راهنمای نقشه امنیتی و مدل‌سازی تهدید، برای جامعه ال‌جی‌بی‌تی‌کیو

تلاش برای محافظت از تمام داده‌های خود در برابر همه افراد، شاید در مواردی نشدنی و طاقت‌فرسا باشد. اما، جای هیچ نگرانی نیست! امنیت یک فرآیند است و می‌توانید یک نقشه مناسب برای خود، از طریق یک برنامه‌ریزی سنجیده تنظیم کنید. امنیت فقط به ابزارهایی که استفاده می‌کنید یا نرم‌افزاری که بارگیری (دانلود) می‌کنید نیست. این کار با درک تهدیدهای مختص پیش‌روی شما و چگونگی مقابله با آن‌ها آغاز می‌شود.

در امنیت رایانه، تهدید یک رویداد بالقوه‌ای است که توانایی تضعیف و تخریب تلاش‌های شما در جهت دفاع از داده‌هایتان را دارد. 

به‌عنوان یک عضو جامعه ال‌جی‌بی‌تی‌کیو، شما می‌توانید با تعیین اینکه برای محافظت نیازمند چه چیزی هستید و از خود قرار است در برابر چه کسی محافظت کنید، با تهدیدهای پیش روی خود مقابله کنید. این فرآیند برنامه‌ریزی امنیتی نام دارد که اغلب از آن به‌عنوان «مدل‌سازی تهدید» یاد می‌شود.

این راهنما به شما چگونگی تهیه یک نقشه امنیتی برای اطلاعات دیجیتال و چگونگی تعیین بهترین راه‌حل‌های مقابه با تهدیدها را آموزش خواهد داد. 


یک طرح امنیتی چگونه است؟

برای درک بهتر این پرسش، بگذارید بگوییم شما می‌خواهید خانه و دارایی خود را ایمن نگه دارید. در اینجا چند سوال مطرح می‌شود:

من داخل خانه خود چه چیزهایی دارم که ارزش محافظت دارند؟

- دارایی‌ها می‌توانند شامل: جواهرات، وسایل الکترونیکی، اسناد مالی، گذرنامه یا عکس‌ها باشند

می‌خواهم از آن‌ها در برابر چه کسانی محافظت کنم؟

- بدخواهان می‌توانند شامل: سارقان، هم‌اتاقی‌ها یا مهمانان باشند

چه احتمالی وجود دارد که من به محافظت از آن نیاز داشته باشم؟

- آیا محله‌ی من سابقه سرقت دارد؟ هم‌اتاقی‌ها یا مهمانان من چقدر قابل اعتماد هستند؟ بدخواهان من چه توانایی‌هایی دارند؟ چه خطراتی را باید در نظر بگیرم؟

در صورت عدم موفقیت و شکست من، پیامدهای آن چقدر بد است؟

- آیا چیزی در خانه خود دارم که نتوانم جایگزین آن کنم؟ آیا وقت و پول لازم برای جایگزینی این موارد را دارم؟ آیا بیمه‌ای دارم که کالاهای دزدیده شده از خانه من را پوشش دهد؟

برای جلوگیری از این پیامدها چه مقدار سختی و دشواری را می‌توانم تحمل کنم؟

- آیا حاضر هستم برای اسناد حساس، گاوصندوق تهیه کنم؟ آیا توان مالی خرید یک قفل باکیفیت را دارم؟ آیا وقت لازم برای اجاره یک صندوق امنیتی در بانک و نگهداری اشیا قیمتی خود، در آنجا را دارم؟

زمانی که این سوالات را از خودتان پرسیدید، در موقعیتی قرار می‌گیرید که می‌توانید ارزیابی کنید چه اقداماتی را باید انجام دهید. اگر دارایی‌های شما ارزشمند و احتمال ورود غیرقانونی کم باشد، ممکن است نخواهید پول زیادی را برای یک قفل هزینه کنید. اما، اگر احتمال ورود غیرقانونی بالا باشد، شما می‌بایست بهترین قفل موجود در بازار را تهیه و یک سیستم امنیتی قوی اضافه کنید.

تهیه یک برنامه امنیتی، به شما کمک می‌کند تهدیدهای مختص به خود را درک کرده و دارایی‌های خود، بدخواهان و توانایی‌های بدخواهان خود را همراه با احتمال خطرات پیش رو ارزیابی کنید.


چگونه نقشه امنیتی خود را تنظیم و از کجا شروع کنم؟

برنامه‌ریزی امنیتی به شما در شناسایی وقوع اتفاقات برای دارای‌های ارزشمندتان کمک می‌کند و تعیین می‌کند که آنها را در برابر چه کسانی محافظت کنید. هنگام نوشتن یک برنامه امنیتی به این پنج سوال پاسخ دهید:

۱. می‌خواهم از چه چیزی محافظت کنم؟

۲. می‌خواهم از آن در برابر چه کسی محافظت کنم؟

۳. در صورت عدم موفقیت من، پیامدهای آن چقدر بد خواهد بود؟

۴. چقدر این احتمال وجود دارد که من به محافظت از آن احتیاج داشته باشم؟

۵. برای جلوگیری از این پیامدها چه مقدار سختی و دشواری را می‌توانم تحمل کنم؟

برای درک بهتر نقشه امنیتی و یافتن پاسخ صحیح برای هر کدام از این موارد، بیایید نگاهی دقیق‌تر به هر یک از این سوالات بیندازیم.


می‌خواهم از چه چیزی محافظت کنم؟

«دارایی» چیزی است که شما برای آن ارزش قائل هستید و می‌خواهید از آن محافظت کنید.در حوزه امنیت دیجیتال، دارایی، معمولاً شامل انواع اطلاعات شما می‌شود. به‌عنوان مثال، ایمیل‌ها، لیست مخاطبان، پیام‌های کوتاه، موقعیت مکانی و فایل‌ها، همه دارایی‌های احتمالی شما هستند. همچنین ممکن است دستگاه‌هایتان نیز جزو دارایی‌های شما باشند.

لیستی از دارایی‌های خود تهیه کنید: داده‌هایی که نگهداری می‌کنید، جایی که نگهداری می‌شوند، چه کسی به آن‌ها دسترسی دارد و آنچه مانع دسترسی دیگران به آن‌ها می‌شوند.


می‌خواهم از آن در برابر چه کسی محافظت کنم؟

برای پاسخ به این سوال، شناسایی افرادی که ممکن است بخواهند شما یا اطلاعات شما را مورد هدف قرار دهند اهمیت دارد. شخص یا نهادی که دارایی‌های شما را تهدید کند «بدخواه» است.

از جمله بدخواهان احتمالی به شکل عمومی: رئیس شما، رقبای تجاری، شرکای سابق‌تان، دولت‌‌ها و مقامات قضایی یا هکرهای شبکه‌های عمومی هستند.

از بدخواهان یا کسانی که ممکن است بخواهند از دارایی‌های شما سوءاستفاده کنند، لیستی تهیه کنید. لیست شما ممکن است شامل افراد، شرکت‌ها یا حتی یک سازمان دولتی باشد.

با در نظر داشتن اینکه بدخواهان شما چه کسانی هستند، تحت برخی شرایط، بعد از انجام برنامه‌ریزی امنیتی ممکن است لازم باشد این لیست را از بین ببرید.


در صورت عدم موفقیت من، پیامدهای آن چقدر بد خواهد بود؟

راه‌های زیادی وجود دارد که یک بدخواه می‌تواند به داده‌های شما دسترسی پیدا کند. به‌عنوان مثال، یک بدخواه می‌تواند ارتباطات خصوصی شما را هنگام استفاده از شبکه اینترنت بخواند و داده‌های شما را حذف یا دستکاری کند.

انگیزه‌های بدخواهان و همچنین تاکتیک‌های آن‌ها بسیار متفاوت است. دولتی که سعی در جلوگیری از انتشار ویدئوی نشان‌دهنده خشونت پلیس را دارد، ممکن است فقط به حذف یا کاهش دسترسی به آن فیلم اکتفا کند. در مقابل، یک مخالف سیاسی ممکن است مایل باشد به محتوای محرمانه دسترسی پیدا کند و آن مطالب را بدون اطلاع شما منتشر کند یا اینکه مقامات قضایی با بدست آوردن داده‌هایتان، شما را محکوم کنند.

برنامه‌ریزی امنیتی شامل درک این موضوع است که اگر یک بدخواه با موفقیت به یکی از دارایی‌های شما دسترسی پیدا کند، عواقب آن چه می‌تواند باشد. برای تعیین این موضوع، باید توانایی و توانمندی بدخواه خود را در نظر بگیرید. به‌عنوان مثال، ارائه‌دهنده خدمات تلفن‌همراه شما، به تمام سوابق تلفن شما دسترسی دارد. یک هکر در یک شبکه Wi-Fi عمومی، می‌تواند به ارتباطات رمزگذاری نشده شما دسترسی پیدا کند. همچنین دولت‌ها و مقامات قضایی یا سازمان‌های اطلاعاتی، ممکن است توانایی‌های قوی‌تری داشته باشد.

آنچه که بدخواه شما می‌خواهد با داده‌های خصوصی شما انجام دهد را یادداشت کنید.


چقدر این احتمال وجود دارد که من به محافظت از دارایی‌های خود احتیاج داشته باشم؟

ریسک، احتمال وقوع یک تهدید خاص، علیه یک دارایی خاص است که با توجه زمان، مکان، شخص و براساس برخی قابلیت‌ها و توانمندی‌ها، ممکن است به وقوع بپوندد.

برای مثال، در حالی که ارائه‌دهنده خدمات تلفن‌همراه شما، توانایی دسترسی به همه داده‌های شما را دارد، اما ریسک نشر اطلاعات خصوصی شما به‌صورت آنلاین توسط آن‌ها، برای صدمه زدن به اعتبار شما، بسیار اندک است.

بنابراین، تشخیص و فرق گذاشتن بین آنچه اتفاق افتاده و احتمال اینکه ممکن است اتفاق بیافتد، مهم است. همچنین ارزیابی ریسک نیز  فرآیندی شخصی و همچنین ذهنی است. به نظر بسیاری از افراد، برخی از تهدیدها بدون توجه به احتمال وقوع آن‌ها غیرقابل قبول هستند، زیرا صرف وجود تهدید به هر احتمالی، فاقد ارزش است. در مواردی دیگر، برخی دیگر از مردم خطرات زیاد به‌واسطه غیرقابل مشاهده بودن تهدید را نادیده می‌گیرند.

بنابراین، با توجه به شرایط و موقعیت‌تان، تلاش کنید که دامنه کاملی از ریسک‌های احتمالی مرتبط با خودتان را تهیه کنید و شدت نگران‌کننده بودن آن‌ها را نیز یادداشت کنید.


برای جلوگیری از این پیامدها چه مقدار سختی و دشواری را می‌توانم تحمل کنم؟

به‌صورت کلی، هیچ گزینه کاملی برای امنیت وجود ندارد. اولویت‌ها، نگرانی‌ها و دسترسی همه افراد به منابع یکسان نیست. ارزیابی ریسک به شما این امکان را می‌دهد تا استراتژی مناسبی را برای خود برنامه‌ریزی کنید و راحتی، هزینه و حریم خصوصی را متعادل کنید.

به عنوان مثال، شاید مجبور باشید از ایمیل‌های رمزنگاری شده از طریق کلیدهای PGP برای ارتباطات خود استفاده کند که طبعا نسبت به ایمیل‌های معمولی، استفاده از آن اندکی دشوارتر است. 

بنابراین، گزینه‌های در دسترس را که در کاهش تهدیدهای منحصربه‌فرد شما می‌توانند مفید باشند را یادداشت کنید. اگر محدودیت‌های مالی، محدودیت‌های فنی یا محدودیت‌های اجتماعی دارید، به آن حتماً توجه داشته باشید.


برنامه‌ریزی نقشه امنیتی به‌عنوان یک تمرین منظم

با در نظر داشتن مواردی که در این مطلب به اختصار به آن‌ها پرداخته شد، برنامه امنیتی خود را براساس شرایط منحصربه‌فردتان ایجاد کنید. سپس تقویم خود را برای یک تاریخ در آینده علامت‌گذاری کنید. این امر باعث می‌شود شما برنامه خود را مرور کرده و دوباره بررسی کنید تا مشخص شود که آیا هنوز مناسب شرایط شما است یا خیر.

به یاد داشته باشید که با تغییر وضعیت، نقشه امنیتی شما تغییر می‌کند. بنابراین، مرور مجدد نقشه امنیتی خود به‌طور مکرر و به‌روزرسانی تهدیدها، یکی نکات مهم امنیتی در رابطه با نقشه‌های امنیتی است.