راهنمای مهارتهای امنیتی برای تیم های دورکار

اگر به دوستانتان بگویید برای کسانی کار می کنید که حتی یک  بار هم آنها را ندیده اید ،نسبت به امنیت این شغل ابراز شک و تردید می کنند.

این شغل ، امنیت دارد اما همه چیز به توانایی شما در ایجاد سیاست های  امنیتی برای کارمندان دورکارتان می باشد.حتی اگر دور از کارمندان و مشتریهایتان زندگی می کنید باید محتاطانه عمل کنید. اطلاعاتی که متعلق به مشتریان شماست ، باید در جایی ایمن نگهداری کنید. بعضی مشتری ها به شما اعتماد ندارند و پسوردهای محرمانه و جزییات خصوصی مرتبط با زندگی شخصیشان را به شما نمی گویند. چگونه می خواهید این مشکل را حل کنید؟ چطور می توانید اعتماد کسی را جلب کنید که یکبار هم صدای شما را نشنیده است؟ چطور به آنها اطمینان می دهید اطلاعاتشان افشا نمی شود؟

تنها یک جواب برای همه ی این سوالات وجود دارد: در کار محتاطانه عمل کنید.

(در این مقاله ، کلمه ی “امنیت” به معنی “امنیت اطلاعاتی” می باشد.)

در چندین سال اخیر ، باور عمومی بر این بوده است که عملکرد بالا و امنیت اپلیکیشن ها ، به داشتن مرکز داده های منزوی وابسته است.اما با تولد رایانش ابری (cloud) و با توجه به عملکرد بالایی که داشت، این باور عمومی تغییر پیدا کرد، همچنین هزینه ی مدیریت اپلیکیشن ها هم پایین آمد. این یعنی اصلاً احتیاجی به داشتن یک سرور جداگانه که هیچ کس نباید به آن دسترسی داشته باشد، نداریم.

دانستن این نکته ضروریست که چیزی به اسم کلود فیزیکی نداریم . کلود کامپیوتری است که متعلق به یک نابغه ی آی تی است. شرکت هایی مثل Stripe و Uber اطلاعات مشتری ها و پرداخت های انجام شده را در یک سرور ابری ذخیره و اجرا می کنند. البته این کار با در نظر گرفتن استانداردهای  قوانین امنیتی مثل قوانین استاندارد امنیت داده های صنعت کارت خصوصی یا به اختصار PCI DSS انجام می شود. این شرکت ها از سیاست های سخت گیرانه و دقیقی پیروی می کنند که امنیت تمام و کمال داده هایشان تضمین شود. اگر تمام شرکت ها امنیت محیط توسعه داده شده را تآیید کنند ، در این صورت اپلیکیشنی که ساخته اید قابلیت استفاده برای تیم های دورکار را دارد. شرکت هایی مثل Toptal به طور غیرحضوری فعالیت می کنند.

امنیت یعنی چه و چگونه باید آن را برقرار نمود؟

امنیت اطلاعاتی به عمل محافظت از سیستم های اطلاعاتی و اطلاعات آنها از دسترسی غیرمجاز ،اختلال ، تخریب، استفاده غیر مجاز، تغییر یا افشا می گویند.تضمین کردن امنیت سیستم اطلاعاتی به طور صد در صد امکان پذیر نیست.اینکه می گوییم فلان شخص امنیت اطلاعاتی دارد یعنی تدابیری اندیشیده است تا امنیت اطلاعاتی مؤسسه خود را بالا ببرد.

مطلب پیشنهادی سردبیر:  در فریلنسینگ، هر چه بیشتر یاد بگیرید، بیشتر درآمد کسب می کنید

وقتی می گویید در یک محیط کاری امن در حال فعالیت هستید به این معنی است که تدابیری اندیشیده اید تا  کدها ، داده ها، یا هر گونه اطلاعات خصوصی را که در حیطه ی اختیارات شماست ، از امنیت کافی برخوردار باشند و همچنین درگاه هایی که با استفاده از آنها به اطلاعات حساس دسترسی پیدا می کنید هم از امنیت لازم برخوردارند. محیط کاری امن یعنی هیچ کس شخص غیر مجازی نمی تواند با پیدا کردن اطلاعات محرمانه ، برخلاف قوانین سازمان عمل کرده و هرج و مرج ایجاد نماید.

هر تیمی که به صورت غیرحضوری فعالیت دارد ، در معرض حملات بیشتری نسبت به تیم های متمرکز تر قرار دارد. در محیط کاری متمرکز ، می توانید اطلاعات  محرمانه مرتبط با هر قسمت را در همان قسمت ایمن کرده و یا با استفاده از فایروال از آن حفاظت کنید.اگر به صورت غیرحضوری برای کسی کار می کنید ،باید از طریق دستگاه هوشمند خود با کارفرما ارتباط برقرار کنید.از آنجایی که به صورت آنلاین با رئیس خود ارتباط برقرار می کنید باید بدانید که نسبت به سارقان هویتی و حملات مرتبط با مهندسی اجتماعی ، آسیب پذیرتر هستید. اما مطمئن باشید اگر محتاطانه عمل کنید هرگز دچار نشت اطلاعاتی نمی شوید.

معجونی برای به دست آوردن امنیت اطلاعاتی اختراع نشده است.بین امنیت اطلاعاتی و سهل الوصول بودن تعادل برقرار است،و این تعادل باتوجه به میزان امنیتی که مورد نظر شماست ، با روش متفاوتی به دست می آید. ضعیف ترین عضو تیم شما نشانگر سطح امنیت اطلاعاتی سیستم شما می باشد.بیایید نگاهی به حملات امنیتی رایج و روش دفاع از خود در برابر آنها صحبت کنیم.

حملات رایج

تا ندانید چه احتمالاتی بر سر راه شما قرار گرفته است نمی توانید بگویی ، سیستمتان امنیت دارد.رقبای آنلاین شما روش های متفاوتی برای ضربه زدن به شما دارند.این حملات در سه دسته ی کلی طبقه بندی می شوند.این لیست ، کامل نیست اما به طور کلی هکرها از این سه روش استفاده می کنند:

حملات بدافزارها

سرقت اطلاعات(phishing)

حملات مرتبط با مهندسی اجتماعی

حملات بدافزارها

حملات بدافزاری ، انواع زیادی دارد.بعضی از این حملات آسیب رسان و برخی دیگر بدون آسیب هستند.برخی دیگر هم به شدت خطرناک هستند.پس باید حواستان به بدافزارهای خطرناکی که در لیست زیر آمده اند باشد.

ابزار مدیریتی آنلاین(RATs): کنترل کامل رایانه شخصی شما را به دست می گیرد.

نرم افزار جاسوسی: ویدئو ها ، تصاویر ، صفحه نمایش وضربات کیبورد را ذخیره و نصب می کند

باج افزار: فایل های مهم شما  در کامپیوتر را رمزنگاری می کند  و بابت در اختیار قرار دادن رمز دسترسی به اطلاعاتتان از شما باج می گیرد.

مطلب پیشنهادی سردبیر:  تولید محتوا ، دورکاری یا شرکتی مسئله این است؟

اگر حمله کننده از شما بخواهد بدافزاری را در رایانه شخصیتان نصب کنید ، احتمالاً میخواهد با مهندسی اجتماعی به شما حمله کند.

حمله کننده می تواند usb drive حامل ویروس یا بدافزار را در کامپیوتر کارمند یک مؤسسه قرار دهد و به اطلاعات کارمندان دسترسی پیدا کند.

در  این روش مردی که ادعا می کند روی رزومه اش قهوه ریخته از مسئول قسمت پذیرش می خواهد  کپی دیگری از رزومه تهیه کند چون دیگر فرصت اینکه بیرون برود و رزومه اش را کپی کند ندارد و باید هر چه سریعتر مصاحبه کند. همین کار ، کامپیوتر مؤسسه را برای دریافت مقادیر زیادی از بدافزارها از طریق فلش ، آماده می کند.در روش ” هک انسانی” از این حیله استفاده می شود.

سرقت اطلاعات

این شایع ترین روش سرقت اطلاعات دیگران است. حمله کننده ها از وب سایت های جعلی استفاده می کنند که مشابه وب سایت های اصلی است.فرض کنید وارد وب سایتی می شوید که شبیه به فیسبوک است ، چون فکر می کنید این یک وب سایت حقیقی است ، اطلاعات مورد نیاز برای ورود به فیسبوک را وارد می کنید.

گاهی اوقات حمله کننده با نصب وب سایتش روی وب سایت شما اقدام به حمله می کند . به این نوع حمله “فرد واسط(MITM) می گویند. اما این حمله نباید شما را نگران کند چرا که موتور جستجو ، شما را مطلع می کند.

Spear phishing به حمله ای گفته می شود که حمله کننده ، صفحه ای در اختیار شما قرار می دهد که اختصاصاً برای شما و مؤسسه ی شما طراحی گردیده است.اگر این این نوع سرقت اطلاعاتی با حمله مهندسی اجتماعی ترکیب شود ، آسیب رساندن به شما راحت تر می گردد.برای کسب اطلاعات بیشتر در Freelancer ، پروژه های امنیتی را جستجو کنید .

حملات مهندسی اجتماعی

این نوع حمله به “هک انسانی” هم مشهور است.این نوع حمله ، هنر متقاعد کردن افراد نا آگاه برای وادار کردنشان به انجام کاریست که تمایل به انجام آن ندارند مثلاً متقاعد کردنشان به افشای اطلاعات محرمانه. در مهندسی اجتماعی از همدردی شما سوء استفاده می کنند تا از امنیت اطلاعات خود غافل شوید. این نوع حمله ، ممکن است تحت شرایطی انجام شود که در آن قربانی بترسد اگر کارهایی که حمله کننده می خواهد انجام ندهد ، مجازاتی ناشناخته برای او به همراه داشته باشد ، کارهایی غیر معقول انجام دهد .

قربانیان مهندسی اجتماعی ، افرادی در هر سن هستند . جدیدترین شکل مهندسی اجتماعی ، روی کودکان تمرکز دارد. طبق دستوراتی که آنها از شخصی خاص دریافت می کنند ، باید یک بازی آنلاین انجام دهند. در نتیجه این بازی ، کودکان زیادی جان خود را از دست دادند، چرا که هیچ کس جرأت خارج شدن از بازی را قبل از اینکه تمام شود ، نداشت به آنها گفته شده بود اگر قبل از اتمام بازی ، از آن خارج شوند ، عواقب بسیار خطرناکی در انتظار آنها خواهد بود.  به نمونه هایی از مهندسی اجتماعی در لیست زیر اشاره شده است.

مطلب پیشنهادی سردبیر:  ساخت وب سایت شخصی در عرض چند ساعت

حمله کننده به مدیر مالی یک مؤسسه پیامی مبنی بر انتقال 2 میلیون دلار ارسال می کند.

زنی با پشتیبانی  تلفن همراه ارتباط تلفنی برقرار می کند و از اپراتور می خواهد ، حساب کاربری کسی را تغییر دهد. این در حالیست که صدای گریه ی نوزادی شنیده می شود که مربوط به کلیپی است که در یوتیوب در حال پخش می باشد.

چه تکنیک هایی برای مبارزه با این حملات باید بدانیم؟

از پسوردهایتان حفاظت کنید

شاید شما از پسورد خوشتان نیاید چون فکر می کنید روش نامناسبی برای تشخیص هویت کاربر است، اما باید بدانید که در عصر اینترنت زندگی بدون آن غیرممکن است. از آنجایی که ذهن توانایی تولید پسوردهای پیچیده را ندارد بهتر است از یک پسورد منیجر استفاده کنید تا بتوانید از رمزهای قوی تری استفاده کنید. یک پسورد منیجر مناسب ، رمزهایی تصادفی تولید کرده و برای شما ذخیره می نماید. نرم افزار Last Pass گزینه ی خوبیست.

از احراز هویت چند مرحله ای (MFA) استفاده کنید

از چندمرحله برای تأیید هویت خود استفاده نمایید. مثلاً از چیزهایی که دوست دارید ، مدرسه ی قبلیتان ، جایی که قبلاً رفته اید و یا هر چیز دیگری که فقط خودتان می دانید استفاده کنید. اغلب وب سایتها از کاربران می خواهند تا قبل از ورود به سایت ، هویت خود را احراز کنند. می توانید از شماره تلفن همراهتان که فقط یک عدد از آن موجود است نیز استفاده نمایید.

وقتی به صورت غیرحضوری کار می کنید ، حواستان جمع باشد. اگر امروز اطلاعاتتان افشا نشود . جنایتکاران فردا به چنگتان خواهند آورد. هرگز نباید از زیر نظر داشتن وقایعی که در اطرافتان رخ می دهد غافل شوید ممکن است فکر کنیم سیستم اطلاعاتی امنی دارید اما همه ی اینها فقط تا قبل از قربانی شدنتان  معتبر است. هرگز ایمیل هایی که مشکوک هستند را جواب ندهید و درخواست دوستی هر کسی را درفیسبوک  نپذیرید.

توصیه هایی که در این مطلب به آن ها اشاره شده است ، جامع نیستند .اگر شما نیز توصیه هایی دارید می توانید از قسمت نظرات آنها را به اشتراک بگذارید.

 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *