امنیت اطلاعات و رویکردهای سازمانی

امنیت اطلاعات در سازمانها

مقدمه

امروزه شبکه های سازمانی با تهدیدات بیشماری از جمله حملات هکرها، کدهای مخرب، حملات پیشرفته مداوم، حضور کارکنان کنجکاو و ناراضی و… روبرو هستند. از این رو یکی از بزرگترین نگرانی و چالش های پیش روی سازمان ها و بنگاه های کسب و کار چگونگی امن سازی یک شبکه مبتنی بر زیرساخت ها، نرم افزارها و سخت افزارهای فعلی آنها است. در حال حاضر مدیران شبکه رویکردهای مختلفی را برای امن سازی شبکه خود انتخاب می کنند مانند رویکردهای امنیت لایه ای. بدین منظور مدیر شبکه از ابزارهای مختلف برای امن سازی شبکه خود در لایه های مختلف رایانه کاربر، سرور، سوییچ ها و روترها و امنیت فیزیکی استفاده می کند. اما سوال مهمی که در اینجا مطرح است این است که آیا استفاده از این ابزارها برای امن سازی یک شبکه کافی است؟ آیا ابزارهای امنیتی می تواند به تنهایی با این تهدیدات پیچیده، پیشرفته و مختلف مقابله کند؟ آیا استفاده از ابزارهای امنیتی کفایت می کند یا باید از مولفه های دیگری در امن سازی استفاده نمود؟

در این خصوص تحقیقات مختلفی صورت گرفته است که در مجموعه ای از مقالات با عنوان “سازمان، امنیت اطلاعات و …” به تشریح نیازمندی ها و مولفه های مرتبط با امنیت اطلاعات در سازمان ها، چگونگی طراحی و ایجاد امنیت در سازمان ها متناسب با ظرفیت و ساختار آنها خواهیم پرداخت.

 

نگاه اجمالی به رویکرد اشتباه مدیران سازمانی در امنیت اطلاعات

مدیران در جایگاه های مختلفی سازمانی که قرار دارند از مدیران عملیاتی گرفته تا مدیران ارشد سازمانی در خصوص بکارگیری فناوری اطلاعات و همچنین امن سازی آن مرتکب اشتباهات ناخواسته ای می گردند که موجب تضعیف امنیت اطلاعات، بوجود آمدن نقاط ضعف و آسیب پذیر در شبکه و سامانه های داخلی و حتی تهدیدات خارجی در فضای کسب وکار می شود.

از این رو شناخت این اشتباهات و توجه مدیران به اقدامات موثری که می توانند در جهت رفع این معایب بردارند بسیار ضروری است لذا به طور اجمالی اشتباهاتی را که مدیران در سازمان ها انجام می دهند بیان می گردد:

 

۱- تحلیل و ارزیابی نادرست، غیرواقعی و نامتعارف تهدیدات و آسیب پذیری ها

برخی از مدیران سازمانی نمی توانند بدرستی وضعیت فعلی و آینده فضای فناوری اطلاعات سازمان خود را ترسیم نموده و ریسک ها و تهدیدات متصور برای این فضا را تحلیل نمایند. غالبا تهدیدات را جدی نگرفته یا آنها را بزرگنمایی می کنند به عنوان مثال تفکر نادرست مدیران به صورت زیر است:

  • این تهدید برای سازمان ما متصور نیست.
  • سازمان ما اطلاعات با ارزشی دارد که با سیستم های فعلی امن نمی شود و باید هزینه بالاتری به آن اختصاص داد.
  • همه تهدیدات داخلی و خارجی در مورد اطلاعات سازمان ما وجود دارد.

این در حالی است که وجود یک تحلیل درست از این وضعیت می تواند منجر به امن سازی صحیح، انتخاب درست تجهیزات و خدمات، صرف منابع مالی و نیروی انسانی مناسب و … گردد.

 

۲- استفاده نکردن از کارشناسان مجرب در حوزه امنیت اطلاعات و نگاه ابزار محوری

در حوزه امنیت فناوری اطلاعات دانستن این نکته ضروری است که “ابزارها در کنار انسان، باهوش، کارا و اثربخش می شوند”. این بدان معنی است که تکیه بر ابزارهای سخت افزاری و نرم افزاری بدون استفاده از نیروی انسانی مجرب و آگاه علاوه بر اینکه امنیت کافی را بوجود نمی آورد بلکه باعث آسیب ها و حفره های امنیتی ناشی از عدم دانش و آگاهی می شود. این عامل انسانی است که می تواند خروجی تجهیزات امنیتی را تجزیه و تحلیل و تفسیر نماید زیرا ابزارها دارای مثبت کاذب (false positive) هستند که ممکن است حتی بسیاری از عملیات درست و مجاز را نیز قطع و مانع از دسترسی ها شود.

کارشناسان مجرب با دانستن بسیاری از اصول، کاربردها، تکنیک ها، بهینه روش ها (best practice) و استانداردها و نحوه بکارگیری آنها می توانند امنیت پایدار و قابل اعتمادی را فراهم نمایند که کاربران در آن محیط علاوه بر حس امنیت، می توانند از امکانات به نحو ساده تر و مطلوبتری استفاده نمایند.

برخی اوقات مدیران نسبت به انتخاب افراد خبره و اهل فن دچار مشکل شده و افراد شایسته و دارای توانمندی های این مشاغل را انتخاب نمی کنند و از کارشناسان شبکه، نرم افزار نویسان و … بدون بهره مندی از تجارب امنیتی در جایگاه های حرفه ای امنیت استفاده می کنند.

 

۳- مشاوره نگرفتن از متخصصین و شرکت های با تجربه در این حوزه

امنیت اطلاعات مجموعه ای از دانش، تجربه، ابزار، هوش، هزینه، ارتباطات، همکاری های واقعی و مجازی افراد، شرکت ها و انجمن ها و… در کنار هم است. در اصل امنیت اطلاعات و مولفه های آن یک مقوله ثابت و محدود نیست بلکه یک پدیده پویا و در جریان است که پیشرفت و موفقیت در آن نیازمند تعامل و ارتباط بین بازیگران این حوزه است. یک سازمان برای اینکه بتواند در این حوزه موفق باشد باید بتواند با بازیگران موثر این حوزه از جمله شرکت های موفق در زمینه امنیت اطلاعات ارتباط پویا و سازنده ای را برقرار نماید و از دانش و تجربه آنها استفاده نماید. اتکا به نیروهای داخلی و بخش های خارجی غیرمتخصص و ناتوان می تواند موجب گمراهی سازمان ها، تصمیم گیری های غیرمنطقی و نامناسب، استفاده از فناوری های غیرضروری و تحمیل هزینه های نامتعارف به سازمان ها گردد.

 

۴- کندی و ناتوانی در تصمیم گیری ها در خصوص تامین و استفاده از تجهیزات، محصولات و خدمات امنیتی

یکی از مهمترین اصول در برقراری و حفظ امنیت اطلاعات، تصمیم گیری به موقع در استفاده از تجهیزات و خدمات امنیتی متناسب با تهدیدات روز و مرتبط با سازمان است. گاه اتفاق می افتد که یک سازمان با تهدیدی ساده و معمولی روبرو است و کارشناسان این حوزه تهدید را شناسایی نموده و برای مقابله با آن راه حل های امنیتی را ارائه می دهند. اما در هنگام تصمیم گیری در خصوص رفع این تهدید، مدیران سازمانی نمی توانند تصمیم مناسبی را در خصوص تامین منابع مورد نیاز مالی، نیروی انسانی و … گرفته و محصول یا خدمت مورد نظر به موقع در اختیار کارشناسان قرار نمی گیرد. این امر موجب می شود امنیت اطلاعات سازمان با تهدیدی بسیار جدی مواجه شود. از چالش های موجود در تصمیم گیری مدیران می توان به موارد زیر اشاره نمود:

  • نبود یا عدم اعتماد به عوامل تصمیم ساز مانند نداشتن معیارها و شاخص های انتخاب، نداشتن سازوکار برای مقایسه محصولات و خدمات، فقدان یا عدم اعتماد به کارشناسان خبره
  • نداشتن شناخت و درک درستی از وضعیت امنیت اطلاعات و تهدیدات آن
  • نداشتن ثبات و پایداری لازم در انتخاب یک محصول مناسب با توجه به نیاز سازمان

 

۵- برون سپاری پروژه های امنیت اطلاعات به شرکت ها و افراد غیرمتخصص

برون سپاری در سازمان ها که با اهداف کاهش هزینه ها، صرف نیروی سازمان در جهت اهداف اصلی و مهمتر، ارتقا کیفیت و تمرکز بر شایستگی های محوری سازمان صورت می گیرد در حوزه امنیت اطلاعات نیز بسیار کاربردی و رایج است. اما باید در نظر داشت که کدامیک از پروژه های امنیت اطلاعات در سازمان باید برون سپاری شده و به کدام بخش برون سپاری گردد.

پروژه های امنیت اطلاعات در سازمان ها بسیار متنوع است از این رو غالبا نیروی انسانی لازم برای تامین و تهیه آنها در اختیار سازمان ها نیست لذا باید در نظر داشت پروژه هایی که دارای ویژگی های زیر است ترجیحا برون سپاری گردد:

  • تولید آن برای سازمان هزینه بسیار بالایی دارد. در مورد خدمات باید گفت که هزینه بالا در آموزش نیروی انسانی، یادگیری فرآیندها، تامین سامانه های نرم افزاری و سخت افزاری مرتبط با خدمت و… است.
  • سازمان قادر نیست با نیروهای فعلی آن را تهیه کند.
  • برون سپاری آن به اهداف و ماموریت کسب و کار سازمان آسیب وارد نمی کند.
  • مزیت رقابتی و شایستگی محوری آن سازمان نیست.

از این رو باید افراد، بخش ها و شرکت هایی را برای این منظور انتخاب نمود که با رعایت عدم افشای اطلاعات، تخصص کافی در پذیرش و انجام این گونه پروژه ها را داشته باشد. به عنوان مثال انتخاب شرکتی که تاکنون پروژه ای در زمینه تست نفوذ را انجام نداده است، برای انجام این خدمت امری اشتباه است زیرا موجب می شود شناخت درستی از آسیب پذیری ها و تهدیدات شرکت صورت نگرفته و نقاط ضعف آنها شناسایی نشود. همچنین تامین ضدبدافزاری که به لحاظ نصب و به روز رسانی مدیریت یکپارچه ندارد و متناسب با نیاز سازمان نیست، می تواند باعث گسترش بدافزار در سازمان و تخریب اطلاعات شود.

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
تعداد دیدگاه ها: 2
  1. Butch گفت:

    While I definitely put McAfee above Kaspersky, I ca#7;821&nt say I would want to trust the security of my system with either of them. I have had too many issues with these programs running away with resources and crippling systems to trust them again any time soon.

  2. سایتتون عالیه گفت:

    سایتتون عالیه….!

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.