ریسک نفوذ یا دسترسی غیرمجاز به داده‌ها با این روش ها به حداقل می رسد

چابک آنلاین، حدیث اسماعیل زاده، تهدیدات سایبری که به ‌طور مداوم در حال تحول و پیچیده ‌تر شدن هستند، سازمان‌ ها را به یک چالش بزرگ کشانده ‌اند. 

ازحملات هدفمند گرفته تا نفوذ به سیستم ‌های حساس، همه و همه به ‌طور مستمر تهدیدی جدی برای امنیت داده ‌ها محسوب می ‌شوند.

برای مقابله با این تهدیدات، سازمان ‌ها باید رویکردی جامع و یکپارچه در پیش بگیرند که تمامی ابعاد امنیت، از زیرساخت ‌ها گرفته تا نرم‌افزارها و حتی رفتار کاربران، را پوشش دهد. 

به‌علاوه، ابزارهای پیشرفته و فناوری ‌های نوین مانند هوش مصنوعی می ‌توانند به شناسایی و مقابله با تهدیدات در زمان واقعی کمک کنند و از بروز خطرات بزرگ ‌تر جلوگیری کند.

اما رسیدن به یک سیستم امنیتی مستحکم نیازی بیشتر از تکنولوژی دارد. 

این امر به فرهنگ ‌سازی، همکاری میان تیم‌ها و به ‌روز رسانی مداوم نیاز دارد. 

سازمان ‌ها باید برای ساختارهای امنیتی خود ارزش قائل شوند و در راستای تقویت این ساختارها، به سرمایه ‌گذاری در ابزارهای نوین و آموزش مداوم توجه کنند. 

فقط در این صورت است که می ‌توانند در برابر تهدیدات پیچیده ‌تر و روزافزون دنیای دیجیتال ایمن بمانند.

درهمین راستا گفتگویی با خانم "سمیه دولت ‌نژاد"، مدیر فنی واحد امنیت شرکت مهیمن در حاشیه نمایشگاه الکامپ  صورت گرفته که ازنظر می گذرد:

چابک آنلاین: شرکت در نمایشگاه الکامپ چه ارزش افزوده‌ای را برای شما داشته است؟

سمیه دولت‌نژاد، مدیر فنی واحد امنیت شرکت مهیمن: نمایشگاه امسال بسیار خوب برگزار شد و شرکت‌های زیادی حضور داشتند که فرصت ارزشمندی برای ما ایجاد کرد. 

مهم‌ترین مزیت آن این بود که توانستیم موضوعات روز دنیا را دنبال کنیم، ببینیم رقبا چه پیشرفت‌هایی داشته‌اند و تمرکز بازار بیشتر روی چه حوزه‌ها و نیازمندی‌هایی است. 

این بررسی به ما کمک می‌کند جایگاه خود را مشخص کنیم و ارزیابی کنیم که آیا در مسیر درستی قرار داریم یا نیاز به بازنگری داریم.

علاوه بر این، نمایشگاه فضایی برای ایجاد ارتباط و تعامل میان سازمان‌های شرکت‌کننده فراهم می‌کند؛ چه در سطح داخلی و چه بین‌المللی. 

همین تعاملات به اشتراک تجربه، همکاری‌های جدید و شناخت بهتر فضای کاری منجر می‌شود و در نهایت برای همه شرکت‌کنندگان ارزش و آورده زیادی دارد.

چابک آنلاین: چه برنامه‌هایی پیش‌ رو دارید و قرار است چه محصولاتی را توسعه دهید؟

"سمیه دولت‌نژاد": برنامه‌های شرکت مهیمن بسیار گسترده بوده و تمرکز اصلی آن بر ارائه راهکارهای نوآورانه در حوزه‌های مختلف فناوری و امنیت است. 

درهمین مسیر، واحد امنیت شرکت به عنوان بخشی از این مجموعه، محصولات متنوعی را تولید کرده و در دست توسعه دارد.

درحال حاضر محصولات این واحد شامل مدیریت سطح دسترسی (PAM)، مدیریت هویت و دسترسی (IAM) و سامانه هوش تهدید است.

درکنار این موارد، یکی از جدیدترین محصولات ما «توسکا» است که مخفف توسعه کد امن بوده و حدود یک سال و نیم است روی آن کار می‌کنیم.

توسکا برآن است تا به تیم‌های توسعه کمک کند و محصولات امن‌تری تولید کنند و در واقع،توسکا نخستین محصول این مسیر بود که بر امن‌سازی در سطح کد منبع متمرکز شد.

چابک آنلاین:درزمینه حفاظت از داده‌های کاربران، چه چالش‌های اصلی در کشور وجود دارد؟

سمیه دولت نژاد، مدیر فنی واحد امنیت شرکت مهیمن: محافظت از داده نیازمند توجه به همه سطوح امنیتی است. 

چالش اصلی این است که دفاع در عمق ، درکشور رعایت نمی‌شود. 

به عنوان مثال، ممکن است برای داده‌ها در سطح پایگاه داده کنترل دسترسی تعریف شود، اما در سطوح دیگر مانند لایه کاربرد، زیرساخت، شبکه و نقاط انتهایی ملاحظات امنیتی به درستی رعایت نشود یا کنترل و نظارت کافی به‌صورت دوره‌ای انجام نشود.

یکی دیگر از چالش‌ها ، مقاومت تیم‌ها در برابر راه‌اندازی کنترل‌های امنیتی است، زیرا این کارها روند فعالیت آن‌ها را سخت‌تر می‌کند. 

با این حال،حفاظت از داده، دغدغه اصلی بوده  و ارزشمندترین دارایی هرسیستم، داده آن است. 

اگر لایه‌های امنیتی به درستی پیاده سازی و اعمال نشوند، داده‌ها به راحتی در اختیار مهاجم قرار می‌گیرند، اما با ایجاد پیچیدگی‌های امنیتی، دستیابی به آن‌ها به مراتب دشوارتر می‌شود.

چابک آنلاین:دراین مسیراز چه ابزارهایی استفاده کرده‌اید وآیا هوش مصنوعی می‌تواند در این راه به شما کمک کند؟

سمیه دولت‌نژاد: برای دفاع در عمق باید لایه های مختلف امن شوند که این لایه ها شامل لایه داده، کاربرد، زیرساخت، شبکه و نقاط انتهایی است.

درکنار آن، بحث مونیتورینگ امنیتی مداوم مطرح است زیرا درهر لایه ، ابزارهای امنیتی خاصی وجود دارد.

برای مثال در لایه داده می‌توان از رمزنگاری و کنترل دسترسی برای محافظت از اطلاعات،  مدیریت دسترسی به آن ها و مدیریت کلیدها و اطلاعات محرمانه  استفاده کرد.

درلایه کاربرد، رعایت اصول کدنویسی امن و تست نفوذ اهمیت دارد.

 محصول توسکا در حوزه کد نویسی امن به کمک تیم‌های توسعه دهنده می‌آید.

توسکا پنج نوع اسکن امنیتی روی کد انجام می‌دهد: بررسی افشای اطلاعات حساس مانند رمز عبور یا کلیدهای رمزنگاری، اسکن کتابخانه‌ها و پکیج‌ها برای شناسایی آسیب‌پذیری یا آلودگی، تحلیل فایل‌های پیکربندی بر اساس بهترین شیوه‌ها و در نهایت بررسی کلی کد بر اساس استانداردهای امنیتی. 

این قابلیت‌ها باعث می‌شود توسعه‌دهندگان پیش از انتشار محصول، مشکلات امنیتی را برطرف کنند.

همچنین نسخه‌ی حرفه ای  توسکا مجهز به هوش مصنوعی خواهد بود. 

هوش مصنوعی می‌تواند حملات پیچیده‌ای را که صرفاً با تحلیل ایستای کد شناسایی نمی‌شوند، تشخیص دهد و خطاهای احتمالی را کاهش دهد. 

ترکیب عامل انسانی، ابزار توسکا و هوش مصنوعی می‌تواند وضعیت امنیتی کد را به‌طور چشمگیری بهبود دهد.

در این بین، پیشنهاد می ‌کنم سازمان‌های تولیدکننده محصولات نرم‌افزاری و ارائه‌دهنده خدمات، امنیت را از ابتدا در فرایند تولید محصولات در نظر بگیرند و برای تحقق دفاع درعمق، همه ملاحظات و اقدامات لازم را پیش‌بینی و اعمال کنند. 

به ویژه سازمان‌های ارائه‌دهنده خدمات مهم و حیاتی در سطح کشور باید این رویکرد را جدی بگیرند تا محصولات و خدمات به شکل  امن‌تری تولید و ارائه شوند و ریسک نفوذ یا دسترسی غیرمجاز به داده‌ها به حداقل برسد.