مقاله تحلیلی: امنیت اطلاعات در صنعت ساخت ‌و ساز

امنیت اطلاعات چیزی نیست که از قدیم‌الایام با صنعت ساخت‌وساز در ارتباط بوده باشد. فارغ از اینکه شما در صنعت ساخت‌وساز هستید یا نه احتمالاً از روند رو به افزایش تهدیدهای پیرامون امنیت اطلاعات آگاه هستید. در سطح پایین‌تر مشکلاتی که روی شرکت‌های کوچک‌تر تأثیر می‌گذارند به‌ندرت سرخط خبرها قرار می‌گیرند و باعث این تصور غلط می‌شود که نقض داده فقط شرکت‌های بزرگ را تحت تأثیر قرار می‌دهد. این در حالی است که گزارش بررسی‌های مربوط به نقض اطلاعات (DBIR) نشان می‌دهد که 43% حملات سایبری در سال 2019، کسب‌وکارهای کوچک را مورد هدف قرار داده است.

با پیشرفت صنعت ساخت‌وساز، تقریباً هرروز با فناوری جدیدی روبرو می‌شویم که خود خطرات را فراگیرتر می‌کند. مسئله دیگر فقط ایمن نگه‌داشتن دفاتر و ساختمان‌ها از گزند سارقان نیست. دیجیتالی شدن صنعت ساختمان به این معناست که حجم زیادی از اطلاعات مهم از قبیل مدل‌های ساختمانی، اسناد، نقشه‌ها و اطلاعات شخصی پردازش و ذخیره‌شده و به اشتراک گذاشته می‌شود. امروزه فرآیندهای صنعتی بر بستر سامانه‌های نرم‌افزاری استوار هستند و برای اطمینان از ارتباط سریع و بررسی سوابق بر این سامانه‌ها اتکا دارند. نقض داده می‌تواند عواقب جدی در پی داشته باشد. ازجمله آن‌ها می‌توان به این موارد اشاره کرد: وقفه در کسب‌وکار و ضرر و زیان، زمان و بهره‌وری، پایداری عملیات و ارزش نام تجاری یا برند.

همگام با افزایش داده‌های بااهمیت بالا باید توجه و اقدامات بیشتری صورت گیرد. در صنعت ساختمان بعد از مدتی طولانی در سال‌های 201۸ و ۲۰۱۹ شاهد افزایش 188% هزینه‌ها در بخش امنیت اطلاعات بودیم. افزایش هزینه در این زمینه خبر خوبی است اما درنهایت داشتن یک استراتژی کاهش ریسک که به‌خوبی روی آن فکر شده باشد، کلید رویارویی با مسئله است.

استراتژی امنیت سایبری

 امنیت سایبری بسته به رویکرد کسب‌وکار متفاوت است و یک روش استاندارد برای همه شرکت‌ها و صنایع وجود ندارد. استراتژی ما باید متناسب با اندازه کسب‌وکار و خطرات بالقوه‌ای که ممکن است با آن‌ها روبرو شویم، باشد. با این اوصاف، ما به اقدامی که باید به‌عنوان نقطه شروع موردتوجه قرار گیرد، خواهیم پرداخت.

دریافت گواهی‌نامه از یک سازمان مستقل روش خوبی برای افزایش اطمینان و کاهش خطرات است. به‌عنوان‌مثال، مرکز امنیت سایبری ملی انگلیس (NCSC) طرحی با عنوان Cyber Essentials ارائه می‌دهد که در قالب یک چارچوب می‌توان به ارزیابی پدافندهای امنیت سایبری دست‌یافت و یک گواهی‌نامه دریافت نمود که به محافظت از کسب‌وکار در برابر تهدیدات کمک می‌کند. مهم‌تر از همه دریافت گواهی‌نامه باعث پایبندی شما، کارمندان، تأمین‌کنندگان و مشتریان در قبال تعهد به امنیت سایبری می‌شود.

یک گواهی‌نامه جامع‌تر نیز تحت عنوان Cyber Essentials Plus وجود دارد. این ارزیابی جزئی‌تر است به‌طوری‌که امور رسیدگی از محل کار شما بازدید کرده و موارد متعددی را مورد آزمایش قرار می‌دهد. تلاش‌های اولیه برای رسیدن به استاندارد نباید به‌عنوان شکست تلقی شود. این تلاش‌ها منجر به کشف نقاط ضعف و بهبود آن‌ها می‌شود. شناخت نقاط ضعف قسمتی از مسیر پیشرفت است.

دریافت گواهی‌نامه زیر نظر Cyber Essentials یک سال طول می‌کشد و برای اطمینان از به‌روز بودن امنیت سایبری باید مجدداً مجوز گرفت که این اقدام بیشتر نشان‌دهنده تعهد مستمر است. پنج مورد طبق این طرح بررسی می‌شود تا یک سازمان و یا یک شرکت از عمده حملات سایبری متداول مصون بماند. این پنج مورد عبارت‌اند از: فایروال‌ها، تنظیمات امنیتی، کنترل دسترسی کاربر، ضد بدافزار و فیشینگ.

 گرفتن گواهی‌نامه‌های شناخته‌شده بین‌المللی مانند ISO 27001 می‌تواند برای مشتریان این اطمینان خاطر را ایجاد کند که از داده‌های آن‌ها محافظت می‌شود. توجه داشته باشید که این موارد نیازمند سرمایه‌گذاری قابل‌توجه و تعهد مداوم است. دو نمونه عبارت‌اند از:

• ISO 27001 – ISO/IEC 27001 که به‌خوبی شناخته‌شده است، الزاماتی را در رابطه با یک سامانه مدیریت امنیت اطلاعات ارائه می‌کند. استفاده از این مورد سازمان‌های مختلف را قادر می‌سازد که امنیت اطلاعات مالی، مالکیت معنوی، جزئیات مربوط به کارکنان یا اطلاعاتی را که توسط اشخاص ثالث به آن‌ها سپرده‌شده را مدیریت کنند.
• SOC 2 – SOC2 معیارهایی را برای مدیریت اطلاعات مشتری مبنی بر پنج اصل تعریف می‌کند: امنیت، دسترسی، یکپارچگی پردازش، محرمانه بودن و حریم شخصی.

جنبه دیگری که باید موردتوجه قرار گیرد زنجیره تأمین است. یک زنجیر تا زمانی مقاوم است که ضعیف‌ترین حلقه آن سالم باشد. بسیار اهمیت دارد که هنگام انتخاب یک تأمین‌کننده اطمینان حاصل کنید که مسئله امنیت اطلاعات برای آن‌ها جدی است.

معمولاً ساده‌ترین روش برای تائید تأمین‌کنندگان، درخواست اثبات صحت گواهینامه‌های آن‌ها در رابطه با استانداردهای کلیدی امنیت سایبری و امنیت اطلاعات است. علاوه بر این باید پرسید که آیا پیمانکاران آن‌ها یا پیمانکاران فرعی مجوز دارند یا نه؟ دلیل این است که باید از امنیت کل زنجیره تأمین اطمینان حاصل نمود.

 امنیت سایبری برای همه کسب‌وکارها با اندازه‌های مختلف اهمیت دارد. در صنعت ساخت‌وساز نیز بسیار مهم است زیرا شرکت‌ها باید از داده‌های بسیار حساس خود محافظت کنند. تعداد حملات نیز رو به افزایش است و این روند ادامه دارد. طبق گزارش Hiscox، بیش از 60% شرکت‌ها در سال 2019 موردحمله سایبری قرار گرفته‌اند که این عدد در سال 2018، 45% بوده است. در همین راستا، میانگین خسارات ناشی از حملات سایبری 61% افزایش داشته و از 176.000 پوند به 283.000 پوند رسیده است.

Viewpoint UK اخیراً گواهی‌نامه Cyber Essentials Plus را دریافت کرده و آن را به پورتفولیوی گواهینامه‌های امنیتی موجود خود افزوده است. Viewpoint For Projects بستری ابری است که ارائه‌کننده راه‌حل‌های مدیریت اطلاعات و اسناد است و تیم‌های پروژه را قادر به همکاری و اشتراک‌گذاری و کنترل اسناد پروژه می‌کند. عاملی که باعث برتری Viewpoint در بازار رقابتی نرم‌افزارها شده، گواهینامه‌های امنیتی خود و زنجیره تأمین است.

توضیح ویراستار:

نقض داده: یک رویداد است  که شامل دسترسی غیرمجاز و یا غیرقانونی به اطلاعات برای  مشاهده، دسترسی و یا بازیابی داده‌های یک فرد، برنامه و یا خدمات است. این‌یک نوع نقض امنیتی به‌طور خاص  برای سرقت و  یا انتشار اطلاعات به موقعیت‌های ناامن و یا غیرقانونی طراحی‌شده است.

منبع

نوشته شده توسط تیم مترجمین موسسه 808

اگر دوست دارید به تیم مترجمین 808 بپیوندید، با ما تماس بگیرید.

دریافت فایل PDF مقاله برای اعضای VIP رایگان است. سایر کاربران با پرداخت ۵۰۰ تومان می توانند اقدام به دریافت این فایل کنند.