در دهه اخیر، سازمانها سرمایهگذاری گستردهای در حوزه زیرساخت شبکه، امنیت اطلاعات و مرکز داده انجام دادهاند. بکارگیری تجهیزات پیشرفته، پیادهسازی راهکارهای امنیتی چندلایه، استفاده از فایروالهای نسل جدید، سامانههای پایش مداوم و اجرای استانداردهای بینالمللی، نشاندهنده توجه جدی مدیران به موضوع امنیت است.
با این حال، بررسی رخدادهای امنیتی در سازمانها نشان میدهد که با وجود این اقدامات، همچنان نفوذ، ازکارافتادگی سرویسها و نشت اطلاعات رخ میدهد. نکته قابلتأمل آن است که در بسیاری از این موارد، ضعف اصلی نه در تجهیزات و فناوری، بلکه در رفتار سازمانی، فرایندهای تصمیمگیری و شیوه تعامل انسان با زیرساخت است.
این مقاله با نگاهی تحلیلی، به لایهای کمتر دیدهشده امنیت میپردازد؛ لایهای که اگرچه نامرئی است، اما نقشی تعیینکننده در امنیت واقعی شبکه و مرکز داده ایفا میکند.
توهم امنیت زیرساخت
در بسیاری از سازمانها، امنیت همچنان بعنوان مجموعهای از ابزارها تعریف میشود. وجود فایروال، آنتیویروس، سامانه پشتیبانگیری و کنترل دسترسی، این احساس را ایجاد میکند که زیرساخت امن است. این نگاه ابزاری، به شکلگیری نوعی توهم امنیت میانجامد.
امنیت اطلاعات یک وضعیت ثابت نیست، بلکه یک فرایند پویا و مستمر است که به تصمیمهای روزمره، رفتار کارکنان و فرهنگ سازمانی وابسته است. زمانی که امنیت فقط به فناوری تقلیل داده شود، نقش انسان بعنوان یکی از مهمترین مؤلفههای ریسک نادیده گرفته میشود.
مرکز داده؛ از نقطه امن تا نقطه آسیبپذیر
مرکز داده در اغلب سازمانها بعنوان حساسترین و امنترین بخش شناخته میشود. تجهیزات فیزیکی، سیستمهای کنترل تردد، نظارت تصویری و استانداردهای محیطی، همه در راستای افزایش ایمنی طراحی شدهاند.
با وجود این، تجربه نشان میدهد که مرکز داده اغلب در معرض آسیبهایی قرار میگیرد که ریشه آنها فرایندی و انسانی است، نه فنی. ورود افراد غیرمرتبط، استفاده مشترک از دسترسیها، انجام تغییرات بدون ثبت و وابستگی به افراد کلیدی، نمونههایی از این موارد هستند.
امنیت مرکز داده زمانی محقق میشود که دسترسی، تغییر و بهرهبرداری از منابع، در چارچوب مقررات شفاف و قابل پایش انجام شود.
دسترسیها؛ سادهترین راه نفوذ
مدیریت دسترسی یکی از چالشبرانگیزترین حوزههای امنیت اطلاعات است. در بسیاری از سازمانها، دسترسیها بهمرور زمان انباشته میشوند و بازبینی دورهای مناسبی روی آنها انجام نمیگیرد. در چنین شرایطی دسترسیهای غیرضروری باقی میمانند، کاربران سطح دسترسی بالاتری از نیاز واقعی خود دارند و حسابهای کاربری بلااستفاده همچنان فعال هستند.
این وضعیت اغلب ناشی از اولویت دادن به سرعت کار نسبت به امنیت است. حال آنکه هر دسترسی اضافه، یک سطح ریسک جدید برای سازمان ایجاد میکند.
تغییرات بدون کنترل؛ ریسک پنهان شبکه
شبکه و مرکز داده محیطهایی زنده و در حال تغییر هستند. ارتقاها، اصلاح پیکربندیها و افزودن سرویسها اجتنابناپذیر است. اما زمانی که تغییرات بدون فرایند مشخص انجام شوند، پیامدهای پرهزینهای بهدنبال خواهند داشت. نبود فرایند مدیریت تغییر باعث میشود:
- منشأ اختلالها مشخص نباشد
- امکان بازگشت به وضعیت پایدار وجود نداشته باشد
- مسئولیت رخدادها نامشخص بماند
مدیریت تغییر، نه مانعی برای بهرهوری، بلکه تضمینی برای پایداری و امنیت زیرساخت است.
پشتیبانگیری؛ سازوکاری که اغلب ناقص اجرا میشود
پشتیبانگیری یکی از پایههای اساسی امنیت اطلاعات است. با این حال، داشتن نسخه پشتیبان بهتنهایی تضمینکننده امنیت نیست. کیفیت، محل نگهداری، دسترسی و قابلیت بازیابی نسخههای پشتیبان اهمیت بیشتری از صرف وجود مرکز داده دارد.
در بسیاری از رخدادهای امنیتی، مشخص میشود که نسخههای پشتیبان در همان زیرساخت آسیبدیده قرار داشتهاند یا بهدرستی تست نشدهاند و یا دسترسی به مرکز داده بهدرستی محافظت نشده است
نسخه پشتیبان مؤثر باید بخشی از یک راهبرد جامع تداوم کسبوکار باشد، نه صرفاً یک وظیفه عملیاتی.
نقش مدیریت در امنیت اطلاعات
بخش قابلتوجهی از ریسکهای امنیتی، نه از خطای فنی، بلکه از تصمیمهای مدیریتی سرچشمه میگیرد. کوتاه آمدن از الزامات امنیتی، ایجاد استثناهای موقت و به تعویق انداختن اصلاحات، بهتدریج فرهنگ سازمانی را تحتتأثیر قرار میدهد.
زمانی که پیام غیررسمی سازمان این باشد که امنیت قابل مذاکره است، کارکنان نیز رفتار خود را بر همان اساس تنظیم میکنند. در چنین فضایی، اجرای سیاستهای امنیتی با چالش جدی مواجه میشود.
امنیت پایدار؛ فراتر از تجهیزات
امنیت شبکه و مرکز داده تنها با خرید تجهیزات پیشرفته محقق نمیشود. تجربه نشان میدهد که بخش عمدهای از تهدیدها، از ضعف در تصمیمگیری، فرایندها و رفتارهای انسانی ناشی میشود. امنیت اطلاعات زمانی پایدار خواهد بود که سه عامل بصورت همزمان و متوازن مورد توجه قرار گیرند:
- فناوری مناسب و بهروز
- فرایندهای شفاف، مستند و قابل اجرا
- فرهنگ و رفتار سازمانی همسو با امنیت
غفلت از هر یک از این عوامل، اثربخشی سایر اقدامات را کاهش میدهد. سازمانهایی که به امنیت پایدار دست یافتهاند، امنیت را نه یک پروژه، بلکه بخشی از هویت سازمانی خود میدانند. مرکز داده امن، نتیجه فناوری مناسب، تصمیمهای آگاهانه و مسئولیتپذیری جمعی است.
بزرگترین تهدید امنیتی، همیشه یک ابزار یا حمله خارجی نیست؛ گاهی یک تصمیم ساده انسانی است که پیامدهای گستردهای بهدنبال دارد.
