روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ الزامات تجاری برای تیم‌های آی‌تی و امنیت اطلاعات چندگانه و اغلب متناقض است. امور شامل کاهش هزینه، استفاده مفید از داده‌ها، اتوماسیون، مهاجرت به کلود و کاهش تمامی ریسک‌های امنیت اطلاعات می‌شود. روندها و تغییرات عمده در فناوری اطلاعات چگونه بر نمایه infosec یک شرکت تأثیر می‌گذارند، و چطور پاسخ شما به الزامات کسب‌وکار باید مد نظر قرار گیرد؟ ما مهم‌ترین و کاربردی‌ترین روندها در فناوری اطلاعات (طبق نظر گروه‌های مختلف کارشناسان مستقل و تحلیل‌گران بازار امنیت سایبری) را با تمرکز بر جنبه‌های infosec هر یک تحلیل کردیم. با ما همراه بمانید.

بهینه‌سازی آی‌تی

کسب‌وکارها در سرتاسر جهان دلایل خوبی برای صرفه‌جویی در هزینه‌ها دارند - چه به دلیل تغییرات ژئوپلیتیک، تورم یا رکود اقتصادی. برای تیم فناوری اطلاعات، این به معنای بررسی عمده هزینه های عملیاتی است. بخش‌های مالی در حال حاضر هزینه‌های کلود را زیر ذره‌بین گذاشته‌اند، زیرا 60 درصد از داده‌های شرکت‌ها اکنون در فضای کلود ذخیره می‌شوند. برای بسیاری از شرکت‌ها، مهاجرت به فضای کلود غیرسیستماتیک بوده است که منجر به جمع‌آوری اشتراک‌های SaaS کم استفاده و همچنین ماشین‌های مجازی با پیکربندی بهینه و سایر محیط‌های ابری شد. معمولاً در این بخش پتانسیل زیادی برای بهینه‌سازی وجود دارد، اما نباید یک فرآیند یکباره باشد. شرکت‌ها باید فرهنگی را ایجاد کنند که در آن هزینه‌های کلود نه تنها دغدغه‌ی افراد آی‌تی که دغدغه‌ی خود کاربران کلود نیز باشد.

از دید امنیت اطلاعات: در طول بهینه‌سازی ، سرویس‌های کلود مجدداً پیکربندی  و داده‌ها بین محیط‌های ابری مختلف جابه‌جا می‌شوند. تخصیص زمان و منابع به ممیزی سیستم پس از مهاجرت برای اطمینان از صحیح بودن تنظیمات امنیتی و بسته شدن هر گونه حساب سرویس مورد نیاز برای پورت های مهاجرت بسیار مهم است. در طول مهاجرت، ایده خوبی است که محرمانه‌ها را به‌روزرسانی (توکن‌های دسترسی، کلیدهای API، و غیره) و بهترین روش رمز عبور و سیاست‌های رمزگذاری را اعمال کنید. اگر هر یک از تجهیزات یا سرویس های ابری پس از مهاجرت از کار افتاده باشد، باید از تمام داده های محرمانه و اطلاعات سرویس (اشکال زدایی و فایل های موقت، داده های آزمایشی و غیره) پاک شود.

منبع باز

مزایای اقتصادی برنامه‌های متن‌باز متنوع است: برای مثال، شرکت‌های توسعه‌دهنده نرم‌افزار هزینه‌ها و زمان عرضه به بازار را با استفاده از کدهای آماده کاهش می‌دهند، در حالی که سایرین سیستمی را دریافت می‌کنند که می‌توانند در صورت نیاز آن‌ها را به صورت داخلی تغییر داده و نگهداری کنند.

از دید امنیت اطلاعات: خطر اصلی منبع باز وجود آسیب‌پذیری‌ها و درهای پشتی در کدهای شخص ثالث است – به خصوص که همیشه مشخص نیست چه کسی و چگونه باید کد را اصلاح کند. اغلب اوقات یک شرکت از آرشیو یا نرم افزاری بدون اطلاع از آن استفاده می‌کند. حذف خطرات منبع باز نیازمند موجودی کد و سیستم های اسکن است.

مدیریت داده

شرکت‌های بزرگ (عملاً) فعال در هر صنعتی دو دهه‌ای می‌شود که دارند حجم بالایی از داده‌های عملیاتی را جمع‌آوری می‌کنند. به لحاظ تئوری این به بهینه‌سازی و اتوماسیون فرآیندهای تجاری و توسعه محصولات کاملاً جدید (گاهی خود داده به یک کالای مورد تقاضا تبدیل می‌شود) کمک می‌کند. در عمل اما امور، پیچیده‌ترند: خیلی از داده‌ها جمع‌آوری می‌شوند اما اغلب ساختار آن‌ها، وضعیت‌ فعلی و نوع ذخیره‌سازی‌شان به طوری است که سخت می‌شود (اگر نخواهیم بگوییم محال است) اطلاعات را پیدا و از آن‌ها استفاده کرد. برای رشد واقعی داده‌محور، کسب و کارها برای جمع‌آوری، کاتالوگ کردن، ذخیره و استفاده از داده‌ها باید روندهای واضحی را پیش گیرند. یکی از راهبردهای کارا مدیریت داده و حاکمیت اطلاعاتی است. این راهبردها ساختار و طبیعت داده‌های جمع‌آوری‌شده و نیز چرخه عمر کامل اطلاعاتی را توصیف کرده و به شما اجازه خواهد داد کارکرد و ذخیره‌گاه آن را مدیریت نمایید.

از دید امنیت اطلاعات: حاکمیت داده به دلایل اقتصادی اجرا می‌شود، اما مزایای جانبی برای امنیت اطلاعات بسیار زیاد است. از این گذشته، یک شرکت با دانستن اینکه کجا و چه داده هایی را در اختیار دارد، موقعیت بهتری برای ارزیابی خطرات، ارائه حفاظت کافی برای همه مجموعه های داده و پیروی از قوانین داده‌های شخصی دارد. تیم infosec باید نقش فعالی در توسعه و اجرای استراتژی مدیریت داده از جمله خط‌مشی‌های دسترسی و رمزگذاری، کنترل انطباق، اقدامات حفاظتی برای داده‌های ساکن و در حال انتقال، و روش‌های دستیابی به دسترسی داشته باشد. این استراتژی همچنین باید انواع داده‌های "کمکی" مانند گرفتن بک‌آپ و اطلاعات فنی اختصاصی در کلود را (بویژه SaaS) پوشش دهد.

کم‌کد و بی‌کد

 رویکرد کم‌کد به سیستم‌های تجاری اجازه می‌دهد تا بدون برنامه‌نویس اصلاح شده و توسعه داده شوند. اصلاحات و دستکاری‌های رایج شامل تغییر رابط اپ‌ها و وبسایت‌ها، ایجاد سناریوهای جدید کنترل و تحلیل داده و اتوماسیون رباتیک پروسه (RPA) می‌شود. این توسعه راهکارهای CRM، مدیریت داکیومنت الکترونیکی، ایجاد صفحات وبی بازاریابی و غیره را ممکن می‌سازد. شرکت‌ها از این رویکرد نفع می‌برند زیرا هزینه‌های تعمیر و نگهداری آی‌تی به مراتب کمتر از همتاهایش است که نیازمند برنامه‌نویسان واقعی هستند. برخی سیستم‌های محبوب بی‌کد/کم‌کد Microsoft Power Apps، Salesforce، Uipath و حتی WordPress است.

از دید امنیت اطلاعات: سیستم‌های کم‌کد خطرات قابل‌توجهی دارند، زیرا طبق تعریف، دسترسی نسبتاً گسترده‌ای به داده‌ها و سایر سیستم‌های IT شرکت دارند. آنها همچنین توسط افرادی بدون آموزش عمیق IT/infosec پیکربندی و استفاده می‌شوند. همه اینها می‌تواند منجر به نشت داده‌ها، اشکال مختلف افزایش امتیازات، ثبت نام کافی و دسترسی غیرمجاز به اطلاعات شود.

افزون بر این، کاربران چنین سیستم‌هایی مرتباً اطلاعات محرمانه از جمله کلیدهای API مستقیماً در کد به جای می‌گذارند. تقریباً هر سیستم بی کدی استفاده فعال از معماری پلاگین دارد و برای پروژه‌های کاربری فروشگاه‌های انحصاری فروش اجزا دارند. آسیب‌پذیری در چنین اجزایی اغلب به شدت جدی است و خیلی سخت می‌شود ردشان را زده و با استفاده از ابزارهای استاندارد امنیت اطلاعات آن‌ها را به موقع فیکس کرد. تیم امنیت اطلاعات باید برای هر اپ کم‌کد استفاده‌شده در شرکت رویه‌ها و خط‌مشی‌های تخصصی خود را داشته باشد. ادمین‌های اپ و صاحبان آن‌ها باید در خصوص این ترندهای امنیت اطلاعاتی آموزش خاص ببینند و این درحالیست که کاربران معمولی اپ‌های کم کد نیاز به آموزش تخصصی موارد پایه را دارند. بعنوان بخشی از این آموزش کاربری لازم است تمارین برنامه‌نویسی امن و نیز نحوه استفاده از سیستم نیز آموزش داده شود. حداقل ، آموزش باید الزامات ذخیره نکردن رمزهای عبور در کد نرم افزار، بررسی داده های ورودی و به حداقل رساندن عملیات تغییر داده را پوشش دهد. مدیران فناوری اطلاعات باید توجه دقیقی به به حداقل رساندن امتیازات و کنترل دسترسی به داده ها از طریق برنامه های کاربردی با کد پایین داشته باشند. تیم infosec باید راهکارهای تخصصی را برای محافظت از برنامه‌های خاص با کد پایین ارزیابی کند. 

استحکام و در عین حال انعطاف‌پذیری

رخدادهای بزرگ فناوری اطلاعات در دهه گذشته (نه لزوماً حملات سایبری) به کسب و کارها آموخته است که سرمایه گذاری در انعطاف‌پذیری فناوری اطلاعات مقرون به صرفه و ارزشمند است. سرمایه‌گذاری در درجه اول به معنای حذف زیان‌های فاجعه بار و تضمین تداوم کسب و کار است. اما حتی اگر رخدادهای بزرگ از معادله خارج شوند، انعطاف پذیری با بهبود تجربه کاربر برای مشتریان و کارمندان، افزایش شهرت شرکت و تشویق وفاداری، مزایایی را نیز به همراه دارد.

در زیر نمونه‌هایی از ایجاد استحکام ارائه داده‌ایم:

•         تست عمیق سیستم‌های آی‌تی در طول توسعه
•         طراحی سیستم‌هایی که قادر به ادامه کار در صورت خرابی جزئی (زیادی، تکراری) باشند.
•         پیاده‌سازی سیستم‌های نظارتی برای ردیابی ناهنجاری‌های IT/infosec و جلوگیری از رخدادها در مراحل اولیه (خرابی پایگاه داده، عدم تعادل بار، اجرای بدافزار و غیره).
•         پیاد‌ه‌سازی سیستم امنیت اطلاعات چند لایه‌ای در شرکت.
•         توسعه سناریوهای اتوماسیون برای صرفه‌جویی در زمان و به حداقل رساندن خطاهای انسانی، از جمله سناریوهایی برای حل خودکار مسائل زیرساخت فناوری اطلاعات.
•         مطالعه زنجیره تاًمین برای رد حوادث مربوط به کد، زیرساخت یا رویه های داخلی تامین کنندگان و پیمانکاران شرکت.
•         اجرای روش‌های واکنش به رخدادها، برون‌رفت از آن‌ها و آزمایش‌شان در عمل.

از دید امنیت اطلاعات: اگرچه کسب‌وکارها از سیستم‌های فناوری اطلاعات خود «تاب‌آوری عمومی» می‌خواهند، الزامات IT و infosec در اینجا کاملاً در هم تنیده شده‌اند، به طوری که اجرای هر یک از رشته‌های فوق به همکاری عمیق بین بخش‌های مربوطه نیاز دارد. بودجه‌ها محدود هستند، بنابراین مهم است که اولویت‌ها را با تصمیم‌گیرندگان تجاری تعریف و وظایف و پروژه‌ها را بین «IT عمومی» و infosec توزیع و فرصت‌هایی را برای بهینه‌سازی و هم افزایی شناسایی کنید. در حالت ایده آل، یک راهکار (مثلاً یک سیستم پشتیبان) باید وظایف IT/infosec را به طور همزمان انجام دهد و تعریف الزامات آنها، آموزش استفاده از آنها و غیره باید به طور مشترک انجام شود. نتیجه برای این شرکت یک استراتژی جامع تاب‌آوری یا مقاومت سایبری خواهد بود. در این مقاله کلامی در خصوص هوش مصنوعی مولد یا سایر ترندهای آی‌تی سازمانی که هنوز در فاز آزمایشی هستند نگفته است. در مورد ترندهای تضمینی اما هنوز خام نیز باید بگوییم قصد داریم مقاله‌ای جداگانه خدمتتان ارائه دهیم.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.