سرقت یا دسترسی غیرمجاز است. امنیت داده‌ها هر چیزی را می‌تواند شامل شود: سخت‌افزار، نرم‌افزار، تجهیزات ذخیره‌سازی و دستگاه‌های کاربران، دسترسی و کنترل‌ حساب‌های Admin و سیاست‌ها و رویه‌های تدوین شده برای سازمان‌ها.

امنیت داده‌ها از ابزارها و فناوری‌هایی استفاده می‌کند که پایش داده‌های یک سازمان و نحوه بکارگیری آن‌ها را بهبود می‌بخشد. این ابزارها می‌توانند از داده‌ها در برابر تهدیداتی نظیر پنهان‌سازی داده (Data Masking)، رمزگذاری و ویرایش اطلاعات حساس محافظت کنند. فناوری‌های بکارگرفته شده در راهکارهای امنیتی همچنین به سازمان‌ها کمک می‌کند تا پروسه‌های بازرسی خود را ساده‌تر کنند و از مقررات سختگیرانه حفاظت از داده‌ها پیروی نمایند.

مدیریت منسجم امنیت داده، سازمان‌ها را قادر می‌سازد از اطلاعات خود در برابر حملات سایبری محافظت کنند. همچنین به آن‌ها کمک می‌کند تا خطر خطای انسانی و تهدیدات داخلی را که همچنان عامل بسیاری از نشت‌های داده‌ها هستند، به حداقل برسانند. در ادامه با بررسی مزایای امنیت داده به تعریف بیشتری از این مفهوم می پردازیم.

مزایای امنیت داده‌

به نوعی، با نگاه کردن به مزایای حفظ امنیت داده که در ادامه با جزئیات بیشتر توضیح داده شده، تعریف امنیت داده آسان‌تر می‌شود:

مزایای امنیت داده

چرا امنیت داده‌ها برای سازمان ها مهم است؟

دلایل زیادی وجود دارد که چرا حفظ امنیت داده‌ها برای سازمان‌ها در تمامی صنایع در سراسر جهان مهم است. سازمان‌ها از نظر قانونی موظف هستند از داده‌های مشتریان و کاربران در برابر مفقود یا سرقت شدن و در دسترس افرا غیرمجاز قرار گرفتن محافظت کنند. به عنوان مثال، استانداردهای زیر تعهدات قانونی سازمان‌ها را جهت حفاظت از داده‌ها تشریح می‌نمایند:

استانداردهای امنیت داده

همچنین امنیت سایبری داده‌ها موجب جلوگیری از نشت داده‌ها می‌شود. هک یا از دست دادن داده‌های سازمان‌ها می‌تواند منجر به از بین رفتن اعتماد مشتریان به سازمان و واگذاری کسب‌وکار به رقیبان شود. علاوه بر این ضمن به بار آوردن خطر خسارات مالی جدی، سازمان موظف به پرداخت قانونی جریمه و ترمیم خسارت در صورت از بین رفتن داده‌های حساس می‌باشد.

مقایسه امنیت داده و حریم خصوصی داده‌ها

امنیت داده‌ها و حریم خصوصی داده‌ها هر دو موجب محافظت از داده‌ها می‌شوند، اما با هم تفاوت دارند. امنیت داده مستلزم کنترل دسترسی به داده‌ها با بکارگیری قواعد سفت و سخت و کاملاً واضح و شفاف است. به عنوان مثال، به موجب یکی از سیاست‌ها در حفظ امنیت داده، هیچ کس به جز کسی که یک پایگاه داده را عیب‌یابی می‌کند، اجازه دستیابی به اطلاعات پرداخت مشتری را ندارد. به این ترتیب، احتمال نقض امنیت داده کاهش می‌یابد.

از سوی دیگر، حریم خصوصی داده‌ها شامل تصمیمات ظریف‌تر و استراتژیک‌تر در خصوص اشخاصی است که به انواع خاصی از داده‌ها دسترسی دارند.. با استفاده از همین مثال، استراتژی سازمان دیگری ممکن است به تیم توسعه کمک کند تا بدانند کدام مشتریان با استفاده از PayPal پرداخت کرده‌اند. سپس آنها می‌توانند تصمیم بگیرند که آیا عاقلانه است که Payoneer، Skrill یا Stripe را نیز بپذیرند یا خیر. سپس اجازه دهند تا برای دو هفته بعدی به اطلاعات پرداخت دسترسی داشته باشند.

وقتی صحبت از امنیت داده در رایانش ابری یا بسترهای درون سازمانی می‌شود، این نوع از تصمیمات بیشتر در حوزه حریم خصوصی داده‌ها قرار می‌گیرند.

به عنوان مثال سایت هایی که برای ثبت نام کاربر اطلاعاتی مانند شماره تماس، نام، کدملی و... را دریافت و جمع آوری میکنند، حفاظت از این اطلاعات در برابر سرقت مهاجمان امنیت داده می باشد و حفظ این اطلاعات که برای کاربران دیگر سایت قابل نمایش نبوده و کاربر حق انتخاب برای انتشار یا عدم انتشار آن ها را داشته باشد، حریم خصوصی داده می باشد.

بهترین راه جهت حفظ امنیت داده‌ها و حریم خصوصی

چرا حفظ امنیت داده‌ها اهمیت دارد؟ در درجه اول، داده‌های شما را ایمن نگه داشته و موجب اعتماد مشتریان شما می‌شود. در اینجا به برخی از بهترین اقداماتی که بکارگیری آنها در سازمان‌ها موثر بوده، می‌پردازیم:

انواع امنیت داده

سازمان‌ها می‌توانند از طیف گسترده‌ای از انواع امنیت داده جهت محافظت از داده‌ها، دستگاه‌ها، شبکه‌ها، سیستم‌ها و کاربران خود استفاده کنند. برخی از رایج‌ترین انواع امنیت داده‌ که سازمان‌ها باید با بکارگیری ترکیبی آن‌ها از داشتن بهترین استراتژی ممکن، اطمینان حاصل نمایند، عبارتند از:

رمزگذاری (Encryption)

رمزگذاری داده‌ها به معنای بکارگیری الگوریتم‌هایی در جهت در همریختن داده‌ها و پنهان کردن داده‌ها می‌باشد. رمزگذاری داده‌ها تضمین می‌کند که فقط گیرندگان پیام‌ با در اختیار داشتن کلید رمزگشایی مناسب، توانایی خواندن داده‌ها را دارند. این امر جهت پیشگیری از نشت داده‌ها بسیار مهم است زیرا حتی اگر مهاجم بتواند به داده‌ها دسترسی پیدا کند بدون کلید رمزگشایی قادر به خواندن داده‌ نخواهد بود.
رمزگذاری داده‌ها همچنین شامل بکارگیری راهکارهایی نظیر Tokenization است که از داده‌ها هنگام انتقال در کل زیرساخت فناوری اطلاعات سازمان محافظت می‌کند.

پاک کردن داده‌ها

توصیه می‌شود در مواردی که سازمان‌ها دیگر نیازی به داده‌های خاصی ندارند، برای همیشه آن‌ها را از سیستم خود حذف کنند. پاک‌کردن داده‌ها  تکنیکی موثر جهت مدیریت امنیت داده است و شانس و احتمال وقوع نشت‌داده را کاهش می‌دهد.

پنهان‌سازی داده‌ها

مخفی‌سازی داده‌ها (Data Masking) به یک سازمان امکان می‌دهد تا با پنهان کردن و جایگزین کردن حروف یا اعداد خاصی، داده‌ها را پنهان کند. این فرآیند نوعی رمزگذاری است که در صورت رهگیری داده‌ها توسط هکرها، داده‌ها را غیرقابل مصرف می‌کند. پیام اصلی فقط توسط شخصی قابل خواندن است که کد رمزگشایی یا کاراکترهای جایگزین شده را داشته باشد.

پایداری داده‌ها

سازمان‌ها می‌توانند با ایجاد نسخ پشتیبان یا کپی از داده‌های خود، خطر سرقت یا از دست دادن تصادفی داده‌ها را کاهش دهند. تهیه نسخ پشتیبان از داده‌ها جهت محافظت از اطلاعات و اطمینان از دسترسی دائمی آنها بسیار حیاتی است. این امر به ویژه در هنگام نشت داده یا حملات باج‌افزاری بسیار مهم است. علاوه بر این اطمینان حاصل نمائید که سازمان می‌تواند نسخ پشتیبان را در مواقع مورد نیاز بازیابی کند.

بزرگترین خطرات نقض امنیت داده

سازمان‌ها امروزه با تهدیدات امنیتی پیچیده‌تر و حملات سایبری پیشرفته‌تری، روبرو هستند. برخی از بزرگترین خطرات در نقض امنیت داده‌ها عبارتند از:

افشاء سهوی داده‌ها

بسیاری از نشت‌های داده‌ نتیجه هک نیست، بلکه از طریق کارمندانی است که به‌طور سهوی یا در اثر سهل‌انگاری اطلاعات حساس را افشاء می‌کنند. کارمندان به راحتی می‌توانند داده‌ها را در اختیار فرد غیرمجازی قرار دهند، یا اجازه دسترسی به داده‌ها را بدهند و یا به دلیل عدم آگاهی از سیاست‌های امنیتی سازمانی خود، اطلاعات را اشتباه مدیریت کنند یا آنها را از دست بدهند.

حملات فیشینگ

در حملات فیشینگ، مجرمان سایبری پیام‌هایی را معمولاً از طریق ایمیل، سرویس پیام کوتاه (SMS) یا سرویس‌های پیام‌رسان فوری (Instant Messaging Services) ارسال می‌کنند که در ظاهر به نظر می‌رسد از یک فرستنده معتبر و قابل اعتماد باشد. این پیام‌ها شامل پیوندهای مخرب یا پیوست‌هایی هستند که گیرندگان را به دانلود بدافزار یا بازدید از یک ‌سایت جعلی ترغیب می‌کنند. به این ترتیب مهاجمان قادر خواهند بود تا اطلاعات اصالت‌سنجی کاربران یا اطلاعات مالی آنها را سرقت کنند.

این حملات همچنین می‌تواند به مهاجمان کمک کند تا دستگاه‌های کاربران را هک کنند یا به شبکه سازمان‌ها دسترسی پیدا کنند. حملات فیشینگ اغلب با مهندسی اجتماعی همراه می‌شوند که هکرها از آن برای دستیابی به اطلاعات حساس یا رمزهای عبور حساب‌های قربانیان استفاده می‌کنند.

تهدیدات داخلی

یکی از بزرگترین تهدیدات علیه امنیت داده‌ها در هر سازمانی، خود کارکنان آن هستند. تهدیدات داخلی افرادی هستند که به طور عمدی یا سهواً داده‌های سازمان خود را در معرض خطر قرار می‌دهند. تهدیدات داخلی در سه دسته قرار می‌گیرند:

  1. حساب کاربری هک شده: در این حالت، کارمند متوجه نمی‌شود که حساب یا اطلاعات اصالت‌سنجی او هک شده است. یک مهاجم می‌تواند خود را کارمندی معتبر معرفی کرده و اقدام به اجرای فعالیت‌های مخرب نماید.
  2. کارمند بدخواه: کارمند بدخواه به طور فعال تلاش می‌کند تا داده‌ها را از سازمان خود سرقت کند و در جهت منافع شخصی خود به سازمان آسیب برساند.
  3. کارمند سهل‌انگار: کارمند به طور تصادفی، از طریق رفتارهای سهل‌انگارانه، با رعایت نکردن خط‌مشی‌ها یا قواعد امنیتی یا ناآگاهی از آن‌ها، باعث آسیب به سازمان و داده‌های آن می‌شود.

بدافزار

نرم‌افزارهای مخرب معمولاً از طریق ایمیل و حملات مبتنی بر وب منتشر می‌شوند. مهاجمان با سوءاستفاده از آسیب‌پذیری‌های موجود در نرم‌افزارها، مرورگرهای وب یا برنامه‌های کاربردی تحت وب از بدافزارها جهت آلوده کردن سیستم‌ها و شبکه‌های سازمان، استفاده می‌کنند. بدافزار می‌تواند منجر به حملات سایبری نظیر سرقت داده، اخاذی و آسیب به شبکه شوند.

باج‌افزار

حملات باج‌افزاری خطری جدی برای امنیت داده‌ها در سازمان‌ها با هر اندازه و مقیاسی می‌باشند. باج‌افزار نوعی بدافزار است که هدف آن آلوده نمودن دستگاه‌ها و رمزگذاری داده‌های آنهاست. سپس مهاجمان با وعده بازگرداندن یا بازیابی داده‌‌ها پس از پرداخت باج، از قربانی خود باج مطالبه می‌کنند. برخی از انواع باج‌افزار به سرعت پخش می‌شوند و کل شبکه‌ را آلوده می‌کنند؛ حتی باج‌افزارها می‌توانند نسخ پشتیبان سرورهای داده را نیز از بین ببرند.

همچنین بخوانید: حذف رایگان باج افزار

ذخیره‌سازی داده‌های ابری

سازمان‌ها به طور فزاینده‌ای داده‌ها را به بسترهای ابری منتقل می‌کنند و به منظور امکان همکاری و اشتراک‌گذاری آسان‌تر، ابتدا از بسترهای مبتنی بر ابر استفاده می‌کنند. اما انتقال داده‌ها به بسترهای ابری می‌تواند کنترل و محافظت از آن را در برابر از دست دادن داده‌ها دشوارتر کند. بکارگیری بسترهای ابری برای پروسه‌های کار از راه دور که در آن کاربران با استفاده از دستگاه‌های شخصی و شبکه‌های کمتر امن به اطلاعات دسترسی پیدا می‌کنند، حیاتی است. این کار اشتراک‌گذاری اشتباه داده‌ها که ممکن است به طور تصادفی انجام شود یا اشتراک داده‌ها با اهداف خرابکارانه را با اشخاص غیرمجاز آسان‌تر می‌کند.

راهکارهای حیاتی حفاظت از امنیت داده‌ها

راهکارهای بی‌شماری جهت محافظت از اطلاعات و داده‌های کاربران در سازمان‌ها وجود دارد که در ادامه به آنها می‌پردازیم:

کنترل دسترسی

کنترل‌ دسترسی، سازمان‌ها را قادر می‌سازد تا قواعدی را در خصوص افرادی که مجاز به دسترسی به داده‌ها و سیستم‌ها در بسترهای دیجیتالی هستند، اعمال کنند. آنها این کار را از طریق فهرستی موسوم به Access Control List – به اختصار ACL – انجام می‌دهند که دسترسی به فهرست‌ها، فایل‌ها و شبکه‌ها را فیلتر می‌کنند و مشخص می‌نمایند که کدام یک از کاربران مجاز به دسترسی به اطلاعات و سیستم‌ها می‌باشند.

حفظ امنیت داده در بسترهای ابری

همانطور که سازمان‌ها به طور فزاینده‌ای در حال انتقال داده‌های خود به بسترهای ابری هستند، به راهکاری نیاز دارند که آنها را قادر می‌سازد:

  • داده‌ها را در حین انتقال به بسترهای ابری ایمن کنند.
  • از برنامه‌های کاربردی مبتنی بر ابر محافظت کنند.

این امر حتی برای ایمن نمودن پروسه‌های کاری پویا بسیار مهم است زیرا کارمندان اغلب امروزه از خانه و به صورت دورکار کار می‌کنند.

پیشگیری از از دست رفتن داده‌ها

پیشگیری از از دست رفتن داده‌ها (Data Loss Prevention – به اختصار DLP) سازمان‌ها را قادر می‌سازد تا هر گونه نشت احتمالی داده‌ها را شناسایی و از آن جلوگیری کنند. همچنین به آن‌ها کمک می‌کند تا نفوذ و اشتراک‌گذاری غیرمجاز اطلاعات در خارج از سازمان را شناسایی نمایند، اطلاعات را به نحو بهینه‌ای پایش کنند و ضمن جلوگیری از تخریب داده‌های حساس، بر مبنای مقررات و قواعد داده‌های مربوطه عمل نمایند.

امنیت ایمیل

ابزارهای امنیتی مبتنی بر ایمیل این امکان را برای سازمان‌ها فراهم می‌کنند تا تهدیدات امنیتی ناشی از ایمیل را شناسایی و از آنها جلوگیری کنند. این امر نقش مهمی در جلوگیری از کلیک کردن کارمندان بر روی لینک‌های مخرب، باز کردن پیوست‌های بدافزاری و بازدید از سایت‌های جعلی دارد. راهکارهای امنیتی ایمیل همچنین می‌توانند رمزگذاری سراسری را در ایمیل و پیام‌های تلفن همراه ارائه دهند که این امر داده‌ها را ایمن نگه می‌دارد.

مدیریت کلیدها

مدیریت کلیدها شامل بکارگیری کلیدهای رمزنگاری جهت رمزگذاری داده‌ها است. کلیدهای عمومی و خصوصی برای رمزگذاری و سپس رمزگشایی داده‌ها مورد استفاده قرار می‌گیرند که امکان اشتراک‌گذاری امن داده‌ها را فراهم می‌کنند. سازمان‌ها همچنین می‌توانند از هش (Hash) برای تبدیل هر رشته از کاراکترها به مقادیر دیگر استفاده کنند تا بدین ترتیب از بکارگیری کلیدها اجتناب نمایند.

استانداردهای امنیت داده‌ها

امنیت داده‌ها به سازمان‌ها اجازه می‌دهد تا از استانداردها، قوانین و مقررات ایالتی پیروی کنند. برخی از مهم‌ترین این استانداردها عبارتند از:

General Data Protection Regulation

استاندارد General Data Protection Regulations – به اختصار GDPR – قانونی است که از داده‌های شخصی شهروندان اروپایی محافظت می‌کند. هدف آن افزایش کنترل و حفظ حقوق و حریم خصوصی افراد بر روی داده‌هایشان است و کنترل‌های شدیدی را بر نحوه پردازش این اطلاعات توسط سازمان‌ها اعمال می‌کند. GDPR تضمین می‌کند که سازمان‌ها داده‌های شخصی را به صورت ایمن پردازش می‌کنند و از داده‌ها در برابر پردازش غیرمجاز، از دست رفتن تصادفی، آسیب و تخریب محافظت می‌کند. همچنین نقض این استاندارد، جریمه‌ای معادل 4 درصد از گردش مالی سالانه یک شرکت یا 20 میلیون یورو (هر کدام مقدار بالاتری دارد) را به همراه خواهد داشت.

California Consumer Privacy Act

هدف قانون California Consumer Privacy Act  – به اختصار CCPA – این است که به مصرف‌کنندگان کنترل بیشتری بر نحوه جمع‌آوری داده‌های شخصی توسط کسب‌وکارها بدهد. این استاندارد حقوق زیر را برای کاربران به رسمیت می‌شناسد:

  • آگاهی از داده‌هایی که یک کسب‌وکار در اختیار دارد.
  • کسب‌وکارها چگونه از آن داده‌ها استفاده می‌کنند و یا چگونه آن را به اشتراک می‌گذارند.
  • حق حذف آن اطلاعات.
  • حق جلوگیری از فروش آن داده‌ها به اشخاص ثالث.
  • حق اجتناب از تفکیک مفاد استاندارد CCPA در هنگام اجرا.
  • سازمان‌ها باید به مصرف‌کنندگان در خصوص شیوه‌های حفظ حریم خصوصی آنها اطلاع‌رسانی کنند.

Health Insurance Portability and Accountability Act

قانون Health Insurance Portability and Accountability Act – به اختصار HIPAA – یکی از قوانین دولت امریکا است که از داده‌های پزشکی بیماران و انتشار و افشاء آنها بدون رضایت یا اطلاع بیماران محافظت می‌کند. در واقع HIPAA قانون حفظ حریم خصوصی است که به افشاء و بکارگیری اطلاعات بیماران می‌پردازد و تضمین می‌کند که داده‌ها به درستی محافظت می‌شوند. همچنین به موجب این قانون امنیتی تمام اطلاعات بهداشتی که از طریق آن هویت افراد قابل تشخیص است و در یک سازمان به صورت الکترونیکی ایجاد، نگهداری، دریافت یا منتقل می‌شود، محافظت می‌شوند.

عدم رعایت این استاندارد منجر به جریمه 50 هزار دلاری برای هر تخلف، حداکثر جریمه سالانه 1.5 میلیون دلاری و 10 سال زندان می‌شود.

Sarbanes-Oxley Act

Sarbanes-Oxley – به اختصار SOX – قانونی است که مقررات حسابرسی و مالی را برای سازمان‌های عمومی و دولتی تشریح می‌کند. این قوانین از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیت‌های مالی متقلبانه محافظت می‌کند. هدف اصلی این مجموعه مقررات، تنظیم حسابرسی، گزارش‌گیری مالی و سایر فعالیت‌های تجاری در سازمان‌های سهامی عام است. دستورالعمل‌های آن برای سایر شرکت‌ها، سازمان‌های خصوصی و شرکت‌های غیرانتفاعی نیز اعمال می‌شود.

Sarbanes-Oxley – به اختصار SOX – قانونی است که مقررات حسابرسی و مالی را برای سازمان‌های عمومی و دولتی تشریح می‌کند. این قوانین از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیت‌های مالی متقلبانه محافظت می‌کند. هدف اصلی این مجموعه مقررات، تنظیم حسابرسی، گزارش‌گیری مالی و سایر فعالیت‌های تجاری در سازمان‌های سهامی عام است. دستورالعمل‌های آن برای سایر شرکت‌ها، سازمان‌های خصوصی و شرکت‌های غیرانتفاعی نیز اعمال می‌شود.

Payment Card Industry Data Security Standard

استاندارد Payment Card Industry Data Security Standard – به اختصار PCI DSS – تضمین می‌کند که سازمان‌ها به طور ایمن داده‌های کارت اعتباری را پردازش، ذخیره و انتقال می‌دهند. استاندارد PCI DSS توسط شرکت‌هایی مانند American Express، Mastercard و Visa برای کنترل و مدیریت استانداردهای امنیتی PCI و افزایش امنیت حساب در طول تراکنش‌های آنلاین راه‌اندازی شده است. PCI DSS توسط PCI Security Standards Council – به اختصار PCI SSC – اداره و مدیریت می‌شود. عدم رعایت این استاندارد می‌تواند منجر به جریمه ماهانه تا 100 هزار دلار و تعلیق پذیرش کارت شود.

International Standards Organization 27001

International Standards Organization – به اختصار ISO 27001 – استانداردی بین المللی برای ایجاد، پیاده‌سازی، نگهداری و بهبود سیستم‌های مدیریت امنیت اطلاعات است. همچنین بینش و نگرشی در خصوص چگونگی توسعه سیاست‌های امنیتی جامع و به حداقل رساندن خطرات آنها به سازمان‌ها ارائه می‌دهد.

خروج از نسخه موبایل