با پیروی از چه استراتژی‌هایی می‌توان امنیت کسب‌وکارهای آنلاین را افزایش داد؟

هر ساله میلیاردها دلار از درآمد حاصل از فروش آنلاین وب‌سایت‌های مختلف کاسته می‌شود که تمام این ضرر و زیان‌ها به‌ این خاطر است که کاربران از انجام خرید‌های آنلاین هراس دارند و آنچه باعث می‌شود کاربران دست از خرید اینترنتی بکشند چیزی نیست جز ترس از به سرقت رفتن اطلاعات شخصی و مالی آن‌ها توسط صفحه‌های تقلبی که چنین چیزی اصطلاحاً فیشینگ گفته می‌شود.

با توجه به اینکه بسیاری از شرکت‌ها از حفره‌های امنیتی گسترده‌ای که باعث از دست دادن مشتریان آن‌ها می‌شود رنج می‌برند، این نیاز احساس می‌گردد تا شرکت‌هایی که درآمدزایی آن‌ها منوط به حضور آنلاین است به یک رویکرد جامع برای حفاظت از داده‌ها خود دست یابند. به طور کلی، کسب‌وکارهای آنلاین می‌توانند چند گام سادهٔ زیر را دنبال کنند تا مطمئن شوند که اطلاعات حساس آن‌ها هرگز به‌ دست هکر‌ها نمی‌افتد و در مواقع بحرانی قابلیت ریکاوری دارند که عبارتند از:

چرخهٔ حیات ایمن توسعهٔ نرم‌افزار
اپلیکیشن‌ها باید چرخه‌ای به‌ نام SDLC که مخفف واژگان Software Development Life Cycle (چرخهٔ حیات توسعهٔ نرم‌افزار) است را طی کنند که این چرخه شامل مراحل طراحی، کدنویسی و توسعه است. با این حال، یکی از عمده دلایل استفاده از چنین چرخه‌ای برای طراحی یک نرم‌افزار، بررسی امنیت آن در هر مرحله از فرایند کدنویسی و توسعه است.

همچنین چرخهٔ S-SDLC که مخفف واژگان Secure Software Development Life Cycle (چرخهٔ حیات ایمن توسعهٔ نرم‌افزار) است، شامل بررسی مسائل امنیتی اپلیکیشن در تک‌تک مراحل توسعهٔ نرم‌افزار می‌باشد که برخلاف روش تست-دیباگ-تست، به بررسی باگ‌های امنیتی در مراحل ابتدایی توسعه می‌پردازد که در نهایت منجر به صرفه‌جویی در زمان و هزینه‌ها در آینده می‌گردد.

داشتن تیم امنیتی شبانه‌روزی از روز اول راه‌اندازی کسب‌‌وکار
به‌ جای اینکه قبل از اجرای پروژه تنها یک بررسی امنیتی روتین داشته باشید، تیم توسعه باید از حضور یک کارشناس امنیت نرم‌افزار که می‌تواند تهدید‌های امنیتی در هر سطحی را درک کند و کار‌های لازم و ضروری امنیتی را در چرخهٔ توسعه قرار دهد، بهره‌مند گردد (در همین راستا توصیه می‌کنیم به پادکست مصاحبه با مهران طُرِیحی: متخصص امنیت اطلاعات مراجعه نمایید.)

مانند یک هکر فکر کنید
برای شکست دادن یک هکر، باید مانند یک هکر فکر کنید و به همین دلیل است که تکنیک‌های مبارزه با هک و اقدامات ارزیابی امنیتی مانند Penetration Testing (تست نفوذ) بسیار حیاتی هستند. تست نفوذ یک حملهٔ شبیه‌سازی شده به یک سیستم کامپیوتری مشکوک به ضعف امنیتی است که در این تست سعی می‌شود با استفاده از ابزار‌های خاصی به بخش‌های مختلف و اطلاعات یک سیستم دست پیدا کرد. به عبارتی، در این تست اطلاعات موجود بررسی می‌شوند و سپس به‌ منظور دستیابی به اهداف مختلفی که مورد نظر است، اقدامات مختلفی انجام می‌شود.

تست نفود شامل ارزیابی امنیت فیزیکی سرور‌ها، سیستم‌ها و دیوایس‌های شبکه، بررسی آسیب‌پذیری در برنامه‌های کلاینت کوچک و بزرگ برای مشخص کردن نقاط ضعف احتمالی می‌شود و بسته به بزرگی هر پروژه‌ای، سازمان‌ها می‌توانند از میان تست‌های نفوذ به‌ اصطلاح White Box، Black Box و Gray Box یکی را انتخاب کنند (در همین راستا توصیه می‌کنیم به مقالهٔ آشنایی با مقولهٔ White Box Testing و Black Box Testing مراجعه نمایید.) 

زمان مشخصی را برای تحلیل‌های امنیتی اختصاص دهید
همواره یکی از دغدغه‌های مدیران پروژه، رسیدن به دِدلاین (ضرب‌العجل) پروژه است و همین عجله در به انجام رساندن پروژه می‌تواند تیم را در معرض ایجاد حفره‌های امنیتی قرار دهد! زمانی‌ که با پروژه‌هایی سروکار داریم که دِدلاین‌های زودهنگام دارند، لازم است که اقدامات امنیتی لازم را همواره مد نظر داشته باشیم و این در حالی است که هرچه حجم پروژه بزرگ‌تر گردد، پیچیدگی آن افزایش یافته و نیاز به رعایت مسائل امنیتی دوچندان می‌گردد.

کار روی بخش امنیتی ارزشش را دارا است
تیم‌های امنیتی معمولاً بودجهٔ خود را از جانب مدیران مافوق دریافت می‌کنند یا اینکه مدیران بالاتر برای خرید تجهیزات و نرم‌افزار‌های امنیتی برای آن‌ها بودجهٔ خاصی در نظر می‌گیرند. زمانی‌ که قصد دارید دست به چنین سرمایه‌گذاری‌هایی بزنید، باید به‌ خاطر داشته باشید در صورتی می‌توانید ادعا کنید که از تمام پتانسیل سرمایه‌گذاری خود استفاده می‌کنید که تجهیزات امنیتی خریداری شده و تیم امنیتی شما شبانه‌روزی کار کنند و فعال باشند. محدود کردن این بودجه‌ها، تنها به بخش امنیتی آسیب زده و باعث یک نتیجهٔ ناخوشایند می‌شود.