بزرگان دنیای فناوری در مورد رمزارزها چه میگویند؟
بازار رمزارزها ترکیبی از عشق و نفرت است. برخی آنرا دوست دارند، برخی از آن نفرت دارند، برخی نسبت به آن بیتفاوت هستند و گروه دیگری عاشق آن هستند. بهطور معمول، سرمایهگذاران ارزهای دیجیتال آنرا دوست دارند، زیرا سود قابل توجهی به حساب آنها واریز میکند. در نقطه مقابل، افرادی هستند که سرمایه آنها بهدلیل سقوط شدید یک ارز دیجیتال از دست رفته یا به دلیل از دست دادن رمزعبور یا هک شدن کیف پول دارایی خود را از دست دادهاند، این افراد هر زمان اصطلاح ارزهای دیجیتال را میشنوند حسابی عصبانی میشوند. گروه دیگری نسبت به ارزهای دیجیتال و اتفاقات پیرامون آن بیتفاوت هستند، زیرا هیچگونه فعالیتی در این بازار ندارند، اخبار این حوزه را دنبال نمیکنند و برایشان اهمیتی ندارد که چه اتفاقاتی در دنیای ارزهای دیجیتال در حال رخ دادن است، اما گروه دیگری وجود دارد که عاشق ارزهای دیجیتال هستند. این افراد، همان توسعهدهندگان زیرساختها هستند که بیشتر از همه افراد از ارزهای دیجیتال کسب درآمد میکنند؛ افرادی که ارزهای دیجیتال و زیرساختهای مرتبط با آن و زنجیرههای بلوکی را توسعه میدهند، سرمایه اولیه جمعآوری میکنند و از طریق تبلیغات مردم را تشویق میکنند تا ارزهای دیجیتال خریداری کنند. در این میان، نقطه نظرات بزرگان دنیای فناوری اطلاعات نقش مهمی در خطدهی به افکار عمومی دارد. در این مقاله، بهطور اجمالی نقطه نظرات برخی از آنها را بررسی خواهیم کرد.
نظر وارن بافت در مورد ارزهای دیجیتال چیست؟
وارن بافت یکی از ثروتمندان جهان است. یکی از معیارهای مورد توجه افرادی که تازه قصد ورود به دنیای ارزهای دیجیتال و خرید رمز ارزها را دارند، دیدگاهها و توصیههای سرمایهداران بزرگ است. یکی از افراد مهم جهان که توصیههای جالبی در ارتباط با دنیای پول و سرمایهگذاری دارد، وارن بافت است. وارن بافت نظر مساعدی در ارتباط با ارزهای دیجیتال مثل بیتکوین ندارد. او نهتنها در حوزه ارزهای دیجیتال سرمایهگذاری نکرده، بلکه هیچ علاقهای نسبت به آنها ندارد.
وارن ادوارد بافت هنوز هم در فهرست ثروتمندترین افراد جهان قرار دارد. تخمین زده شده که او ثروتی بالای 100 میلیارد دلار دارد که باعث شده جزء 5 ثروتمند برتر جهان شناخته شود. به همین دلیل، هنگامی که توصیه یا پیشنهادی در حوزههایی مثل اقتصاد و پول ارائه میکند، مورد توجه مردم قرار دارد. وارن بافت بر این باور است که رمز ارزها ارزش ذاتی ندارند و به همین دلیل هیچ وقت روی آنها سرمایهگذاری نکرده است. او میگوید: «عدم وجود ارزش ذاتی و مبهم بودن ریشه پیدایش رمزارزی مثل بیتکوین باعث شده سرمایهگذاری روی آن ریسکپذیر باشد».
جالب آنکه افزایش میزان استفاده از بیتکوین بهعنوان راهکاری برای پرداخت در سراسر جهان در سالهای اخیر، باعث نشده تا او عقیده خود را تغییر دهد و همچنان بر این باور است که ارزهایی مثل دلار همیشه پول واقعی باقی خواهند ماند.
او بر این باور است که حوزههایی مثل کشاورزی، املاک و مستغلات بازدهی و سود بیشتری نسبت به رمز ارزها دارند. از اینرو، اگر زمینه برای خرید کل بازار بیتکوین با قیمتی در حد انتظار فراهم شود، بازهم اینکار را انجام نخواهد داد. او در جلسه سالانه سهامداران شرکت برکشایر هاتاوی که مالک آن است در اردیبهشت 1401 گفت: «اگر مالک تمامی بیتکوینهای جهان باشید و دوست داشته باشید بیتکوینهای خود را به ارزش 25 دلار بهفروش برسانید، بازهم پیشنهاد شما را رد میکنم، زیرا هیچ کار خاصی نمیتوانم با بیتکوین انجام دهم و مجبور به فروش دوباره آن به خودتان خواهم شد. در شرایطی که شما میتوانید با سرمایهگذاری در املاک و مستغلات اجاره بها دریافت کنید و با سرمایهگذاری در زمینهای کشاورزی مواد خوراکی بهدست آورید».
بد نیست بدانید که هلدینگ برکشایر هاتاوی در سال 2021 یک میلیارد دلار در نوبانک (Nubank) سرمایهگذاری کرد. این بانک برزیلی یکی از ارزشمندترین بانکهای آمریکای لاتین است. نوبانک از طریق ارائه محصولاتی مثل صندوق قابل معامله (ETF) بیتکوین، به علاقهمندان سرویسدهی میکند. بهعبارت دقیقتر، هلدینگ تحت سرپرستی وارن بافت بهشکل غیرمستقیم در دنیای ارزهای دیجیتال فعالیت دارد!
علاوه بر این، نیکول بافت (Nicole Buffett)، نوه وارن بافت، دیدگاه متفاوتی در این زمینه دارد و فعالیت گستردهای در حوزه ارزهای دیجیتال دارد. او از شبکه اتریوم و فناوری انافتی (NFT) برای فروش آثار هنری خود استفاده میکند. در اکتبر 2021 میلادی او اعلام کرد که مجموعه توکنهای غیرمثلی خود را بهفروش رسانده است. او بر این باور است که اتر (ETH)، ارز دیجیتال زیرساخت اتریوم به پول رایج دنیای انافتی تبدیل خواهد شد. همچنین، معتقد است در شرایطیکه اتریوم در فضای انافتی یکهتاز است، اما رقبایی مثل سولانا و کاردانو در تلاش هستند تا سهمی از بازار اتریوم را کسب کنند. نیکول بافت میگوید: « سرمایهگذاری در دنیای هنر با استفاده از فناوریهایی مثل NFT شبیه به سرمایهگذاری در بورس یا خرید اوراق قرضه است. وقتی پدربزرگ من در تلاش برای بررسی فناوریای مثل بیتکوین است، دوست دارد پاسخهایی برای چند سوال مهم بهدست آورد. آیا فعالیت بر مبنای اصول اخلاقی انجام میشود، آیا ارزش ثابت و پایداری دارد؟ به عقیده من پاسخ این پرسشها در ارتباط با دنیای هنر مثبت است».
نیکول بافت میگوید که آثار هنری انافتی خود را بهشکل ناشناس و به قیمتهای عادلانه عرضه میکند و در نتیجه خریداران نمیدانند آثاری که خریداری میکنند متعلق به او است.
وارن بافت، مدیرعامل برکشایر هاتاوی و چارلی مانگر، نایب رئیس هیئت مدیره هر دو دیدگاه مثبتی در ارتباط با بیتکوین ندارند. بافت در یکی از صحبتهای خود به این نکته اشاره کرد که نمیداند آیا سال آینده شاهد افزایش یا کاهش ارزش ارزهای دیجیتال باشد، اما از یک موضوع اطمینان دارد که ارزهای دیجیتال چیزی تولید نمیکنند، بلکه به واسطه تبلیغات کاذب باعث شدهاند افراد زیادی به این حوزه علاقهمند شوند. او همچنین از ماهیت منفعل بیتکوین انتقاد کرده و میگوید: «در برخی مشاغل اگر سرمایهگذاری کنید رانت تولید میشود، اما اگر در زمینهای کشاورزی سرمایهگذاری کنید محصولی بهدست میآوردید که جامعه قادر به استفاده از آن است، در حالیکه بیتکوین چیزی به شما نمیدهد».
چارلی مانگر میگوید: «در زندگیام، سعی میکنم از چیزهایی که احمقانه و شیطانی هستند و من را بد جلوه میدهند اجتناب کنم و بیتکوین هر سه مورد را دارد. ارزهای دیجیتال سرمایه ارزشمندی نیستند، زیرا همواره احتمال صفر شدن آنها وجود دارد. ارزهای دیجیتال اقتصاد دولتها را تضعیف میکنند».
نظر ایلان ماسک در مورد ارزهای دیجیتال
ایلان ماسک، مدیر عامل تسلا و اسپیساکس، نقطه نظرات جالبی در ارتباط با ارزهای دیجیتالی مثل بیتکوین دارد. گاهیاوقات از آنها حمایت میکند و باعث افزایش ارزش رمزارزهای خاصی میشود و گاهیاوقات با عناوین مختلفی همچون حمایت از محیط زیست بهشکل تلویحی آنها را نقد میکند که باعث میشود در یک بازه زمانی بازار با نوسان روبهرو شود. او در یکی از توییتهای خود که سال 2021 میلادی منتشر کرد به این نکته اشاره کرد که قیمت بیتکوین به 69 هزار دلار خواهد رسید. جالب آنکه قیمت بیتکوین در 9 نوامبر 2021 میلادی به رقم 68500 هزار دلار رسید.
از زمانی که ایلان ماسک به پیشبینی قیمت 69 هزار دلاری بیتکوین اشاره کرد، نزدیک به یک سال زمان میگذرد. تقریبا از یک سال قبل که ایلان ماسک بهشکل جدی توییتهایی در ارتباط با قیمت ارزهای دیجیتال منتشر میکند، تاثیر زیادی روی بازار ارزهای دیجیتال داشته است. البته به اعتقاد برخی کارشناسان، بازار ارزهای دیجیتال برای ایلان ماسک بیشتر جنبه تفریح و سرگرمی دارد. بهطور مثال، در یکی از توییتهای خود به رشته اعدادی اشاره کرد که برخی تصور کردند او به قیمتهای آتی ارز دیجیتال بیتکوین اشاره دارد.
برخی بر این باور بودند که او قیمت بیتکوین را پیشبینی کرده، اما در ادامه مشخص شد او بهشکل رمزی حرف زده و اگر این اعداد را در تبدیلگر HEX به کد اسکی تبدیل کنید، عبارت Haha True بهدست میآید. در ادامه، او تصمیم گرفت بیشتر درباره دوجکوین توییت کند. بهطور مثال، یکی از توییتهای ایلان ماسک در مورد دوجکوین بهراحتی توانست نوسان شدیدی در قیمت این ارز دیجیتال ایجاد کند و قیمت آن ۳۵ درصد افزایش پیدا کرد.
در توییت دیگری ایلان ماسک تنها به نام بیبیدوج (Baby Doge Coin) اشاره کرد و همین یک کلمه باعث شد، ارزش بیبیدوج نزدیک به ۹۰ درصد افزایش پیدا کند، هرچند در ادامه ارزش آن کاهش پیدا کرد. با این وجود، وی در مصاحبهای با بلومبرگ به این نکته اشاره کرد که نقشی در پیوستن مردم به سمت بازار کریپتو نداشته است. او گفت: «من هرگز نگفتهام مردم باید در بازار ارزهای دیجیتال سرمایهگذاری کنند.»
در خرداد 1401 اعلام کرد در حال حاضر علاقهای به صحبت در مورد بیتکوین ندارد، زیرا تمرکزش بر خرید توییتر و استفاده از دوجکوین در کمپانی تسلا است. اکنون این پرسش مطرح است که آیا قیمت بیتکوین به 69 هزار دلار میرسد؟ در شرایطی که قیمت بیتکوین از مرز 68 هزار دلار عبور کرد، اما اکنون افت شدیدی نسبت به یک سال گذشته داشته و در زمان نگارش این مقاله (28 خردادماه) 19625 هزار دلار است. به عقیده برخی از فعالان حوزه ارزهای دیجیتال، ایلان ماسک بهطور غیرمستقیم قیمت 69,420 دلاری بیتکوین را سطحی برای ترند شدن این رمز ارز در سطح اینترنت اعلام کرده است که همانگونه که اشاره شد، ارزش این ارز دیجیتال به 68 هزار دلار رسید.
افراد فعال در حوزه ارزهای دیجیتال، سم بنکمن فرید (Sam BankMan-Fried) موسس و مدیر عامل صرافی افتیایکس (FTX) را به خوبی میشناسند. او ثروتمندترین فرد دنیای ارزهای دیجیتال است و در شرایطی که تنها 29 سال سن دارد، چیزی در حدود 26 میلیارد دلار سرمایه در اختیار دارد و شصتمین فرد ثروتمند جهان است. او بر این باور است که آینده از آن ارزهای دیجیتال است و رمز ارزهای دیگری جای بیتکوین را خواهند گرفت که یکی از آنها سولانا است. او بر این باور است که مقیاسپذیریای که سولانا ارائه میدهد به این ارز دیجیتال اجازه خواهد داد تا به میلیونها تراکنش در هر ثانیه بدون مشکل پاسخ دهد و تبدیل به دارایی دیجیتال پیشرو بعدی شود. در سالهای اخیر، اکوسیستمهای مختلفی برای ساخت قرارداد هوشمند و برنامههای غیرمتمرکز با هدف رقابت با اتریوم، پدید آمدهاند. در این میان تنها برخی از آنها بهعنوان رقیب جدی اتریوم شناخته شدهاند که سولانا معروفترین آنها است. ارز دیجیتال سولانا از ابتدای سال 2021 و تنها در مدت زمان 10 ماه موفق شد رشد 17 هزار درصدی را تجربه کند. سم بنکمن فرید بر این باور است که سولانا این ظرفیت را دارد تا جای بیتکوین را بگیرد. او میگوید: « سولانا میتواند به برترین پروژه دارایی دیجیتال بعدی بهلحاظ ارزش بازار شود و جایگاه بیتکوین را تصاحب کند».
سم بنکمن فرید معتقد است در چند سال آینده شرکتها و موسسات بیشتری به دنیای ارزهای دیجیتال وارد خواهند شد که باعث رونق بازار رمز ارزها میشود. او میگوید: «سولانا یک پروژه زنجیره بلوکی است که قابلیتهای گستردهای در اختیار شرکتها قرار خواهد داد، بهطوریکه ارز دیجیتال اکوسیستم سولانا میتواند بیتکوین بعدی شود و تبدیل به باارزشترین ارز دیجیتال شود».
استیو وزنیاک بیتکوین را با ارزشتر از طلا میداند
استیو وزنیاک، همبنیانگذار اپل، بیتکوین را شبیه به معجزهای بزرگ در دنیای فناوری اطلاعات میداند که مبتنی بر یک فرمول ریاضی کاملا خاص است. بههمین دلیل نظر کاملا مثبتی در ارتباط با ارزهای دیجیتال دارد، اما بیتکوین را تنها طلای ناب دیجیتال میداند. جالب آنکه استیو وزنیاک هنوز بیتکوینی خریداری نکرده است، اما از حامیان بیتکوین است.
استیو وزنیاک میگوید: «استخراج بیتکوین بهمراتب راحتتر از یافتن و استخراج طلا است. طلا محدود است و باید بهدنبال آن بگردید، اما بیتکوین جالبترین معجزه ریاضی است. من هنوز سرمایهگذاری روی بیتکوین انجام ندادهام، اما بر این باور هستم که بیتکوین قرار نیست از میدان خارج شود».
استیو وزنیاک تنها فردی نیست که بیتکوین را طلای دیجیتال توصیف میکند، تحلیلگران دیگری نیز با او هم عقیده هستند، زیرا بر این باور هستند که همواره تعداد محدودی بیتکوین و طلا در جهان عرضه میشود. همین مسئله باعث میشود بیتکوین در گذر زمان ارزش خود را حفظ کند. نکتهای که باید در ارتباط با بیتکوین به آن اشاره کنیم، این است که هر چه رو به جلو حرکت میکنیم، استخراج بیتکوین از شبکهها سختتر میشود. در حال حاضر، وزنیاک ارز دیجیتال خود را که توکن WOZX نام دارد عرضه کرد. شرکت Efforce که متعلق به او است، در زمینه انرژیهای تجدیدپذیر فعالیت میکند و توکن WOZX رمزارز این شرکت است. Efforce یک زیرساخت معاملاتی در ارتباط با انرژی است که بر پایه زنجیره بلوکی کار میکند و افرادی را که تمایل دارند بهشکل بهینه از انرژی در فرآیندهای صنعتی استفاده کنند به کارشناسان این حوزه متصل میکند. در فرآیند اتصال، پرداختها از طریق توکن مذکور انجام میشود. همچنین، WOZX بهعنوان توکن زیرساخت Efforce، توسط شرکتکنندگان در این پلتفرم برای مشارکت در پروژههای ذخیره انرژی استفاده میشود و به کاربرانی که در مصرف انرژی صرفهجویی کنند توکنهایی بهعنوان پاداش هدیه میدهد.
استیو وزنیاک توصیهای برای علاقهمندان به ورود به دنیای ارزهای دیجیتال دارد. او مدعی شد که بیشتر پروژههای مربوط به ارزهای دیجیتال کلاهبرداری هستند. وزنیاک میگوید: «سازندگان توکنها سعی میکنند از افراد مشهور استفاده کنند تا سرمایهگذاران را فریب دهند تا توکنهای آنها را خریداری کنند. این روزها تعداد زیادی ارز دیجیتال ساخته شده است. هر فردی راهی برای خود پیدا میکند تا توکنی بسازد و هر توکن یک چهره شناختهشده دارد که نقش بازاریاب را برای آن توکن بازی میکند. بیشتر این افراد هدفشان جذب پول افرادی است که میخواهند در مراحل اولیه عرضه یک توکن روی آن سرمایهگذاری کنند. توصیه من این است که با دید مثبت و تحقیقات عمیق به سراغ سرمایهگذاری روی توکنهای ناشناس بروید». او بر این باور است که دولتها بهزودی به مقابله با ارزهای دیجیتال خواهند رفت، زیرا اجازه نمیدهند بیتکوین از کنترل آنها خارج شود.
بیل گیتس منتقد ارزهای دیجیتال
اگر جستوجویی در اینترنت انجام دهید، متوجه میشوید که بیل گیتس طرفدار ارزهای دیجیتال نیست و در بیشتر موارد فناوریهایی مثل NFT یا ارزهای دیجیتال را نکوهش میکند. بیل گیتس در یکی از توییتهای معروف خود به کاربران هشدار میدهد که اگر سرمایهای کمتر از ایلان ماسک دارند، باید در مورد خرید بیتکوین محتاط باشند.
بیل گیتس در یکی از توییتهای خود به این نکته جالب اشاره دارد: «ارزش شرکتها بر مبنای تولیدات داخلی آنها محاسبه میشود. ارزش ارزهای دیجیتال به این صورت محاسبه میشود که شخصی تصمیم میگیرد شخص دیگری برای آن دارایی چقدر باید هزینه کند، بدون آنکه هیچگونه ارزش افزودهای به جامعه اضافه کند».
او در گفتوگو با سایت خبری بلومبرگ گفت: «ایلان ماسک بر مبنای تکنیکهای پیشرفته مدیریتی معاملات خود را انجام میدهد که سرمایهگذاران عادی از دسترسی به این تکنیکها محروم هستند». او در بخشی از صحبتهای خود به این نکته اشاره دارد که هر زمان ایلان ماسک در شبکههای اجتماعی در ارتباط با سقوط یا افزایش قیمت بیتکوین صحبت میکند، اطمینان دارد که خودش از ضررهای احتمالی مصون است. او در یکی از توییتهای جالب خود میگوید: «ایلان ماسک ثروت هنگفتی دارد و در دنیای تجاری و اقتصاد فردی کاملا حرفهای است. تصور نمیکنم او بر مبنای نوسان قیمت بیتکوین سود یا زیان کند، زیرا میداند کار درست چیست». بد نیست بدانید نزدیک دو هفته بعد از اینکه تسلا اعلام کرد 1.5 میلیارد دلار بیتکوین خریداری کرده است، قیمت بیتکوین 20 درصد افت کرد و به حدود 46 هزار رسید. بهطوری که 400 میلیون دلار از ارزش کل بازار جهانی ارزهای دیجیتال به یکباره از دست رفت. این سقوط وحشتناک تنها چند ساعت پس از آن اتفاق افتاد که ماسک توییتی زد که قیمتهای فعلی بیتکوین و اتر بیشازاندازه بالا است.
گیتس به سرمایهگذاران متوسط میگوید: «با چشمان کاملا بسته از اقدامات افرادی مثل ماسک الگوبرداری نکنید. اگر میلیاردر نیستید، مراقب باشید تا ثروت خود را از دست ندهید. تصور میکنم افرادی که مجذوب بازار ارزهای دیجیتال شدهاند، پول زیادی ندارند و درست همین افراد هستند که بیشترین ضرر را میدهند و در مقابل افراد دیگری را ثروتمند میکنند. فناوریهایی در جامعه است که خروجی مفیدی دارند و ما میتوانیم روی آنها سرمایهگذاری کنیم. بیتکوین مصرف انرژی زیادی دارد و تراکنشهای بینامونشان را رواج میدهد که قابل بازگشت نیستند. ارزهای دیجیتال به معنای واقعی کلمه بد نیست، اما باید شفاف، بازگشتپذیر و متمرکز باشند»
با ارائه اولين استاندارد مديريت امنيت اطلاعات در سال 1995، نگرش سيستماتيک به مقوله ايمنسازى فضاى تبادل اطلاعات شکل گرفت. بر اساس اين نگرش، تامين امنيت فضاى تبادل اطلاعات سازمانها، دفعتا مقدور نمىباشد و لازم است اين امر بصورت مداوم در يک چرخه ايمنسازى شامل مراحل طراحى، پيادهسازى، ارزيابى و اصلاح، انجام گيرد. براى اين منظور لازم است هر سازمان بر اساس يک متدولوژى مشخص، اقدامات زير را انجام دهد:
تهيه طرحها و برنامههاى امنيتى موردنياز سازمان
ايجاد تشکيلات موردنياز جهت ايجاد و تداوم امنيت فضاى تبادل اطلاعات سازمان
اجراى طرحها و برنامههاى امنيتى سازمان
آيا امنيت 100% امكانپذير است؟
با پيشرفت علوم كامپيوتري و همچنين بوجود آمدن ابزارهاي جديد Hack و Crack و همچنين وجود صدها مشكل ناخواسته در طراحي نرم افزارهاي مختلف و روالهاي امنيتي سازمان ها ، هميشه خطر حمله و دسترسي افراد غيرمجاز وجود دارد. حتي قوي ترين سايتهاي موجود در دنيا در معرض خطر افراد غيرمجاز و سودجو قرار دارند. ولي آيا چون نمي توان امنيت 100% داشت بايد به نكات امنيتي و ايجاد سياستهاي مختلف امنيتي بي توجه بود؟
در حال حاضر، مجموعهاى از استانداردهاى مديريتى و فنى ايمنسازى فضاى تبادل اطلاعات سازمانها ارائه شدهاند که استاندارد مديريتى bs7799 موسسه استاندارد انگليس، استاندارد مديريتى ISO/IEC 17799 موسسه بينالمللى استاندارد و گزارش فنى ISO/IEC TR 13335 موسسه بينالمللى استاندارد از برجستهترين استانداردها و راهنماهاى فنى در اين زمينه محسوب مىگردند.
در این استانداردها و در راس آنها ISO270001، نکات زیر مورد توجه قرار گرفته شده است:
تعيين مراحل ايمنسازى و نحوه شکلگيرى چرخه امنيت اطلاعات و ارتباطات سازمان.
جزئيات مراحل ايمنسازى و تکنيکهاى فنى مورد استفاده در هر مرحله
ليست و محتواى طرحها و برنامههاى امنيتى موردنياز سازمان
ضرورت و جزئيات ايجاد تشکيلات سياستگذارى، اجرائى و فنى تامين امنيت اطلاعات و ارتباطات سازمان
کنترلهاى امنيتى موردنياز براى هر يک از سيستمهاى اطلاعاتى و ارتباطى سازمان
مطالب مرتبط با موضوع
سیستم کنترل و مانیتورینگ اتاق سرور
عیوب سیستم های هوشمند سازی اتاق سرور
سنسورها و فیچرهای ایمنی اتاق سرور
ISMS چیست؟
ISMS مخفف عبارت Information Security Management System به معنای سیستم مدیریت امنیت اطلاعات می باشد و استانداردهایی را برای ایمن سازی فضای تبادل اطلاعات در سازمان ها ارائه می دهد. این استانداردها شامل مجموعه ای از دستورالعمل هاست تا فضای تبادل اطلاعات یک سازمان را با اجرای یک طرح مخصوص به آن سازمان ایمن نماید.
اقدامات لازم جهت ایمن سازی فضای تبادل اطلاعات عبارتند از :
1- تهيه طرحها و برنامههاي امنيتي مورد نياز سازمان
2- ايجاد تشکيلات مورد نياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3- اجراي طرحها و برنامههاي امنيتي سازمان
استانداردهای مدیریتی ارائه شده در خصوص امنیت اطلاعات
استانداردهاي مديريتي ارائه شده در خصوص امنيت اطلاعات و ارتباطات سازمانها، عبارتند از:
1. استاندارد مديريتي BS7799 موسسه استاندارد انگليس که شامل 2 بخش است :
BS7799:1 که ISO/IEC 27002 نامیده می شود که در قالب 10 دسته بندی کلی زیر است :
1. تدوين سياست امنيتي سازمان
2. ايجاد تشکيلات تامين امنيت سازمان
3. دستهبندی سرمايهها و تعيين کنترلهای لازم
4. امنيت پرسنلی
5. امنيت فيزيکی و پيرامونی
6. مديريت ارتباطات
7. کنترل دسترسی
8. نگهداری و توسعه سيستمها
9. مديريت تداوم فعاليت سازمان
10. پاسخگوئي به نيازهای امنيتی
BS7799:2 که در سال 2005 به استاندارد ISO/IEC 27001:2005 تبدیل شد که شامل 4 مرحله PDCA به معنی Plan (مرحله تاسیس و طراحی)، Do (مرحله پیاده سازی و عملی کردن) ، Check (مرحله نظارت و مرور) و Act ( مرحله بهبود بخشیدن و اصلاح)است.
2. استاندارد مديريتي ISO/IEC 17799 موسسه بينالمللي استاندارد که همان بخش اول استاندارد BS7799:2 است که در سال 2000 به این اسم نامیده شد.
3. گزارش فني ISO/IEC TR 13335 موسسه بينالمللي استاندارد که اين گزارش فني در قالب 5 بخش مستقل در فواصل سالهاي 1996 تا 2001 توسط موسسه بين المللي استاندارد منتشر شده است . اگر چه اين گزارش فني به عنوان استاندارد ISO منتشر نشد و عنوان Technical Report بر آن نهاده شد، ليکن تنها مستندات فني معتبري است که جزئيات و تکنيکهاي مورد نياز مراحل ايمن سازي اطلاعات و ارتباطات را تشريح نموده و در واقع مکمل استانداردهاي مديريتي BS7799 و ISO/IEC 17799 مي باشد و شامل مراحل زیر است :
1) تعيين اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات سازمان
2) تحليل مخاطرات امنيتي فضاي تبادل اطلاعات سازمان
3) انتخاب حفاظ ها و ارائه طرح امنيت
4) پيادهسازي طرح امنيت
5) پشتيباني امنيت فضاي تبادل اطلاعات سازمان
مستندات ISMS
اهداف، راهبردها و سياستهاي امنيتي فضاي تبادل اطلاعات دستگاه
طرح تحليل مخاطرات امنيتي فضاي تبادل اطلاعات دستگاه
طرح امنيت فضاي تبادل اطلاعات دستگاه
طرح مقابله با حوادث امنيتي و ترميم خرابيهاي فضاي تبادل اطلاعات دستگاه
برنامة آگاهي رساني امنيتي به پرسنل دستگاه
برنامة آموزش امنيتي پرسنل تشکيلات تامين امنيت فضاي تبادل اطلاعات دستگاه
اجزاء تشکيلات امنيت
تشکيلات امنيت شبکه، متشکل از سه جزء اصلی به شرح زير می باشد :
در سطح سياستگذاري : کميته راهبری امنيت فضاي تبادل اطلاعات دستگاه
در سطح مديريت اجرائي : مدير امنيت فضاي تبادل اطلاعات دستگاه
در سطح فني : واحد پشتيبانی امنيت فضاي تبادل اطلاعات دستگاه
نحوه پیاده سازی ISMS در سازمانها
سازمان ها وقتی می خواهند گواهینامه بگیرند، اقدام به دریافت آن کرده و به شرکت هایی که این خدمات را ارائه می دهند مراجعه می کنند.شرکت های ارائه دهنده این خدمات با شرکت های خارجی که درزمینه ISMS در ایران شعبه دارندمشاوره کرده و در نهایت مشاوری از سوی شرکت برای آن سازمان می فرستند.مشاور در جلسه هیات مدیره خط مشی امنیتی را مشخص و پیاده سازی صورت میگیرد. شکل زیر مراحل اعطای گواهینامه ISMS را نمایش می دهد.
مشکلات موجود در زمینه پیاده سازی ISMS
1- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد. براین اساس پیاده سازی مدیریت امنیت قبل ازخرید تجهیزات امنیتی توصیه می گردد. وقتی امنیت فرهنگ باشد عمری لازم است تا یک فرهنگ ایجاد شود و جا بیفتد. وقتی امنیت فرهنگ باشد نمی توان فرهنگ سازمانی بومی شده در یک کشور پیشرفته اروپایی را به سادگی در یک مرحله ضربتی به یک سازمان دیگر وارد نمود. این یکی از اصلی ترین موانع در پیاده سازی استانداردهای مدیریت امنیت است.
2- امنیت تداوم می خواهد. حتی اگر موفق شویم در یک سازمان سیستم مدیریت امنیت اطلاعات را پیاده نموده و گواهی استاندارد مربوطه را هم در یک مرحله اخذنمائیم؛ عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای سازمان نخواهدداشت.
3- مدیران سازمانی ما احساس ناامنی مداوم از فضای تبادل اطلاعات خود ندارند و یا مایملک اطلاعاتی ذی قیمتی را در معرض تهاجم نمی بینند. بر این اساس،حمایت جدی و همه جانبه از پیاده سازی و تداوم استانداردهای مدیریت امنیت ندارند.
4- ناامنی تداوم دارد. چون ناامنی تداوم دارد بایستی امن سازی و تفکرامنیت در همه شئون سازمان تداوم داشته باشد و اعتبار مداوم و سالیانه داشته باشد.
5- امنیت نا محسوس است. لذا وقتی یک پروژه امنیتی (از نوع مدیریت امنیت اطلاعات )انجام می شود بعضاً مدیریت و کارشناسان احساس می کنند که هیچ اتفاق جدیدی نیفتاده است و ممکن است گلایه کنند که چرا هزینه نموده اند. در پاسخ به این گلایه باید فکرکرد که اگر روی امنیت کار نمی شد چه اتفاقی ممکن بود بیفتد. پس باید در هر زمان ودر هر مکان از فضای تبادل اطلاعات سازمانی به فکر امنیت بود.
مزایای استفاده از ISMS
استانداردISO27001 راهكاري است كه اطلاعات سازمان و شركت را دسته بندي و ارزش گذاري كرده و با ايجاد سياستهاي متناسب با سازمان و همچنين پياده سازي كنترل های مختلف، اطلاعات سازمان را ايمن مي سازد. اين اطلاعات نه تنها داده هاي كامپيوتري و اطلاعات سرور ها بلكه كليه موارد حتي نگهبان سازمان يا شركت رادر نظر خواهد گرفت.
استانداردISO27001 قالبي مطمئن براي داشتن يك سيستم مورد اطمينان امنيتي مي باشد. در زير به تعدادي از فوائد پياده سازي اين استاندارد اشاره شده است:
اطمینان از تداوم تجارت و كاهش صدمات توسط ایمن ساختن اطلاعات و كاهش تهدیدها
اطمینان از سازگاری با استاندارد امنیت اطلاعات و محافظت از داده ها
قابل اطمینان كردن تصمیم گیری ها و محك زدن سیستم مدیریت امنیت اطلاعات
ایجاد اطمینان نزد مشتریان و شركای تجاری
امكان رقابت بهتر با سایر شركت ها
ایجاد مدیریت فعال و پویا در پیاده سازی امنیت داده ها و اطلاعات
بخاطر مشكلات امنیتی اطلاعات و ایده های خود را در خارج سازمان پنهان نسازید
به وجود آمدن خطوط پرسرعت اينترنتي و دسترسي آسان تر به اين شاهراه اطلاعاتي توسط خطوطLeased و همچنين ارزان شدن تكنولوژي مبتني بر ارتباط بي سيم ، شركت ها و سازمان ها را به تدريج مجبور به رعايت نكات مربوط به ايمني اطلاعات و نيز نصب انواعFireWall و IDS ساخته است. دراين راستا داشتن سياست امنيتي مؤثر و ايجاد روالهاي درست امري اجتناب ناپذير مي نمايد.براي داشتن سازماني با برنامه و ايده آل ، هدفمند كردن اين تلاش ها براي رسيدن به حداكثر ايمني امري است كه بايد مدنظر قرار گيرد.
مراحل ایجاد سیستم مدیریت امنیت اطلاعات ISMS
ايجاد و تعريف سياست ها:
در اين مرحله ايجاد سياستهاي كلي سازمان مدنظر قراردارد. روالها از درون فعاليت شركت يا سازمان استخراج شده و در قالب سند و سياست امنيتي به شركت ارائه مي شود. مديران كليدي و كارشناسان برنامه ريز نقش كليدي در گردآوري اين سند خواهند داشت.
تعيين محدوده عملياتي:
يك سازمان ممكن است داراي چندين زيرمجموعه و شاخه هاي كاري باشد لذا شروع پياده سازي سيستم امنيت اطلاعات كاري بس دشوار است . براي جلوگيري از پيچيدگي پياده سازي ، تعريف محدوده وScope صورت مي پذيرScope مي تواند ساختمان مركزي يك سازمان يا بخش اداري و يا حتي سايت كامپيوتري سازمان باشد. بنابراين قدم اول تعيينScope و الويت براي پياده سازي استاندارد امنيت اطلاعات درScope خواهد بود. پس از پياده سازي و اجراي كنترل هايISO27001 و اخذ گواهينامه براي محدوده تعيين شده نوبت به پياده سازي آن در ساير قسمت ها مي رسد كه مرحله به مرحله اجرا خواهند شد.
برآورد دارايي ها و طبقه بندي آنها:
براي اينكه بتوان كنترل هاي مناسب را براي قسمت هاي مختلف سازمان اعمال كرد ابتدا نياز به تعيين دارايي ها مي باشيم. در واقع ابتدا بايد تعيين كرد چه داريم و سپس اقدام به ايمن سازي آن نماييم. در اين مرحله ليست كليه تجهيزات و دارايي هاي سازمان تهيه شده و باتوجه به درجه اهميت آن طبقه بندي خواهند شد.
ارزيابي مخاطرات:
با داشتن ليست دارايي ها و اهميت آن ها براي سازمان ، نسبت به پيش بيني خطرات اقدام كنيد. پس از تعيين كليه خطرات براي هر دارايي اقدام به تشخيص نقاط ضعف امنيتي و دلايل بوجود آمدن تهديدها نماييد و سپس با داشتن اطلاعات نقاط ضعف را برطرف سازيد و خطرات و تهديدها و نقاط ضعف را مستند نماييد.
مديريت مخاطرات:
مستندات مربوط به خطرات و تهديد ها و همچنين نقاط ضعف امنيتي شما را قادر به اتخاذ تصميم درست و مؤثر براي مقابله با آنها مي نمايد.
انتخاب كنترلهای مناسب:
استانداردISO27001 داراي 10 گروه كنترلي مي باشد كه هرگروه شامل چندين كنترل زيرمجموعه است بنابراين در كل 127 كنترل براي داشتن سيستم مديريت امنيت اطلاعات مدنظر قراردارد. با انجام مراحل بالا شركت يا سازمان شما پتانسيل پياده سازي كنترل هاي مذكور را خواهد داشت.
اين ده گروه كنترلي عبارتند از :
1- سياستهاي امنيتي
2- امنيت سازمان
3- كنترل و طبقه بندي دارايي ها
4- امنيت فردي
5- امنيت فيزيكي
6- مديريت ارتباط ها
7- كنترل دسترسي ها
8- روشها و روالهاي نگهداري و بهبود اطلاعات
9- مديريت تداوم كار سازمان
10-سازگاري با موارد قانوني
تعيين قابليت اجرا:
جمع آوري ليست دارايي ها، تعيين تهديدها ، نقاط ضعف امنيتي و در نهايت ايجاد جدول كنترل ها مارا در به دست آوردن جدولي موسوم به SOA يا Statement Of Applicability ياري مي رساند. اين جدول ليستي نهايي از كليه كنترل هاي مورد نياز براي پياده سازي را ارائه مي دهد. با مطالعه اين جدول و مشخص كردن كنترل هاي قابل اجرا و اعمال آنها ،سازمان يا شركت خود را براي اخذ استانداردISO27001 آماده خواهيد ساخت.
نتيجه آنكه براي رسيدن به يك قالب درست امنيتي ناچار به استفاده از روال هاي صحيح كاري و همچنين پياده سازي استاندارد امنيت هستيم و استاندارد ISO27001 می تواند ما را در انتخاب روش مناسب و صحیح راهنمایی نماید.
پرسش و پاسخ در جهت رسیدن به درک بهتری از مبحث امنیت اطلاعات
متن زير يك تست سريع و آموزنده می باشد كه به برخی از سوالات شما در زمينه امنيت اطلاعات پاسخ می دهد. همانطور كه خواهيد ديد به صورت پرسش و پاسخ بيان شده است. باب امنيت اطلاعات اغلب پيچيده می باشد. بر همين اساس اين مبحث به برخی از سوالاتی كه ممكن است برای شما ايجاد شود ، پاسخ داده است و پيشنهاداتی را برای آن ارائه داده است تا به سادگی قبول كنيد كه سيستم های شما نيز ممكن است در معرض خطر قرار گيرد.
1- اگر امنيت اطلاعات را افزايش دهيم ، كارايی كاهش پيدا می كند. درست يا غلط ؟
درست- امنيت اطلاعات هزينه مربوط به خودش را دارد. افزايش امنيت اطلاعات ممكن است به روالهای موثر اضافی از جمله (تكنولوژی) و (سرمايه گذاری) نياز داشته باشد .افزايش امنيت اطلاعات ممكن است پيشرفت جريان كار را با كندی مواجهه كند و اين امر ممكن است در كارايی افراد و شبكه شما نمود پيدا كند. امنيت اطلاعات ممكن است به معنی قفل كردن ايستگاهای كاری و محدود كردن دسترسی به اتاقهای كامپيوتر و سرور شما باشد. هر سازمانی بايد هنگامی كه به مقوله امنيت اطلاعات می پردازد به صورت انديشمندانه ای بين خطرات ( Risks ) و كارآيی توازن برقرار كند.
2- حملاتي كه توسط نفوذگران خارجی انجام می گيرد نسبت به حملات كارمندان داخلی هزينه بر تر و خسارت بار تر می باشد. درست يا غلط ؟
غلط- حملات كارمندان داخلی نوعا بسيار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستيتو امنيت كامپيوتر (Computer Security Institute ) ميانگين حملات خارجی 57000 دلار و ميانگين هزينه حملات داخلي 2700000 دلار برآورد شده است. كارمندان داخلی، اطلاعات محرمانه بيشتری درباره سيستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعاليت هاي ديده بانی(Monitoring ) را نام برد.
3- پيكربندي يك ديواره آتش (Firewall ) به صورت كامل ما را در مقابل حملات خارجی ايمن می كند. درست يا غلط ؟
غلط- آمارهای انستيو امنيت كامپيوتر نشان می دهد كه حجم قابل توجهی از شركتهايی كه از ديواره آتش استفاده كرده اند هنوز از دست نفوذگران بد انديش در امان نمانده اند. اولين كاركرد ديواره آتش بستن پورتهای مشخص می باشد به همين دليل در بعضی از مشاغل نياز است كه بعضی از پورتها باز باشد. هر پورت باز می تواند يك خطری را برای سازمان ايجاد كند و يك معبر برای شبكه شما باشد. ترافيكی كه از ميان يك پورت می گذرد را بايد هميشه به صورت سختگيرانه ای ديده بانی كرد تا تمامی تلاشهايی كه منجر به نفوذ در شبكه می شود شناسايی و گزارش شود. يك ديواره آتش به تنهايی نمی تواند يك راه حل جامع باشد و بايد از آن به همراه تكنولوژي های (IDS (Intrusion Detection System و روشهای تركيبی استفاده كرد.
4- اگر ديواره آتش من به صورت مناسبی پيكر بندی شود ديگر نيازی به ديده بانی بيشتر ترافيك شبكه نمی باشد. درست يا غلط ؟
غلط- هميشه نفوذگران خبره می توانند يك ديواره آتش را در هم شكنند و به آن نفوذ كنند. به همين دليل ديده بانی كليدی براي هر برنامه امنيت اطلاعات می باشد. فراموش نكنيد كه ديواره آتش نيز ممكن است هك شود و IDS ها راهی می باشند برای اينكه بدانيد چه سيستم هايی در شرف هك شدن می باشند.
5- ديواره های آتش بايد به گونه ای پيكربندی شوند كه علاوه بر ترافيك ورودی به شبكه ، ترافيك های خروجی را نيز كنترل كنند . درست يا غلط ؟
درست - بسياری از سازمانها توجه زيادی به محدود كردن ترافيك ورودی خود دارند، اما در مقايسه توجه كمتری در مسدود كردن ترافيك خروجی از شبكه را دارند. خطرات زيادی ممكن است در درون سازمان وجود داشته باشد. يك كارمند ناراضی يا يك نفوذگر كه شبكه شما را در دست گرفته است، ممكن است كه بخواهد اطلاعات حساس و محرمانه شما را برای شركت رقيب بفرستد .
6- امنيت اطلاعات به عنوان يك مبحث تكنولوژيكی مطرح است درست يا غلط ؟
غلط- امنيت اطلاعات يك پی آمد تجاري - فرهنگی می باشد. يك استراتژی جامع امنيت طلاعات بايد شامل سه عنصر باشد: روالها و سياستهای اداری ، كنترل دسترسی های فيزيكی، كنترل دسترسی های تكنيكی. اين عناصر اگر به صورت مناسبی اجرا شود مجموعا يك فرهنگ امنيتی ايجاد می كند. بيشتر متخصصين امنيتی معتقدند كه تكنولوژيهای امنيتی فقط كمتر از 25 درصد مجموعه امنيت را شامل می شوند. حال آنكه در ميان درصد باقيمانده آنچه كه بيشتر از همه نمود دارد ،( افراد ) می باشند. (كاربر انتهايی) افراد يكی از ضعيف ترين حلقه ها، در هر برنامه امنيت اطلاعات می باشند .
7- هرگاه كه كارمندان داخلی ناراضی از اداره اخراج شوند، خطرات امنيتی از بين می روند. درست يا غلط ؟
غلط- به طور واضح غلط است. برای شهادت غلط بودن اين موضوع می توان به شركت Meltdown اشاره كرد كه لشكری از كارمندان ناراضی اما آشنا به سرقتهای كامپيوتری برای خود ايجاد كرده بود. بر طبق گفته های FBI حجم فعاليتهای خرابكارانه از كارمندان داخلی افزايش يافته است. همين امر سازمانها را با خطرات جدی در آينده مواجهه خواهد كرد.
8- نرم افزارهای بدون كسب مجوز (Unauthorized Software ) يكی از عمومی ترين رخنه های امنيتی كاربران داخلی می باشد. درست يا غلط ؟
درست- رخنه ها (Breaches ) می تواند بدون ضرر به نظر بيايد ، مانند Screen Saver های دريافت شده از اينترنت يا بازی ها و ... نتيجه اين برنامه ها ، انتقال ويروس ها ، تروجانها و ... می باشد. اگر چه رخنه ها می تواند خطرناكتر از اين باشد. ايجاد يا نصب يك برنامه كنترل از راه دور كه می تواند يك در پشتی (Backdoor ) قابل سوءاستفاده ای را در شبكه ايجاد كند كه به وسيله ديواره آتش نيز محافظت نمی شود.بر طبق تحقيقاتی كه توسط ICSA.net و Global Integrity انجام شده است بيش از 78 درصد گزارش ها مربوط به ايجاد يك رخنه در نرم افزار دريافتی از افراد يا سايتهای ناشناخته است.
9- خسارتهای ناشی از سايتهای فقط اطلاعاتی كمتر از سايتهای تجاری می باشد. درست يا غلط ؟
درست- درست است كه خطرهای مالی در سايتهای فقط اطلاعاتی كمتر از سايتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بيشتر تهديد می كند. سازمانها نيازمند اين می باشند كه مداوم سايت های اطلاع رسانی را بازبين كنند تا به تهديد های احتمالی شبكه های خود خيلی سريع پی ببرند و در مقابل آنها واكنش نشان دهند تا از خسارتهايی كه ممكن است شهرت آنها را بر باد دهد جلوگيری كنند .
10- رمزهای عبور می تواند جلو كسانی كه دسترسی فيزيكی به شبكه را دارند ، بگيرد. درست يا غلط ؟
غلط- كلمات رمز نوعا خيلی كم می توانند جلو كارمندان داخلی و خبره را بگيرند. بسياری از سازمانها تمامی تلاش خود را روی امور تكنيكی امنيت اطلاعات صرف می كنند و در برخورد با مسائل اداری و كنترل دسترسی فيزيكی لازم برای ايجاد يك محافظت مناسب، با شكست مواجه می شوند .
11- يك نام كاربری و يك رمز عبور می تواند شبكه ما را از ارتباط با يك شبكه غيردوستانه(Unfriendly ) محافظت كند. درست يا غلط ؟
غلط- يك ارتباط فيزيكی و يك آدرس شبكه همه آنچيزی می باشد كه يك نفوذگر براي نفوذ در شبكه نياز دارد. با يك ارتباط می توان تمامی ترافيك شبكه را جذب كرد (به اين كار Sniffing می گويند) . مهاجم قادر است با استفاده از تكنيكهای Sniffing كل ترافيك حساس شبكه، شامل تركيباتی از نام كاربري/رمز عبور را جذب كند و در حملات بعدی از آنها استفاده كند.
12- هيچ كسی در سازمان نبايد به رمزهای عبور دسترسی داشته باشد به جز مدير امنيت شبكه . درست يا غلط ؟
غلط- هيچ كس در سازمان نبايد به كلمات رمز كاربران دسترسی داشته باشد ، حتی مدير امنيتی شبكه! رمزهای عبور بايد به صورت رمز شده (Encrypted) ذخيره شوند. براي كاربران جديد ابتدا با يك رمز عبور ساخته شده اجازه ورود به شبكه داده می شود و پس از آن بايد روالی قرار داد تا كاربران بتوانند در هر زمانی كلمات رمز خود را تغيير دهند. همچنين بايد سياستهايی را برای مواردی كه كاربران رمزهای عبور خود را فراموش كرده اند در نظر گرفت.
13- رمزگذاری بايد برای ترافيك های داخلی شبكه به خوبی ترافيك خروجی شبكه انجام گيرد. درست يا غلط ؟
درست- به عنوان يك نكته بايد گفت كه فرآيند Sniffing (جذب داده هايی كه روی شبكه رد و بدل می شود) به عنوان يك خطر امنيتی داخلی و خارجی مطرح می شود.
14- امنيت داده ها در طول انتقال آنها هدف رمزگذاری است . درست يا غلط ؟
غلط- رمزگذاری همچنين می تواند جامعيت (Integrity )، تصديق (Authentication ) و عدم انكار (nonrepudiation ) داده ها را نيز پشتيبانی كند.
شخن آخر اینکه اخذ گواهینامه isms مستلزم افزایش درجه امنیت اطلاعات از نقطه نظر نفوذ و پایداری و دسترسی پذیری است که این مهم در سازمانها و ادارات بدون داشتن یک سیستم کنترل شرایز محیطی اتاق سرور معنی پیدا نخواهد کرد سیستم مانیتورینگ اتاق سرور که اصطلاها با تمام کنترل شرایط محیطی نیز شناخته میشود سیستمی مبتنی بر فاکتورهای ایمنی زیادی مانند دما - رطوبت - قطع برق- نشت آب -ورود غیر مجاز و آتش و .... میباشد که با شناخت این آیتم ها و خروج انها از محدوده مجاز میتواند مدیر و یا مسئول مربوطه را توسط روشهای مختلف اطلاع رسانی مانند اس ام اس و ایمیل از راه دور و آژیر و فلاشر از راه نزدیک مطلع سازد این سیستم ها که به مدیریت هوشمند اتاق سرور نیز معروف هستند میتوانند مخاطرات و مشکلات یک سیستم را بطور واضح و بدون فوت وقت به مسئولین گوشزد کرده تا از بروز بحرانها در اتاق سرور ها و یا بخش ای تی سازمان ها و شرکتهای کوچک و بزرگ جلوگیری بعمل آید
برگرفته از گروه امنیت سایبری رسا
سیستم مدیریت هوشمند اتاق سرور bms
اتاق سرور هوشمند با bms |
هکری با نام مستعار ChinaDan اطلاعات بیش از 1 میلیارد شهروند چینی رو در فروم های هکری با قیمت 10 بیت کوین (حدود 200 هزار دلار) برای فروش قرار داده است. در صورت تایید صحت این اطلاعات، بزرگترین هک تاریخ درچین به ثبت خواهد رسید.
لیست بزرگترین هک های سال 2022
هکر مذکور مدعی شده حجم این اطلاعات که حدود 23 ترابایت هست، از طریق دسترسی به دیتابیس پلیس ملی شانگهای چین به دست آورده و ایشون 750 هزار رکورد از این اطلاعات رو به عنوان نمونه قرار داده که هر رکورد شامل اسم، ادرس، شناسه ملی، شماره موبایل و حتی سوابق جنایی اون شخص هم هست!
خبرنگار وال استریت ژورنال با 5 نفر از این افراد تماس گرفته و هر 5 نفر صحت اطلاعات منتشر شده برای خودشون رو تایید کردند. 4 نفر دیگه هم به محض اینکه خبرنگار اطلاعات هویتی ساده مثل اسم آنها را خوانده، تلفن رو قطع کردن.
تیم امنیتی صرافی بایننس هم نشت این اطلاعات رو رصد کردند و به گفته چانگ پنگ ژائو، مدیرعامل این صرافی، این نشت حاصل اشتباه یکی از برنامه نویسهای دولتی هست که اطلاعات دسترسی به دیتابیس Elastic Search پلیس شانگهای رو به اشتباه در یکی از مطالب فنیش در CSDN (فروم برنامه نویسهای چینی) به صورت عمومی منتشر کرده است.
در نتیجه هر کسی با این استفاده از اطلاعات دسترسی (چیزی مثل پسورد برای دسترسی به منابع مختلف) می توانست به دیتابیس پلیس که روی سرورهای Aliyun شرکت Alibaba قرار دارد دسترسی پیدا کند.
تاکنون دولت چین هیچ واکنشی نسبت به این نشت اطلاعاتی نشون نداده ولی شبکه های اجتماعی بزرگ چین مثل WeChat و Weibo این خبر رو به شدت سانسور کردن تا جلوی انتشار اون رو بگیرند و هر پیام و پستی که شامل کلماتی مثل "نشت اطلاعاتی" باشد را سانسور می کنند ولی کاربران مختلف از تماسهای متعدد خارجی با موبایلشون گلایه کرده اند.
مردی به نام Wei که طبق اطلاعات نشت پیدا کرده، در گذشته 30 هزار یوان از اون کلاهبرداری شده بود، بعد از شنیدن این اطلاعات از خبرنگار وال استریت ژورنال گفته ما همه برهنه در حال دویدن هستیم، که به زبان عامیانه معنی اون هست که هیچ حریم شخصی در چین نداریم.
گواهینامه ایزو ۲۷۰۰۱ معتبر
گواهینامه ایزو ۲۷۰۰۱ ( ISO 27001:2013) در رابطه با مدیریت امنیت اطلاعات سازمان هایی که در خصوص IT فعالیت دارند صادر می شود. متقاضیانی که خواهان دریافت این استاندارد هستند حتما باید پیاده سازی آن انجام داده تا بتوانند تاییدیه ای برای ممیزی گرفته و در نهایت موفق به کسب گواهینامه ایزو شوند.
اخذ گواهینامه این استاندارد کاملا اختیاری بوده و سازمان میتوانند در صورت تمایل گواهینامه آن را دریافت نکنند.
برای کسب اطلاعات بیشتر مقاله ای که جمع آوری کرده ایم را مطالعه کنید و در رابطه با گواهینامه ایزو 27001 هرگونه سوال یا ابهامی در ذهن شما وجود دارد همکاران ما شما را راهنمایی میکنند و برای پاسخگویی به شما در هر ساعت از شبانه روز حاضر به ارائه خدمت هستند.
آنچه در این مقاله میخوانید:
تعریف استاندارد ایزو ۲۷۰۰۱:
تاریخچه ی استاندارد ایزو ۲۷۰۰۱:
ساختار استاندارد ایزو ۲۷۰۰۱:
گواهینامه ایزو ۲۷۰۰۱ (سیستم مدیریت امنیت اطلاعات):
الزامات اجباری جهت صدور گواهینامه ایزو ۲۷۰۰۱:
دریافت گواهینامه ایزو ۲۷۰۰۱ معتبر:
گواهینامه ایزو ۲۷۰۰۱
گواهینامه ایزو ۲۷۰۰۱
تعریف استاندارد ایزو ۲۷۰۰۱:
مطالب مرتبط با موضوع
سیستم کنترل و مانیتورینگ اتاق سرور
عیوب سیستم های هوشمند سازی اتاق سرور
سنسورها و فیچرهای ایمنی اتاق سرور
ایزو ۲۷۰۰۱ استانداردی جهانی است که دستورالعمل های اساسی نظام مدیریت امنیت اطلاعات را مشخص می کند. این استاندارد قابل ممیزی بوده و کنترل امنیت منتخب شده را تضمین می کند. وظیفه ی اصلی استاندارد ۲۷۰۰۱ کمک به ارگان ها در خصوص حفاظت اطلاعات خود و جلب اعتماد مشتریان و قسمت های ذی نفع می باشد.
این استاندارد پروسه ای جهت تنظیم، پیاده سازی، اجرا، بازبینی، نظارت، نگهداری و توسعه نظام مدیریت امنیت اطلاعات به وجود می آورد. استاندارد ایزو ۲۷۰۰۱ جمع آوری شده ی بخش هایی از کنترل ها و برنامه های امنیتی است که جهت همسان سازی با ایزو ۲۷۰۰۲ جهت صدور گواهینامه تنظیم می شود.
تاریخچه ی استاندارد ایزو ۲۷۰۰۱:
در سال ۱۹۹۵ توسط گروه بی اس آی انگلستان استاندارد BS 7799 به وجود آمد که البته طراح اصلی آن سازمان صنعت، معدن و تجارت کشور بریتانیا است.
بخش اول: در سال ۱۹۹۸ بروزرسانی شد که شامل برترین و کلی ترین تجربیات امنیت اطلاعات می باشد و در سال ۲۰۰۰ بعد از صحبت ها و مشارکت استاندارد های بین المللی، ایزو ۲۷۰۰۱ توسط سازمان جهانی ایزو تحت نظارت ایزو ۱-۷۷۹۹ منتشر شد که در خصوص مدیریت امنیت اطلاعات فعالیت کند.
استاندارد ایزو ۱-۷۷۹۹ در سال ۲۰۰۵ بررسی و در آخر سال ۲۰۰۷ با اسم ایزو ۲۷۰۰۱ در گروه ۲۷۰۰۰ جایگاه گرفت.
بخش دوم: برای بار اول در سال ۱۹۹۹ به واسطه ی گروه بی اس آی با کد BS 7799 به نام سیستم مدیریت امنیت اطلاعات – راهنمای کاربردی منتشر شد، استاندارد ایزو ۲-۷۷۹۹ BS به فرایند پیاده سازی نظام مدیریت اطلاعات نظارت کرده و بعد از گذشت مدت ها این استاندارد به ایزو ۲۷۰۰۱ تغییر داده شد.
بازنگری پایانی و نهایی این استاندارد در سال ۲۰۱۳ انجام شد و سازمان ملی ایزو ۲۷۰۰۱ را با دیگر استاندارد ها مطابقت داد و آن را منتشر کرد.
گواهینامه ایزو ۲۷۰۰۱
گواهینامه ایزو ۲۷۰۰۱
ساختار استاندارد ایزو ۲۷۰۰۱:
مقدمه
_ استفاده از رویکرد استاندارد
دامنه کاربردی
_ شاخصه های عمومی
_ISMS های متناسب با ارگان
_ اندازه و نوع فعالیت
نکته های اصلی و مهم
_ رعایت الزامات استاندارد ایزو ۲۷۰۰۱
_ اجرای اختیاری استاندارد ایزو ۲۷۰۰۱
تعاریف واژه ها
_ مختص به ارگان هایی است که استاندارد ایزو ۲۷۰۰۱ را جایگزین کرده اند
زمینه نهادی
_ درک کردن بنیاد نهاد
_ درک نیاز ها
_ برآورد انتظارات
_ تعریف ISMS
_ پیاده سازی SIMS
_ سازگاری نهاد با ISMS
رهبری و مدیریت
_ متعهد بودن مدیریت
_ تخصیص مسئولیت پرسنل
_ پیشبرد اهداف ارگان
برنامه ریزی صحیح
_ شیوه ی تشریح داده
_ شناسایی اجزاء
_ تجزیه و تحلیل مسائل
_ برنامه ریزی حل و فصل مخاطره های اطلاعاتی
_ تعیین اهداف اطلاعاتی
پشتیبانی
_ تهیه و تنظیم منابع مستند سازی اطلاعات نهاد
عملیات
_ جزئیات انجام عملیات و ریسک پذیری
_ مستند سازی اطلاعات
ارزیابی و بررسی عملکرد
_ اندازه گیری
_ نظارت
_ بررسی و بازبینی
_ ممیزی گرفتن
_ بررسی کنترل امنیتی
_ رویه های انجام عملیات
_ بهبود سیستم مدیریت
بهبود
_ به دست آوردن اطلاعات حسابرسی
_ بازبینی انطباق ها
_ اقدامات اصلاحی
_ دسترسی به استاندارد ISMS
گواهینامه ایزو ۲۷۰۰۱
گواهینامه ایزو ۲۷۰۰۱
گواهینامه ایزو ۲۷۰۰۱ (سیستم مدیریت امنیت اطلاعات):
گواهینامه ایزو ۲۷۰۰۱ یک مدرک ایزو است که به کلیه نهاد ها در ایمن نگداشتن و مدیریت اطلاعات محرمانه خود کمک می کند. گواهینامه بین المللی ایزو ۲۷۰۰۱ چارچوبی است که به سازمان ها یاری می رساند تا از اطلاعات مالی، کلیات معنوی و داده های حساس مشتریان محافظت کند. کار های ایمنی اطلاعات در این بابت کاملا انجام شده است.
ارگان هایی که گواهینامه ایزو 27001 را دریافت کرده اند برای نشان دادن کیفیت ارگان خود کلیه دستور العمل های این استاندارد را اجرا کرده و مطابق آن عمل می کنند و همچنین نیاز و خواسته های این استاندارد را برآورد می کنند. دریافت این گواهینامه یک امر اختیاری است و سازمان ها می توانند آن را اجرا نکنند.
ایزو ۲۷۰۰۱ همرا با استاندارد ایزو ۹۰۰۱ باعث هماهنگی و صحت عمل کیفیت خدمات ارگان ها می شود.
این گواهینامه نشان دهنده آن است که نظام مدیریت امنیت اطلاعات مطابق یک استاندارد برتر عمل می کند، صدور گواهی ایزو ۲۷۰۰۱ توسط نهاد شخص ثالث انجام می شود و این خود نشان دهنده آن است که شما تمام کار های لازم جهت حفاظت داده های حساس در برابر اصلاح و دسترسی غیر مجاز انجام داده اید و کاملا ایمن پیش می روید.
الزامات اجباری جهت صدور گواهینامه ایزو ۲۷۰۰۱:
ایزو ۲۷۰۰۱ یک استاندارد رسمی و قانونی برای ISMS است که دو هدف جدا از هم را پشتیبانی می کند:
سازمان هایی که در سطح بالاتر قرار دارند می توانند برای اجرای سیستم ISMS اقدام کنند.
می توانند به گونه ای مدرک ایزو صادر کنند که برای ارزیابی و انجام الزامات قانونی سازمان انجام شود.
الزامات اجباری این استاندارد شامل موارد زیر می باشد:
در محوطه کاری ISMS
سیست مدیریت اطلاعات
شیوه ی ارزیابی و بررسی خطرات اطلاعاتی
شیوه ی پردازش ریسک اطلاعاتی
هدف مدیریت امنیت
مدرک صلاحیت پرسنل اداره امنیت اطلاعات
دیگر گواهی مستند ISMS
مدرک برنامه ریزی و کنترل عملیاتی
نتایج ارزیابی مخاطره ها
تصمیم گیری های ریسک پذیر سازمان
شیوه ی اندازه گیری امنیت داده ها
برنامه ریزی حسابرسی داخلی و ارزیابی حسابرسی اجرا شده
مشاهده ی ارزیابی های مدیریتی
تطابق شناسایی شده
دریافت گواهینامه ایزو ۲۷۰۰۱ معتبر:
سازمان هایی که خواهان دریافت گواهینامه ایزو 27001 معتبر هستند باید ابتدا شرایط و نحوه ی صدور گواهینامه ی مراجع صادر کننده را بسنجند و بعد از آن بر حسب نیاز و هدف سازمان خود نهاد صدور گواهینامه ایزو را مشخص کنند.
مشخص کردن مراجع صدور گواهینامه باعث می شود مشتری توانایی تصمیم گیری اینکه در چه سطحی این اقدامات و خدمات را انجام دهد را داشته باشد تا موفق به انجام ممیزی و در نهایت دریافت گواهینامه ایزو شود.
به طور کلی مشتریانی که خواهان دریافت این استاندارد هستند باید بر اساس آخرین ورژن منتشر شده آن فعالیت خود را شروع کنند.
برای دریافت مشاوره رایگان جهت پیاده سازی استاندارد ایزو ۲۷۰۰۱ با شماره های زیر تماس بگیرید و یا میتوانید از طریق پر کردن فرمی که در سایت درج شده اقدام نمایید
برگرفته از سایت ایزو.
دنیای اقتصاد نوشت
حدود یک دهه پیش، ۴ استاد دانشگاه از فرانسه و بلژیک دو کاسه اسمارتیز در مقابل داوطلبان گذاشتند و از آنها پرسیدند که کدام نوع بهتر است. پژوهشگران برایشان مهم نبود که کدام طعم را افراد بیشتر دوست دارند. میخواستند رفتار داوطلبان پس از فکر کردن به پول را بررسی کنند. به یک گروه از آنها گفته شد که فرض کنند ۲۵هزار یورو در یک قرعهکشی برنده شدهاند. به گروه دیگر گفته شد که فرض کنند ۲۵ یورو برنده شدهاند. افراد گروه اول اسمارتیزهای بسیار بیشتری خوردند. نتیجه این بود که پول مانند غذاست. در پژوهش دیگری که با اسکن مغزی افراد همراه بود، این نتیجه حاصل شد که پول مانند ابزار است. برخی از افراد نیز از کودکی و به تدریج، احساس عاطفی شدیدی با پول پیدا میکنند. اما واقعیت آن است که پول هر کارکردی که در ذهن انسان داشته باشد، نمیتواند برای انگیزهبخشی به کارکنان نقش کلیدی ایفا کند.
اگر قصد دارید که رفتاری انسانی با کارکنان خود داشته باشید و افراد را مانند مهرهها و چرخدندههای یک ماشین نپندارید، قانون سوم این است: «از پول، معضل نسازید!» تفاوت بسیاری بین شیوه پرداخت حقوق «بنگاههای» نظری و تخیلی ذکر شده در کتابهای اقتصاد با کسب و کارهای واقعی طرف حساب با کارکنان واقعیتر وجود دارد. پول انگیزه میدهد اما نه به شیوهای که بسیاری از افراد تصور میکنند. پول به قدری پیچیده است که بسیاری از مشاوران کسب و کار حتی درباره آن سوال نمیپرسند. با این حال، این مسأله برای بسیاری از رهبران سازمانی و مدیران برجسته هم دردسر شده است و در بسیاری از مواقع یک اشتباه در شیوه یا مقدار پرداختیها به پیامدهای گستردهای در عملکرد شرکت میانجامد.
کافی است که اشتباه کوچکی در رفتار با پول داشته باشید. در این صورت تبدیل به مشکل و گاهی تنها مشکل کسب و کارتان خواهد شد. بنیادینترین واقعیت درباره پول این است که اکثر ما مقدار بیشتری از آن میخواهیم. واضح است! حدود نیمی از آمریکاییها میگویند که «معتقدم باید پول بسیار بیشتری به من بدهند.» ۳ نفر از هر ۱۰ نفر دیگر هم اظهارات دوجانبهای در این زمینه دارند. مشابه این ارقام در استرالیا، کانادا، بریتانیا و هند هم دیده میشود. اما نارضایتی از میزان پرداختیها در چین و آمریکای لاتین بسیار بیشتر است و به حدود ۶ نفر از ۱۰ نفر میرسد.
همچنین به احتمال زیاد در هیچ جای جهان نمیتوانید نسبتی بیش از ۱ از ۵ نفر پیدا کنید که بگویند نباید مبلغ بیشتری در فیشهای حقوقشان درج شود.
نکته عجیب درباره سوالات مختلفی که درباره حقوق افراد از آنها پرسیده شد، این است که پول به جای آنکه «مشوق حیاتی» باشد، ارتباط ناچیزی با میل افراد به سختکوشی دارد. در آمریکا از شاغلان پرسیده شد که «چه میزان از تمام توانتان را برای شرکت میگذارید؟»
پاسخ افرادی که حس میکردند حقوق کافی میگیرند با افرادی که از حقوق خود ناراضی بودند یا وضعیتی میانه داشتند، تقریبا مشابه بود. در استرالیا، میزان رضایت از دریافتیها هیچ ارتباط آماری با حس اجبار به سختکوشی نداشت. حقوق بیشتری بدهید و عملکرد بهتری از کارکنان خود دریافت کنید؟ داستان به این سادگی نیست.
شاید به این دلیل است که کارکنان باور ندارند سختتر کار کردنشان منجر به دریافت حقوق بیشتر میشود. در نظرسنجی از تصمیمگیرندگان ۱۲۱ شرکت، یکچهارم از آنها اعتراف کردند که کارکنان «ناتوان در دستیابی به انتظارات عملکردی» باز هم پاداش دریافت میکنند. یکپنجم از شرکتها هم اذعان کردند که تفاوت پاداش افراد دارای عملکرد بالا و کارکنان با عملکرد ضعیف بسیار ناچیز است. یک ستون در روزنامه واشنگتن پست در انتشار یک گزارش این تیتر را زد: «چرا افراد وظیفهنشناس همچنان پاداش دریافت میکنند؟»
شکست پول در ایفای نقش «انگیزهبخش حیاتی» همچنین به این دلیل است که نمیتواند شادی بخرد. در چکیده یک پژوهش روی میزان پرداختی شرکتها چنین گفته شده است: «برخلاف نظریهپردازیهای مرسوم، نتایج حاکی از آن است که سطح پرداختی ارتباط اندکی با رضایت (کارکنان) دارد.» به جز سطوح شدید ثروت و فقر که وجود یا فقدان پول اثرات شدیدی دارد، سطوح متناقضی از رضایت را میتوان در سطوح میانه دید. بسیاری از افراد هستند که با میزان متعادلی از پول، رضایت دارند و افراد دیگری هستند که با یک زندگی راحت همواره غرولند میکنند.
اما مهمترین دلیلی که باعث میشود سطح پرداختی شرکتها اثر اندکی بر انگیزه و سختکوشی آنها داشته باشد، این است که حقوق و پاداش خستهکننده است. شاید اگر پرداختیها وابسته به عملکرد بود، شرایط فرق میکرد. شاید اگر مانند دوران نوجوانی برای کاری کوچک یا خاص در خانه، پاداش دریافت میکردیم، اوضاع متفاوت بود. اگر سرپرستان در پایان هر روز پول نقد به دست کارکنان میدادند و پاداشی اضافی برای افراد سختکوش در نظر میگرفتند، پول کارکرد مورد انتظار را داشت. در مورد این موضوعات میتوان صحبت کرد. در جهانی که پرداختها به طور مستقیم به حساب بانکی منتقل میشود، هیچکس با اشتیاق به خانه نمیدود تا به همسرش بگوید: «آهای، امروز همان مبلغی را به حسابم ریختهاند که ۶ ماه گذشته میریختند.»
حتی افزایش حقوق هم نظر ما را برای مدتی طولانی به خود جلب نمیکند. اقتصاددانان رفتاری این پدیده را «انطباقپذیری لذت» مینامند. زمانی که شرکت شما مبلغ بالاتری به حساب بانکیتان واریز میکند، تا چند دوره احساس بهتری دارید اما به زودی مخارج و انتظارات خود را با این مبلغ انطباق میدهید و دیگر برایتان تفاوت خاصی نخواهد داشت. مدیر مالی شرکت دوست دارد حقوق خود را مانند یک تلنگر روانی بداند اما بیشتر شبیه یک خمیازه است!
البته این واقعیتهای متناقض و سردرگمکننده به معنای آن نیست که وضعیت حقوق و پرداختیها نقشی محوری در حوزه منابع انسانی ندارد. اتفاقا بسیار کلیدی است. فقط به این معنی است که برای تحقق سه هدف جذب، انگیزهبخشی و نگهداشت کارکنان، انگیزهبخشی نیاز به دقت نظر خاصی دارد. با پول نمیتوانید انگیزه ایجاد کنید و باید به دنبال راهکارهایی باشید که شغل افراد برایشان ارزش ذاتی داشته باشند.
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.