همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور
Soroush - Asreertebat | عصر ارتباط - پیام‌رسان سروش

اقداماتی که مدیران ما نکردند یا کردند ولی آن را جدی نگرفتند

برتری جداسازی ترافیکی نسبت به مسدودسازی دسترسی

عباس پورخصالیان

به‌جای پالایش محتوا و مسدودسازی دسترسی به اینترنت، از درون یک شبکه داخلی می‌توان به تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز اقدام کرد. این اقدام، از سیاستی مثبت، ضروری و بارور پیروی می‌کند که در فرهنگ‌های سازمانی «بالارونده‌« (Ascending Cultures) مدت‌ها است قانونا رعایت و اجرا می‌شود، ولی بیشتر مدیران فاوا در فرهنگ‌های سازمانی «پايین‌رونده»‌ (Descending Cultures) از چنین سیاستی بی‌خبرند یا نسبت بدان بی‌اعتنا هستند، درنتیجه این دسته از مدیران دیر یا زود به زیانباری غفلت خود پی می‌برند.

در این یادداشت می‌خواهم در مورد ضرورت‌های تفکیک ترافیک ایمیل و وب در شبکه داخلی شرکت‌ها، سازمان‌ها و نهادها بنویسم و رابطه آن با ایجاد شبکه‌های اجتماعی اختصاصی، مدیریت مخاطره، قانون حفاظت داده‌ها، اصلاح قانون جرایم رایانه‌ای، سیاست‌های امنیتی و بهره‌ورسازی منابع انسانی را نشان دهم.

انگیزه پرداختن به این موضوع را عضوی از اعضای شبکه اجتماعی همکارانم، به من داد. چند روز پیش دیدم دوستی، فراخوانی را با این متن کوتاه، روی شبکه گذاشته است: «کسی هست از تفکیک ترافیک ایمیل و وب از طریق  DMZ‌آگاه باشد؟ و در این زمینه راهنمایی کند؟» این فراخوان مرا واداشت تا پاسخی کوتاه به او بدهم. برایش پیام کوتاهی نوشتم که همان را با اندکی ویرایش اینجا می‌آورم:

*«تفکیک وب از ایمیل در محل کار، هم اقدامی فنی است که به‌منظور حفاظت از داده‌های شرکت (سازمان یا نهاد) اجرایی می‌شود؛ و هم پروتکلی است که میان کارفرما و کارکنانش به‌منظور ارتقاي بهره‌وری منابع انسانی منعقد می‌شود»؛

*«در بعضی از سازمان‌ها، کانسپت جداسازی مذکور، از طریق پروتکل‌های DMZ اجرا می‌شود»؛

*و DMZ اختصاری است برای Demilitarized Zone که در اصل اصطلاحی سیاسی/نظامی است (فرضا به منطقه حايل میان کره شمالی و کره جنوبیDemilitarized Zone  اطلاق می‌شود)‌ ولی در قاموس انفورماتیک،‌Demilitarized Zone  به معنی شبکه‌ای امن، ایجادشده پس از بخش‌بندی خدمات و جداسازی دسترسی از زیرشبکه‌ای حساسیت‌انگیز به اینترنت است.»

( برای درک چگونگی اجرا، رجوع شود به دو نمودار تفکیک ترافیک خدمات سایبری در محل کار)

  

اکنون به شرح و بسط سیاست تفکیک ترافیک خدمات سایبری در محل کار می‌پردازم.

 

ضرورت تفکیک ترافیک خدمات سایبری در محل کار

تا پیش از پدیداری عصر انقلاب دیجیتالی (در اوایل آخرین ربع قرن سده بیستم)، عموم کارکنان در استفاده از تلفن ثابت محل کار برای برقراری ارتباط در امور اداری و غیراداری (شخصی) آزاد بودند. این آزادی، قانونی و در نتیجه کنترل‌شده بود، به این معنی که کاربر اصول کار تیمی و پیروی از مقررات اداری را رعایت می‌كرد و از آزادی ارتباطی اعطاشده سوء‌استفاده نمی‌کرد.

با ظهور اینترنت در محل کار، این خطر وجود داشت (و دارد) که کارکنان بخواهند تجربه خود از آزادی ارتباطی سابق را به استفاده آزاد از خدمات اینترنتی تعمیم دهند. پس به‌منظور ممانعت از وب‌گردی‌های طولانی کارکنان در فضای سایبری در محل کار و پیشگیری از افت احتمالی بهره‌وری منابع انسانی؛ همچنین به‌دلیل انگیزه‌های ضدجاسوسی صنعتی و ممانعت از نشت و برون‌رفت سهل و آسان اسرار اداری و اطلاعات تجاری، مدیران فاوا در شرکت‌ها و سازمان‌ها برآن شدند: استفاده از وب و رایانامه (ایمیل) از طریق شبکه داخلی شرکت (سازمان یا نهاد) را با تدوین ضوابطی معقول و مورد قبول طرفین (کارفرما و کارگران دیجیتالی) سیاست‌گذاری و مقرراتی کنند؛ **اقدامی که اغلب مدیران ما نکردند و هنوز هم احتمالا غافل از اهمیت آن هستند.** 

آثار ساختاری جداسازی ترافیک خدمات حساسیت‌انگیز

در اثر اجرای سیاست‌های جدید آزادی ارتباطی، نخست بخش جدیدی به نام «واحد فا» در ساختار سازمانی، راه‌اندازی و مدیری به نام CIO (مدیر ارشد اطلاعات) یا CTO (مدیر ارشد فناوری) در راس آن نصب شد؛ و آنگاه به کارکنان حساب ایمیل شرکتی واگذار شد **(اقداماتی که مدیران ما نکردند یا کردند ولی جدی نگرفتندش)** سپس به صلاحدید کارکنان برای هر سطح از نیازمندی‌های خاص، شبکه یا شبکه‌های اجتماعی معینی تعریف شد و به ایشان ابلاغ شد که استفاده از حساب ایمیلی واگذار شده یا حساب کاربری شبکه اجتماعی، ترجیحا محدود به انجام امور اداری است! استفاده خصوصی از آنها ممنوع و با متخلفان برخورد می‌شود!

ضمنا مقرر شد دسترسی کارکنان به حساب‌های ایمیلی یا حساب‌ رسانه‌های اجتماعی خود نزد فراهم‌آوران بیرون از شرکت، از طریق شبکه داخلی شرکت (سازمان یا نهاد) در محل و در زمان کار، ممنوع است! همچنین هر نوع استفاده از گوشی تلفن همراه شخصی در محل و در زمان کار، مجاز نیست و بهره‌مندی از خدمات همراه در محل و در زمان کار نیز مستلزم رعایت اصولی معین و لازم‌الاجرا‌ است! به کارکنان و نمایندگی‌های صنفی‌شان تفهیم شد که به لحاظ امنیتی، کنترل ترافیک رایانامه‌های شخصی در محل کار، ضروری است؛ و حفاظت از داده‌های شرکتی و حریم شخص حقوقی، ایجاب می‌کند که دسترسی کارکنان به وب از محل کار، کنترل، پایش و نظارت شود؛ و استفاده از دسترسی اینترنت در محل کار برای مبادله رایانامه‌های شخصی و غیر‌اداری، غیر‌قانونی است **(اقداماتی که مدیران ما نکردند یا کردند ولی جدی نگرفتندش و قانون‌‌گذاران نیز قانونی صریح در قبض و بسط آن وضع نکردند). **

برخلاف مدیران سازمان‌های پايین‌رونده، مدیران شرکت‌های بالارونده در آغاز سده بیست‌ویکم، دارای سیاست تفکیک ترافیک رایانامه اداری از رایانامه شخصی بودند و در نتیجه، امنیت داده‌ها و بهره‌وری منابع انسانی خود را از این طریق ارتقا دادند؛ ولی تعدادی از شرکت‌ها، جانب احتیاط را رها کردند و دسترسی آزاد کارکنان به وب و ایمیل از طریق اینترنت شرکت را پذیرفتند و لذا بسیاری از آنها هم متحمل افت بهره‌وری منابع انسانی شدند و هم اینکه ریسک تجاوز به حریم خصوصی شرکت را بالا بردند.

آثار قانونی/حقوقی تفکیک خدمات و جداسازی ترافیک

کشور اکنون فاقد **قانون حفاظت داده‌ها** است. اما اگر روزی بخواهیم قانون حفاظت داده‌ها را تدوین کنیم؛ باید در نظر داشته باشیم که یکی از محورهای آن، تاکید بر اعمال سیاست تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز در درون شبکه‌های داخلی شرکت‌ها است.

برای اصلاح **قانون خدمات کشوری** یا **اصلاح قانون جرایم رایانه‌ای** نیز مجبوریم اصول لازم‌الاجرا و جرایم رعایت نكردن اصول تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز را تعیین و به متن قانون کنونی ضمیمه کنیم.

همچنین در **قانون ثبت اختراع یا پتنت و قانون حفاظت از حریم خصوصی فرد حقیقی** باید فصلی را به ضرورت تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز اختصاص دهیم.

در نهایت، **قانون ایمن‌سازی شرکت‌ها **(سازمان‌ها و نهادها) در عصر انقلاب دیجیتالی، نیز باید در همین راستا تدوین شود و مقررات فعلی آنها، در راستای ضرورت تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز، بازنگری و اصلاح شوند. 

اقدامات فنی

تفکیک ایده‌آل و جداسازی مطلق خدمات حساسیت‌انگیز، همچون تثبیت و استقرار امنیت ایده‌آل شبکه‌های شرکتی، محال است! در کنار اعمال سیاست‌های تفکیک، مدیران فاوا مجبورند از وب‌فیلترهای متعدد، از برنامه‌های ضد‌بدافزار، از سامانه‌های ممانعت از دخول غیر‌مجاز به درون شبکه شرکتی، از شگردهای پایش حملات سایبری و از راه‌حل‌های امنیتی بسیار بیشتری (بیشتر از آنچه ذکر شد) استفاده کنند. 

برای مثال، در عمل باید:

*در شرکت‌ها و شبکه‌های کوچک، تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز با استفاده از نت‌روتر (NAT-Router) به منظور جداسازی اینترنت از شبکه داخلی صورت گیرد.

*در شرکت‌ها و شبکه‌های متوسط که دارای فایل‌سرور و میل‌سرور هستند، استفاده از فایروال، تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز را تضمین می‌کند.

*در شرکت‌ها و شبکه‌های بزرگ، تفکیک خدمات و جداسازی ترافیک خدمات حساسیت‌انگیز با استفاده از یک «مسیریاب منطقه غیرنظامی»‌ (DMZ-Router) به منظور جداسازی شبکه بیرونی یا اینترنت میان‌شرکتی از یک زیرشبکه داخلی صورت می‌گیرد.

 

آثار اشتغالی تفکیک خدمات و جداسازی ترافیک

قانونی کردن و فرهنگ‌سازی برای اجبار اعمال سیاست‌های مذکور، اشتغال‌آفرین است:

*توسعه منابع انسانی در این زمینه، نخست نیازمند پرورش مربیانی است که سیاست‌ها و روش‌های عملی اجرای آنها را به **مدیران و کارکنان تمامي بخش‌های اقتصادی و خدماتی کشور بیاموزند.**

*شرکت‌های تبلیغاتی و برگزارکننده همایش‌ها نیز به همکاری با شرکت‌های توسعه منابع انسانی در این زمینه، جلب و جذب می‌شوند.

*شرکت‌های مهندسی امنیت به پرورش یا استخدام معماران امنیت داده و کارشناسان طراحی و نصب انواع فایروال‌ها مجبور می‌شوند؛ فایروال‌هایی شامل پکت‌فیلترهای ساده   State-full Inspection Firewallیا فایروال‌های نسل جدید‌VPN  .

*به‌علاوه، بسیاری از مشاغل موجود و کنونی در حوزه فاوا، مثل مهندسی نگهداری و بهره‌برداری، به‌خاطر اضافه ‌شدن سامانه‌های تفکیک ترافیک در مجموعه تجهیزات فنی دستگاه، توسعه کمی و کیفی می‌یابند.

... و به این طریق، صدها شغل جدید و هزاران فرصت کاری جدید از ناحیه تفکیک ترافیک به وجود می‌آیند، درحالی‌که مسدودسازی دسترسی، برعکس، از تعداد مشاغل موجود و فرصت‌های کاری فعلی می‌کاهد.

درج دیدگاه

بررسی بازی