PDA

نسخه کامل مشاهده نسخه کامل : !!!افشای اطلاعات!!!



Babak_King
20-12-2005, 12:59
آيا مي‌دانيد چطور بايد در مقابل يك شكاف امنيتي اجتناب ناپذير عمل كنيد؟ شما بهتر مي‌دانيد.

Computer World: در هر صنعت اسامي زياد و معروفي وجود دارد كه نامشان جهت افشاي اطلاعات ثبت گرديده است از جمله مي‌توان به بانك Lexis Nexis آمريكا، Time Warner، DSW Shoe Warehouse، T-Mobile و دانشگاه بركلي كاليفرنيا اشاره كرد كه اخيرا شكافهاي امنيتي اطلاعات را تجربه كرده‌اند. بعضي از متخصصين مي‌گويند صدها مورد بازگو نشده ديگري نيز وجود دارند كه در آن اطلاعات محرمانه و حساس افراد به خطر افتاده است.

Diana McKenzie رئيس گروه IT در شركت قانوني Neal, Gerber & Eisenberg LLP در شيكاگو مي‌گويد، “در آنجا بيمارستاني وجود دارد كه بطور اتفاقي چندين بيمار ايدزي را لوداده يا حتي بانكي كه سوابق مالي يك شخص را بطور كامل و غيرعمدي در اختيار يك طلبكار قرار داده است و همينطور موارد مشابه بسيار ديگر.

اين‌ رويه براي مديران ارشد اطلاعات به 2 معنا است: يكي اينكه آيا شركت شما نيز يك شكاف امنيتي داده را تجربه خواهد كرد و چه زماني و ديگر اينكه اگر شما يكي از آن 10 درصد يا حتي كمتر از 10 درصد افراد بدشانسي هستيد كه ماجراي آنها در تمام رسانه‌هاي خبري ملي پخش شده است، پس بهتر است از قبل بدانيد كه چطور بايد در هنگام مواجهه با چنين شكافی عمل كنيد.



يك واقعيت جديد

Sortt Sobel، معاون بخش Levick Strategic Communication در واشنگتن مي‌گويد، “در گذشته وقتي از چيزي مي‌ترسيديد بطور ناگهاني و اتفاقي كلمه چيز را به زبان مي‌آورديد ولي اكنن ديگر افراد با فرآيندهاي IT بيشتر آشنا شده‌اند و معتقدند اگر كنترل بجاي بموقع روي آن صورت نگيرد آن شخص بي‌توجه بوده و اينكار را از روي عمد انجام داده است.

به همين دليل واكنش فوري شما در مقابل يك شكاف امنيتي بسيار مهم است و تنها تكيه بر آفريند‌هاي بموقع و فوري شما براي پاسخ به اين تهديداتي كه از قديم مرسوم بوده مثل نفوذ هكرها و ويروسها، كافي نمي‌باشد. امروزه اين تهديدات بيشتر از منابعي غير از شركتهاي بازرگاني ساختگي يا سارقان نوار نشات مي‌گيرند.

Rich Baich، مدير عامل Price water house Cooper و مقام امنيت اطلاعات سابق شركت Choice Point در ايالت جورجيا مي‌گويد، “شكستي كه امسال در فرآيندهاي بازرگاني رخ داد سازمانها را وادار به تغيير روش خود در پاسخ‌گويي به رويدادها و بي‌نظمي‌هاي آتي نمود. همچنين در ابتداي سال جاري معلوم شد كه Choice Point اطلاعات محرمانه مالي مصرف كنندگان را براي سارقين اطلاعاتي كه خود را بعنوان شركتها، بازرگاني قانوني معرفي كرده بودند، فاش كرده است.

Biach مي‌گويد يك تغيير مهم و با ارزش، ايجاد و تبليغ يك مكانسيم اساسي براي كارمندان يا عموم افراد جهت اعلام شكافهاي موجود است از جمله رويدادهايي كه ادامات و عمليات با تكنولوژي پايين را در برمي‌گيرند مثل كلاهبرداري يا سرقت نوار. در اينصورت بايد يك تيم مسئول و پاسخگو وجود داشته باشد كه از مجموعه پروتوكلهاي موجود پيروي نمايد و نه برخلاف آن دسته از خطوط مستقيم تلفني سرويس مشتري باشد كه گروه تعليم در آن از يك درخت تصميم‌گيري تبعيت مي‌كنند و بسته به ماهيت مشكل پاسخ خود را بيان مي‌كنند.

پروتوكل مخصوص پاسخ دقيق براي هر سازمان، منحصر به خود آن است. ممكن است بعضي‌ها بخواهند بطور مستقيم به وكيل خود گزارش دهند يا عده‌اي ديگر به CISO و بعضي ديگر به رئيس شركت، بهرحال هر كدام كه باشد باز بايد روش پاسخگويي تعريف شده و مورد تاييد باشد. Sabel مي‌گويد، “مثلا بايد اينطور بگوييم در زمان كريسمس يعني از اين ساعت تا امروز جان براون رئيس گروه است، او به اين وكيل و اين شخص PR تصميم گيرنده و نماينده انجمن دسترسي دارد.”

وجود يك نقطه تماس مركزي براي جلوگيري از بروز اشكال در عدم دريافت گزارشات و اطلاعات مربوط به وقايع مفيد است. McKenzie مي‌گويد، “اگر شخصي در محيط بيرون از شركت با يك مدير پر مشغله تماس بگيرد كه كار چندان مهمي نداشته باشد يا حتي شخص ديگري در طبقات پايين‌تر همان سازمان كه گمان مي‌كند اتفاقات عجيبي در شرف وقوع است، احتمال اين وجود دارد كه مدير تماس تلفني او را ناديده گرفته و بدون پاسخ بگذارد. او مي‌گويد، “بخاطر ندارم چندبار تاكنون شماره تلفن يا حتي نام شخصي را كه با من تماس گرفته فراموش كرده‌ام.”



كار گروهي

McKenzie مي‌گويد، نمي‌توان روي كلمه تيم و كار بصورت گروهي چندان پافشاري و تاكيد كرد. چرا كه IT خود در مواجهه با مسائل و درگيريهاي امنيتي ايام بسياري را به تنهايي سپري كرد. به مخص اينكه شما به عمق و وسعت يك مشكل پي‌مي‌بريد اداره حقوقي و روابط عمومي بايد براي رفع اين مشكل به يكديگر ملحق شوند. McKenzie مي‌گويد، “وقتي شروع به حل مشكل مي‌كنيد و گزارش مستند تهيه كرده و به وجود مشكل پي‌مي‌بريد ابتدا از وكلا مي‌خواهيد كه خطر را رفع كرده و سپس بدنبال برقراري ارتباط با افراد روابط عمومی و شايسته جهت رفع مشكل مي‌گرديد. او همچنين مي‌گويد، “اگر يكي از اعضاي IT اين مشكل را نزد خود نگه دارد كار ناشايستي مرتكب شده است.” چون نه تنها در بعضي موارد افشاي مطلب ضروري است بلكه گروه روابط عمومي شما براي اطلاع دقيق از مشكل و تهيه يك پاسخ مناسب براي حل آن به يك زمان كافي ناز دارند.

Eric Welz بنيانگذار اصلي و ارشد اين روش و راه‌حل مي‌گويد، در Varguard Managed Solutions LLC، IT در مواقع بحراني با ادارات حقوقي و بازاريابي بطور متحد و هماهنگ كار مي‌كند. حتي سرويس دهنده‌اي كه در مانسفيلد ماساچوست توسط 300 كارمند اداره و كنترل مي‌شود، در هنگام بروز حوادث امنيتي به كارمندان سطح مديريت در مركز عملكرد شبكه نيز نياز پيدا كرده و از آنها هم كمك گرفته مي‌شود. اگر معلوم شود كه اين حادثه جدي بوده در اينصورت IT، اداره حقوقي و بازاريابي همگي با هم براي تشخيص نحوه انتقال و اطلاع آن به سرويس گيرنده همكاري مي‌كنند. اكنون نقش وكلا در تفسير و پاسخ‌گويي صحيح به قوانين اختصاصي رسمي و فدرال نسبت به گذشته اهميت بيشتري پيدا كرده است براي مثال لايحه مجلس سناي كاليفرنيا در سال1386 را در نظر بگيريد كه سازمانها را ملزم به افشاي شكافهاي امنيتي در برگيرنده اطلاعات محرمانه ساكنين كاليفرنيا يا لايحه مجلس كاليفرنيا در سال1950 كه كنترل امنيت اطلاعات ساكنن كاليفرنيا را واجب داشت. دولت رسمي واشنگتن نيز اخيرا چندين لايحه در رابطه با شكافهاي امنيتي موجود تصويب كرده و ايالتهاي ديگر نيز بزودي از اين رويه پيروي خواهند كرد.

Baich مي‌گويد، شايد لازم باشد اداره حقوقي شما چندين قانون محلي را به اجرا در آورد كه نشان مي‌دهد آيا شركت شما مجاز به افشاي اطلاعات مربوط به اين شكافها خواهد بود يا نه. اگر پليس بنا به تشخيص خود مبني‌بر اينكه افشاي علني اطلاعات مانع تحقيقات و بازجويي مي‌شود از شما بخواهد ساكت مانده و مطلبي را بازگو نكنيد، حتما طي نامه‌اي براي اجتناب از بروز هر گونه مشاجره و درگيري بعدي از شما چنين تقاضاي را خواهد كرد. بعضي از متخصصين تصور مي‌كنند شركتها زبان تكرار بيانات خود را توسعه داده‌اند تا امكان پاسخ دهي سريعتري را فراهم آورند. پيترگرگوري، مدير اصلي امنيت در بخش Vantage Point Security LLC در بلوير واشنگتن مي‌گويد، “گاهي افشاي اطلاعات بايد بطور فوري صورت گيرد و نيازي به شروع مطلب با ايجاد يك فضاي خالي در كاغذ نمي‌باشد.”



سرعت ملايم و سنجيده

گرگوري مي‌گويد، عجله نكنيد “لازم نيست 2 روز صبر كنيد فقط 20 دقيقه منتظر بمانيد.” بايد از روشهاي فوري و اضطراري پيروي كنيد بطوريكه وقتي شخص PR در مقابل ميكروفون قرار گرفته اطلاعات بطور صحيح از همان نقطه بدست آمده از طريق مديريت IT و اطرافيان براي PR و اداره حقوقي ارسال مي‌شود.

McKenzie آنرا “پاسخ با طمانينه و محتاطانه مي‌نامد. به عبارت ديگر گرچه ممكن است تاخير در اين پاسخ‌گويي آزار دهنده باشد ولي اين پاسخ بايد مناسب و منطقي باشد چون در سراسر كشور پخش خواهد شد.”

McKenzie معتقد است براي جلوگيري از بستن اتهام ديگران نسبت به خود در عدم رفع سريع مشكل بايد علاوه‌بر اعضاي IT هوشيار و با استعداد در تجزيه و تحليل وب لاگها يا ركوردهاي ديگر از يك مشاور قانوني IT نيز كمك گرفت. او مي‌گويد، “اين نشان ميدهد كه شما اين موضوع را جدي گرفته‌ايد: ما اين فرد مسلح را براي حل سريع اين مشكل بكار گرفته‌ايم.”

“اگر كسي قصد آسيب رساندن و تعقيب قانوني شما را داشته باشد از ديدگاه PR كمك گرفتن فوري از چنين شخصي براي رفع اين مشكل بجا بوده است.”

Baich مي‌گويد، براي ثبت عملياتي كه تيم امنيتي و افراد در ارتباط با آن انجام مي‌دهند بايد وقايع را بطور واقعي ثبت كرد و براي هر عملكرد زمان دقيقي را مشخص نمود. “وقتي تمام وقايع ثبت شد بهتر و ساده‌تر مي‌توان اين وقايع را براي ديگران بازگو نمود.”

McKenzie مي‌گويد، بالاخره وقتي زمان برقراري ارتباط با مشتريان يا عامه بردم فرا مي‌رسد آگاهانه برخورد كنيد و به آنها اطمينان و دلگر مي‌دهيد. چون بايد كساني را كه از بابت اين وقايع دچار آسيب شده‌اند و رنج تنهايي را لمس كرده‌اند درك كنيد بنابراين يك برخورد مناسب و دلسوزانه از طرف شما احتمال بروز هر گونه دعواي حقوقي يا ديگر رفتارهاي زمينه ساز براي داد خواهي را گاهش مي‌دهد.

گرگوري مي‌گويد، “يك فاجعه امنيتي بسياري از افراد را در ادامه فعاليت شركت به شك مي‌اندازد به بنابراين بايد با بياني معقولانه و متفكرانه پاسخ دهيد تا اعتماد مشتريان و رسانه‌ها را از بابت كنترل بموقع خود جلب نماييد.

منبع:مجله علم الكترونيك و كامپيوتر