امنیت داده چیست؟

اگر در کشوری مانند ایران زندگی می‌کنید، برایتان تعجب آور نخواهد بود که هر روز اخبار کاملا حیرت انگیزی از انواع نقض های اطلاعات و نشت داده بشنوید؛ حتما کاملا موافق هستید که این اتفاقات حاصل و ناشی از چه هستند. گاه یک راهکار بسیار ساده و بدون هزینه مانند آموزش و یا گوشزد کردن به یک کارمند، از به بار آمدن یک خسارت بسیار بزرگ جلوگیری خواهد کرد.

تعریف امنیت داده

امنیت داده (Data Security) فرآیند حفاظت از اطلاعات دیجیتال در برابر فساد، سرقت یا دسترسی غیرمجاز است و همه چیز را از جمله سخت افزار، نرم افزار، دستگاه های ذخیره سازی و دستگاه های کاربر، دسترسی، کنترل های اداری و سیاست ها و پالیسی‌های سازمان را پوشش می دهد.

امنیت داده‌ از ابزارها و تکنولوژی‌هایی استفاده می‌کند که عملکرد داده‌های یک شرکت و نحوه استفاده از آن‌ها را افزایش می‌دهد. این ابزارها می توانند از داده ها با فرایندهایی مانند پوشش داده، رمزگذاری و ویرایش اطلاعات حساس، محافظت کنند. این فرآیند همچنین به سازمان‌ها کمک می‌کند تا پالیسی‌ها حسابرسی خود را ساده‌تر کرده و از مقررات حفاظت از داده، به‌طور سختگیرانه ای پیروی کنند.

یک مدیریت قوی امنیت داده، سازمان را قادر می سازد تا از اطلاعات خود در برابر حملات سایبری محافظت کنند. همچنین به آن‌ها کمک می‌کند تا خطر خطای انسانی و تهدیدات داخلی را که عامل بسیاری از نقض‌های داده‌ است را به حداقل برساند.

چرا امنیت داده مهم است؟

دلایل زیادی وجود دارد که چرا امنیت داده ها برای سازمان ها در تمام صنایع در سراسر جهان مهم است. سازمان‌ها از نظر قانونی موظف هستند از داده‌های مشتریان و کاربران در برابر گم شدن یا دزدیده شدن و قرار گرفتن در اختیار افراد غیرمجاز محافظت کنند. به عنوان مثال، مقررات صنعتی و ایالتی مانند قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA)، مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)، قانون حمل و نقل و پاسخگویی بیمه سلامت (HIPAA)، و استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)، تعهدات قانونی سازمان ها برای حفاظت از داده ها را تشریح می کنند.

امنیت سایبری داده، همچنین برای جلوگیری از به خطر افتادن اعتبار شرکت که با نقض داده همراه خواهد بود، بسیار مهم است. هک یا از دست دادن داده‌های پرمخاطب می‌تواند منجر به از دست دادن اعتماد مشتریان به یک سازمان شود. این موضوع همچنین خطر خسارات مالی جدی همراه با جریمه، پرداخت های قانونی و جبران خسارت در صورت از بین رفتن داده های حساس را به همراه دارد.

مزایای امنیت داده

با بررسی مزایای امنیت داده، که در ذیل با جزئیات بیشتر توضیح داده شده است، تعریف امنیت داده آسان تر خواهد بود.

اطلاعات شما را ایمن نگه می دارد: با اتخاذ یک تفکر متمرکز بر امنیت داده و اجرای مجموعه ای مناسب از ابزارها، اطمینان حاصل می شود که داده های حساس در اختیار افراد غیرمجاز قرار نمی گیرند؛ داده‌های حساس می‌تواند شامل اطلاعات پرداخت مشتری، سوابق بیمارستانی و اطلاعات شناسایی باشد. با یک برنامه امنیت داده که برای پاسخگویی به نیازهای خاص سازمان شما ایجاد شده است، این اطلاعات ایمن باقی می ماند.

به حفظ شهرت شما کمک می کند: هنگامی که افراد با سازمان شما تجارت می کنند، اطلاعات حساس خود را به شما می سپارند؛ یک استراتژی امنیت داده شما را قادر می سازد تا حفاظت مورد نیاز خود را ارائه دهید. آوازه و شهرت خوب در بین مشتریان، شرکا و به طور کلی در دنیای تجارت، به شما یک مزیت رقابتی خواهد داد: در بسیاری از صنایع، نقض داده، امری عادی است، بنابراین اگر بتوانید داده را ایمن نگه دارید، خود را از رقبا جدا می کنید.

صرفه‌جویی در هزینه‌های پشتیبانی و توسعه: اگر اقدامات امنیتی داده‌ را در مراحل اولیه توسعه به کار ببرید، احتمالا مجبور نخواهید بود تا منابع ارزشمندی را برای طراحی و استقرار پَچ‌ها یا رفع مشکلات کدنویسی در این مسیر خرج کنید.

امنیت داده در مقابل حریم خصوصی داده

امنیت داده و حریم خصوصی داده هر دو شامل محافظت از داده هستند، اما این دو مورد تفاوت هایی نیز با یکدیگر دارند. امنیت داده مستلزم کنترل دسترسی به داده با استفاده از عبارات واضح و سیاه و سفید است. برای مثال، یک پالیسی امنیت داده ممکن است حکم کند که هیچ کس به جز کسی که مشکل پایگاه داده را عیب‌یابی می‌کند، اجازه دیدن اطلاعات پرداخت مشتری را نداشته باشد. به این ترتیب، احتمال نقض امنیت داده کاهش می یابد.

از سوی دیگر، حریم خصوصی داده‌ شامل تصمیم‌های ظریف‌تر و استراتژیک‌تری است که تعیین می کند چه کسی به انواع خاصی از داده،‌ دسترسی داشته باشد. با استفاده از همین مثال، سازمانی را در نظر بگیرید که  چنین می اندیشد: دانستن اینکه که مشتریان زیادی با استفاده از PayPal پرداخت انجام داده اند، احتمالا به تیم توسعه کمک خواهد کرد؛ پس با استفاده از این اطلاعات، تیم توسعه می تواند تصمیم بگیرد که آیا پذیرش Payoneer، Skrill، یا  Stripe عاقلانه خواهد بود یا نه. در نتیجه اجازه می دهد  این درگاه های پرداخت به مدت دو هفته به اطلاعات پرداخت، دسترسی داشته باشند. وقتی صحبت از امنیت داده در محاسبات ابری یا در محل می‌شود، این نوع تصمیم‌ها بیشتر در حوزه حریم خصوصی داده‌ها قرار می‌گیرند.

بهترین روش ها برای تضمین امنیت داده و حریم خصوصی

دلیل اهمیت امنیت داده در درجه اول، ایمن نگه داشتن داده و همچنین ایجاد اعتماد در بین مشتریان است. در این بخش، برخی از بهترین شیوه هایی که برای سازمان ها موثر بوده است، ذکر می شود.

ایمن سازی اطلاعات: ایمن سازی اطلاعات یعنی رمزگذاری داده و همچنین مدیریت اینکه چه کسی به داده دسترسی دارد. فقط افرادی که برای انجام عملکردهای ضروری به آن نیاز دارند باید دسترسی داشته باشند و همچنین اطلاعات هنگام رفت و برگشت بین پایگاه داده و کامپیوترها یا دستگاه‌ها می بایست رمزگذاری شوند.

آمادگی به موقع برای مقابله با تهدیدات: می توانید با تست کردن سیستم خود، آموزش کارمندان، طراحی یک برنامه مدیریت حادثه و ایجاد یک برنامه بازیابی اطلاعات، برای مقابله با یک حادثه احتمالی امنیت داده آماده شوید.

حذف داده های بلااستفاده: باید از شر نسخه‌های دیجیتال و فیزیکی داده هایی که دیگر به آن نیاز ندارید خلاص شوید. به این ترتیب احتمال کشف آن توسط هکرها و استفاده شدن برای سودجویی، کاهش می یابد.

انواع امنیت داده

سازمان ها می توانند از طیف گسترده ای از انواع امنیت داده برای حفاظت از داده، دستگاه‌ها، شبکه‌ها، سیستم‌ها و کاربران خود استفاده کنند. برخی از رایج‌ترین انواع امنیت داده‌ که سازمان‌ها باید به دنبال ترکیب آن‌ها برای اطمینان از داشتن بهترین استراتژی ممکن باشند، از این قرار هستند:

رمزگذاری

رمزگذاری داده یعنی استفاده از الگوریتم ها برای به هم زدن ترتیب داده و پنهان کردن معنای واقعی آن. رمزگذاری داده ها تضمین می کند که پیام ها فقط توسط گیرندگان با کلید رمزگشایی مناسب قابل خواندن هستند. این امر به ویژه در صورت نقض داده، بسیار مهم خواهد بود؛ زیرا اگر مهاجم بتواند به داده دسترسی پیدا کند، بدون کلید رمزگشایی قادر به خواندن آن نخواهد بود. رمزگذاری داده همچنین شامل استفاده از راهکار‌هایی مانند توکن‌سازی است که از داده‌ در حین حرکت در کل زیرساخت آی تی سازمان حفاظت می‌کند.

پاک کردن داده

مواردی وجود خواهد داشت که در آن سازمان‌ها دیگر نیازی به داده ندارند و ضروری است که برای همیشه آن‌ها را از سیستم خود حذف کنند. پاک کردن داده، یک تکنیک موثر مدیریت امنیت داده است که مسئولیت و احتمال وقوع نقض داده را حذف می کند.

پنهان کردن داده

پنهان کردن داده به یک سازمان امکان می دهد تا با پنهان کردن و جایگزین کردن حروف یا اعداد خاص، داده را پنهان کند. این فرآیند نوعی رمزگذاری است که موجب می شود حتی در صورت رهگیری داده توسط هکر، داده بدون استفاده شود. پیام اصلی فقط توسط شخصی قابل کشف است که کد رمزگشایی یا جایگزینی کاراکترهای ماسک شده را داشته باشد.

تاب آوری داده ها

سازمان‌ها می‌توانند با ایجاد نسخه‌های پشتیبان یا کپی گرفتن از داده‌، خطر تخریب یا از بین رفتن تصادفی داده‌ها را کاهش دهند. پشتیبان گیری از داده برای محافظت از اطلاعات و اطمینان از همیشه در دسترس بودن آنها حیاتی است. این امر به ویژه در هنگام نقض داده یا حمله باج افزار مهم است و اطمینان حاصل می کند که سازمان می تواند نسخه پشتیبان قبلی را بازیابی کند.

بزرگترین خطرات امنیت داده

با وجود حملات سایبری که توسط مهاجمان پیشرفته‌تر انجام می‌شوند، سازمان‌ها با چشم‌انداز پیچیده‌تر تهدیدات امنیتی مواجه می‌شوند. برخی از بزرگترین خطرات برای امنیت داده در ذیل آورده شده است.

در معرض قرار گرفتن تصادفی داده 

بسیاری از نقض‌های داده‌، نتیجه هک نیست؛ بلکه از طریق کارمندانی است که به‌طور تصادفی یا سهل‌انگارانه اطلاعات حساس را افشا کرده اند. کارمندان به راحتی می توانند داده را به اشتباه از دست دهند، به اشتراک گذارند، به فرد غیرمجاز اجازه دسترسی به داده را بدهند و یا به دلیل عدم آگاهی از پالیسی های امنیتی شرکت، اطلاعات را اشتباه مدیریت کرده و یا از دست دهند.

حملات فیشینگ

در یک حمله فیشینگ، یک مجرم سایبری، پیام‌هایی را معمولاً از طریق ایمیل، اس ام اس یا سرویس‌های پیام‌رسان فوری ارسال می‌کند که به نظر می‌رسد از یک فرستنده قابل اعتماد باشد. پیام‌ها شامل لینک های مخرب یا پیوست‌هایی هستند که گیرندگان را به دانلود بدافزار یا بازدید از یک وب‌سایت جعلی ترغیب می کنند که مهاجم را قادر می‌سازد تا اطلاعات لاگین به سیستم یا اطلاعات مالی آنها را بدزدد.

این حملات همچنین می تواند به مهاجم کمک کند دستگاه های کاربر را به خطر بیندازد یا به شبکه های شرکتی دسترسی پیدا کند. حملات فیشینگ اغلب با مهندسی اجتماعی همراه می‌شوند، که هکرها از آن برای تحت تاثیر قرار دادن قربانیان استفاده می‌کنند تا اطلاعات حساس یا اطلاعات لاگین به حساب‌ها را ارائه دهند.

تهدیدات داخلی

یکی از بزرگترین تهدیدات امنیت داده برای هر سازمانی، کارکنان آن سازمان هستند. تهدیدات داخلی افرادی هستند که عمدا یا سهوا داده‌های سازمان خود را در معرض خطر قرار می دهند و بر سه نوع هستند:

1. کارکنان در معرض خطر: کارمند متوجه نمی شود که حساب یا اطلاعات اکانت وی به خطر افتاده است و طی آن یک مهاجم می تواند فعالیت های مخربی را به عنوان کاربر انجام دهد.
2. کارکنان مخرب: کارمند آگاهانه تلاش می کند تا داده ها را از سازمان خود بدزدد یا به نفع شخصی خود آسیب برساند.
3. خودی غیر مخرب: کارمند به طور تصادفی از طریق رفتار سهل‌انگارانه، با رعایت نکردن پالسی‌ها یا رویه‌های امنیتی یا بی‌اطلاعی از آن‌ها باعث آسیب می‌شود.

بدافزار

نرم افزارهای مخرب معمولاً از طریق ایمیل و حملات مبتنی بر وب پخش می شوند. مهاجمان از بدافزارها برای آلوده کردن کامپیوترها و شبکه‌های شرکتی با سواستفاده از آسیب‌پذیری‌ها در نرم‌افزار خود، مانند مرورگرهای وب یا اپلیکیشن های وب استفاده می‌کنند. بدافزار می‌تواند منجر به حوادث جدی امنیت داده‌ مانند سرقت داده، اخاذی و آسیب شبکه شود.

باج افزار

حملات باج‌افزاری خطری جدی برای امنیت داده‌ برای تمام سازمان‌ها در هر اندازه‌ای ایجاد می‌کنند و نوعی بدافزار هستند که هدف آن آلوده کردن دستگاه‌ها و رمزگذاری داده‌های روی آن ها است. سپس مهاجمان، در ازای بازگرداندن یا بازیابی داده ها پس از پرداخت مبلغ، از قربانی خود باج می خواهند. برخی از قالب‌های باج‌افزار به سرعت پخش می‌شوند و کل شبکه‌ها را آلوده می‌کنند که حتی می‌تواند سرورهای داده پشتیبان را نیز از بین ببرد.

ذخیره سازی داده های ابری

سازمان‌ها به طور فزاینده‌ای داده‌ها را به فضای ابری منتقل می‌کنند تا همکاری و اشتراک‌گذاری آسان‌تر را فراهم کنند. اما انتقال داده به ابر می تواند کنترل و محافظت از آن را در برابر از دست دادن داده دشوارتر کند. ابر برای تیم دورکاری، که در آن کاربران با استفاده از دستگاه‌های شخصی و در شبکه‌های نیمه امن به اطلاعات دسترسی دارند، حیاتی است. این کار، اشتراک‌گذاری تصادفی یا مخرب داده‌ها را با اشخاص غیرمجاز آسان‌تر می‌کند.

راهکارهای امنیت داده حیاتی

طیف گسترده ای از راهکارها برای کمک به سازمان‌ها برای محافظت از اطلاعات و کاربران خود وجود دارد که شامل موارد ذیل می شود.

کنترل های دسترسی

کنترل‌های دسترسی سازمان‌ها را قادر می‌سازد تا قوانینی را در مورد افرادی که می‌توانند به داده‌ها و سیستم‌ها در محیط‌های دیجیتالی خود دسترسی داشته باشند، اعمال کنند. آنها این کار را از طریق لیست‌های کنترل دسترسی (ACL) انجام می‌دهند، که دسترسی به فهرست‌ها، فایل‌ها و شبکه‌ها را فیلتر می‌کنند و مشخص می‌کنند که کدام کاربران مجاز به دسترسی به اطلاعات و سیستم‌ها هستند.

امنیت داده های ابری

همانطور که سازمان‌ها به طور فزاینده ای داده‌های خود را به ابر منتقل می کنند، به راهکاری نیاز دارند که آن ها را قادر می سازد تا:

• داده‌ها را در حین انتقال به فضای ابری ایمن کنند.
• از اپلیکیشن های مبتنی بر ابر محافظت کنند.

این امر حتی برای ایمن کردن فرآیندهای کاری داینامیک بسیار مهم است، چرا که کارمندان به طور فزاینده ای به کار از راه دور و در منزل شخصی بسیار تمایل دارند.

پیشگیری از از دست دادن داده

پیشگیری از از دست دادن داده (DLP) سازمان ها را قادر می سازد تا نقض احتمالی داده را شناسایی کرده و از آن جلوگیری کنند. همچنین به آن‌ها کمک می‌کند نفوذ و اشتراک‌گذاری غیرمجاز اطلاعات در خارج از سازمان را شناسایی کنند، دید بهتری نسبت به اطلاعات کسب کنند، از تخریب داده‌های حساس جلوگیری کنند و با مقررات داده‌های مربوطه مطابقت داشته باشند.

امنیت ایمیل

ابزارهای امنیتی ایمیل به سازمان ها این امکان را می دهد تا تهدیدات امنیتی ناشی از ایمیل را شناسایی کرده و از آنها جلوگیری کنند. این موضوع نقش مهمی در جلوگیری از کلیک کردن کارمندان بر روی لینک های مخرب، باز کردن پیوست های مخرب و بازدید از وب سایت‌های جعلی دارد. راهکارهای امنیتی ایمیل همچنین می‌توانند رمزگذاری سرتاسری را در ایمیل و پیام‌های موبایل ارائه دهند که داده‌ها را ایمن نگه می‌دارد.

مدیریت کلیدی

مدیریت کلید شامل استفاده از کلیدهای رمزنگاری برای رمزگذاری داده‌ها است. از کلیدهای عمومی و خصوصی برای رمزگذاری و سپس رمزگشایی داده ها استفاده می شود که امکان اشتراک گذاری امن داده‌ها را فراهم می سازد. سازمان ها همچنین می توانند از هش برای تبدیل هر رشته از کاراکترها به مقادیر دیگر استفاده کنند که از استفاده از کلیدها جلوگیری می کند.

مقررات امنیت داده

امنیت داده به سازمان ها اجازه می دهد تا از مقررات صنعتی و ایالتی پیروی کنند؛ در ادامه به این مقررات می پردازیم.

مقررات عمومی حفاظت از داده‌  (GDPR)

قانون GDPR، یک قانون است که از داده های شخصی شهروندان اروپایی محافظت می کند. هدف آن افزایش کنترل و حقوق حریم خصوصی افراد بر داده‌هایشان است و کنترل‌های شدیدی را بر نحوه پردازش این اطلاعات توسط سازمان‌ها اعمال می‌کند. GDPR تضمین می‌کند که سازمان‌ها داده‌های شخصی را به صورت ایمن پردازش می کنند و از آنها در برابر پردازش غیرمجاز، از دست دادن تصادفی، آسیب و تخریب محافظت می‌کند. همچنین جریمه ای معادل 4 درصد از گردش مالی سالانه یک شرکت یا 20 میلیون یورو (هر کدام که بیشترین باشد) را به همراه دارد.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا  (CCPA)

هدف CCPA این است که به مصرف کنندگان کنترل بیشتری بر نحوه جمع آوری داده های شخصی کسب و کارها بدهد و شامل این حقوق می شود:

• حق دانستن اطلاعاتی است که یک کسب و کار دارد و چگونگی اشتراک گذاری یا استفاده از آن ها
• حق حذف آن اطلاعات
• حق انصراف از فروش آن داده به اشخاص ثالث
• و حق اجتناب از تبعیض برای اعمال این حقوق CCPA.

سازمان ها باید در مورد شیوه های حفظ حریم خصوصی خود به مصرف کنندگان اطلاع رسانی کنند.

 HIPAA

HIPAA یک قانون فدرال است که از داده های سلامتی بیماران در برابر در معرض قرار گرفتن بدون رضایت یا اطلاع آنها محافظت می کند و حاوی قانون حفظ حریم خصوصی است که به افشا و استفاده از اطلاعات بیمار می پردازد و تضمین می کند که داده ها به درستی محافظت می شوند. همچنین دارای یک قانون امنیتی است که از تمام اطلاعات بهداشتی قابل شناسایی فردی که یک سازمان به صورت الکترونیکی ایجاد، نگهداری، دریافت یا انتقال میدهد، محافظت می کند.

عدم رعایت می تواند منجر به جریمه تا 50،000 دلار به ازای هر تخلف، حداکثر جریمه سالانه 1.5 میلیون دلاری و مجازات حبس تا 10 سال شود.

قانون Sarbanes-Oxley (SOX)

(SOX) یک قانون فدرال است که مقررات حسابرسی و مالی را برای سازمان های عمومی ارائه می کند. این مقررات از کارکنان، سهامداران و مردم در برابر اشتباهات حسابداری و ارتکاب فعالیت های مالی متقلبانه محافظت می کند. هدف اصلی این مقررات تنظیم حسابرسی، گزارشگری مالی و سایر فعالیت های تجاری در سازمان های سهامی عام است. دستورالعمل‌های آن برای سایر شرکت ها، سازمان های خصوصی و شرکت های غیرانتفاعی نیز اعمال می شود.

استاندارد امنیت داده های صنعت کارت پرداخت  (PCI DSS)

استاندارد امنیت داده های PCI (PCI DSS) تضمین می کند که سازمان ها به طور ایمن داده های کارت اعتباری را پردازش، ذخیره و انتقال دهند. توسط شرکت هایی مانند American Express، Mastercard و Visa برای کنترل و مدیریت استانداردهای امنیتی PCI و افزایش امنیت حساب در طول تراکنش های آنلاین راه اندازی شد. PCI DSS توسط شورای استانداردهای امنیتی (PCI SSC) اداره می شود. عدم رعایت می تواند منجر به جریمه ماهانه تا 100،000 دلار و تعلیق پذیرش کارت شود.

سازمان بین المللی استاندارد    (ISO) 27001

ISO 27001 یک استاندارد بین المللی برای ایجاد، استقرار، نگهداری و بهبود سیستم های مدیریت امنیت اطلاعات است و برای سازمان‌ها، بینش عملی را در مورد چگونگی توسعه پالیسی های امنیتی جامع و به حداقل رسانی خطرات آنها ارائه می دهد.

جمع بندی

سوالات متداول

امنیت داده چیست؟

امنیت داده، فرایند حفاظت از اطلاعات دیجیتال در تمام چرخه حیات آن برای محافظت از آن در برابر فساد، سرقت یا دسترسی غیرمجاز است و همه چیز را تحت پوشش قرار می دهد؛ اعم از سخت افزار، نرم افزار، دستگاه های ذخیره سازی و دستگاه های کاربر، دسترسی و کنترل های اداری، و پالیسی‌ها و رویه های سازمان.

چرا امنیت داده ها مهم است؟

سازمان‌ها از نظر قانونی موظف هستند از داده‌های مشتریان و کاربران در برابر گم شدن یا دزدیده شدن و قرار گرفتن در اختیار افراد غیرمجاز محافظت کنند. امنیت سایبری داده ها همچنین برای جلوگیری از به خطر افتادن شهرت و اعتبار که با نقض داده همراه است، بسیار مهم است. هک یا از دست دادن داده‌های پرمخاطب می‌تواند منجر به از دست دادن اعتماد مشتریان به یک سازمان شود.

انواع امنیت داده چیست؟

برخی از رایج‌ترین انواع امنیت داده‌، که سازمان‌ها باید به دنبال ترکیب آن‌ها برای اطمینان از داشتن بهترین استراتژی ممکن باشند، عبارت هستند از: رمزگذاری، پاک کردن داده‌، پنهان کردن داده‌ و تاب آوری داده‌.

مقالات مرتبط

حمله سایبری به ارگان های دولتی ایران

با رشد زیرساخت‌های دیجیتال در...

کلیک کنید

چگونه یک فایروال مناسب برای امنیت شبکه انتخاب کنیم؟

با توجه به تهدیدات روزافزون...

کلیک کنید

فایروال ویندوز چیست؟

همانطور که می دانید تمامی...

کلیک کنید