مرکز دانلود خلاصه کتاب و جزوات دانشگاهی

مدیریت سیستمهای امنیت اطلاعات

 

چکیده

با توجه به نقش اطلاعات به عنوان کالای با ارزش در تجارت امروز لزوم حفاظت از آن ضروری بنظر می رسد. برای دستیابی به این هدف هر سازمان بسته به سطح اطلاعات( از نظر ارزش اقتصادی) نیازمند به طراحی سیستم مدیریت امنیت اطلاعات دارد تا از این طریق بتواند از سرمایه های اطلاعاتی خود حفاظت نماید. این مقاله سعی دارد به بررسی چگونگی و روند ایجاد یک سیستم امنیت اطلاعات بپردازد.

سازمانها و شرکتهای مختلف با توجه به میزان اهمیت و ارزش اطلاعات خود نیازمند طراحی یک سیستم مدیریت امنیت اطلاعات قوی هستند که همگام با تغییرات محیطی بایستی سیستم خود را به روز نمایند. چرا که پیشرفت فن آوری ، امکان دسترسی به اطلاعات و داده های سازمانهای مختلف را به آسانی فراهم می سازد. هدف اصلی این مقاله بررسی اهمیت ایجاد و استقرار امنیت اطلاعات ، عدم انجام دوباره کاری و شناسایی عوامل موثر در طراحی ، عوامل شکست و چالشهای موجود در پیاده سازی سیستم مدیریت امنیت اطلاعات که سیستم های اطلاعاتی سازمانها را با خطر سرقت، نابودی و یا تغییر اطلاعات مواجه می سازد و راهکارهایی جهت بهبود پیاده سازی آن در سازمانها می باشد. در ادامه ما به بررسی انواع معیارها ی تامین امنیت ازجمله: امنیت فیزیکی، امنیت نیروی انسانی، امنیت داده ها، امنیت شبکه و ارتباطات، امنیت سیستم عامل می پردازیم که امنیت نیروی انسانی از اهمیت بیشتری برخوردار است که باید با آموزش نیروی انسانی، از بروز مشکلات جبران ناپذیر جلوگیری کرد. که نهایتاً درباره عوامل سازمانی موثر بر امنیت سیستم های اطلاعاتی از جمله: حمایت مدیریت ارشد، نوع کسب و کار، اندازه سازمان، نوع کارکنان، سیاست های امنیتی، که در میان آنها حمایت و پشتیبانی مدیریت ارشد عامل مهمی در موفقیت تمامی تلاش های توسعه سازمانی و به تبع آن پیاده سازی سیستم های اطلاعاتی است و به بررسی انواع سازمان ها از نقطه نظر نیاز به امنیت می پردازیم.

 

مقدمه

گرچه بحث دسترسی به اطلاعات و از سوی دیگر امنیت و حفاظت از اطلاعات در سطح کشوری برای حکمرانان از زمانهای قدیم مطرح بوده و دستیابی به اطلاعات نظامی و کشوری گاه موجب نابودی قومی می شده است اما با توسعه فناوری اطلاعات و استفاده از اطلاعات به عنوان یک ابزار تجاری و سرمایه سود آور، بحث امنیت اطلاعات بعد جدیدی به خود می گیرد. در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می کند و حفاظت از اطلاعات سازمان یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد منجر به ایجاد رقابت در سطح جهانی شده و بسیاری از شرکتها برای ادامه حضور خود در عرصه جهانی، ناچار به همکاری با سایر شرکتها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان ( چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم بشمار می رود. سیستم مدیریت اطلاعات ابزاری است در جهت طراحی پیاده سازی و کنترل امنیت نرم افزار و سخت افزار یک سیستم اطلاعاتی(Pipkin, 2000).

 

مدیریت امنیت اطلاعات

مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. همچنین مدیریت امنیت وظیفه پیاده سازی و کنترل عملکرد سیستم امنیت سازمان را بر عهده داشته و در نهایت باید تلاش کند تا سیستم را همیشه روزآمد نگه دارد. هدف مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه های (نرم افزاری، سخت افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) سازمان در مقابل هر گونه تهدید ( اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سیستم و خطرات ایجاد شده از سوی کاربران) است ( دشتی، ۱۳۸۴: ۱۵۹). و برای رسیدن به این هدف نیاز به یک برنامه منسجم دارد. سیستم امنیت اطلاعات راهکاری برای رسیدن به این هدف می باشد.

 

سیستم امنیت اطلاعات

یکی از وظایف مدیریت امنیت بررسی و ایجاد یک سیستم امنیت اطلاعات است که متناسب با اهداف سازمان باشد. برای طراحی این سیستم باید عوامل مختلفی را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبه خسارتهای احتمالی و تخمین هزینه- سودمندی استفاده از سیستم امنیت اطلاعات، بررسی تهدیدات احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سیستمهای امنیت اطلاعات ضروری بنظر میرسد(Pipkin, 2000).

مجموعه مراحلی که در طراحی یک سیستم امنیت اطلاعات در نظر گرفته می شود به شرح زیر می باشد:

آشنایی با منابع اطلاعاتی موجود در سازمان: مجموعه منابعی که یک سازمان در اختیار دارد شامل افرادی که در سازمان شاغل هستند، امکانات و سرمایه های مادی، اطلاعاتی و که حوضه های کاری را مشخص می کند و سازمان را از سایر سازمان ها جدا می کند، ساختارها یک سازمان مثل نیروی برق، ارتباطات و تبادلات اطلاعاتی و غیره … می باشد. بعلاوه طراح سیستم باید با مجموعه الگوریتمها و نرم افزارهای سیستم اطلاعاتی سازمان، امکانات موجود در سازمان و فرایند تولید و بازیابی اطلاعات و کاربران این اطلاعات آشنایی کامل داشته باشد. آشنایی با منابع مربوط به حوضه اطلاعات یک سازمان موجب درک وضعیت و میزان نیاز به امنیت و چگونگی اعمال راهکارهای امنیتی مناسب با آنها خواهد شد.

ارزیابی ارزش اطلاعات: قیمت گذاری اطلاعات به دو شکل قابل تخمین(محسوس) و غیر قابل تخمین ( غیر محسوس ) قابل محاسبه است. اطلاعات موجود در سازمان مورد ارزیابی قرار گرفته و هزینه تولید آن به هر دو شکل باید محاسبه شود. علاوه بر این ضروری است ارزش هزینه تولید و هزینه تولید دوباره اطلاعات در صورت تهدید امنیتی و از بین رفتن اطلاعات محاسبه شود هزینه بازتولید اطلاعات شامل نیروی انسانی، ماشین، تجهیزات و زمانی است که صرف جمع آوری و ورود و هماهنگی اطلاعات خواهد و همچنین مقایسه آن با هزینه ایجاد امکانات حفظ اطلاعات مثل تهیه پشتیبان مناسب و بارگزاری به موقع اطلاعات و همچنین هزینه نرسیدن به موقع اطلاعات در هر یک از این مدل ها موجب می شود مدیریت امنیت اطلاعات سیستمی متناسب با ارزش اطلاعات سازمان طراحی کند(Pipkin, 2000).

· هزینه فاش شدن اطلاعات: مورد دیگری که باید بدقت مورد بررسی قرار گیرد هزینه فاش سازی اطلاعات است اینکه چه اطلاعاتی با فاش شدن صدمات بیشتری به سرمایه های سازمان وارد خواهد کرد و به این ترتیب تعیین سطوح مختلف ارزش اطلاعاتی و سازمان دهی و طبقه بندی اطلاعاتی و هزینه افشا سازی هر یک از سطوح اطلاعاتی مسئله ای است که نباید در طراحی سیستم های اطلاعاتی مورد غفلت قرار گیرد(Pipkin, 2000).

 

تهدیدات سیستم اطلاعاتی:

مجموعه تهدیداتی که متوجه سیستم اطلاعاتی می باشد به دو صورت کلی می باشد برخی به صورت عمدی ایست مثل کلاهبرداری های اینترنتی، حملات ویروسها و هکرها، و یا به صورت غیر عمدی صورت می گیرد مثل اشتباهات انسانی، مشکل سخت افزاری و نرم افزاری و بلایای طبیعی.

 

انواع خطرهای تهدید کننده سیستم اطلاعاتی

اشتباه‌های انسانی: که بیشترین میزان خسارات از این طریق به سیستم اطلاعاتی وارد می شود. عدم ارائه آموزشهای مناسب و عدم آگاهی و روزآمدسازی اطلاعات توسط کاربران و تولیدکننده گاه اطلاعات و گاه بی توجهی آنها در کار موجب تحمیل هزینه های سنگین بر سازمان می شود. که با آموزش مناسب بخش مهمی از مسایل مربوط به کاربران اطلاعاتی حل خواهد شد. بی دقتی و بی توجهی کارمندان نسبت به مسایل امنیتی نیز گاه موجب بروز مشکلات می شود شخصی به عنوان منشی دفتر فنی به کارمندان زنگ زده و می گوید برای رفع مشکل امنیتی نیاز به اسم کاربری و کلمه عبور کارمندان بخش دارد احتمال اینکه از هر ۱۰۰ کارمند تعدادی به این سوال جواب دهند زیاد است. ممکن است پنجره ای باز شود و بگوید که اتصال شما به شبکه قطع شده برای وصل شدن اسم کاربری و کلمه رمز خود را وارد کنید(احترامی، ۱۳۸۳: ۱۳۸). اینها مثالهایی هستند که در صورت سهل نگاری کاربران شرکت اطلاعات به راحتی در اختیار جاسوسان اطلاعاتی قرار می گیرد. نوع دیگر از خطراتی که توسط کاربران متوجه سازمان است شکل عمدی داشته و در این حالت سازمان باید با تعیین دقیق حدود اطلاعات و نیز دقت در انتخاب کاربران اطلاعاتی صدمات آن را تا حد امکان کاهش دهد. در جهانی که اطلاعات سرمایه ای برای رقابت سازمانها و شرکتها می باشد، با داشتن امکانات و تجهیزات امنیتی نمی توان مطمئن بود که سیستم امن است، ممکن است مشاور یک شرکت برای رقیب نیز نقش مشاوره داشته باشد در این صورت احتمال فاش شدن اطلاعات سازمان شما وجود دارد. کارمندان خوب، وجود روابط مناسب و خوب در محیط کاری تا اندازه زیادی موجب کاهش این خطرات می شود(Pipkin, 2000).

٫۱ خطرات ناشی از عوامل طبیعی:

سیل، زلزله، آنش سوزی، طوفان، صاعقه و غیره… جز عواملی هستند که هر سیستمی را تهدید می کنند. استفاده از تجهیزات مناسب و ساختمان مقاوم در مقابل بلایای طبیعی و طراحی نظام بازیابی مجدد اطلاعات تا حدی می تواند مشکلات ناشی از آن را کاهش دهد.

 

٫۲ ایرادات سیستمی:

مشکلات نرم افزاری و سخت افزاری سیستم ممکن است تهدیدی برای امنیت اطلاعات سیستم محسوب شود. امروزه سیستمهای سخت افزاری و نرم افزاری نسبت به قبل بهتر شده است مشکلات سخت افزاری شامل توپولوژی نامناسب شبکه اطلاعاتی، تجهیزاتی که با هم هماهنگ نیستند، مشکلات مربوط به تجهیزات ارتباطات شبکه(کابلها و مسیریابها ) و قطع و وصل برق و غیره بوده و از مشکلات نرم افزاری می توان به سیستمهایlegacy، holl های موجود در سیستم نرم افزار که امکان حمله های هکرها را بیشتر می کند، عدم هماهنگی میان نرم افزار و سخت افزار اشاره کرد(Pipkin, 2000).

 

٫۳ فعالیتهای خرابکارانه:

مجموعه فعالیتهایی که توسط انسان یا ماشین در جهت حمله به سیستم اطلاعاتی و تهدید منابع و امکانات و در راستای تخریب، تغییر و یا فاش کردن اطلاعات یک سیستم انجام می شود. فعالیتهای خلاف شامل سرقت سخت امکانات سخت افزاری و نیز فعالیتهایی که به جرایم سایبرنتیکی معروفند می شود. راهکارهای لازم برای حفاظت از مجموعه امکانات سازمان(جه امکانات و تجهیزات مربوط به سیستم اطلاعاتی و چه سیستم های دیگر سازمان) برای هر سازمان ضروری ایست. براساس آمار ارائه شده در سال ۱۹۹۸، ۴۸درصد و بیشترین تهدیداتی که متوجه فناوری اطلاعات شده است مربوط به حمله ویروسها بوده است در حالی که دزدی رایانه ای و کلاهبرداری رایانه ای به ترتیب با ۱۹و ۱۳ درصد، هکرها با ۱۲ درصد و استفاده نامناسب از اطلاعات و ارائه اطلاعات نامناسب با ۸ درصد در رتبه های بعدی قرار دارند(Bainbridge, 287). کلاهبرداران اطلاعاتی از طریق دست آوردن اطلاعات شخصی و شماره حسابهای افراد از هویت آنها برای اعمال خلاف استفاده کرده و یا دست به دزدی از حسابهای آنها می زنند. هکرها با گشودن اطلاعات رمز گذاری شده سعی در افشا اطلاعات، حذف یا تغییر در اطلاعات موجود دارند. ویروسها با حمله به کامپیوترها مشکلاتی برای سیستم نرم افزاری رایانه ها ایجاد می کنند و موجب اختلال در کارایی سیستم می شوند. مجموعه این جرایم در کل موجب فاش شدن غیر مجاز اطلاعات، قطع ارتباط و اختلال در شبکه، تغییر و دستکاری غیر مجاز اطلاعات یا بک پیغام ارسال شده می شود و سیستم های اطلاعاتی بایستی تدابیر امنیتی لازم برای جلوگیری از این آسیبها اعمال کنند.

 

اتخاذ سیاستهای امنیتی:

بر اساس استاندارد BS7799 i مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد:

1. تعیین سیاست امنیتی اطلاعات

2. اعمال سیاستهای مناسب

3. بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی

4. بازرسی و تست امنیت شبکه اطلاعاتی

5. بهبود روشهای امنیت اطلاعاتی سازمان( دشتی، ۱۳۸۴: ۱۵۹).

 

در پیش گرفتن سیاست امنیتی باید با توجه بدین نکات باشد:

1. ایجاد امنیت از نظر فیزیکی: همانگونه که در بخشهای قبل اشاره شد امنیت تجهیزات و امکانات مادی در ایجاد یک کانال امن برای تبادل اطلاعات بسیار موثر است. انتخاب لایه کانال ارتباطی امن، انتخاب توپولوژی مناسب برای شبکه، امنیت فیزیکی، محل‌های امن برای تجهیزات، منابع تغذیه شبکه و حفاظت تجهیزات در مقابل عوامل محیطی مواردی است که در امنیت یک سیستم اطلاعاتی بسیار موثرند(بهاری، ۱۳۸۴).

2. سطح بندی صحیح اطلاعات با توجه به ارزش اطلاعات و امکان دسترسی به موقع به اطلاعات برای کاربران هر سطح.

3. آموزش کاربران اطلاعاتی سازمان در چگونگی استفاده از تجهیزات سخت افزاری و نرم افزاری سازمان و نیز آموزش راههایی که نفوذ گران برای کسب اطلاعات سازمان استفاده می کنند و هشدار به کارمندان در حفاظت از اطلاعات سازمان. از سوی دیگر ایجاد حس تعهد نسبت به شغل و سازمان در کارمندان از طریق اعمال مدیریت صحیح.

4. رمز گذاری اطلاعات و استفاده از امضا دیجیتال در ارسال اطلاعات موجب افزایش ضریب اطمینان در تجارت الکترونیک خواهد شد.

5. تغیر مداوم در الگوریتم های استفاده شده برای رمز گذاری در کاهش احتمال کشف رمز توسط نفوذ گران و کلاهبرداران اطلاعاتی بسیار موثر است.

6. استفاده از انواع امکانات امنیتی ( البته با توجه نتایج ارزیابی سطح امنیتی مورد نیاز) از جمله استفاده از پراکسی که نقش ایجاد دیواره آتش (Firewall) فیلتر کردن (Filtering)، ثبت کردن (Logging) و تصدیق هویت (Authentication) را در شبکه بر عهده دارد; نیز استفاده از نرم افزارهای مقابله با ویروسها.

7. استفاده از تست نفوذ پذیری: رویه ای است که در آن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد. یک تیم مشخص با استفاده از تکنیک های هک یک حمله واقعی را شبیه سازی می کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می کند که ضعف های شبکه و ساختارهای اطلاعاتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یک سازمان کمک می کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امنیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد. نتیجه این تست یک گزارش می باشد که برای اجرایی شدن و بازرسی های تکنیکی مورد استفاده قرار می گیرد(شریفی، ۱۳۸۳).

8. با استفاده از یک سیستم پشتیبان گیری اطلاعات از احتمال از بین رفتن اطلاعات جلوگیری نماید. سیستم پشتیبان گیری مناسبی را که سازگار با سیستم اطلاعاتی سازمان است انتخاب نموده و تستهای مربوط به بازیابی اطلاعات را به صورت آزمایشی روی سیستم اعمال نمایید.

9. بطور مرتب تجهیزات و سیستم اطلاعاتی سازمان را بازرسی نمایید و هر گونه مشکل را گزارش نموده و سعی در رفع آن نمایید. همچنین بطور مرتب سیستم اطلاعاتی و امنیتی سازمان را به روز رسانی کنید و آموزش کارمندان را به صورت مستمر ادامه دهید(دشتی، ۱۳۸۴: ۱۶۰).

 

عوامل انسانی مرتبط در امنیت سیستم های اطلاعاتی

امنیت اطلاعات یک مسأله حیاتی است و امروزه سازمان ها در سراسر دنیا با آن روبه رو هستند. امنیت سیستم های اطلاعاتی هم فناوری و هم افراد (عوامل انسانی) را در بر می گیرد. در بیشتر تحقیقاتی که در زمینه امنیت سیستم های اطلاعاتی صورت گرفته؛ یک نوع دید و رویکرد فنی وجود داشته است. پژوهش حاضر در راستای الگوی جدیدی است که آن را "مسأله انسانی" و"مسأله سازمانی" می نامند. این الگو بر "امنیت اطلاعات رفتاری" تمرکز دارد و در آن بر این نکته که کاربران و در کل عوامل انسانی، ضعیف ترین و سست ترین عنصر آسیب پذیر در مدل های امنیت سیستم های اطلاعاتی مطرحند تأکید می شود. در این پژوهش با در نظر گرفتن اهمیت امنیت، برای سازمان های امروزی، یک مدل مدیریتی برای بررسی نقش عوامل انسانی در امنیت سیستم های اطلاعاتی ارائه می شود. هدف این پژوهش، به طور خاص شناسایی عوامل مدیریتی حیاتی و اساسی مؤثر بر اثربخشی امنیت سیستم های اطلاعاتی است. در این راستا، سازه های "حمایت مدیریت عالی، آموزش امنیتی، فرهنگِ امنیتی، مهارت امنیتی، تقویت خط مشی امنیتی، تجربیات و خودباوری افراد" به عنوان فاکتور های مؤثر بر اثربخشی امنیت سیستم های اطلاعاتی معرفی می شوند.

در تجارت امروز، اطلاعات نقش سرمایه یک شرکت را ایفا می کند و حفاظت از اطلاعات و سیستم های اطلاعاتی سازمان، یکی از ارکان مهم بقای آن می باشد. جهانی شدن اقتصاد، باعث ایجاد رقابت در سطح جهانی شده است و بسیاری از شرکت ها برای ادامه حضور خود در عرصه جهانی، ناگزیر به همکاری با سایر شرکت ها هستند. به این ترتیب، طبقه بندی و ارزش گذاری و حفاظت از منابع اطلاعاتی سازمان (چه در مورد سیستم اطلاعاتی و چه اعضای سازمان) بسیار حیاتی و مهم است.

با توجه به اقتصاد های ملی مدرن که کاملاً برای بقا به فناوری اطلاعات وابسته شده اند، امروزه نیاز به امنیت اطلاعات وسیستم های اطلاعاتی اجتناب ناپذیر است. طبق این شرایط نیاز به حمایت از اطلاعات و کاهش ریسک نسبت به قبل بسیار مهم تر و برجسته تر شده است. بررسی های ملی متعدد، تعداد زیادی از حملات به منابع اطلاعاتی سازمان را تطبیق داده اند. بین سال های 1998 و 2003 ، تعداد حوادث گزارش شده به " تیم پاسخ به شرایط اضطراری کامپیوتری آمریکا، تقریباً هر سال دو برابر شده است، که باید به آن تعداد 529137 حادثه ای را که تنها در سال 2003 گزارش شده نیز اضافه کرد. بر طبق تحلیل ارنست و یانگ، حوادث امنیتی برای هر رخداد می تواند هزینه ای بین 17 و 28 میلیون دلار برای شرکت ها داشته باشد. از آن جا که حوادث، مکرر و هزینه بر هستند، مدیریت باید امنیت را به صورت جدی مورد توجه قرار دهد تا بتواند اطلاعات و سیستم های اطلاعاتی سازمانی را حفظ و حمایت کند.

در سال 1980 ، مجله ام ای اس نتایج یک بررسی مسایل کلیدی را که به تعدادی از اعضای جامعه مدیریت اطلاعات 2 و یک گروه از مدیران اجرایی فناوری اطلاعات داده شده بود، منتشر کرد. طی دهه 1980 امنیت به عنوان یک مسأله رده پایین رتبه بندی شد و هرگز رتبه ای بیشتر از 12 کسب نکرد. در بررسی 1994 امنیت کاملاً از لیست 20 مسأله بالا جدا شد. با وجود این در بررسی ای که در سال 2003 انجام شد، امنیت و حریم خصوصی نوسان زیادی پیدا کرد تا جایی که در میان شرکت کنندگان در این بررسی به عنوان سومین مسأله با درجه اهمیت زیاد شناسایی شدند.

مدیران اجرایی IT امروزه امنیت را به عنوان یکی از مسائل عموده خود می بینند. امنیت اطلاعات و سیستم های اطلاعاتی یک مسأله حیاتی است که امروزه سازمان ها در سراسر دنیا با آن روبه رو هستند. معمولاً در تعاریف امنیت سیستم های اطلاعات، سه مؤلّفه به عنوان مبانی اصلی اثربخش در امنیت اطلاعات معرّفی می شوند:

قابلیت اعتماد: اطمینان یافتن از اینکه اطلاعات تنها برای آنهایی که مجاز به دستیابی اند، در دسترس است.

تمامیت (انسجام): محافظت کردن از درستی و کامل بودن اطلاعات و روش های پردازش.

در دسترس بودن: اطمینان یافتن این که کاربرانِ مجاز، به هنگام نیاز، به اطلاعات و دارایی ها دست می یابند.

دستیابی به این فاکتور ها را اثربخشی امنیت سیستم های اطلاعاتی می نامند. به مسأله امنیت اطلاعات نیز از جنبه ها و زاویه های گوناگونی نگاه می شود. امنیت سیستم های اطلاعاتی را می توان از دو جهت بررسی کرد که عبارتند از: فناوری و افراد. تاکنون بیشترین تحقیقاتی که در زمینه امنیت سیستم های اطلاعاتی (ISS) انجام شده، در زمینه مسائل فنی و تاکتیکی بوده است و در نتیجه نگرش و دیدن ISS به عنوان یک مساله فنی بر تحقیقات و تمرین های تحقیقاتی ISS تسلط داشته است.

 

عوامل انسانی و امنیت سیستم های اطلاعاتی

گونزالز عامل انسانی را به عنوان پاشنه آشیل امنیت اطلاعات معرفی کرده است. IBM بیان کرده است که سال 2006 ضمن این که حملاتِ کوچک تر، متمرکز تر و پنهان کارانه تری به سیستم های اطلاعاتی سازمان ها صورت خواهد گرفت، کانون توجه نفوذ گران، "سهل انگاری و ساده اندیشی کاربران" خواهد بود. به گفته دیوید ماکی، رئیس بخش آگاهی شرکت کامپیوتری آرمونک، "کاربر" همچنان به عنوان سست ترین عنصر آسیب پذیر در مدل های امنیتی، مورد سوء استفاده قرار خواهد گرفت. در سال 2004 دو محقق، مقاله ای با عنوان "ده خطای مهلک مدیریت امنیت سیستم های اطلاعاتی" را منتشر کردند. در این مقاله ده خطای زیر به عنوان خطا های مهلک ISS ذکر شدند و بیان شد که حتی اگر یکی از این جنبه ها نادیده گرفته شود و یا به درستی مورد توجه قرار نگیرد، مشکلاتی جدی در حفظ یک برنامه ISS وجود خواهد داشت. قسمت عمده ای از این خطا ها مبتنی بر عوامل انسانی و مسائل مربوط به آنها می باشد.

همچنین در سال در 2006 مقاله ای با عنوان "امنیت اطلاعات، موج چهارم" به بررسی چهار موج امنیت اطلاعات تا کنون پرداخته شده است. موج اول موج فنی بود که به راه حل های فنی ارائه شده برای مسائل امنیتی مربوط می شد. دومین موج بیان می کرد که امنیت اطلاعات بعد مدیریتی قوی ای دارد. آن ابعاد مانند خط مشی و در گیری مدیریت بسیار مهم اند. موج سوم از یک نیاز برای داشتن فرمی از استاندارد کردن امنیت اطلاعات در شرکت و جنبه هایی مانند بهترین تمرین های مدیریتی، تأیید یک فرهنگ مناسب امنیت اطلاعات و اندازه گیری و نظارت امنیت اطلاعات تشکیل شده است. موج چهارم نیز درباره توسعه نقش قطعی چگونگی اداره امنیت اطلاعات است.

همه موارد یاد شده باید با هم کار کنند تا این اطمینان حاصل شود که قابلیت اعتماد، تمامیت و در دسترس بودن دارایی های اطلاعاتی شرکت، در همه زمان ها، حفظ شده است.

همانطور که ملاحظه می شود، در اینجا نیز، از موج اول به بعد، مباحث مدیریتی در امنیت اطلاعات نمایان تر شده است و بر اساس جدید ترین موج امنیت اطلاعات که به تازگی متتشر شده است، نقش مدیریت عالی، آموزش و آگاهی کاربر و خط مشی امنیتی به عنوان مبانی اصلی آن ذکر شده است.

به تازگی یک الگوی جدید در زمینه امنیت اطلاعات به وجود آمده است که به آن در مقام یک "مسأله انسانی" و یک "مسأله سازمانی" توجه می شود. امروزه به نظر می رسد، موفقیت امنیت اطلاعات تا حد زیادی به رفتار اثربخش کاربران وابسته است. رفتار های درست و سازنده توسط کاربران، مدیران سیستم و افراد دیگر می تواند اثر بخشی امنیت اطلاعات را تا حد زیادی بالا ببرد؛ در حالی که رفتار های نادرست و مخرب، در حقیقت می تواند مانع اثربخشی آن شود.

سازه های اساسی که در این رویکرد مورد بررسی قرار می گیرند عبارتند از:

• حمایت مدیریت عالی؛
• آموزش عوامل انسانی؛
• مهارت عوامل انسانی
• تجربه عوامل انسانی؛
• فرهنگ امنیتی؛
• تقویت خط مشی
• اثربخشی امنیتی؛
• خودباوری افراد.

نتیجه گیری

سیستم امنیت اطلاعات شاید پر هزینه و وقت گیر به نظر آید اما با توجه به اهمیت اطلاعات در بقای سازمان وجود چنین سیستمی بسیار ضروری می نماید. اعمال چنین سیستمی برا ی هر سازمان لازم بوده و بسته به سطح اطلاعات و ارزش اطلاعات سازمان گستردگی متنوعی خواهد داشت. اما هرگز محو نخواهد شد. و در کل لازم است سازمانها سه شرط زیر را در طراحی سیستم امنیت اطلاعاتی خود مد نظر داشته باشند:

1. اطمینان از سلامت اطلاعات چه در زمان ذخیره و چه به هنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند.

2. دقت: اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشد و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت.

3. قابلیت دسترسی: اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشد(Pipkin, 2000).

 

 

منابع:

احترامی، بابک (۱۳۸۳). ” نقطه ضعف اصلی” مجله شبکه، ش ۵۲ : ۱۳۸٫

بهاری، مهدی(۱۳۸۴). ” امنیت تجهیزات شبکه”

سايت مرجع علوم مدیریت ایران