صنعت ارتباطات و فناوری اطلاعات مانند دیگر صنایع و رشتهها، مملو است از اسناد بالادستی…
۹ مهر ۱۴۰۳
امروزه با همهگیر شدن استارتآپها و کسبوکارهای نوظهور در حوزههای B2C و B2B و ارائه خدمات به آحاد مردم، هر کسی ممکن است به این فکر بیفتد که کسبوکار خود را آغاز و با گردآوری یک تیم توانمند و خوشفکر، محصول جدیدی به بازار عرضه کند. معمولاً هنگام راهاندازی هر کدام از این کسبوکارها، سرمایهگذاران آنها به دنبال افراد توانمندی میگردند که در حوزههایی چون محصول، تولید نرمافزار، مارکتینگ، UX، CX و غیره تخصص داشته باشند. موضوعی که در بیشتر موارد به آن توجه نمیشود، مساله امنیت است و سرمایهگذاران زمانی متوجه این نقصان میشوند که کسبوکار با موفقیت روبهرو شده و رشد سریعی را تجربه کرده، اما در این میان یک مساله ساده و پیشپاافتاده امنیتی ضربهای جدی به آن کسبوکار وارد میکند؛ اتفاقی که نمونههایی از آن را طی چند ماه گذشته در دو کسبوکار خوب و موفق داخلی شاهد بودیم.
سوال این است که اصولاً برای جلوگیری از این اتفاقات چه باید کرد و چگونه میتوان کسبوکار خود را در مقابل تهدیدات امنیتی تا حد زیادی مصون کرد؟ برای جواب دادن به این سوال ابتدا باید مساله امنیت را از ابعاد مختلف مورد بررسی قرار داد. هنگامی که صحبت از امنیت به میان میآید، بسیاری به فکر فایروال و تجهیزات گرانقیمت در شبکه میافتند، اما واقعیت این است که امنیت شبکه تنها یکی از ابعاد امنیت است و تجهیزات آن کوچکترین بخش از امنیت را تشکیل میدهند. از نگاه کلی میتوان امنیت را از ابعاد زیر مورد بررسی قرار داد:
امنیت شبکه مواردی نظیر طراحی معماری شبکه، پیدا کردن نقاط تهدید و ورودیهای شبکه، تهیه تجهیزات مورد نیاز امنیتی مانند فایروالها، WAFها و غیره و از همه مهمتر، انجام تنظیمات درست و دقیق روی این تجهیزات برای جلوگیری از هر گونه دسترسی غیرمجاز به شبکه را شامل میشود. باور بسیاری بر این است که فقط با خرید تجهیزات گرانقیمت و قرار دادن آنها در شبکه میتوان امنیت را تضمین کرد، حال آنکه اگر بهترین تجهیزات با تنظیمات ناکارآمد و نادرست در شبکه قرار گیرد، به هیچ عنوان قادر به تامین امنیت شبکه نخواهند بود.
امنیت نرمافزار ناظر به تولید اپلیکیشنها و سامانههای آن کسبوکار است؛ تجهیزاتی مانند WAF در بخش امنیت شبکه کمک میکنند که نقصانهای امنیتی این بخش تا حدودی تامین شود اما اگر تولید نرمافزار از ابتدا طبق استانداردها و توصیههای امنیتی این حوزه صورت نگرفته باشد، بهترین WAFها هم کمکی به تامین امنیت نمیکنند. برطرف کردن این معضل نیازمند آن است که تولیدکنندگان نرمافزار دورههای تولید نرمافزار امن را پشت سر گذاشته یا حداقل با مفاهیم آن آشنا باشند. همچنین نرمافزارهای تولیدشده باید قبل از قرار گرفتن در محیط اجرا تست White Box را گذرانده باشند.
امنیت کسبوکار به عنوان بعد دیگری از امنیت، مشتریان و فرایندهای داخلی کسبوکارها را مورد توجه قرار میدهد. برای فهم بهتر کسبوکاری را تصور کنید که در آن پلتفرم خرید و فروش C2C ارائه شده؛ یعنی هر کاربر سامانه، یا فروشنده است یا خریدار. با توجه به اینکه هم فروشندهها و هم خریداران در این سامانه امکان تقلب دارند، ایجاد یک فضای خرید و فروش امن، در پیشرفت و همهگیر شدن این کسبوکار نقش بسزایی دارد؛ از این نظر که محصول خریداریشده منطبق با محصول مورد ادعای فروشنده باشد و از سوی دیگر نحوه پرداخت خریدار نیز طبق شرایط توافقشده صورت پذیرد. گاهی وجود یک نقطهضعف کوچک در این بعد از امنیت باعث تعطیلی کامل یک کسبوکار موفق میشود.
با توجه به اینکه امنیت کسبوکار در فرایندهای آن نهفته است، شاید بتوان از آن به عنوان یکی از پیچیدهترین ابعاد امنیت یاد کرد؛ معمولاً کسبوکارها از این زاویه دچار نقصان هستند و لطمههای بسیاری را متحمل میشوند. برای تامین این بعد از امنیت لازم است تیمهایی حرفهای در سازمان برای بررسی زوایای مختلف آن تشکیل شود.
وقتی صحبت از امنیت سازمان مطرح میشود منظور از آن برقراری چارچوبها و دستورالعملهای امنیتی در سازمان برای اطمینان از عدم وقوع خطاهای انسانی، بیدقتیها یا سوءنیت برای ضربه زدن به سازمان است. استاندارد ISO 27000 در این حوزه کمک شایانی به کسبوکارها برای توجه به این بعد از امنیت به صورت سیستماتیک میکند. اکثر استارتآپها در ابتدای راه خود از متخصصان جوانی بهره میبرند که علاقهمند به حرکت در لبه تکنولوژی هستند و از سوی دیگر ترجیح میدهند برای کاهش هزینهها از ابزارهای عمومی مانند Git Hub یا Docker Hub یا سایتهای نظیر آن استفاده کنند. اگر در این تصمیمگیری موارد امنیتی سازمان به صورت کامل دیده نشود، لطمههای جبرانناپذیری به کسبوکار وارد خواهد شد و متاسفانه به علت بیتوجهی به مسائل امنیتی، گاهی داراییهای سازمان در معرض خطرات جدی قرار میگیرد.
در نهایت اینکه استارتآپها و کسبوکارهای موفق امروز نباید فراموش کنند که مقوله امنیت به عنوان یکی از مهمترین ابعاد موفقیت و تداوم کسبوکار، باید از بدو امر و از آغاز راه با تشکیل تیمی از متخصصان این حوزه، در ابعاد مختلف مورد توجه قرار گیرد. پایه امنیت کسبوکارها را نمیتوان برونسپاری کرد و سیاستهای امنیتی باید در درون سازمان بنا گذاشته شود. مشکل جدی در این مسیر آن است که امنیت در ذات خود محدودیتهایی پدید میآورد و معمولاً سازمانها و کارکنان آنها از آن رویگردان هستند و در برابرش مقاومت میکنند، حال آنکه بیتوجهی به آن میتواند خسارتهای جبرانناپذیری به کسبوکار وارد کند.