اهمیت مدیریت امنیت اطلاعات در سازمانها
آنچه در این مقاله به اختصار خواهید خواند:
یکی از مهمترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمانها مطرح است بحث مدیریت امنیت داراییهای اطلاعاتی میباشد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایهها (اعم از نرمافزاری، سختافزاری، اطلاعاتی، ارتباطی و نیروی انسانی) سازمان در مقابل هرگونه تهدید است
یکی از مهمترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمانها مطرح است بحث مدیریت امنیت داراییهای اطلاعاتی میباشد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایهها (اعم از نرمافزاری، سختافزاری، اطلاعاتی، ارتباطی و نیروي انسانی) سازمان در مقابل هرگونه تهدید است و براي رسیدن به این هدف، نیاز به یک برنامه منسجم دارد. اثربخشی برنامه تدوینشده، منوط به در نظر گرفتن تمام موارد تأثیرگذار و تمام داراییهای با ارزش سازمان است.
اغلب برای داراییها و اطلاعاتی که مشهود هستند، برنامهریزی میشود و به داراییهای غیر مشهود توجه کمتری میگردد. چهبسا که این داراییها در ادامه روند کسبوکار و حیات سازمان تأثیر بیشتری داشته باشند. در این مقاله به تفاوت میان داراییهای اطلاعاتی در سازمانها و اهمیت امنیت اطلاعات داراییهای IT بهعنوان یکی از داراییهای نامشهود در سازمان پرداخته میشود.
دارایی چیست؟
هر چیزی که برای سازمان دارای ارزش است و سازمان از طریق آن ارزشآفرینی کند، دارایی محسوب میشود. فقدان یا کمبود دارایی سازمان باعث اختلال در روند ارائه محصولات و خدمات سازمان و به خطر افتادن تداوم کسبوکار سازمان میگردد.
داراییها در دودسته کلی مشهود و نامشهود تقسیمبندی میشوند. داراییهای مشهود شامل مواردی از قبیل داراییهای فیزیکی و اسناد و برگههای کاغذی و داراییهای نامشهود شامل مواردی از قبیل پروندهها و مستندات سیستمی، نرمافزارها و برنامههای کاربردی، اعتبار و شهرت سازمان میباشد.
اهمیت محافظت از داراییهای اطلاعاتی
درگذشته فعالیتهای مربوط به دسترسی و محافظت از اطلاعات در سازمانها و شرکتها محدود به محلهای نگهداري این اطلاعات شامل آرشیو اسناد و نگهداری داراییهای اطلاعاتی ارزشمند بود. در چنین محیطهایی، حفاظت فیزیکی، امنیت اطلاعات را تا حد بسیار بالایی تأمین میکرد. صاحبان کسبوکار همواره به این مسئله توجه داشتند و برنامهریزی برای امنیت اطلاعات، جزء اولین اقداماتی بود که در شروع کسبوکار انجام میشد.
کمکم با گذشت زمان، تغییرات عمدهای در فرایندها و کسبوکارها ایجاد شد. شرکتها جهت حفظ بقاء و موقعیت رقابتی خود نیاز به استفاده از فناوري اطلاعات در تبادل اطلاعات، تبادلات مالی و اقدامات کنترلی پیدا کردند (تیپون و کروس 2003). سازمانهای کوچک و بزرگ بیش از پیش، این فناوري را در امر کنترل و تسریع در امور کسبوکارهاي خود مورد استفاده قرار دادهاند (شفیعی نیکآبادی و همکاران،1390).
وابستگی سازمانها به سیستمهای اطلاعاتی و سرویسهای مبتنی بر آن (در راستاي انجام فعالیتها) از یکسو و گستردگی شبکه ایجاد شده جهت بهرهبرداری از این سیستمها از سوي دیگر موجب افزایش میزان آسیبپذیری در برابر حوادث امنیتی شده است. استفاده سازمانها از فناوری و سیستمهای IT این امکان را ایجاد کرده که افراد بیشتری به اطلاعات از طریق شبکههای داخلی و شبکههای گسترده دسترسی داشته باشند. با این حال اهمیت و حساسیتی که درگذشته برای مدیران و صاحبان مشاغل از نظر امنیت اطلاعات وجود داشت، کمتر دیده میشود و یکی از دلایل آن میتواند نامشهود بودن و غیرملموس بودن داراییهای IT در سازمان باشد.
مدیریت امنیت اطلاعات
امنیت اطلاعات امروزه تعریف متفاوتی از قبل پیدا کرده است و به حفاظت از اطلاعات و به حداقل رساندن دسترسی غیرمجاز به آنها اشاره میکند، همچنین علم مطالعه روش حفاظت از دادهها در رایانهها و نظامهای ارتباطی در برابر دسترسی و تغییرات غیرمجاز است (عبداللهی، 1385). در تعریفی دیگر امنیت به مجموعهای از تدابیر، روشها و ابزارها براي جلوگیري از دسترسی و تغییرات غیرمجاز در نظامهای رایانهای و ارتباطی اطلاق میشود.
هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایههای سازمان در مقابل هرگونه تهدید (اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سامانه و خطرات ایجادشده از سوي کاربران) است و براي رسیدن به این هدف، نیاز به یک برنامه منسجم میباشد (پوا، 2003). فرآیند سامانه مدیریت امنیت اطلاعات را نمیتوان طی یک اقدام یکباره در یک نظام مدیریتی پیادهسازی کرد. این فرآیند بهصورت یک فرآیند مداوم توسط یک چرخه ایمنسازی چهار مرحلهای شامل موارد زیر باید پیاده گردد:
- برنامهریزی که شامل برپایی شرایط اولیه سامانه مدیریت امنیت اطلاعات است.
- اجرا که شامل پیادهسازی و اجراي سامانه مدیریت امنیت اطلاعات است.
- ارزیابی و کنترل که شامل فعالیتهای نظارتی و بررسی فعالیتهای انجامگرفته است.
- بهبود و اصلاح که شامل فعالیتهای نگهداري و بهبود مستمر در این سامانه مدیریتی است (27005 (IEC/ISO; 27001 IEC/ISO .
یکی از مزایاي سامانه مدیریت کیفیت اطلاعات مانند دیگر سامانههای مدیریتی، داشتن تداوم در کنترل و ارزیابی سامانه از طریق ممیزیهای دورهای، بازنگریهای سامانهای و دیگر اقداماتی است که از ویژگیهای سامانههای مدیریت است، ازاینرو، اطمینان بیشتري نسبت به دیگر اقدامات امنیتی در بلندمدت میتوان داشت. (BS 7799-2, 2006)
فرایند مدیریت امنیت داراییهای اطلاعاتی
یکی از مهمترین مباحثی که در بحث مدیریت امنیت اطلاعات در سازمانها مطرح است، بحث مدیریت امنیت داراییهای اطلاعاتی میباشد. در این مهم نکتهای که حائز اهمیت است، شناسایی صحیح تمام داراییهای اطلاعاتی اعم از مشهود و نامشهود و برنامهریزی برای مدیریت ریسک هرکدام از آنها بهصورت مجزا میباشد.
بعد از مشخص شدن لیست داراییهای اطلاعاتی، باید ارزش هرکدام از آنها را مشخص نمود. پارامترهاي تأثیرگذار در ارزشگذاری داراییها عبارتاند از: تأثیر دارایی بر اهداف و فعالیتهای اصلی سازمانها، تأثیر دارایی بر وجهه و اعتبار سازمان، تأثیر داراییها بر وقفههای کاري و عملیاتی در سازمان، تأثیر دارایی از نظر مالی بر سازمان (اف. تبپتون، 1388). ارزشگذاری داراییهای هر طبقه بر سه اصل 1) محرمانگی، 2) صحت و 3) دسترسپذیری و در اصطلاح انگلیسی CIA (مخفف Confidentiality، Integrity و Accessibility) انجام میشود.
بعد از تعیین ارزش هرکدام از داراییهای اطلاعاتی، ریسک مربوط به آنها مشخص و با توجه به ریسک هر دارایی، برای مدیریت امنیت اطلاعات آن داراییهای برنامهریزی میشود. راهکارهای کنترلی متعددی برای این امر وجود دارد که میتوان به اقداماتی از قبیل کنترل دسترسی، رمزنگاری، آموزش و فرهنگسازی نیروی انسانی، و تعیین دستورالعملهای امنیتی در سازمان اشاره کرد.
