سیستم امنیت اطلاعات سازمانی

امنیت اطلاعات

امروزه بزرگترین تهدید برای شرکت ها و سازمان ها دسترسی غیرمجاز به اطلاعات سیستم ها ی درون سازمانی است.

برای جلوگیری از این این دسترسی ها توسط عوامل خارجی و داخلی، سازمان هامجبور به استانداردسازی امنیت سازمان خود  می باشند.  ایجاد سیاستهای کنترلی و همچنین ایجاد رویه افزایش امنیت اطلاعات ، واستفاده از ” سیستمهای مدیریت امنیت اطلاع ” به یک الزام اساسی تبدیل شده است .سیستم امنیت اطلاعات بر پایه خصوصیت های انتخابی مدیران سازمانها بنا نهاده میشود .

مقدمه

از زمانی که نوشتن و تبادل اطلاعات آغاز شد دغدغه امنیت مکتوبات و درامان نگهداشتن از دسترس دیگران نیز آغاز شد.

ژولیوس سزار ابداع گر یک سیستم رمز نگاری مکاتبات در  ۵۰ سال قبل از میلاد بوده است تا در صورت دسترسی احتمالی دشمن به اطلاعات از محتوای آن اطلاعی پیدا نکنند. جنگ جهانی دوم باعث پیشرفت‎های چشمگیری در امنیت اطلاعات شد و کارهای تخصصی و حرفه ای برای حفظ امنیت اطلاعات  در پایان جنگ جهانی دوم شروع شد.

پایان قرن بیستم و سالهای اولیه قرن بیست و یکم شروع پرفروغ در پیشرفت های  ارتباط از راه دور، سخت افزار، نرم افزار و رمزگذاری اطلاعات بود. تجهیزات محاسباتی در ابعاد کوچک و قدرت پردازش الکترونیکی بالای اطلاعات  باعث شد شرکتها و کاربران خانگی تمایل به دسترسی بیشتر داشته باشنداین تجهیزات به سرعت از طریق شبکه های کامپیوتری به هم ارتباط پیدا کردند .

تعریف لغوی امنیت اطلاعات

امنیت اطلاعات به حفاظت و نگهداری از اطلاعات و  حفظ سیستمهای اطلاعاتی ازدسترس افراد ناشناس و  فعالیت‌های غیرمجازاطلاق میگردد . امنیت اطلاعات برای محرمانگی، یکپارچگی و در دسترس بودن داده ها است.

فعالیت های غیرمجاز شامل دسترسی، استفاده، خواندن ،تخریب ، افشاء ، نسخه برداری تغییرو دستکاری  اطلاعات است.

١ ISMS: Information security management system

دولت ها، مراکز نظامی، شرکت ها، موسسات مالی، بیمارستان ها، وسازمان های خصوصی حجم بالایی از اطلاعات محرمانه وخصوصی در موردوضعیت کاری، کارکنان، مشتریان، محصولات، تحقیقات و وضعیت مالی خود گردآوری میکنندکه بسیاری از این اطلاعات بر روی  ابزار های ذخیره سازی یاکامپیوترها جمع آوری، پردازش و ذخیره می شود و در شبکه ها به کامپیوترهای دیگرانتقال داده میشود.این اطلاعات در مکان های مخفی و دور از دسترس افراد دیگر نگهداری میشود اگراطلاعات محرمانه در مورد مشتریان و یا امور مالی یا محصول جدید در دسترس رقبا قراربگیرد ممکن است منجر به خسارات مالی یا حتی ورشکستگی شود. حفاظت از اطلاعات محرمانه یک نیاز تجاری، و دربسیاری از موارد نیز نیاز اخلاقی و قانونی است .

تهدیدات امنیتی در امنیت اطلاعات به سه دسته تقسیم میشوند.

(Confidentialityمحرمانگی اطلاعات

*محرمانه بودن اطلاعات یعنی  دسترسی به محتوای اطلاعات، فقط برای افراد معتمد، ممکن باشد.

(Integrityیکپارچگی اطلاعات

هدف از یکپارچگی اطلاعات، اطمینان از عدم تغییر اطلاعات در مسیرجابجایی  است، چه تغییرات سهوی و غیرسهوی

(Availabilityدر دسترس بودن اطلاعات

در دسترس پذیری داده ها، یعنی سرویس دهی به دسترسی‌های مجاز سیستم اطلاعاتی به آسانی ممکن باشد.

مهندسی امنیت اطلاعات

در عصر ارتباطات وجود استاندارهای امنیت اطلاعات و ایمن سازی کامپیوترها به یک ضرورت مهم در سازمان‌ها بدل  شده است. هر یک از عوامل انسانی وماشین جایگاه مشخصی در نظام مهندسی امنیت اطلاعات دارند. آشنایی اصولی و منطقی با این نظام مهندسی و آگاهی از عناصر موجود در این ساختار به همراه شناخت علمی نسبت به مسئولیت هر یک از عناصر فوق، امری لازم و حیاتی است.تجهیزات ، یکی ازمهم ترین مولفه ها در نظام مهندسی امنیت اطلاعات هستند که استفاده از آن ها به یک ضرورت ملزم در دنیای امنیت اطلاعات تبدیل شده است .

برای مقابله با تهدیدات امنیتی از راهکار های متفاوتی استفاده میشود که در ادامه به آنها میپردازیم

  1. آموزش پیوسته کارکنان متناسب با شغل آنها.
  2. افزایش سطوح مختلف دسترسی کاربران برای دسترسی به اطلاعات و تفکیک ، محدود و مدیریت کردن آن  .
  3. تعریف سیاستهای شفاف امنیتی.
  4. اتوماسیون فرآیندهای سیستمی برای کاهش وابستگی به عوامل انسانی
  5. ایجاد روحیه مسئولیت پذیری در کاربران.

الگوهای امنیتی برای مقابله با مشکلات امنیتی به شرح ذیل است.

ایجاد یک الگوی امنیتی  فرآیند استخراج لازم دارد و در طولانی مدت برای ایجاد یک راه حل جامع ، مجموعه ای از الگوهای امنیتی به عنوان یکی از فعالیتها در روشهای امروزی مورد استفاده قرارخواهند گرفت .قدم اول  ایجاد مخزن الگوی امنیتی استاز سوی دیگر ابزارها هیچوقت جایگزین افراد نخواهند شد اما آنها را درمهندسی امنیت یاری میکنند .درکل  نمیتوان انتظار زیادی از الگوهای امنیتی داشت . در نتیجه الگوهای امنیتی باید به عنوان یک مکمل در فرآیند مهندسی امنیت در نظر گرفته شوند.

 

خطاهای انسانی در امنیت اطلاعات

طبق تحقیقات خطاهای انسانی بیشترین تهدید سازمانها می باشند و برخلاف تصور، حملات و نفوذ تاکنون تهدید کوچکی بوده است . خطاهای انسانی شامل موارد ذیل می باشد:

  • فشارکاری زیاد
  • اشتباه در ورود  و ثبت اطلاعات
  • دستورالعمل های اشتباه
  • دسترسی نادرست به اطلاعات
  • عدم بروزرسانی دستگاهها و نرم افزارهای مورد استفاده
  • کلمه عبور
  •  نرم افزارهای کم امنیت
  • بی تفاوتی نیروی انسانی

عدم یکپارچگی اطلاعات ، دسترسی به اطلاعات نادرست ، خسارات مالی و اقتصادی، عدم ارائه سرویس به موقع و حتی در برخی موارد خطرات جانی از اسیب های انسانی نامبرده میشود .

از تهدیدات امنیتی میتوان به موارد ذیل اشاره کرد.

  1. درک نادرست  از تهدیدات مرتبط با فناوری اطلاعات بر روی سازکارهای سازمانی
  2. عدم کنترل به موقع فرایندهای امنیتی– اطلاعاتی.
  3. فشارهای کاری و زمانی و استرس ناشی از آن
  4. عدم احساس مسئولیت در نیروی انسانی
  5. اشتراک منابع مختلف سازمان با سایر کاربران و در برخی موارد، خارج از سازمان.
  6. آموزش های ناکافی برای کاربران

 امنیت تجارت الکترونیکی

 تراکنشها و ارتباطات آنلاین فرصت مناسبی  برای سوء استفاده از فناوری و حتی اعمال غیرقانونی است.این تهدیدات مختص تجارت الکترونیک نبوده و از مشکلاتی است که در کل دنیا گریبانگیر سیستمهای اطلاعاتی و کامپیوتری است . هر ساله سازمانهای زیادی مورد سوء استفاده قرارمیگیرند، مانند حملات ویروسی، سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارتهای اعتباری، که ممکن است ضررهای جبران ناپذیری را به یک سازمان یا بنگاه اقتصادی واردکنند.

 بسیاری از مشاوران ومتخصصان هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اندبا این حال آنچه مهمتر ازخسارات است، این است که با افزایش کاربران سیستمهای اطلاعاتی، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابدمتاسفانه، از آنجا که بسیاری از شرکتها دوست ندارند نفوذ به سیستمشان را تایید کنند و اطلاعاتشان در مورد این نفوذها و وسعت آنها را بامتخصصین  در میان بگذارند، به همین دلیل میزان دقیق خساراتی که شرکتها از جرائم مرتبط با امنیت متحمل شده اند، را نمیتوان بدست آورد.علت عدم  ارائه اطلاعات نقائص امنیتی،  اغین اغست که مدیراغن فکرمیکنند آشکار شدن اطلاعات باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ دارائی های خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش رااز دست خواهد دادبا هیجانات رسانهای که امروزه پیرامون اینترنت و قابلیتهای آن وجود دارد، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان، چالش مهم بسیاری ازشرکتها است و برای باقی ماندن در رقابت کاملا لازم استبسیاری از شرکتها دریافته اند که برای موفقیت در تجارت الکترونیک، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند

برنامه جامع امنیت تجارت الکترونیک شامل برنامههای حفاظتی می باشد که از فناوریهای موجود در حوزه نرم افزار و سخت افزار، نیروی انسانی ، برنامه ریزی راهبردی استفاده میکند و برنامه های مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند، است.چنین برنامهای

برای بقاء کلی فعالیتهای تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهای اساسی در راهبرد تجارت

الکترونیک موفق به حساب آورد.

سنجش عملیات تجارت الکترونیک

اولین گام برای ایجاد یک برنامه ، ارزیابی موقعیت فعلی سازمان در پیاده سازی تجارت الکترونیک می باشد .گام بعدی ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبه تهدیدات داخلی وخطرات موجود خارجی است

 راه حل

تهدیدها در هر یک از این حوزه ها باید به دقت ارزیابی و طرحهای پیشگری باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.

سپس، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم را برعهده دارند را، ارزیابی کند

. حوزههای بحرانی که با مورد توجه قرار گیرندکه  عبارتند از : حساسیت اطلاعات در دسترس، حجم ترافیک دسترسی و روشهای دسترسی

امنیت تجارت الکترونیک مبتنی بر تکنولوژی باید شامل لایه های مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت، یکپارچگی و  پنهان کردن باشد.بسیاری از شرکتها ،در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکتهای دیگری که در زمینه ارزیابی سیستمهای امنیتی مبتنی بر فناوری تخصص دارند، استفاده می کنند.

اشتراک گذاری :

مطالب مرتبط

تماس با ما