ضرورت توجه به امنیت اطلاعات ۲

ضرورت توجه به امنیت اطلاعات ( بخش دوم )
فن آوری اطلاعات دارای یک نقش حیاتی و تعیین کننده در اکثر سازمان های مدرن اطلاعاتی است . امروزه زیرساخت فن آوری اطلاعات  سازمان ها در محیطی قرار گرفته اند  که بطور فزاینده بر تعداد دشمنان و مهاجمانی که علاقه مند به حضور مستمر ، مطمئن و سودمند سیستم های کامپیوتری نمی باشد ، افزوده می گردد . حملات سیری کاملا" صعودی را داشته و متاسفانه اغلب سازمان ها قادر به واکنش مناسب در مقابل تهدیدات امنیتی جدید در زمان مطلوب و قبل از سوء استفاده از سیستم های کامپیوتری خود نمی باشند .
کاهش مدت زمان لازم به منظور برخورد با تهدیدات امنیتی و افزایش بهره وری ، از جمله خواسته های مشترک سازمان ها و کاربران می باشد . به منظور برخورد مناسب و ساختیافته با تهدیدات امنیتی ،‌ "مدیریت خطرات امنیتی " و یا مدیریت ریسک امنیتی  به یکی از  نیازهای اولیه و اساسی مراکز فن آوری اطلاعات تبدیل شده است .
در این بخش از مجموعه مقالات "ضرورت توجه به امنیت اطلاعات " ،‌ به بررسی مدیریت خطرات امنیتی و پیش نیازهای لازم در این رابطه خواهیم پرداخت .

مفاهیم مدیریت خطرات امنیتی  ( مدیریت ریسک )
در بسیاری‌ از سازمان ها ، ضرورت  توجه به "مدیریت خطرات امنیتی"  پس از بروز  یک حادثه  امنیتی کوچک نظیر آلودگی یک کامپیوتر توسط  ویروس و یا هدف قرار گرفتن وب سایت سازمان ، احساس می گردد. در ادامه با  افزایش حملات و تشدید اوضاع ، مشکلات و مسائل امنیتی متعددی برای سازمان ها ایجاد می گردد . سازمان ها یکی پس از دیگری در مواجه منطقی با مشکلات امنیتی ناامید شده و به منظور برخورد با بحران های امنیتی ، برخوردهای انفعالی را در دستور کار خود قرار می دهند  .
افزایش بی رویه حملات موفقیت آمیز مبتنی بر شبکه ، ضرورت پیاده سازی یک رویکرد پیشگیرانه ( در مقابل رویکردهای انفعالی )  برای مدیریت خطرات امنیتی را برای بسیاری از سازمان ها به اثبات رسانده است .
مدیریت خطرات امنیتی ،‌ فرآیندی است که در آن  تهدیدات موجود در یک سازمان شناسائی ، اولویت بندی و  نحوه مدیریت آنان در یک سطح قابل قبول مشخص می گردد . وجود یک استراتژی مدون به منظور مدیریت خطرات امنیتی ، سازمان ها را قادر می سازد که فرآیندهائی را به منظور شناسائی و اولویت بندی فعالیت ها در محیط فن آوری اطلاعات پیاده سازی و از آنان نگهداری نمایند . جایگزینی برخوردهای پیشگیرانه با برخوردهای انفعالی ، مهمترین دستاورد مدیریت خطرات امنیتی در یک سازمان می باشد که قطعا" بهبود وضعیت یک سازمان را به دنبال خواهد داشت چراکه  احتمال دستیابی مستمر به زیرساخت فن آوری اطلاعات افزایش یافته و در فرآیندهای جاری یک سازمان خللی ایجاد نمی گردد .

جایگزینی برخوردهای پیشگیرانه با برخوردهای انفعالی مهمترین دستاورد مدیریت خطرات امنیتی در یک سازمان می باشد.

پیاده سازی فرآیند مدیریت خطرات امنیتی برای سازمان ها دستاوردهای متعددی را به دنبال خواهد داشت :

• زمان پاسخ به تهدیدات : با ایجاد فرآیند مدیریت خطرات امنیتی ، سازمان ها می توانند در مقابل تهدیدات امنیتی جدید در زمان مناسب و به سرعت واکنش لازم را داشته باشند ( قبل از سوء استفاده از تمام محیط شبکه ) . مدیریت خطرات امنیتی، بستر لازم برای پیشگیری در مقابل تهدیدات و یا آسیب پذیری سازمان ها را فراهم  می نماید . بدین ترتیب ، نحوه برخورد سازمان ها با مسائل و مشکلات امنیتی از واکنش های انفعالی به واکنش های پیشگیرانه تغییر خواهد کرد .
• مدیریت قانونمند :تدوین مجموعه قوانین جدید در ارتباط با حفط حریم خصوصی کاربران ، تعهدات مالی و وظابف حقوقی ،‌ سازمان ها را مجبور می نماید که زیرساخت فن آوری اطلاعات خود را با دقت بیشتر و موثرتر از گذشته مدیریت نمایند . بسیاری از سازمان ها دارای تعهدات قانونی به منظور پیاده سازی و نگهداری یک سطح امنیتی حداقل در محدوده عملیاتی خود می باشند . بروز اشکال در مدیریت پیشگیرانه امنیتی ، سازمان ها را به دلیل عدم انجام وظایف و مسئولیت های قانونی خود در معرض آسیب حقوقی قرار خواهد داد .
• هزینه های مدیریت زیرساخت : فرآیند مدیریت خطرات امنیتی ، سازمان ها را قادر می سازد که با یک وضعیت مطلوب ، مقرون به صرفه و در یک سطح قابل قبول امنیتی فعالیت های جاری خود را انجام دهند . فرآیند فوق همچنین یک مسیر مشخص و پایدار برای سازماندهی و اولویت بندی منابع محدود را به منظور مدیریت خطرات ارائه می نماید . مزایای واقعی پیاده سازی مدیریت خطرات امنیتی زمانی هویدا می گردد که سازمان ها بتوانند کنترل هائی مقرون به صرفه به منظور کاهش تهدیدات امنیتی را پیاده سازی نمایند .
• مدیریت و اولویت بندی خطرات : مدیریت خطرات امنیتی می تواند به یک سازمان کمک نماید که اصول امنیتی را به منظور کاهش بیشترین خطرات در محیط مربوطه بکار گیرد ( نه این که از یک رویکرد غیرمنسجم برای ایمن سازی عناصر مجزاء در سازمان استفاده گردد ).

عوامل موفقیت پروژه مدیریت خطرات امنیتی  
پیاده سازی موفقیت آمیز پروژه مدیریت خطرات امنیتی به عوامل متعددی بستگی خواهد داشت  :

• ضمانت اجرائی : مدیران ارشد سازمان ، می بایست از پروژه مدیریت خطرات امنیتی حمایت نمایند . بدون وجود ضمانت های اجرائی لازم ،  کارکنان یک سازمان ممکن است در مقابل استفاده از توصیه ها و راهکارهای ارائه شده در خصوص نحوه انجام فعالیت ها  ،  با آنان مقاومت نموده و  مرگ فرسایشی آنان را باعث گردند .
• تعریف یک لیست مشخص از افرادی که در مقوله امنیت ذینفع می باشند . در هر سازمان افرادی وجود دارند که از نتایج و دستاوردهای مدیریت خطرات امنیتی بیش از سایر افراد ذینفع می باشند . گروه مدیریت ریسک امنیتی ، می بایست نسبت به شناسائی این افراد در سازمان اقدام و آنان را با فرآیندهای موجود به منظور حفاظت از سرمایه ها و از دست ندادن منابع مالی در درازمدت آشنا نماید .
• وجود بلوغ سازمانی در ارتباط با مدیریت خطرات امنیتی :‌ مدیریت خطرات امنیتی صرفا" در سازمان هائی که دارای یک بلوغ سازمانی مناسب می باشند ، قابل پیاده سا‍زی است . بلوغ  سازمانی و اطلاعاتی ، می بایست در تعداد زیادی از سطوح مدیریتی یک سازمان وجود داشته باشد .
• وجود یک فضای فکری باز برای  کارگروهی : پروژه مدیریت خطرات امنیتی نیازمند یک رویکرد باز و صادقانه ارتباطی است ( هم بین اعضای گروه و هم با سایر افراد شاغل در سازمان که مدیریت خطرات  امنیتی برای آنان دستاوردهای ارزشمندی را به دنبال خواهد داشت ) . وجود یک تفکر ارتباطی مثبت  و اعتقاد عملی به کار گروهی در ذهن یکایک اعضاء گروه ، علاوه بر استفاده مفید از زمان، ضریب موفقیت پروژه را در زمان  مواجهه با مسائل و مشکلات ناخواسته  افزایش می دهد ( مشارکت و همکاری به منظور حل مسائل ) .
• دید سیستماتیک نسبت به سازمان :‌ در زمان پیاده سازی پروژه مدیریت خطرات امنیتی ،  می بایست بررسی تمام سازمان بدون هیچگونه افراط و یا تفریطی در دستور کار قرار گیرد . در برخی موارد ممکن است یک واحد خاص در سازمان پروژه را به سمتی هدایت نماید که بیشتر در جهت تامین اهداف یک بخش باشد و نه تمامی سازمان ( نگرش سیستماتیک نسبت به مسائل و یافتن راه حل آنان ) . 
  
  
• اختیارات لازم برای گروه مدیریت خطرات امنیتی :‌ مشارکت در پروژه مدیریت خطرات امنیتی به منزله قبول مسئولیت به منظور شناسائی و کنترل مهمترین تهدیدات امنیتی است که سرمایه های یک سازمان ر ا در معرض خطر قرار می دهد . با توجه به اهداف مهم پروژه ، می بایست این گروه دارای اختیارات کافی و منابع مورد نیاز به منظور انجام وظایف قانونی خود باشند.

رویکردهای متفاوت مدیریت  خطرات امنیتی
اکثر سازمان ها به منظور مدیریت خطرات امنیتی از دو رویکرد متفاوت استفاده می نمایند :

• رویکرد انفعالی ، فرآیندی است که بر اساس آن صرفا" پس از بروز یک حادثه امنیتی به آن پاسخ داده می شود . تعداد زیادی از کارشناسان حرفه ای فن آوری اطلاعات همواره با این محدودیت مواجه می باشند که فعالیت ها را بگونه ای انجام و به اتمام برسانند که کمترین مشکل را برای کارکنان ایجاد نماید . پس از بروز یک مشکل امنیتی ، کارشناسان فن آوری اطلاعات صرفا" می توانند از پیشرفت مشکل جلوگیری نموده و پس از ایزوله نمودن آن ، مشکل سیستم های آلوده را برطرف نمایند . شاید در این رابطه برخی علاقه مند باشند که عامل اصلی بروز مشکل را پیدا نمایند، ولی با توجه به محدودیت زمان و منابع موجود درسازمان ، عملا" امکان انجام آن وجود نخواهد داشت . متاسفانه برای بسیاری از سازمان ها همچنان رویکردهای انفعالی یک نگرش موثر به منظور برخورد با تهدیدات امنیتی است ( پس از بروز مشکل در رابطه با نحوه برخورد با آن تصمیم گرفته می شود و  برای پیشگیری از بروز حوادث از رویکرد خاصی تبعیت نمی گردد ) .
  
  
• رویکرد پیشگیرانه ، فرآیندی است که باعث کاهش خطر آسیب پذیری در یک سازمان می گردد . مدیریت پیشگیری از خطرات امنیتی دارای مزایای متعددی نسبت به یک رویکرد انفعالی است . در مقابل این که منتظر بمانیم تا یک حادثه اتفاق افتد و به آن پاسخ دهیم ، احتمال بروز مشکل در اولین مکان را کاهش خواهیم داد . بدین منظور از رویه هائی خاص به منظور حفاظت از سرمایه های مهم سازمان استفاده می گردد . با پیاده سازی کنترل هائی که کاهش آسیب پذیری سیستم و سوء استفاده از آنان توسط نرم افزارهای مخرب را به دنبال خواهد داشت ، امکان سوء استفاده مهاجمان از فرصت های ایجاد شده کاهش یافته و پیشگیری لازم در این خصوص انجام خواهد شد .

یک رویکرد پیشگیرانه می تواند به یک سازمان در جهت کاهش تعداد حوادث امنیتی در آینده کمک نماید ولی این بدین معنی نخواهد بود که چنین مسائلی در آینده اتفاق نخواهند افتاد . بنابراین ، سازمان ها می بایست فرآیند پاسخ به حوادث امنیتی را بهبود داده  و بطور همزمان ایجاد رویکردهای پیشگیرانه درازمدت را در دستور کار خود قرار دهند .