روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کسب و کارهای کوچکتر به ندرت روی ابزارهای مشارکتیِ پر هزینه سرمایهگذاری میکنند و در عوض به دنبال ابزارهایی ارزانتر یا میتوان گفت رایگان هستند. حالا از شانس بد یا خوبشان تعداد این ابزارها کم هم نیست. با این حال، نادیده گرفتن وجه امنیتیِ استفاده از چنین ازارهایی میتواند در ابعاد وسیعتری خرج روی دست کسب و کارهای کوچک بگذارد. در ادامه با ما همراه شوید تا ابزارهای مشارکتی را از بُعد امنیتی مورد بررسی قرار داده و در ادامه نیز راهکارهایی امنیتی خدمتتان ارائه دهیم.
ابزارهای مشارکتیِ داکیومنتی
بسیاری از سرویسها به تیمهای کوچک اجازه میدهند تا به طور همزمان داکیومنتها را ادیت کنند؛ هرچند آنها فقط ابزارهای متنی نیستند. با این حال استفاده از آنها به اعضای تیم این فرصت را میدهد تا به طور مشترک رابطهای گرافیکی، نمودارها، کد منبع و کلی چیزهای دیگر توسعه دهند. از اینها گذشته چنین چیزهایی کارامد هم هستند. با این وجود، پیش از استفاده از چنین سرویسی اینکه درک کنید چطور کار میکند بسیار مهم است: چطور اطلاعات شما را ذخیره میکند، چه کسی دان دسترسی دارد، چه تنظیمات امنیتیای در آن موجود است. اینکه فایلهای کاری اداری برای عموم قابلدسترس باشد همیشه ایدهای احمقانه است. حتی اگر نگران نشتی اطلاعات هم نباشید باز هم مهاجم میتواند دسترسی پیدا نموده و روی آرشیو پروژهی شما تغییراتی اِعمال کند.
گوگلداکس بارزترین نمونه است. افراد اغلب از طریق گوگل با استفاده از لینک مستقیم بدون هیچ محدودیتی داکیومنتها را به اشتراک میگذارند. این بدان معناست که موتورهای جستجو میتوانند آنها را فهرستبندی کرده و بنابراین تقریباً هر کسی قادر به رؤیت آنهاست. افرادی که کاملاً غریبه هستند در چنین داکیومنتهایی همه نوع اطلاعات محرمانهای را پیدا میکنند: اطلاعات شخصی کارمندان، فهرستهایی از مشتریان شامل جزئیات تماس و حتی سوابق حقوق و دستمزد.
چه باید کرد: فقط از سرویسهایی استفاده کنید که در آنها قادر به مخفی کردن داکیومنتها از چشمان ناپاک هستید و یا دستکم سرویسهایی که میتوانند در خصوص نحوهی ذخیره شدن داکیومنتها به شما توضیحی روشن دهند. تنظیمات حقوق دسترسی نیز یادتان نرود (این کار بسیار حیاتی است). بنابراین، اگر برای مقاصد کاری از گوگلداکس استفاده میکنید، دسترسی بدان را محدود کرده و فقط آن را به افرادی بدهید که داکیومنتها را با آنها به اشتراک میگذارید. یادتان باشد اگر دیگر به این داکیومنتها نیاز ندارند دسترسیشان را ببندید.
ذخیره فایل کلود
نوع دیگری سرویس که باید با آن با احتیاط برخورد کنید، ذخیره فایل کلود است. باید حجم وسیعی از اطلاعات را انتقال دهید؟ مشکلی نیست- تنها کافیست آن را در کلود آپلود و به گیرنده لینکی را ارسال کنید. بدینترتیب جلوی هر محدودیت سایز ایمیلی گرفته میشود. اما بسیاری از سرویسهای اشتراکگذاری فایل هیچ لایهی محافظتیای ندارند و فایلها میتوانند در نتایج سرچ غریبههایی تصادفی نیز نمایان شوند. حتی اگر سرویسی به لایهی محافظتی نیز مجهز باشد باید تنظیمات بخش امنیتی را تا آخرین حد مجازش بالا ببرد. افراد اغلب ثبت نام، دادهها را در کلود ذخیره و بعد همهچیز را فراموش میکنند. اما رمزعبورها میتوانند نشت پیدا کنند. هکرها حتی میتوانند رمزعبورهای دراپباکس را نیز سرقت کنند چه برسد به سرویسهای کوچکتر.
چه باید کرد: سرویس مطمئنی برای اشتراکگذاری فایل انتخاب کنید؛ سرویسی که از احراز هویت دوعاملی پشتیبانی کند. وقتی داده را در کلود قرار دادید آن را به دست فراموشی نسپارید و اگر دیگر از فایل برای مقاصد کاری استفاده نمیکنید آن را حذف نمایید. برای اشتراکگذاری فایل به همان یک سرویس بسنده کنید زیرا استفاده از چندین سرویس باعث سردرگمی میشود.
محیطهای مدیریت پروژه
به طور کلی، این پلتفرمها به شرکتکنندگان در گردش کار اجازه میدهد تا ارتباط برقرار نموده، فایلها را به اشتراک گذاشته و پروژهها را سیستماتیک کنند. اگر از یکی از آنها برای بحث در خصوص راهبردهای کسب و کار یا انتقال فایلها استفاده میکنید نه تنها مهم است بدانید که چه کسی امروز میتواند اینها را ببنید بلکه چه کسی بعدها ممکن است چشمش به چنین اطلاعاتی بیافتد. برخی پلتفرمهای کلود در حالت پیشفرض همهچیز را برای همه قابلرؤیت میگذارند. کاربران میتوانند آیتمها را پنهان کنند اما سخت یادشان میماند 100% مواقع حواسشان به این مسئله باشد (اصولاً همیشه همهچیز در همان پیشفرض باقی میماند). افزون بر این، اگر کسی به پروژه دسترسی پیدا کند احتمال دارد به کل سابقهی پروژه دسترسی پیدا کنند که خوب همیشه با خودش شر در پی دارد. شرکتها اغلب به کسانی حق دسترسی به چنین محیطهایی را میدهند که ممکن است امروز و فردا برای شرکت رقیب کار کنند؛ مانند کنتراکتورها یا فریلنسرها. دیگر کارمندان اخراجشده را نگوییم که احتمالاً قبل از بسته شدن دسترسیهایشان زمان کافی برای دانلود آرشیو نیز داشتند.
چه باید کرد: تنظیم حقوق دسترسی به پروژه و محدود کردن آن حقوق فقط برای فایلهای کاری (برای همهی گروهها). برای کارمندان و افراد خارجی (کنتراکتورها، مشتریان) از محیطهای ارتباطی مجزایی استفاده کنید. یادتان نرود که برای کارمندان سابق و فریلنسرها بلافاصله دسترسی را قطع کنید.
چند توصیهی دیگر
به یاد داشته باشید که تمامی سرویسها ممکن است آسیبپذیری داشته باشند (که البته شاید وقتی دارید با آنها کار هم میکنید هرگز متوجهشان نشوید). علاوه بر این، بسیاری از سرویسها اپهای کلاینتی را مشکلات مخصوص به خود را دارند. بنابراین توصیه میکنیم:
- پیش از اینکه شروع به استفاده از سرویسی کنید، قوانین پردازش داده و تنظیمات آن را به دقت بررسی کنید. همچنین نظرات کاربران را در خصوص بخش امنیتی آن نیز مطالعه کنید.
- تیم یا متخصص آیتی شما (البته اگر داشته باشید) باید واضحاً سرویسهایی که استفاده میکنید را درک کرده و بداند آنها چطور تنظیم میشوند و چه کسی مدیریت آن را بر عهده دارد.
- اگر متخصصی ویژه برای این بخش ندارید، گروهی مسئول برای هر سرویس تعیین کنید تا تضمین دهد هر بار که آسیبپذیریای پیدا میشود اپ کلاینت فوراً آپدیت میگردد؛ که رمزهای عبور در مواقع نشت تغییر داده میشوند و در صورت لزوم حقوق دسترسی صادر و یا قطع میگردد.
- هر سرویسی که سابق بر این لینک یا فایلی را به اشتراک میگذاشت به طور بالقوه میتواند کانالی باشد برای توزیع بدافزار. از این رو، هر دستگاهی که چنین ابزارهایی رویشان به کار گرفته شده باشد به راهکار مطمئن امنیتی نیاز دارد.
Kaspersky Small Office Security راهکار ما برای کسب و کارهای کوچک است که روی اصل install-and-forget (نصب و فراموشی) کار میکند. این راهکار با جدیدترین باجافزارها مبارزه کرده، امنیت تمامی پرداختهای آنلاین، فایلهای باارزش (از طریق رمزگذاری و بکآپ) و اپها را (از طریق نظارت بر آسیبپذیری و آپدیتهای به موقعِ نرمافزاری) تأمین میکند. این راهکار برای کامپیوترهای ویندوزی و macOS، دستگاههای موبایل اندرویدی و سرورهای فایل موجود است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.