ITanalyze

کسب و کارهای کوچک‌تر به ندرت روی ابزارهای مشارکتیِ پر هزینه سرمایه‌گذاری می‌کنند و در عوض به دنبال ابزارهایی ارزانتر یا می‌توان گفت رایگان هستند. حالا از شانس بد یا خوبشان تعداد این ابزارها کم هم نیست. با این حال، نادیده گرفتن وجه امنیتیِ استفاده از چنین ازارهایی می‌تواند در ابعاد وسیعتری خرج روی دست کسب و کارهای کوچک بگذارد. در ادامه با ما همراه شوید تا ابزارهای مشارکتی را از بُعد امنیتی مورد بررسی قرار داده و در ادامه نیز راهکارهایی امنیتی خدمتتان ارائه دهیم.

ابزارهای مشارکتیِ داکیومنتی
بسیاری از سرویس‌ها به تیم‌های کوچک اجازه می‌دهند تا به طور همزمان داکیومنت‌ها را ادیت کنند؛ هرچند آن‌ها فقط ابزارهای متنی نیستند. با این حال استفاده از آن‌ها به اعضای تیم این فرصت را می‌دهد تا به طور مشترک رابط‌های گرافیکی، نمودارها، کد منبع و کلی چیزهای دیگر توسعه دهند. از اینها گذشته چنین چیزهایی کارامد هم هستند. با این وجود، پیش از استفاده از چنین سرویسی اینکه درک کنید چطور کار می‌کند بسیار مهم است: چطور اطلاعات شما را ذخیره می‌کند، چه کسی دان دسترسی دارد، چه تنظیمات امنیتی‌ای در آن موجود است. اینکه فایل‌های کاری اداری برای عموم قابل‌دسترس باشد همیشه ایده‌ای احمقانه است. حتی اگر نگران نشتی اطلاعات هم نباشید باز هم مهاجم می‌تواند دسترسی پیدا نموده و روی آرشیو پروژه‌ی شما تغییراتی اِعمال کند.
گوگل‌داکس بارزترین نمونه است. افراد اغلب از طریق گوگل با استفاده از لینک مستقیم بدون هیچ محدودیتی داکیومنت‌ها را به اشتراک می‌گذارند. این بدان معناست که موتورهای جستجو می‌توانند آن‌ها را فهرست‌بندی کرده و بنابراین تقریباً هر کسی قادر به رؤیت آنهاست. افرادی که کاملاً غریبه هستند در چنین داکیومنت‌هایی همه نوع اطلاعات محرمانه‌ای را پیدا می‌کنند: اطلاعات شخصی کارمندان، فهرست‌هایی از مشتریان شامل جزئیات تماس و حتی سوابق حقوق و دستمزد.
چه باید کرد: فقط از سرویس‌هایی استفاده کنید که در آن‌ها قادر به مخفی کردن داکیومنت‌ها از چشمان ناپاک هستید و یا دست‌کم سرویس‌هایی که می‌توانند در خصوص نحوه‌ی ذخیره شدن داکیومنت‌ها به شما توضیحی روشن دهند. تنظیمات حقوق دسترسی نیز یادتان نرود (این کار بسیار حیاتی است). بنابراین، اگر برای مقاصد کاری از گوگل‌داکس استفاده می‌کنید، دسترسی بدان را محدود کرده و فقط آن را به افرادی بدهید که داکیومنت‌ها را با آن‌ها به اشتراک می‌گذارید. یادتان باشد اگر دیگر به این داکیومنت‌ها نیاز ندارند دسترسی‌شان را ببندید.

ذخیره فایل کلود
نوع دیگری سرویس که باید با آن با احتیاط برخورد کنید، ذخیره فایل کلود است. باید حجم وسیعی از اطلاعات را انتقال دهید؟ مشکلی نیست- تنها کافیست آن را در کلود آپلود و به گیرنده لینکی را ارسال کنید. بدین‌ترتیب جلوی هر محدودیت سایز ایمیلی گرفته می‌شود. اما بسیاری از سرویس‌های اشتراک‌گذاری فایل هیچ لایه‌ی محافظتی‌ای ندارند و فایل‌‌ها می‌توانند در نتایج سرچ غریبه‌هایی تصادفی نیز نمایان شوند. حتی اگر سرویسی به لایه‌ی محافظتی نیز مجهز باشد باید تنظیمات بخش امنیتی را تا آخرین حد مجازش بالا ببرد. افراد اغلب ثبت نام، داده‌ها را در کلود ذخیره و بعد همه‌چیز را فراموش می‌کنند. اما رمزعبورها می‌توانند نشت پیدا کنند. هکرها حتی می‌توانند رمزعبورهای دراپ‌باکس را نیز سرقت کنند چه برسد به سرویس‌های کوچک‌تر.
چه باید کرد: سرویس مطمئنی برای اشتراک‌گذاری فایل انتخاب کنید؛ سرویسی که از احراز هویت دوعاملی پشتیبانی کند. وقتی داده را در کلود قرار دادید آن را به دست فراموشی نسپارید و اگر دیگر از فایل برای مقاصد کاری استفاده نمی‌کنید آن را حذف نمایید. برای اشتراک‌گذاری فایل به همان یک سرویس بسنده کنید زیرا استفاده از چندین سرویس باعث سردرگمی می‌شود.

محیط‌های مدیریت پروژه
به طور کلی، این پلت‌فرم‌ها به شرکت‌کنندگان در گردش کار اجازه می‌دهد تا ارتباط برقرار نموده، فایل‌ها را به اشتراک گذاشته و پروژه‌ها را سیستماتیک کنند. اگر از یکی از آن‌ها برای بحث در خصوص راهبردهای کسب و کار یا انتقال فایل‌ها استفاده می‌کنید نه تنها مهم است بدانید که چه کسی امروز می‌تواند اینها را ببنید بلکه چه کسی بعدها ممکن است چشمش به چنین اطلاعاتی بیافتد. برخی پلت‌فرم‌های کلود در حالت پیش‌فرض همه‌چیز را برای همه قابل‌رؤیت می‌گذارند. کاربران می‌توانند آیتم‌ها را پنهان کنند اما سخت یادشان می‌ماند 100% مواقع حواسشان به این مسئله باشد (اصولاً همیشه همه‌چیز در همان پیش‌فرض باقی می‌ماند). افزون بر این، اگر کسی به پروژه دسترسی پیدا کند احتمال دارد به کل سابقه‌ی پروژه دسترسی پیدا کنند که خوب همیشه با خودش شر در پی دارد. شرکت‌ها اغلب به کسانی حق دسترسی به چنین محیط‌هایی را می‌دهند که ممکن است امروز و فردا برای شرکت رقیب کار کنند؛ مانند کنتراکتورها یا فریلنسرها. دیگر کارمندان اخراج‌شده را نگوییم که احتمالاً قبل از بسته شدن دسترسی‌هایشان زمان کافی برای دانلود آرشیو نیز داشتند.
چه باید کرد: تنظیم حقوق دسترسی به پروژه و محدود کردن آن حقوق فقط برای فایل‌های کاری (برای همه‌ی گروه‌ها). برای کارمندان و افراد خارجی (کنتراکتورها، مشتریان) از محیط‌های ارتباطی مجزایی استفاده کنید. یادتان نرود که برای کارمندان سابق و فریلنسرها بلافاصله دسترسی را قطع کنید.

چند توصیه‌ی دیگر
به یاد داشته باشید که تمامی سرویس‌ها ممکن است آسیب‌پذیری داشته باشند (که البته شاید وقتی دارید با آن‌ها کار هم می‌کنید هرگز متوجه‌شان نشوید). علاوه بر این، بسیاری از سرویس‌ها اپ‌های کلاینتی را مشکلات مخصوص به خود را دارند. بنابراین توصیه می‌کنیم:
•    پیش از اینکه شروع به استفاده از سرویسی کنید، قوانین پردازش داده و تنظیمات آن را به دقت بررسی کنید. همچنین نظرات کاربران را در خصوص بخش امنیتی آن‌ نیز مطالعه کنید.
•     تیم یا متخصص آی‌تی شما (البته اگر داشته باشید) باید واضحاً سرویس‌هایی که استفاده می‌کنید را درک کرده و بداند آن‌ها چطور تنظیم می‌شوند و چه کسی مدیریت آن را بر عهده دارد.
•    اگر متخصصی ویژه برای این بخش ندارید، گروهی مسئول برای هر سرویس تعیین کنید تا تضمین دهد هر بار که آسیب‌پذیری‌ای پیدا می‌شود اپ کلاینت فوراً آپدیت می‌گردد؛ که رمزهای عبور در مواقع نشت تغییر داده می‌شوند و در صورت لزوم حقوق دسترسی صادر و یا قطع می‌گردد.
•     هر سرویسی که سابق بر این لینک یا فایلی را به اشتراک می‌گذاشت به طور بالقوه می‌تواند کانالی باشد برای توزیع بدافزار. از این رو، هر دستگاهی که چنین ابزارهایی رویشان به کار گرفته شده باشد به راهکار مطمئن امنیتی نیاز دارد.
Kaspersky Small Office Security راهکار ما برای کسب و کارهای کوچک است که روی اصل  Install-and-forget (نصب و فراموشی) کار می‌کند. این راهکار با جدیدترین باج‌افزارها مبارزه کرده، امنیت تمامی پرداخت‌های آنلاین، فایل‌های باارزش (از طریق رمزگذاری و بک‌آپ) و اپ‌ها را (از طریق نظارت بر آسیب‌پذیری و آپدیت‌های به موقعِ نرم‌افزاری) تأمین می‌کند. این راهکار برای کامپیوترهای ویندوزی و macOS، دستگاه‌های موبایل اندرویدی و سرورهای فایل موجود است.

منبع: کسپرسکی آنلاین 

تنظیم: روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛