برقرای ارتباط ریموت امن در سازمان -دورکاری با ISMS

برقرای ارتباط ریموت امن در سازمان -دورکاری با ISMS

با حضور شاه ویروس کرونا، موضوع دورکاری بخصوص در فناوری اطلاعات با چالشی عمیق درگیر است و آن رعایت دستورالعمل‌های امنیتی است

چکنیم تا دور کاری کنیم، امنیت را نقض نکنیم، قانون را دور نزنیم و کنترل دقیق‌تری داشته باشیم؟

یکی از دستورالعملی که توسط برخی ارایه دهندگان ISMS (سیستم مدیریت امنیت اطلاعات) و ISO 27000 ارایه می‌شود حذف کلیه روش‌های ارتباط از راه دور (حذف دسترسی ریموت) است و سازمان‌ها را مجبور می‌کند تا از هرگونه ارایه دسترسی ریموت به کارشناسان فناوری و پیمانکاران خودداری کنند! این یعنی سازمان باید کلیه درگاه‌های ارتباطی را به‌واسطه‌ی افزایش سطح امنیت ببندد. اگرچه امنیت شبکه از الزامات حفظ اطلاعات و جلوگیری از هک و نفوذ به سازمان است و بسیار الزامی است اما نباید منجر به قرنطینه‌شدن خشک شبکه سازمان شود. اما تا چه حد ارایه نکردن دسترسی ریموت مشکل امنیتی را مرتفع می‌کند؟

به‌واقع هیچ! در مطلب حذف مسیر بجای کنترل مسیر به این نکته پیشتر اشاره کرده‌ام که اگر سازمانی دسترسی ریموت را ارایه ندهد و حضورا کارشناسان فناوری و یا پیمانکار را در زمان وقوع یک حادثه به محل سازمان بطلبد و هیچ نظارتی روی عملکرد او نداشته باشد عملا هیچ تفاوتی با ارایه دسترسی ریموت ندارد! زیرا فقط ماهیت حضور فرد تغییر کرد از غیرحضوری به حضوری همین!

وگرنه حدود دسترسی، نظارت بر عملکرد و نظارت بر حفظ داده‌ها همچنان بدون کنترل است بنابراین حفظ امنیتی، با حذف مسیر حاصل نمی‌شود! برقراری امنیت، حضورا یا دورکاری بودن نیست مشکل نظارت است که ارایه دهندگان ISMS‌ به سازمان‌ها ارایه نمی‌کنند!

آنها هنوز غافل‌اند که از ابزارهای نوین و سازمانی و متدهایی نظارت بر تغییر داده‌ها، اسکرین‌شات گرفتن از فعالیت فرد ریموت‌شده و نظارت بر عملکرد دسترسی و استفاده از نام کاربری ارایه شده در سطح شبکه می‌توان بخوبی استفاده کرد.

متاسفانه در اکثر سازمان‌هایی که ISMS‌ در آنها پیاده‌سازی‌شده و ملزم به رعایت دستورالعمل‌ها شده‌اند موضوع حذف دسترسی ریموت علیرغم شدت و حدت آن فقط سبب تحمیل هزینه‌های بسیاری بوده و رهاورد دیگری نداشته است زیرا هنوز برخی کارشناسان فناوری با دور زدن دستور العمل اقدام به برقراری ارتباط ریموت می‌کنند. یا پیمانکاران را مجبور به مراجعه حضوری می‌کنند که برای سازمان دریافت کننده‌ی خدمت بسیار پر هزینه می‌شود و یا اینکه یک سیستم را به اینترنت وصل می‌کنند و از طریق یک نرم‌افزار بسیار نا ایمن نظیر AnyDesk یا TeamViewer اقدام به ارایه دسترسی ریموت به پیمانکار می‌کنند.

این یعنی نواقص دستورالعمل آنقدر زیادست که برای دور زدن این قانون و یا تسهیل آن، کارشناسان به سراغ روش‌های بسیار غلط و ناایمن می‌روند.

سوال اینجاست شما اگر بخواهید از یک تولیدکننده نرم‌افزار در خارج از کشور پشتیبانی بگیرید آیا به او می‌گوید دسترسی ریموت نداریم و باید حضورا بیایید ایران!؟

آیا  AnyDesk‌ نا امن را نصب می‌کنید و یک سیستم را زیر بار اینترنت می‌برید و از آن سیستم دسترسی ورود به شبکه را می‌دهید!؟

ISMS یک متد استاندارد برای حفظ امنیت اطلاعات است اما متاسفانه در ایران بد اجرا و پیاده‌سازی می‌شود زیرا ارایه‌کنندگان راهکار ISMS هیچ اشرافی بر روی پروتکل‌ها و روشهای برقراری ارتباط ایمن از راه دور ندارند. به‌همین خاطر بهترین و تنهاترین اقدامی بلد هستند قطع دسترسی است!

در حالی‌که سرویس‌دهندگان بزرگ مدیریت خدمات فناوری اطلاعات در جهان ابزارهای بسیار ایمنی نظیر PAM[1]- VPN[2]-Cisco AnyConnect و سیتریکس[۳] و... را ارایه کرده که امکان برقراری ریموت امن را میسر می‌کند و همچنان در کنار آن ابزارهای کنترلی و نظارت نیز عرضه شده تا کلیه فعالیت‌های فرد ریموت شونده را مانیتور کنند.

با توجه به مباحث نوین هوش مصنوعی، در آینده نچندان دورکاری یکی از الزامات هر کسب و کار و سازمانی خواهد شد. بویژه با احتساب مواردی نظیر سرعت اجرا، رفع سریع مشکل، از بین بردن ترافیک و از بین بردن زمان ایاب و ذهاب و هزینه‌های متعاقب و بیمارهایی نظیر کرونا و... می‌توان با دورکاری ایمن و برقراری دسترسی امن و کنترل شده مشکل را مرتفع کرد.

این یعنی قرار نیست دستورالعمل‌های ISMS‌ و ایزو را کنار بگذاریم و رعایت نکنیم خیر‌! بلکه با ارایه متدهای صحیح بهترین سرویس ‌دورکاری را با حفظ تمامی جوانب امنیتی و نظاراتی ارایه کنیم. زیرا هم‌ اکنون همه در حال دور زدن قانون بد هستند!

[۱] Privileged Access Management

[۲] Virtual Private Network

[۳] Citrix

هادی احمدی