کنترل دسترسی چیست؟
وقتی یک مشتری تماس میگیرد و درخواست جزئیاتی درباره نحوه ثبت اطلاعات خودش در پایگاه داده شرکت شما میکند تا مطمئن شود اطلاعاتش بهروز است، و یا وقتی یک شریک کسبوکار از شما درخواست میکند که زمانهای خالی همکارتان را در تقویم چک کنید تا با او تماس بگیرد، در اصل هر دوی این موقعیتها درخواست دسترسی به اطلاعات شخصی هستند.
اما اگر شخص درخواست کننده دسترسی به اطلاعات شخصی، کسی که میگوید نباشد چه باید کرد؟ در کل، دو نکته اصلی در زمان دادن اطلاعات شخصی به فرد دیگر باید در نظر گرفته شود: هویت شخص درخواست کننده و اینکه آیا او حق دسترسی به این اطلاعات را دارد یا خیر. اصطلاح فنی برای این موضوع “کنترل دسترسی” (Access Control) است. نمونههای مختلف کنترل دسترسی را میتوان در سیستمهای امنیتی مانند دربهای کددار، گیتهای کنترل شده با کلید، کارتهای دسترسی، سیستمهای بیومتریک و غیره یافت.
عنصر کلیدی امنیت اطلاعات، کنترل دسترسی، امکان کنترل مستقیم و بیوقفه حرکتها در محیطها یا شبکهها را فراهم میکند. به بیان دیگر، این کنترل، مناطق قابل ورود و غیرقابل ورود افراد را محدود میکند؛ چه این مناطق اتاقی باشد یا یک رایانه. در گذشته، سادهترین شکل سیستم کنترل دسترسی یک قفل و کلید ساده بود. امروز، بیشتر به شکل کارت دسترسی است که به شما اجازه ورود به یک منطقه امن را میدهد. در اینجا، نگاهی دقیقتر به نحوه مدیریت، نظارت و پیگیری افرادی که دسترسی به در شما دارند؛ میاندازیم.
بررسی دقیق امنیت
در کنترل دسترسی به اطلاعات خصوصی یک سازمان، باید به دسترسی فیزیکی و منطقی همزمان توجه داشته باشید. دسترسی فیزیکی به ساختمانها، دستگاهها و اسناد اشاره دارد در حالی که دسترسی منطقی به دسترسی به رایانهها یا سیستمها اشاره دارد. فناوریهای مورد استفاده برای هر کدام از این دو نوع دسترسی بسیار متفاوت است. کنترل دسترسی فیزیکی از کلیدها و کارتها برای اجازه ورود به یک فضای امن استفاده میکند، در حالی که کنترل دسترسی منطقی از برنامههای رمز عبور پیشرفته و ویژگیهای امنیتی بیومتریک استفاده میکند.
به جای مدیریت کاربران و حقوق دسترسی در هر برنامه، راهحلهای مدیریت هویت و دسترسی (Identity and Access Management, IAM)، راهی مرکزی و محکمتر برای مدیریت هویتها و تنظیم سطح دسترسی هر کاربر به یک سیستم ارائه میدهند. با گسترش نقاط انتهایی در سراسر سازمان، به دلیل سیاستهای آوردن دستگاههای شخصی خود (Bring Your Own Device, BYOD) و افزایش استفاده از دستگاههای اینترنت اشیا (Internet of Things, IoT)، نیاز به کنترل بیشتری وجود دارد. راهحل، کنترل دسترسی شبکه (Network Access Control, NAC) است که راهی برای تعبیه سیاستهای کنترل دسترسی و امنیت نقاط انتهایی در زیرساخت شبکه یک سازمان فراهم میکند. این به این معناست که زمانی که یک کاربر سعی میکند به شبکه متصل شود، سیستم NAC اتصال را نگه میدارد تا ارزیابی خطر را انجام دهد.
چرا از کنترل دسترسی استفاده میشود؟
با توجه به مقادیر زیاد دادههای حساس که به صورت الکترونیکی ذخیره میشوند، نیاز به محافظت از داراییهای اطلاعاتی ما بیشتر از همیشه است. تهدیدات سایبری روز به روز در حال تحولاند و نیاز به اقدامات ایمنی شدیدتر دارند و کلیدها و رمزهای عبور ساده دیگر کاری را انجام نمیدهند. اکنون شما نیاز به یک سیستم کنترل دسترسی مستحکم دارید که میتواند دادههای فیزیکی و محرمانه را ایمن کند، هزینههای اداری را کاهش دهد، و مشتریان و کارکنان شما را ایمن نگه دارد.
کنترل دسترسی همچنین به سازمانها کمک میکند تا الزامات انطباق قانونی (Regulatory Compliance)، مانند استاندارد امنیت دادههای صنعت کارتهای پرداخت (Payment Card Industry Data Security Standard, PCI DSS) و قانون حملونقل و پاسخگویی بیمه بهداشتی (Health Insurance Portability and Accountability Act, HIPAA) را رعایت کنند. از طرفی، استاندارد ISO/IEC 27001 در زمینه امنیت اطلاعات نیز از مدیریت میخواهد تا تمام نقاط ضعف و مخاطرات سایبری سازمان خود را ممیزی کرده و سپس کاهش دهد.
