امنیت اطلاعات: تاریخچه، اهمیت و پیادهسازی
اطلاعات یکی از مهمترین داراییهای سازمان است. داراییهای اطلاعاتی بسیار ارزشمند هستند و باید از آنها بهصورت مطلوب محافظت شود. اگر اطلاعات در دسترس خط تولید نباشد و یا اطلاعات اشتباهی به واحد مالی برای ثبتاسناد داده شود و یا اینکه رقبای شرکت از اطلاعات محرمانه ما در مورد نحوه قیمتگذاری اطلاع داشته باشند چه اتفاقی رخ میدهد؟
اگر کارمندان به دلیل عدم آگاهی از مسائل امنیتی، اطلاعات حساس شرکت را در اختیار افراد غیرمجاز قرار دهند و باعث شوند مزیت رقابتی شرکت از بین برود شرکت چه خسارتهایی خواهد دید؟
اگر شرکتی برای امنیت اطلاعات مشتریان خود برنامهریزی نکند آیا مشتریان تمایلی به همکاری با آن شرکت خواهند داشت و حاضر خواهند بود اطلاعات و درخواستهای خود را به آن شرکت ارجاع دهند؟
امنیت اطلاعات ترکیبی از سیستمها و روشهای کنترل داخلی است که باعث میشود محرمانگی اطلاعات و یکپارچگی و در دسترسپذیری آن حفظ شود و در ضمن راحتی کار، از اطلاعات در برابر خطرات و آسیبپذیریهای موجود حفاظت میکند.
داستان امنیت اطلاعات به داستان امنیت کامپیوترها برمیگردد. از سال 1980 در مراکز داده بهطور گسترده از کامپیوتر و رایانهها استفاده شد. در ابتدا امنیت کامپیوترها به امنیت زیرساختهای فیزیکی و سختافزار کامپیوترها خلاصه میشد.
با ظهور اینترنت روند کسبوکارها تغییر و ازنظر امنیت چالشهای جدیدی برای کسبوکارها به وجود آمد. افراد زیادی به سیستمها و اطلاعات دسترسی پیدا کردند که بسیار از آنها ناشناس بودند.
حملات بسیاری از طریق نرمافزارهای مخرب از قبیل ویروسها و کرمها بر روی سیستمهای کامپیوتری رخ داد که باعث شد 10 درصد از سیستمها برای امن ماندن از شبکه اینترنت خارج شوند. این حملات بهطور فزایندهای پیچیده و هزینهبر شدند و این امر باعث شد سازمانها به فکر افزایش سطح امنیت اطلاعات بیافتند.
بهطورکلی، امنیت اطلاعات حفاظت از اطلاعات که متعلق به یک سازمان یا فرد در مقابل تهدید و یا خطر بیرونی یا داخلی تعریف میشود. طبق گفته Merriam-Webster Dictionary، امنیت بهطورکلی کیفیت یا وضعیت امن بودن است، به این معنا که از آسیب در امان باشد.
امنیت اطلاعات برای شرکتها
میتوان از چهار جنبه اهمیت امنیت اطلاعات را بررسی کرد:
- بقای کسبوکار و فرایندهای کاری در شرکتها
- قابلت استفاده امن از سیستمهای IT در شرکتها
- محافظت از دادههای سازمان که آنها در کسبوکار استفاده میشود و بهمرورزمان جمعآوری و ذخیرهشدهاند.
- حفاظت از داراییهای تکنولوژیکی در شرکتها
البته پیادهسازی امنیت اطلاعات در سازمان چالشها و ریسکهایی هم خواهد داشت که باید به آنها توجه شود.
همانطور که گفته شد، امنیت اطلاعات سازمان را قادر میسازد تا استفاده امنی از زیرساختهای IT در سازمان داشته باشد و با استفاده از ابزارهای امنیتی مانند نرمافزارها و سختافزارها این مهم را تأمین میکند. همچنین اطلاعات موجود در سازمان را از دسترسیهای غیرمجاز و دستکاریهای عمدی یا غیرعمدی محافظت مینماید. درصورتیکه از اطلاعات اشتباه درروند کاری سازمان استفاده شود ضررهای غیرقابل جبرانی خواهد داشت.
داراییهای تکنولوژِیکی در سازمان بهطور پیوسته در معرض خطرات و تهدیدات سایبری از قبیل هک و دسترسی به سیستمها، از کار انداختن سیستمها بهواسطه بالا بردن درخواستهای کاذب برای سیستم هستند. راهکارهایی که تحت عنوان امنیت اطلاعات برای این امر ارائه میشود، این داراییها را از خطرات مصون میسازد.
روشهای اجرایی پیادهسازی امنیت اطلاعات:
بنا بر ویژگیها و الزامات کسبوکار برای پیادهسازی امنیت اطلاعات از روشها مختلفی استفاده میشود:
- تدوین سیاست امنیتی:
هدف از این روش یکپارچگی و حفظ نیازهای امنیتی اطلاعاتی سازمان توسط سیاستهای امنیتی است.
- انجام مدیریت ریسک:
در این روش تهدیدات و آسیبپذیریها در داراییهای اطلاعاتی سازمان ارزیابی و تحلیل میگردد، پیشنهاد و اجرای اقدامات و روشهای کنترل برای کاهش ریسک جز مراحل موجود در این روش میباشد.
- کنترل و ممیزی:
میتوان سازمان را ازنظر انجام کنترلهای امنیتی بررسی و ممیزی نمود و موارد نقض شده را مشخص و برای بهبود آنها برنامهریزی کرد.
- سیستم مدیریت امنیت اطلاعات:
در این روش بهصورت جامع آسیبپذیریهای مربوط به داراییهای اطلاعاتی سازمان بررسی و برای رفع آنها با توجه به ریسکی که برای سازمان خواهد داشت برنامهریزی میگردد. بعد از اجرای راهکارها وضعیت سازمان از نظر امنیت اطلاعات بررسی مجدد میگردد و موارد مورد نیاز جهت اصلاح و نقاط بهبود مشخص میشود.
چالشهای پیادهسازی:
در پیادهسازی امنیت اطلاعات چالشهایی وجود دارد که حتماً باید مدیریت گردد. محیط پیوسته در حال تغییر است و راهکارهای امنیتی باید همواره بهروز باشد.
در بعضی از سازمانها کارکنان از سیستمها و منابع شرکت برای کارهای شخصی استفاده میکنند و یا اینکه از کامپیوترهای خانگی برای مقاصد کاری استفاده میشود که این امر باعث میگردد اطلاعات سازمان به بیرون درز پیدا کند و امنیت اطلاعات سازمان به خطر بیافتد.
یا بهطور مثال اگر در استخدام نیرو به امنیت اطلاعات توجه نشود ممکن است افرادی برای کار انتخاب شوند که شاخصهای موردنظر را نداشته باشند. در سیستم امنیت اطلاعات یکی از عناصر اصلی نیروی انسانی است که برای هر مرحله از حضور نیروی انسانی در سازمان (قبل از استخدام، حین کار، تعویض سمت یا اتمام همکاری) سیاستهایی در نظر گرفتهشده است.
در این پست بهطور خلاصه امنیت اطلاعات و اهمیت آن برای سازمان شرح داده شد هر شرکت با توجه به نوع کسبوکار و نیازی که دارد برای بقای در بازار رقابتی امروز باید به مسئله امنیت اطلاعات توجه و برای استقرار آن برنامهریزی نماید.