در این مقاله تصمیم گرفتیم به شناسایی و بررسی ده اشتباه مرگبار در امنیت اطلاعات بپردازیم | پیاده سازی یک برنامه مدون و منسجم مدیریت امنیت اطلاعات در هر سازمانی از اهمیت بسیاری برخوردار است.
عدم توجه و رسیدگی به این مسئله دو پیامد مهم به همراه دارد.
اول آن که صدمه های جبران ناپذیری به سازمان وارد می کند و داده های سازمان را در معرض خطر قرار می دهد.
دوم آن که باعث از دست رفتن اعتماد مشتریان به یک سازمان می شود.
در نتیجه پیاده سازی یک استراتژی منسجم برای حفاظت از اطلاعات می بایست سر لوحه کار هر سازمانی قرار داشته باشد.
جهت مطالعه محتوای ذیل با ما همراه باشید.
این اصول که در واقع، بنیان استراتژی امنیت اطلاعات را شامل می شوند، اگر به درستی پیاده سازی نشده یا تفسیر اشتباهی از آن ها برداشت شود،
نه تنها بزرگترین طرح های امنیت سازمانی را با شکست رو به رو می سازند، بلکه رخنه های امنیتی جدی را در برنامه ریزی های سازمانی به وجود می آورند.
این ده اشتباه مرگبار در امنیت اطلاعات می تواند به عنوان یک فرم ارزشیابی توسط مدیران ارشد برای حصول اطمینان از تعریف یک برنامه ریزی جامع و تاثیرگذار مورد استفاده قرار گیرند.
ده اشتباه مرگبار در امنیت اطلاعات کدام اند؟
ده اشتباه مرگبار در امنیت اطلاعات عبارتند از:
این نکته را به یاد داشته باشید که حاکمیت امنیت اطلاعات، یک بخش ضروری و یکپارچه در حاکمیت سازمانی به شمار می رود.
این موضوع در سال های اخیر اهمیت بیشتری پیدا کرده است.
به طوری که به یک قانون بین المللی تبدیل شده و حتی درباره مواردی الزامات قانونی را در سطح جهانی به وجود آورده است.
برآیند این قوانین باعث می شوند تا حریم خصوصی مشتریان و به طور مثال داده های مربوط به بیماران تحت لوای این قانون قرار گرفته و حریم خصوصی مشتریان بیش از پیش خصوصی تر باقی بماند.
بعضی از دولت ها قوانینی را در این زمینه اتخاذ کرده و سازمان ها را ملزم به اجرای آن ها ساخته اند.
از جمله این قوانین و پیش نیازهای قانونی می توان به King II Report در آفریقای جنوبی، ECT Act، SA و HIPPA Act و (HIPPA) در ایالات متحده اشاره کرد.
تفسیر ساده تحولات به وجود آمده اینگونه است که هیئت مدیره و مدیران ارشد سازمان ها مسئولیت مستقیم اداره امور سازمان را بر عهده خواهند داشت.
همچنین نسبت به حفظ تمام دارایی های اطلاعاتی یک سازمان به شیوه ایمن مسئول خواهند بود.
این قوانین نه تنها مدیران را مقید می سازند که در زمینه حفظ امنیت و محافظت از دارایی های اطلاعاتی سازمان باید به شیوه ای ایمن و مسئولانه رفتار کنند.
بلکه آن ها را ملزم می کنند که تدابیر لازم را برای حفظ امنیت اطلاعات به کار گرفته و برای ایمن نگه داشتن اطلاعات کاربران بی وقفه در تلاش و کوشش باشند.
بی توجهی به این قوانین نه تنها باعث به خطر افتادن دارایی های اطلاعاتی سازمان شده و تبعات مالی را برای سازمان به همراه دارد،
بلکه مشکلات حقوقی و قانونی جدی را برای سازمان ها به همراه خواهد آورد.
این قوانین به صراحت اعلام می کنند که مدیران اجرایی مسئول بروز هر گونه مشکل امنیتی در این زمینه هستند.
علاوه بر این، مدیر اجرایی مسئولیت دیگری را بر عهده دارد.
او موظف است گزارش محافظت از دارایی های اطلاعاتی سازمان را به طور منظم و مشروح در اختیار هیئت مدیره قرار دهد.
درصورتی که مدیران اجرایی آنگونه که از آن ها انتظار می رود در این زمینه تلاش های لازم را انجام نداده و سهل انگاری کرده باشند،
تعهدات فردی خود و سازمان مطبوع خود را در معرض مشکلات جدی قرار خواهند داد.
این اشتباه ارتباط تنگاتنگی با اشتباه اول داشته، اما چالش خاص خود را دارد.
به دلیل اینکه از زاویه دیگری مشکل ساز می شود.
مشکلات امنیتی یک سازمان تنها با ابزارهای فنی حل نمی شوند.
اگر مدیر سازمانی در اسرع وقت مشکل را شناسایی کند، به همان نسبت در سریع ترین زمان ممکن توانایی ارائه راه حل مربوطه را خواهد داشت.
اما متاسفانه، در بسیاری از موارد، مدیران اجرایی در سازمان ها بر این باور هستند که فناوری علاج همه مشکلات است.
در نتیجه نه تنها مشکل را به دپارتمان فنی شرکت واگذار می کنند، بلکه مسئله را کم اهمیت در نظر گرفته و به سرعت آن را فراموش می کنند.
اگر حمایت مناسب، مستقیم و مستمر مدیر اجرایی وجود نداشته باشد و همچنین سطح آگاهی در زمینه مشکل امنیتی کم باشد، مشکل امنیتی آن گونه که باید به طور رضایت بخشی حل نخواهد شد.
بیتوجهی به این مشکل باعث می شود، فناوری به امنیت اطلاعات وارد شود.
اما در عمل هیچگونه راه حل جامعی برای برون رفت از مشکل ارائه نکند.
در نتیجه سرمایه های یک سازمان به راحتی از دست می روند.
امنیت اطلاعات رشته ای چند بعدی از فاکتورهای متعدد است.
اگر در نظر دارید سنگ بنای یک محیط ایمن و مناسب را پایه ریزی کنید که از همه دارایی های اطلاعاتی یک سازمان محافظت به عمل آورد، باید همه جنبه های امنیتی مرتبط با یکدیگر را مورد توجه قرار دهید.
به عبارت دیگر باید مولفه های مختلف مورد بررسی قرار گیرند.
امنیت اطلاعات ابعاد مختلفی را شامل می شود که از آن جمله می توان به موارد زیر اشاره کرد:
امنیت اطلاعات با این هدف پایه گذاری می شود تا خطرات مرتبط با منابع اطلاعاتی یک سازمان را کاهش دهد.
این برنامه، زمانی به طور موثر و دقیق کارکرد اصلی خود را نشان می دهد که ریسک های احتمالی و ماهیت دارایی هایی که باید مورد حفاظت قرار گیرند، از قبل شناسایی شده باشند.
در غیر این صورت پیاده سازی یک برنامه امنیتی بر مبنای حدس و گمان از اساس بیهوده بوده و فقط باعث از دست رفتن منابع مالی سازمان می شود.
در این مورد ابتدا باید بررسی شود که احتمال رخداد چه تهدیداتی کم بوده و عدم توجه به کدام یک از ریسک ها امنیت یک سازمان را به چالش می کشد.
عدم تحلیل درست این عوامل باعث می شود تا سازمان سرمایه گذاری کلانی روی ریسک هایی انجام دهد که عملاً یک خطر جدی برای سازمان به شمار نمی روند.
در نتیجه ریسک های جدی به دست فراموشی سپرده شده و در دراز مدت زمینه ساز یک رخنه بزرگ در سازمان می شوند.
یک مدیر امنیت اطلاعات باید همواره سوال هایی از خود پرسیده و به دنبال پاسخی برای آن ها باشد.
اما یک مدیر امنیت اطلاعات چه سوالاتی را باید برای خود مطرح کند؟
سوالات متعددی در این زمینه می توان بیان کرد.
اما دو سوال زیر اهمیت بس به سزایی دارند.
دو سوالی که مطرح شد از کلیدی ترین مباحث دنیای امنیت اطلاعات به شمار می روند.
اگر مدیر امنیت یک سازمان نتواند برای این پرسش ها پاسخ مناسبی پیدا کند آنگاه منابع مالی سازمان صرف پیاده سازی الگوهایی خواهد شد که عملاً بی فایده خواهند بود.
در بحث دکترین حاکمیت امنیت اطلاعات در مقیاس بین المللی کارشناسان به این سوالات اینگونه پاسخ می دهند:
« یادگیری و بکارگیری تجارب امنیت اطلاعات که موفقیتی برای دیگران به همراه داشته است. »
اگر نگاه دقیقی به امنیت اطلاعات، سرقت اطلاعات و هک شدن سازمان های بزرگ داشته باشیم،
به خوبی مشاهده می کنیم تهدیدات امنیتی، ریسک های حاصل از آن ها و اقدامات متقابلی که از سوی سازمان های مختلف در این زمینه اتخاذ شده است در عمل شباهت بسیار زیادی به یکدیگر دارند.
اگر سازمانی را پیدا کردید که تجربه عملی خود را در این حوزه و راه کارهای دفاعی اتخاذ شده در برابر ریسک های احتمالی را به صورت مستند و مکتوب منتشر کرده است،
سعی کنید از تجارب به دست آمده از آن سازمان به طور مستقیم در برنامه ریزی های امنیتی خود استفاده کنید.
به عبارت دیگر همواره به این سوال ها دقت داشته باشید:
جنبه های زیر ساختی امنیت اطلاعات در بیشتر محیط های فناوری اطلاعات شباهت یکسانی به یکدیگر دارند.
برای مثال اگر سایتی در اثر حمله تزریق کد SQL مورد هجوم قرار گرفته است، این قاعده در مورد سایت های دیگر نیز صدق می کند.
اما حتی مجرب ترین مدیران امنیت اطلاعات سازمانی همواره این سوال را مطرح می کنند که شیوه صحیح انجام کارها چگونه است؟
چگونه می توانم به این حقیقت آگاه شوم که کار انجام شده به شیوه صحیحی پیاده سازی شده است؟
نکته ای که مدیران اطلاعاتی باید به آن توجه داشته باشند این است که مبحث امنیت اطلاعات یک رویکرد جدید و نو به شمار نمی رود.
در طول سال ها کارشناسان امنیتی و سازمان های بزرگ اطلاعاتی توانسته اند نقطه های قوت پیاده سازی یک استراتژی امنیتی را کشف کنند.
سازمان های بزرگ رویکردهای خود را در قالب مجموعه ای گسترده جمع آوری کرده و آن ها را تحت یک سند واحد منتشر می سازند.
سندی که در قالب استانداردها و دستورالعمل هایی در اختیار جامعه امنیت قرار داده می شود.
این اسناد در اختیار مدیران امنیت اطلاعات قرار می گیرند تا با استفاده از آن ها خطمشی های خود را سازمان دهی کنند.
سعی کنید تفسیر درستی از یک چهارچوب امنیتی داشته باشید.
به عبارت دیگر نباید اینگونه تصور کنید که الگوبرداری عینی از این چهارچوب ها برای همیشه از شما در برابر تهدیدهای امنیتی محافظت می کنند.
بلکه بکوشید از این اصول به شیوه مناسبی استفاده کنید.
اگر به مستندات بین المللی منتشر شده در ارتباط با مدیریت امنیت اطلاعات نگاهی داشته باشیم،
به خوبی مشاهده می کنیم که همه این دستورالعمل ها بر یک سیاست گذاری صحیح در امنیت اطلاعات سازمانی تاکید دارند.
به طوری که اتخاذ یک سیاست گذاری صحیح ضامن موفقیت همه برنامه های مدیریت امنیت اطلاعات است.
پیاده سازی یک سیاست گذاری صحیح و کلی سر آغازی بر یک چهارچوب جامع است که همه سیاست های خرد و کلان امنیت اطلاعات و استانداردها را تحت الشعاع خود قرار می دهد.
این سیاست گذاری باید کوتاه بوده و به امضای ارشدترین مقام سازمان برسد.
امضای مدیر ارشد به نوعی بیانگر یک تعهد است.
به طوری که نشان از متعهد بودن مدیر اجرایی سازمان دارد.
اگر مدیر اجرایی نسبت به سیاست گذاری امنیتی بی تفاوت باشد، آنگاه همه پروژه ها و تلاش های امنیتی در سطوح بالا فاقد نقطه مرجع و تعهد برداشت می شوند.
همین موضوع عاملی در جهت عدم پیشرفت واقعی برنامه ها خواهد بود.
چه بسا ممکن است مشکلات دیگری را نیز به همراه داشته باشد.
اگر امکان نظارت و پیروی از سیاست های اتخاذ شده در یک سازمان امکان پذیر نباشد، داشتن یک سیاست امنیت اطلاعاتی جامع در یک سازمان یا حتی برخورداری از سیاست های خرد حمایتی و پیروی از الگوهای بین المللی هیچگونه سودی به همراه نخواهد داشت.
در صورتی که سیاست های اتخاذ شده قابلیت اجرا نداشته باشند خود عاملی برای بروز اختلال خواهند شد.
مدیران امنیت اطلاعات باید بتوانند فارغ از مباحث فنی توانایی بازرسی و نظارت بر روند اجرای برنامه های امنیتی را داشته باشند.
اگر بخشی از یک سازمان از این سیاست ها پیروی نکرد، توانایی اتخاذ تصمیم های لازم برای بخش مربوطه را داشته باشند.
این بازرسی ها که اغلب با ابزارهای نظارت و سنجش انجام می شوند نباید بر مبنای گزارش های حسابرسی باشند که به صورت سالیانه یا دو ساله ارائه می شود.
به طور مثال آیا کارمندی که شش ماه از اخراجش گذشته است هنوز به سیستم دسترسی دارد یا خیر؟
ابزارهای نظارتی باید توانایی ارائه گزارش های لحظه ای را داشته باشند.
این ابزارها همچنین باید به گونه ای طراحی شده باشند که به طور مستقیم به سراغ اشتباه رخ داده بروند تا مدیریت آن به آسانی امکان پذیر باشد.
اگر این سیاست به اشتباه تفسیر شود، این ذهنیت را به وجود می آورد که ما همه سیاست های لازم را به مرحله اجرا گذاشتهایم.
اما در عمل دامنه اشتباهات به مرور زمان گسترده تر شده و همچنین پیروی از الگوهای سیاستی نیز به دست فراموشی سپرده خواهند شد.
شرط لازم برای پیاده سازی یک طرح حاکمیت امنیت اطلاعات این است که سازمان از یک ساختار سازمانی مناسب برای این منظور تبعیت کند.
این ساختار باید توجه ویژه ای به نحوه سازمان دهی و اجرای امنیت اطلاعات داشته باشد.
پیاده سازی این ساختار توسط بسیاری از استانداردها برای مدیریت اطلاعات تایید شده است.
دستورالعمل های جهانی امنیت نشان می دهند که وجود یک ساختار سازمانی مناسب به معنای یک مرکز مشاوره برای امنیت اطلاعات ایفای نقش می کند.
همچنین باعث می شود الگوی امنیت اطلاعات با موفقیت در یک سازمان پیاده سازی شود.
این بُعد نه تنها ساختار را مورد توجه قرار می دهد، بلکه به جنبه هایی همچون مسئولیت های شغلی مرتبط با امنیت اطلاعات، ارتباط بین وظایف مرتبط با امنیت اطلاعات و مشارکت مدیران ارشد در امنیت اطلاعات نیز رسیدگی می کند.
در این ساختار مشخص می شود کدام جنبه های مدیریت امنیت اطلاعات متمرکز و کدام جنبه ها از درجه اهمیت کمتری به لحاظ متمرکز بودن برخوردار هستند.
همچنین به وضوح نشان می دهد در کدام بخش ها باید نظارت، اجرا و پیروی از قوانین مورد توجه قرار گیرد.
عدم توجه به این مسئله باعث می شود همه مشکلات امنیتی به طور مستقیم به دست مدیر امنیت اطلاعات سپرده شود.
هر چند این اشتباه از ده اشتباه مرگبار در امنیت اطلاعات اشتباه کاملاً مشخص و روشن است و نیازی به هیچگونه توضیحی ندارد.
در بسیاری از سازمان ها هیچگونه برنامه ای برای آگاه سازی صحیح کاربران وجود ندارد.
به طوری که در بسیاری از موارد کاربران از ریسک هایی که پیرامون زیر ساخت های مورد استفاده توسط آن ها قرار دارد، هیچ گونه اطلاعی ندارند.
به طور کلی پولی که برای اطلاع رسانی جامع در ارتباط با افزایش سطح آگاهی کاربران مصرف می شود در مقایسه با پولی که صرف امنیت اطلاعات می شود بیشتر است.
اما در غایت از بروز صدمات جبران ناپذیر جلوگیری به عمل می آورد.
این اشتباه از ده اشتباه مرگبار در امنیت اطلاعات ارتباط مستقیمی با اشتباهات شماره هفت و هشت دارد.
اما به عنوان یک مشکل اساسی مورد توجه قرار می گیرد.
در نتیجه برنامه امنیتی هیچگاه به طور کامل پیاده سازی نخواهد شد.
امیدواریم توانسته باشیم با مطالعه مقاله ده اشتباه مرگبار در امنیت اطلاعات اطلاعات ارزشمندی در اختیارتان قرار داده باشیم.
شبکه سازان بهترین و برترین فروشگاه اینترنتی در تهران می باشد که تمامی تجهیزات مرتبط با حوزه شبکه را با قیمت مناسب به مخاطبین خود ارائه می دهد.
شما سروران گرامی می توانید جهت دریافت مشاوره و ثبت سفارش و خرید میکروتیک از طریق راه های ارتباطی تعریف شده با ما در ارتباط باشید.
پشتیبانی آنلاین
ضمانت اصلی بودن کالا
تحویل اکسپرس شبکه سازان
یک ماه ضمانت بازگشت