اهمیت مدیریت امنیت اطلاعات در سازمان‌ها

یکی از مهم‌ترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمان‌ها مطرح است بحث مدیریت امنیت دارایی‌های اطلاعاتی می‌باشد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌ها (اعم از نرم‌افزاری، سخت‌افزاری، اطلاعاتی، ارتباطی و نیروي انسانی) سازمان در مقابل هرگونه تهدید است و براي رسیدن به این هدف، نیاز به یک برنامه منسجم دارد. اثربخشی برنامه تدوین‌شده، منوط به در نظر گرفتن تمام موارد تأثیرگذار و تمام دارایی‌های با ارزش سازمان است.

اغلب برای دارایی‌ها و اطلاعاتی که مشهود هستند، برنامه‌ریزی می‌شود و به دارایی‌های غیر مشهود توجه کمتری می‌گردد. چه‌بسا که این دارایی‌ها در ادامه روند کسب‌وکار و حیات سازمان تأثیر بیشتری داشته باشند. در این مقاله به تفاوت میان دارایی‌های اطلاعاتی در سازمان‌ها و اهمیت امنیت اطلاعات دارایی‌های IT به‌عنوان یکی از دارایی‌های نامشهود در سازمان پرداخته می‌شود.

دارایی چیست؟

هر چیزی که برای سازمان دارای ارزش است و سازمان از طریق آن ارزش‌آفرینی ‌کند، دارایی محسوب می‌شود. فقدان یا کمبود دارایی سازمان باعث اختلال در روند ارائه محصولات و خدمات سازمان و به خطر افتادن تداوم کسب‌وکار سازمان می‌گردد.

دارایی‌ها در دودسته کلی مشهود و نامشهود تقسیم‌بندی می‌شوند. دارایی‌های مشهود شامل مواردی از قبیل دارایی‌های فیزیکی و اسناد و برگه‌های کاغذی و دارایی‌های نامشهود شامل مواردی از قبیل پرونده‌ها و مستندات سیستمی، نرم‌افزارها و برنامه‌های کاربردی، اعتبار و شهرت سازمان می‌باشد.

اهمیت محافظت از دارایی‌های اطلاعاتی

درگذشته فعالیت‌های مربوط به دسترسی و محافظت از اطلاعات در سازمان‌ها و شرکت‌ها محدود به محل‌های نگهداري این اطلاعات شامل آرشیو اسناد و نگهداری دارایی‌های اطلاعاتی ارزشمند بود. در چنین محیط‌هایی، حفاظت فیزیکی، امنیت اطلاعات را تا حد بسیار بالایی تأمین می‌کرد. صاحبان کسب‌وکار همواره به این مسئله توجه داشتند و برنامه‌ریزی برای امنیت اطلاعات، جزء اولین اقداماتی بود که در شروع کسب‌وکار انجام می‌شد.
کم‌کم با گذشت زمان، تغییرات عمده‌ای در فرایندها و کسب‌وکارها ایجاد شد. شرکت‌ها جهت حفظ بقاء و موقعیت رقابتی خود نیاز به استفاده از فناوري اطلاعات در تبادل اطلاعات، تبادلات مالی و اقدامات کنترلی پیدا کردند (تیپون و کروس 2003). سازمان‌های کوچک و بزرگ بیش ‌از پیش، این فناوري را در امر کنترل و تسریع در امور کسب‌وکارهاي خود مورد استفاده قرار داده‌اند (شفیعی نیک‌آبادی و همکاران،1390).

وابستگی سازمان‌ها به سیستم‌های اطلاعاتی و سرویس‌های مبتنی بر آن (در راستاي انجام فعالیت‌ها) از یک‌سو و گستردگی شبکه ایجاد شده جهت بهره‌برداری از این سیستم‌ها از سوي دیگر موجب افزایش میزان آسیب‌پذیری در برابر حوادث امنیتی شده است. استفاده سازمان‌ها از فناوری و سیستم‌های IT این امکان را ایجاد کرده که افراد بیشتری به اطلاعات از طریق شبکه‌های داخلی و شبکه‌های گسترده دسترسی داشته باشند. با این ‌حال اهمیت و حساسیتی که درگذشته برای مدیران و صاحبان مشاغل از نظر امنیت اطلاعات وجود داشت، کمتر دیده می‌شود و یکی از دلایل آن می‌تواند نامشهود بودن و غیرملموس بودن دارایی‌های IT در سازمان باشد.

مدیریت امنیت اطلاعات

امنیت اطلاعات امروزه تعریف متفاوتی از قبل پیدا کرده است و به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیرمجاز به آن‌ها اشاره می‌کند، همچنین علم مطالعه روش‌ حفاظت از داده‌ها در رایانه‌ها و نظام‌های ارتباطی در برابر دسترسی و تغییرات غیرمجاز است (عبداللهی، 1385). در تعریفی دیگر امنیت به مجموعه‌ای از تدابیر، روش‌ها و ابزارها براي جلوگیري از دسترسی و تغییرات غیرمجاز در نظام‌های رایانه‌ای و ارتباطی اطلاق می‌شود.

هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌های سازمان در مقابل هرگونه تهدید (اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سامانه و خطرات ایجادشده از سوي کاربران) است و براي رسیدن به این هدف، نیاز به یک برنامه منسجم می‌باشد (پوا، 2003). فرآیند سامانه مدیریت امنیت اطلاعات را نمی‌توان طی یک اقدام یک‌باره در یک نظام مدیریتی پیاده‌سازی کرد. این فرآیند به‌صورت یک فرآیند مداوم توسط یک چرخه ایمن‌سازی چهار مرحله‌ای شامل موارد زیر باید پیاده گردد:

1.  برنامه‌ریزی که شامل برپایی شرایط اولیه سامانه مدیریت امنیت اطلاعات است.
2.  اجرا که شامل پیاده‌سازی و اجراي سامانه مدیریت امنیت اطلاعات است.
3.  ارزیابی و کنترل که شامل فعالیت‌های نظارتی و بررسی فعالیت‌های انجام‌گرفته است.
4.  بهبود و اصلاح که شامل فعالیت‌های نگهداري و بهبود مستمر در این سامانه مدیریتی است (27005 (IEC/ISO; 27001 IEC/ISO .

یکی از مزایاي سامانه مدیریت کیفیت اطلاعات مانند دیگر سامانه‌های مدیریتی، داشتن تداوم در کنترل و ارزیابی سامانه از طریق ممیزی‌های دوره‌ای، بازنگری‌های سامانه‌ای و دیگر اقداماتی است که از ویژگی‌های سامانه‌های مدیریت است، ازاین‌رو، اطمینان بیشتري نسبت به دیگر اقدامات امنیتی در بلندمدت می‌توان داشت. (BS 7799-2, 2006)

فرایند مدیریت امنیت دارایی‌های اطلاعاتی

یکی از مهم‌ترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمان‌ها مطرح است، بحث مدیریت امنیت دارایی‌های اطلاعاتی می‌باشد. در این مهم نکته‌ای که حائز اهمیت است، شناسایی صحیح تمام دارایی‌های اطلاعاتی اعم از مشهود و نامشهود و برنامه‌ریزی برای مدیریت ریسک هرکدام از آن‌ها به‌صورت مجزا می‌باشد.

بعد از مشخص شدن لیست دارایی‌های اطلاعاتی، باید ارزش هرکدام از آن‌ها را مشخص نمود. پارامترهاي تأثیرگذار در ارزش‌گذاری دارایی‌ها عبارت‌اند از: تأثیر دارایی بر اهداف و فعالیت‌های اصلی سازمان‌ها، تأثیر دارایی بر وجهه و اعتبار سازمان، تأثیر دارایی‌ها بر وقفه‌های کاري و عملیاتی در سازمان، تأثیر دارایی از نظر مالی بر سازمان (اف. تبپتون، 1388). ارزش‌گذاری دارایی‌های هر طبقه بر سه اصل 1) محرمانگی، 2) صحت و 3) دسترس‌پذیری و در اصطلاح انگلیسی CIA (مخفف Confidentiality، Integrity و Accessibility) انجام می‌شود.

بعد از تعیین ارزش هرکدام از دارایی‌های اطلاعاتی، ریسک مربوط به آن‌ها مشخص و با توجه به ریسک هر دارایی، برای مدیریت امنیت اطلاعات آن دارایی‌های برنامه‌ریزی می‌شود. راه‌کارهای کنترلی متعددی برای این امر وجود دارد که می‌توان به اقداماتی از قبیل کنترل دسترسی، رمزنگاری، آموزش و فرهنگسازی نیروی انسانی، و تعیین دستورالعمل‌های امنیتی در سازمان اشاره کرد.