حواس پنجگانه در سیستمهای اطلاعاتی

تهیه و تدوین: علیار نیک فرمان

ضريب امنيت اطلاعات در سازمان شما چقدر است؟ آيا استراتژي خاصي براي حفاظت و افزايش امنيت اطلاعات در سازمان داريد؟ آيا آماري در دست داريد كه نشان دهد در سال گذشته روش حفاظت از اطلاعات در سازمان شما چه تأثيراتي از نظر اقتصادي داشته است؟ و … اينها سؤالاتي هستند كه معمولاً‌ مديران وقتي به آن پاسخ مي‌دهند كه با تهديدي مواجه شده باشند و يا لطمات جدي به سازمانشان وارد شده باشد. تحقيقات اخير از سوي 100 مدير IT در انگلستان نشان داده كه در 84 درصد از مشاغل هيچگونه خط مشي امنيتي وجود ندارد تا از سواستفاده‌هاي کارمندان از اينگونه اطلاعات جلوگيري كند و هر چند مشاغل به خاطر به دست آوردن مزاياي رقابتي به اطلاعات اطمينان ميکنند، 42 درصد از مشاغل به کلي نميدانند که اطلاعات مورد استفادة آنها، پيش از آن مورد استفاده سودجويان قرار گرفته است يا نه. حال با دانستن اين واقعيت كه كشور ما در زمينه تكنولوژي اطلاعات و امكانات ايجاد سيستم‌هاي امنيتي براي آن به مراتب از كشورهاي پيشرفته عقب‌تر هست اين آمار چقدر است؟

در عصر فناوري اطلاعات و در عرصه رقابت ميان شركت‌ها و سازمان‌ها، يكي از رموز موفقيت مديران پيشرو، دورانديشي آنها و گسترش همه‌جانبه آن در تمام ابعاد كاري‌شان است. كيم‌ ميلفورد، مسئول امنيت اطلاعات در دانشگاه رويچستر نيويورك، مي‌گويد: ”امروزه مديريت IT به جاي انديشيدن به فاكتورهاي انساني نخ‌نما شده، سعي مي‌كند امنيت و كنترل را در همه‌ي حوزه‌ها حكم‌فرما كند.“

مقولة امنيت سيستم‌هاي اطلاعاتي يكي از مباحثي است كه تغييرات سريع تكنولوژي و تأثيرات بسيار زياد آن در ساختار و عملكرد سازمان‌ها، به آن موجوديت بخشيده و رعايت، يا لااقل اهميت دادن به آن را براي مديران تبديل به يك ضرورت كرده است. چون اين اصلاً‌ منطقي نيست كه ما گاوصندوق شيشه‌اي خود را در معرض ديد عموم قرار دهيم!

بعضي از كارشناسان معتقدند براي غلبه بر حفره‌هاي امنيتي اطلاعات بايد هزينه كرد و بخشي از بودجه سالانه خود را به اين امر اختصاص داد. بعضي‌ها هم معتقدند بهتر است مشخصاً متخصصاني را براي اين منظور در سازمان به خدمت گرفت. از آنجائيكه اين مبحث نياز به داشتن اطلاعاتي تخصصي دارد و هدف ما هم در اينجا بيان نكات فني و آموزش آنها نيست، تنها به ذكر 5 اشتباه متداول مديران بسنده مي‌كنم. يعني افرادي که مسئوليت مديريت، هدايت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظير بودجه، سروکار دارند.

امروزه استفاده از اينترنت توسط سازمان ها و موسسات، مزاياي متعددي را بدنبال دارد. اما در صورتيکه سازمان ها و موسسات داراي يک استراتژي امنيتي مشخص شده اي نباشند، اتصال به شبکه جهاني تهديدي در ارتباط با اطلاعات حساس خواهد بود.

اشتباه اول:  استخدام کارشناسان آموزش نديده و غيرخبره

بدون ترديد، کارشناسان آموزش ديده و خبره، يکي از منابع ارزشمند در هر سازمان محسوب مي گردند. فرصت سعي و خطاء نيست و ممکن است در اين محدوده زماني چيزي را که يک سازمان از دست مي دهد بمراتب بيشتر از چيزي است که مي خواهد بدست آورد.استفاده از يک کارشناس غير ماهر در امور امنيت اطلاعات و شبکه در يک سازمان، خود تهديدي امنيتي است که بر ساير تهديدات موجود اضافه خواهد شد. (ما نمي توانيم مسئوليت پياده سازي استراتژي امنيتي در سازمان را به افرادي واگذار نمائيم که در اين رابطه اطلاعات و دانش لازم را ندارند).

اشتباه دوم: فقدان آگاهي لازم در رابطه با تاثير يک ضعف امنيتي بر عملکرد سازمان

بسياري از مديران سازمان بر اين باور مي‌باشند که “اين مسئله براي ما اتفاق نخواهد افتاد” و بر همين اساس و طرز فکر به مقوله امنيت نگاه مي نمايند. بديهي است در صورت بروز مشکل در سازمان، امکان عکس العمل مناسب در مقابل خطرات و تهديدات احتمالي وجود نخواهد داشت. اين مسئله مي تواند بدليل عدم آشنائي با ابعاد و اثرات يک ضعف امنيتي در سازمان باشد. در اين رابطه لازم است به اين نکته اشاره گردد که همواره مشکل براي ديگران بوجود نمي‌آيد و ما نيز در معرض مشکلات فراواني قرار خواهيم داشت. بنابراين لازم است همواره و بصورت مستمر مديران سازمان نسبت به اثرات احتمالي يک ضعف امنيتي توجيه و دانش لازم در اختيار آنان قرار گيرد. در صورت بروز يک مشکل امنيتي در سازمان، مسئله بوجود آمده محدود به خود سازمان نشده و مي تواند اثرات منفي متعددي در ارتباط با ادامه فعاليت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنياي شديد رقابت، کافي است سازماني لحظاتي آن چيزي باشد که نمي بايست باشد، همين امر کافي است که تلاش چندين ساله يک سازمان هرز و در برخي حالات فرصت جبران آن نيز وجود نخواهد داشت.

اشتباه سوم: عدم تخصيص بودجه مناسب براي پرداختن به امنيت اطلاعات

مجاب نمودن يک مدير سازمان مبني بر اختصاص بودجه مناسب براي پرداختن به مقوله امنيت اطلاعات در سازمان از جمله مواردي است که چالش هاي خاص خود را خواهد داشت.مديران، تمايل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان يا اطلاعات محدودي در رابطه با تاثير وجود ضعف هاي امنيتي در عملکرد سازمان را دارند و يا در برخي حالات، بودجه آنان را براي اتخاذ تصميم مناسب محدود مي‌نمايد. با در نظر گرفتن بودجه مناسب براي ايمن سازي سازمان، بستر مناسب براي حفاظت سيستم ها و داده هاي حساس در يک سازمان فراهم خواهد شد. قطعا” توليد و عرضه سريع اطلاعات در سازمان هاي مدرن و مبتني بر اطلاعات، يکي از مهمترين شاخص هاي رشد در عصر حاضر بوده و هر آن چيزي که مي تواند خللي در فرآيند فوق ايجاد نمايد، باعث توقف و گاها” برگشت به عقب يک سازمان، مي گردد.

اشتباه چهارم: اتکاء کامل به ابزارها و محصولات تجاري

اگر از يک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده‌ايد؟ اغلب آنان در پاسخ خواهند گفت: “ما از يک فايروال شناخته شده و يک برنامه ويروس ياب بر روي سرويس دهنده استفاده مي کنيم، بنابراين ما در مقابل حملات ايمن خواهيم بود”. توجه داشته باشيد که امنيت يک فرآيند است نه يک محصول که با خريداري آن خيال خود را در ارتباط با امنيت راحت نمائيم. ابزارهائي همچون فايروال و يا برنامه هاي ويروس ياب، بخشي از فرآيند مربوط به ايمن سازي اطلاعات حساس در يک سازمان بوده و با بکارگيري آنان نمي توان اين ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات، حفاظت خواهند نمود.

اشتباه پنجم: يک مرتبه سرمايه گذاري در ارتباط با امنيت

امنيت مفهمومي فراگير و گسترده بوده که نيازمند هماهنگي و سرمايه گذاري در دو بعد تکنولوژي و آموزش است. هر روز ما شاهد ظهور تکنولوژي هاي جديدي مي‌باشيم. ما نمي توانيم در مواجهه با يک تکنولوژي جديد بصورت انفعالي برخورد و يا عنوان نمائيم که ضرورتي به استفاده از اين تکنولوژي خاص را نداريم. بکارگيري تکنولوژي عملا” صرفه جوئي در زمان و سرمايه مادي را بدنبال داشته و اين امر باعث ارائه سرويس هاي مطلوبتر و ارزانتر به مشتريان خواهد شد.استفاده از تکنولوژي هاي جديد و سرويس هاي مرتبط با آنان،همواره تهديدات خاص خود را بدنبال خواهد داشت. بنابراين لازم است به اين موضوع توجه شود که امنيت، يک سرمايه گذاري پيوسته را طلب مي نمايد، چراکه با بخدمت گرفتن تکنولوژي ها ي نو بمنظور افزايش بهره وري در يک سازمان، زمينه پرداختن به امنيت مي بايست مجددا” و در ارتباط با تکنولوژي مربوطه بررسي و در صورت لزوم سرمايه گذاري لازم در ارتباط با آن صورت پذيرد. در پايان يك نشريه‌ تخصصي در زمينه امنيت اطلاعات براي علاقه‌مندان معرفي مي‌كنم. يكي از نشريات معتبر و فعال در اين زمينه نشريه الكترونيكي SC-Magazine تحت نظارت شركت Haymarket است. اغلب مطالب اين نشريه 50-60  صفحه ايي مطالب فني-مديريتي هستند. و نسخه الكترونيكي اين نشريه، بصورت رايگان، امكان ثبت نام را به شما ميدهد و شما از طريق آدرسي كه به mail شما ارسال ميشود به آخرين نسخه مجله دسترسي  خواهيد  داشت.  اين  نشريه  را مي‌توانيد از  آدرس  اينترنتي http://mag1.olivesoftware.com تهيه نماييد.

منبع: ir.websecurity.blog

ict-research.net

نشریه تفکر متعالی شماره چهار – تابستان 85