امنیت، مساله مهمی که معمولاً کسب‌وکارها به آن توجه نمی‌کنند

امروزه با همه‌گیر شدن استارت‌آپ‌ها و کسب‌وکارهای نوظهور در حوزه‌های B2C و B2B و ارائه خدمات به آحاد مردم، هر کسی ممکن است به این فکر بیفتد که کسب‌وکار خود را آغاز و با گردآوری یک تیم توانمند و خوش‌فکر، محصول جدیدی به بازار عرضه کند. معمولاً هنگام راه‌اندازی هر کدام از این کسب‌وکارها، سرمایه‌گذاران آنها به دنبال افراد توانمندی می‎گردند که در حوزه‌هایی چون محصول، تولید نرم‌افزار، مارکتینگ، UX، CX و غیره تخصص داشته باشند. موضوعی که در بیشتر موارد به آن توجه نمی‌شود، مساله امنیت است و سرمایه‌گذاران زمانی متوجه این نقصان می‎شوند که کسب‌وکار با موفقیت روبه‌رو شده و رشد سریعی را تجربه کرده، اما در این میان یک مساله ساده و پیش‌پاافتاده امنیتی ضربه‌ای جدی به آن کسب‌وکار وارد می‎کند؛ اتفاقی که نمونه‌هایی از آن را طی چند ماه گذشته در دو کسب‌‌وکار خوب و موفق داخلی شاهد بودیم.
سوال این است که اصولاً برای جلوگیری از این اتفاقات چه باید کرد و چگونه می‌توان کسب‌وکار خود را در مقابل تهدیدات امنیتی تا حد زیادی مصون کرد؟ برای جواب دادن به این سوال ابتدا باید مساله امنیت را از ابعاد مختلف مورد بررسی قرار داد. هنگامی که صحبت از امنیت به میان می‌آید، بسیاری به فکر فایروال و تجهیزات گران‌قیمت در شبکه می‎افتند، اما واقعیت این است که امنیت شبکه تنها یکی از ابعاد امنیت است و تجهیزات آن کوچک‌ترین بخش از امنیت را تشکیل می‎دهند. از نگاه کلی می‎توان امنیت را از ابعاد زیر مورد بررسی قرار داد:

۱- امنیت شبکه

امنیت شبکه مواردی نظیر طراحی معماری شبکه، پیدا کردن نقاط تهدید و ورودی‌های شبکه، تهیه تجهیزات مورد نیاز امنیتی مانند فایروال‌ها، WAFها و غیره و از همه مهم‌تر، انجام تنظیمات درست و دقیق روی این تجهیزات برای جلوگیری از هر گونه دسترسی غیرمجاز به شبکه را شامل می‌شود. باور بسیاری بر این است که فقط با خرید تجهیزات گران‌قیمت و قرار دادن آنها در شبکه می‌توان امنیت را تضمین کرد، حال آنکه اگر بهترین تجهیزات با تنظیمات ناکارآمد و نادرست در شبکه قرار گیرد، به هیچ عنوان قادر به تامین امنیت شبکه نخواهند بود.

۲- امنیت نرم‌افزار

امنیت نرم‌افزار ناظر به تولید اپلیکیشن‌ها و سامانه‌های آن کسب‌وکار است؛ تجهیزاتی مانند WAF در بخش امنیت شبکه کمک می‌کنند که نقصان‌های امنیتی این بخش تا حدودی تامین شود اما اگر تولید نرم‌افزار از ابتدا طبق استانداردها و توصیه‎های امنیتی این حوزه صورت نگرفته باشد، بهترین WAFها هم کمکی به تامین امنیت نمی‌کنند. برطرف کردن این معضل نیازمند آن است که تولیدکنندگان نرم‌افزار دوره‌های تولید نرم‌افزار امن را پشت سر گذاشته یا حداقل با مفاهیم آن آشنا باشند. همچنین نرم‌افزارهای تولیدشده باید قبل از قرار گرفتن در محیط اجرا تست White Box را گذرانده باشند.

۳- امنیت کسب‌وکار

امنیت کسب‌وکار به ‌عنوان بعد دیگری از امنیت، مشتریان و فرایندهای داخلی کسب‌وکارها را مورد توجه قرار می‌دهد. برای فهم بهتر کسب‌وکاری را تصور کنید که در آن پلتفرم خرید و فروش C2C ارائه شده؛ یعنی هر کاربر سامانه، یا فروشنده است یا خریدار. با توجه به اینکه هم فروشنده‎ها و هم خریداران در این سامانه امکان تقلب دارند، ایجاد یک فضای خرید و فروش امن، در پیشرفت و همه‌گیر شدن این کسب‌وکار نقش بسزایی دارد؛ از این نظر که محصول خریداری‌شده منطبق با محصول مورد ادعای فروشنده باشد و از سوی دیگر نحوه پرداخت خریدار نیز طبق شرایط توافق‌شده صورت پذیرد. گاهی وجود یک نقطه‌ضعف کوچک در این بعد از امنیت باعث تعطیلی کامل یک کسب‌وکار موفق می‌شود.
با توجه به اینکه امنیت کسب‌وکار در فرایندهای آن نهفته است، شاید بتوان از آن به ‌عنوان یکی از پیچیده‌ترین ابعاد امنیت یاد کرد؛ معمولاً کسب‌وکارها از این زاویه دچار نقصان هستند و لطمه‌های بسیاری را متحمل می‌شوند. برای تامین این بعد از امنیت لازم است تیم‌هایی حرفه‌ای در سازمان برای بررسی زوایای مختلف آن تشکیل شود.

۴- امنیت سازمان

وقتی صحبت از امنیت سازمان مطرح می‌شود منظور از آن برقراری چارچوب‌ها و دستورالعمل‌های امنیتی در سازمان برای اطمینان از عدم وقوع خطاهای انسانی، بی‌دقتی‌ها یا سوءنیت برای ضربه ‌زدن به سازمان است. استاندارد ISO 27000 در این حوزه کمک شایانی به کسب‌وکارها برای توجه به این بعد از امنیت به صورت سیستماتیک می‎کند. اکثر استارت‌آپ‌ها در ابتدای راه خود از متخصصان جوانی بهره می‌برند که علاقه‌مند به حرکت در لبه تکنولوژی هستند و از سوی دیگر ترجیح می‌دهند برای کاهش هزینه‌ها از ابزارهای عمومی مانند Git Hub یا Docker Hub یا سایت‌های نظیر آن استفاده کنند. اگر در این تصمیم‌گیری موارد امنیتی سازمان به صورت کامل دیده نشود، لطمه‌های جبران‌ناپذیری به کسب‌وکار وارد خواهد شد و متاسفانه به علت بی‌توجهی به مسائل امنیتی، گاهی دارایی‌های سازمان در معرض خطرات جدی قرار می‌گیرد.
در نهایت اینکه استارت‌آپ‌ها و کسب‌وکارهای موفق امروز نباید فراموش کنند که مقوله امنیت به ‌عنوان یکی از مهم‌ترین ابعاد موفقیت و تداوم کسب‌وکار، باید از بدو امر و از آغاز راه با تشکیل تیمی از متخصصان این حوزه، در ابعاد مختلف مورد توجه قرار گیرد. پایه امنیت کسب‌وکارها را نمی‌توان برون‌سپاری کرد و سیاست‌های امنیتی باید در درون سازمان بنا گذاشته شود. مشکل جدی در این مسیر آن است که امنیت در ذات خود محدودیت‌هایی پدید می‌آورد و معمولاً سازمان‎ها و کارکنان آنها از آن رویگردان هستند و در برابرش مقاومت می‎کنند، حال آنکه بی‌توجهی به آن می‌تواند خسارت‌های جبران‌ناپذیری به کسب‌وکار وارد کند.