حواس پنجگانه در سیستمهای اطلاعاتی

تهیه و تدوین: علیار نیک فرمان

ضریب امنیت اطلاعات در سازمان شما چقدر است؟ آیا استراتژی خاصی برای حفاظت و افزایش امنیت اطلاعات در سازمان دارید؟ آیا آماری در دست دارید که نشان دهد در سال گذشته روش حفاظت از اطلاعات در سازمان شما چه تأثیراتی از نظر اقتصادی داشته است؟ و … اینها سؤالاتی هستند که معمولاً‌ مدیران وقتی به آن پاسخ می‌دهند که با تهدیدی مواجه شده باشند و یا لطمات جدی به سازمانشان وارد شده باشد. تحقیقات اخیر از سوی ۱۰۰ مدیر IT در انگلستان نشان داده که در ۸۴ درصد از مشاغل هیچگونه خط مشی امنیتی وجود ندارد تا از سواستفاده‌های کارمندان از اینگونه اطلاعات جلوگیری کند و هر چند مشاغل به خاطر به دست آوردن مزایای رقابتی به اطلاعات اطمینان میکنند، ۴۲ درصد از مشاغل به کلی نمیدانند که اطلاعات مورد استفاده آنها، پیش از آن مورد استفاده سودجویان قرار گرفته است یا نه. حال با دانستن این واقعیت که کشور ما در زمینه تکنولوژی اطلاعات و امکانات ایجاد سیستم‌های امنیتی برای آن به مراتب از کشورهای پیشرفته عقب‌تر هست این آمار چقدر است؟

در عصر فناوری اطلاعات و در عرصه رقابت میان شرکت‌ها و سازمان‌ها، یکی از رموز موفقیت مدیران پیشرو، دوراندیشی آنها و گسترش همه‌جانبه آن در تمام ابعاد کاری‌شان است. کیم‌ میلفورد، مسئول امنیت اطلاعات در دانشگاه رویچستر نیویورک، می‌گوید: ”امروزه مدیریت IT به جای اندیشیدن به فاکتورهای انسانی نخ‌نما شده، سعی می‌کند امنیت و کنترل را در همه‌ی حوزه‌ها حکم‌فرما کند.“

مقوله امنیت سیستم‌های اطلاعاتی یکی از مباحثی است که تغییرات سریع تکنولوژی و تأثیرات بسیار زیاد آن در ساختار و عملکرد سازمان‌ها، به آن موجودیت بخشیده و رعایت، یا لااقل اهمیت دادن به آن را برای مدیران تبدیل به یک ضرورت کرده است. چون این اصلاً‌ منطقی نیست که ما گاوصندوق شیشه‌ای خود را در معرض دید عموم قرار دهیم!

بعضی از کارشناسان معتقدند برای غلبه بر حفره‌های امنیتی اطلاعات باید هزینه کرد و بخشی از بودجه سالانه خود را به این امر اختصاص داد. بعضی‌ها هم معتقدند بهتر است مشخصاً متخصصانی را برای این منظور در سازمان به خدمت گرفت. از آنجائیکه این مبحث نیاز به داشتن اطلاعاتی تخصصی دارد و هدف ما هم در اینجا بیان نکات فنی و آموزش آنها نیست، تنها به ذکر ۵ اشتباه متداول مدیران بسنده می‌کنم. یعنی افرادی که مسئولیت مدیریت، هدایت و توسعه سازمان را بر عهده داشته و با منابع متفاوت موجود در سازمان نظیر بودجه، سروکار دارند.

امروزه استفاده از اینترنت توسط سازمان ها و موسسات، مزایای متعددی را بدنبال دارد. اما در صورتیکه سازمان ها و موسسات دارای یک استراتژی امنیتی مشخص شده ای نباشند، اتصال به شبکه جهانی تهدیدی در ارتباط با اطلاعات حساس خواهد بود.

اشتباه اول:  استخدام کارشناسان آموزش ندیده و غیرخبره

بدون تردید، کارشناسان آموزش دیده و خبره، یکی از منابع ارزشمند در هر سازمان محسوب می گردند. فرصت سعی و خطاء نیست و ممکن است در این محدوده زمانی چیزی را که یک سازمان از دست می دهد بمراتب بیشتر از چیزی است که می خواهد بدست آورد.استفاده از یک کارشناس غیر ماهر در امور امنیت اطلاعات و شبکه در یک سازمان، خود تهدیدی امنیتی است که بر سایر تهدیدات موجود اضافه خواهد شد. (ما نمی توانیم مسئولیت پیاده سازی استراتژی امنیتی در سازمان را به افرادی واگذار نمائیم که در این رابطه اطلاعات و دانش لازم را ندارند).

اشتباه دوم: فقدان آگاهی لازم در رابطه با تاثیر یک ضعف امنیتی بر عملکرد سازمان

بسیاری از مدیران سازمان بر این باور می‌باشند که “این مسئله برای ما اتفاق نخواهد افتاد” و بر همین اساس و طرز فکر به مقوله امنیت نگاه می نمایند. بدیهی است در صورت بروز مشکل در سازمان، امکان عکس العمل مناسب در مقابل خطرات و تهدیدات احتمالی وجود نخواهد داشت. این مسئله می تواند بدلیل عدم آشنائی با ابعاد و اثرات یک ضعف امنیتی در سازمان باشد. در این رابطه لازم است به این نکته اشاره گردد که همواره مشکل برای دیگران بوجود نمی‌آید و ما نیز در معرض مشکلات فراوانی قرار خواهیم داشت. بنابراین لازم است همواره و بصورت مستمر مدیران سازمان نسبت به اثرات احتمالی یک ضعف امنیتی توجیه و دانش لازم در اختیار آنان قرار گیرد. در صورت بروز یک مشکل امنیتی در سازمان، مسئله بوجود آمده محدود به خود سازمان نشده و می تواند اثرات منفی متعددی در ارتباط با ادامه فعالیت سازمان را بدنبال داشته باشد. در عصر اطلاعات و دنیای شدید رقابت، کافی است سازمانی لحظاتی آن چیزی باشد که نمی بایست باشد، همین امر کافی است که تلاش چندین ساله یک سازمان هرز و در برخی حالات فرصت جبران آن نیز وجود نخواهد داشت.

اشتباه سوم: عدم تخصیص بودجه مناسب برای پرداختن به امنیت اطلاعات

مجاب نمودن یک مدیر سازمان مبنی بر اختصاص بودجه مناسب برای پرداختن به مقوله امنیت اطلاعات در سازمان از جمله مواردی است که چالش های خاص خود را خواهد داشت.مدیران، تمایل دارند بودجه را به حداقل مقدار خود برسانند، چراکه آنان یا اطلاعات محدودی در رابطه با تاثیر وجود ضعف های امنیتی در عملکرد سازمان را دارند و یا در برخی حالات، بودجه آنان را برای اتخاذ تصمیم مناسب محدود می‌نماید. با در نظر گرفتن بودجه مناسب برای ایمن سازی سازمان، بستر مناسب برای حفاظت سیستم ها و داده های حساس در یک سازمان فراهم خواهد شد. قطعا” تولید و عرضه سریع اطلاعات در سازمان های مدرن و مبتنی بر اطلاعات، یکی از مهمترین شاخص های رشد در عصر حاضر بوده و هر آن چیزی که می تواند خللی در فرآیند فوق ایجاد نماید، باعث توقف و گاها” برگشت به عقب یک سازمان، می گردد.

اشتباه چهارم: اتکاء کامل به ابزارها و محصولات تجاری

اگر از یک سازمان سوال شود که چگونه خود را در مقابل حملات حفاظت نموده‌اید؟ اغلب آنان در پاسخ خواهند گفت: “ما از یک فایروال شناخته شده و یک برنامه ویروس یاب بر روی سرویس دهنده استفاده می کنیم، بنابراین ما در مقابل حملات ایمن خواهیم بود”. توجه داشته باشید که امنیت یک فرآیند است نه یک محصول که با خریداری آن خیال خود را در ارتباط با امنیت راحت نمائیم. ابزارهائی همچون فایروال و یا برنامه های ویروس یاب، بخشی از فرآیند مربوط به ایمن سازی اطلاعات حساس در یک سازمان بوده و با بکارگیری آنان نمی توان این ادعا را داشت که آنان سازمان را بطور کامل در مقابل تهاجمات، حفاظت خواهند نمود.

اشتباه پنجم: یک مرتبه سرمایه گذاری در ارتباط با امنیت

امنیت مفهمومی فراگیر و گسترده بوده که نیازمند هماهنگی و سرمایه گذاری در دو بعد تکنولوژی و آموزش است. هر روز ما شاهد ظهور تکنولوژی های جدیدی می‌باشیم. ما نمی توانیم در مواجهه با یک تکنولوژی جدید بصورت انفعالی برخورد و یا عنوان نمائیم که ضرورتی به استفاده از این تکنولوژی خاص را نداریم. بکارگیری تکنولوژی عملا” صرفه جوئی در زمان و سرمایه مادی را بدنبال داشته و این امر باعث ارائه سرویس های مطلوبتر و ارزانتر به مشتریان خواهد شد.استفاده از تکنولوژی های جدید و سرویس های مرتبط با آنان،همواره تهدیدات خاص خود را بدنبال خواهد داشت. بنابراین لازم است به این موضوع توجه شود که امنیت، یک سرمایه گذاری پیوسته را طلب می نماید، چراکه با بخدمت گرفتن تکنولوژی ها ی نو بمنظور افزایش بهره وری در یک سازمان، زمینه پرداختن به امنیت می بایست مجددا” و در ارتباط با تکنولوژی مربوطه بررسی و در صورت لزوم سرمایه گذاری لازم در ارتباط با آن صورت پذیرد. در پایان یک نشریه‌ تخصصی در زمینه امنیت اطلاعات برای علاقه‌مندان معرفی می‌کنم. یکی از نشریات معتبر و فعال در این زمینه نشریه الکترونیکی SC-Magazine تحت نظارت شرکت Haymarket است. اغلب مطالب این نشریه ۵۰-۶۰  صفحه ایی مطالب فنی-مدیریتی هستند. و نسخه الکترونیکی این نشریه، بصورت رایگان، امکان ثبت نام را به شما میدهد و شما از طریق آدرسی که به mail شما ارسال میشود به آخرین نسخه مجله دسترسی  خواهید  داشت.  این  نشریه  را می‌توانید از  آدرس  اینترنتی http://mag1.olivesoftware.com تهیه نمایید.

منبع: ir.websecurity.blog

ict-research.net