عامل‌های انسانی در امنیت اطلاعات/جنبه‌های سازمانی و اجتماعی مدیریت امنیت اطلاعات

ویکی‎کتاب، کتابخانهٔ آزاد

چکیده[ویرایش]

این مقاله به تحقیق در مورد جنبه های سازمانی و اجتماعی مدیریت امنیت اطلاعات می پردازد. تغییر در ذات امنیت به دلیل مفهوم جهانی شدن به وجود آمده است. در اینجا یک بررسی کامل در مورد ادبیات اخلاق سایبری ( Cyberethics ) در ارتباط با امنیت اطلاعات و قوانین جهانی صورت می پذیرد. موضوع این مقاله به پوشش گسترده اجتماعی، سازمانی با هدف تعریف و تحقیق بیشتر می پردازد.خروجی اصلی این مقاله عبارت است از اینکه راهبردهای امنیتی صحیحی درفرایندهای سازمانی اتخاذ و اجرا گردد (مثل نیروی انسانی) و فقط به سخت افزار و نرم افزار پرداخته نشود.

اصول اخلاقی فضای سایبری (Cyberethics)[ویرایش]

با توجه به توسعه و پیشرفت روزافزون فناوری اطلاعات (آی تی) در سطح جامعه، برخی از افراد سودجو در صدد سوءاستفاده از فناوری‌های جدید برای مقاصد شخصی خود هستند؛ از این رو مفهومی با عنوان Cyberethics به معنای آزمونی برای عقاید اخلاقی و رفتاری افراد در یک محیط آنلاین مطرح گردید.

جهانی شدن[ویرایش]

عبارت است از فرایند ایجاد یک شبکه تجاری جهانی که گردش وسیع مالی و سرمایه ای را در پی دارد و لاجرم نیازمند ایجاد و حفظ اصول اخلاقی در فضای سایبری می باشد. تا کنون قوانین یکپارچه جهانی در این خصوص تدوین نگردیده است؛ چرا که کشورهای مختلف با قوانین و فرهنگ های متفاوت، اصول خاص خود در فضای سایبری را دنبال می کنند.

سیاست‌ها، رویه ها و کاربردها[ویرایش]

بدیهی است که سازمانها باید سیاستهای واضحی (مجموعه ای از قوانین، بایدها و نبایدها) را در زمینه امنیت اطلاعات تدوین نمایند. به عنوان مثال چه کسی به چه داده ای دسترسی داشته باشد؟ و ... رویه‌های کاری عبارتند از مجموعه دستوراتی که نحوه انجام یک کار معین را توضیح می دهند. در واقع رویه های کاری روش پیاده سازی یک سیاست در سازمان را نشان می دهد. معمولاً رویه های کاری از انعطاف بیشتری نسبت به سیاست‌های وضع شده برخوردارند.

ارزیابی امنیت اطلاعات[ویرایش]

ارزیابی امنیتی شامل سنجیدن ضریب ایمنی اطلاعات یک سازمان بر اساس مجموعه‌ای از قواعد و قوانین امنیتی و یا در مقایسه با یک سازمان مشابه می باشد. روش های زیادی برای ایجاد امنیت در سازمان وجود دارد ولی هیچیک از راه حلها کامل و بدون نقص نیستند. اغلب،سازمان ها بر این باورند که هزینه بیشتر در این زمینه مساوی با امنیت بالاتر است ولی باید توجه داشت که افزایش بی حد و مرز امنیت باعث کاهش خلاقیت و آزادی عمل کارکنان می شود و پاسخ به این سوال که «چه میزان باید در سازمان امنیت ایجاد کرد؟» بسیار دشوار است. در اینجا به این نکته بسنده می کنیم که حفاظهای امنیتی باید به صورت چند لایه طراحی شوند که در صورت عبور مهاجم از یک لایه، فقط بخشی از اطلاعات دچار مخاطره شود و لایه بعدی در برابر وی قرار گیرد. لازم به ذکر است سازمان استاندارد جهانی، تعدادی پروتکل امنیتی را در مورد حداقل نیازمندی‌های یک سازمان برای ایمن ماندن تحت عنوان ISO17799 مطرح کرده است.

چالشهای امنیت اطلاعات در سازمان‌های بزرگ، متوسط و کوچک[ویرایش]

معمولاً در سازمان های کوچک به دلیل وجود بودجه کم و محدود، امنیت اطلاعات به عنوان هزینه سربار مطرح است ولی در سازمان های متوسط تاکید و حساسیت بیشتری در این خصوص وجود دارد. علی الخصوص که این موضوع جزو نیازهای لاینفک انجام تجارت آنلاین می باشد ولی با این وجود سازمان های بزرگ به دلیل درگیری بیشتر با مفهوم جهانی شدن در این زمینه سرمایه گزاری و هزینه بیشتری را متقبل می شوند.

از جمله دشواری‌های مدیریت امنیت اطلاعات، تعریف مرز داخل و خارج سازمان می باشد. در سازمان های کوچک این نگرش بیشتر مورد توجه قرار می‌گیرد در حالیکه در سازمان‌های بزرگ از روش‌های ترکیبی شامل تعریف مرز سازمان و همچنین ایجاد یک لایه امنیتی برای آنالیز یک به یک سیستم‌های متصل به شبکه سازمان، استفاده می نمایند. امروزه تراکنش‌های الکترونیکی در روابط تجاری بین بنگاه‌ها و سازمان‌ها نقش کلیدی دارند. از طرفی گونه های متنوعی از وسایل الکترونیکی مثل لپ تاپ و PDA در اختیار کاربران سازمان‌ها قرار دارند که تدابیر امنیتی سازمان‌ها را با چالش‌های جدی مواجه می سازند و مشکلات اساسی در روابط تجاری الکترونیکی، زمانی نمایان می شوند که یکی از سازمان‌های دخیل در معامله تمهیدات امنیتی را رعایت ننماید. البته توجه به این نکته نیز ضروری است که استاندارد سازمان‌های مختلف در خصوص برقراری امنیت می تواند متفاوت باشد. بسیاری از سازمان‌های چند ملیتی با توجه به نیازمندی‌های ویژه خودشان قوانین و سیاست‌ها و رویه های خاصی را وضع می کنند که حتی اگر سیاست‌ها نیز مشابه به نظر برسند توصیف و نحوه ی پیاده سازی آن‌ها ممکن است تفاوت اساسی داشته باشد.

تخمین ریسک[ویرایش]

امروزه مدیریت ریسک به عنوان یک روش برجسته برای غلبه بر چالش‌های امنیتی مطرح می باشد. سازمان‌ها به روش‌های زیر اقدام به تخمین ریسک می‌نمایند:

۱. به کمک نرم افزار تخمین ریسک که معمولاً بر اساس چک لیست ها کار می کند.

۲. از طریق تجزیه و تحلیل یک به یک موارد ریسک پذیر و تخمین احتمال رخداد آنها در یک بازه زمانی معین

۳. استفاده از نرم افزارهای ممیزی خودکار سیستم‌های اطلاعاتی

نگرش بازدارنده[ویرایش]

نگرش بازدارنده عبارت است از پیش دستی کردن در برابر بروز حملات امنیتی به جای انتظار برای حمله و سپس یافتن راه چاره.در واقع پیشگیری به جای درمان.

نقش عامل انسانی در امنیت[ویرایش]

نقش عامل انسانی در برقراری امنیت بسیار کلیدی است و چه بسیار راهکارهای مدیریت امنیت کارآمدی که بدلیل ناتوانی نیروی انسانی با شکست مواجه شده اند. اگرچه امروزه کلیه کارمندان و مدیران ارشد سازمان‌ها طبق قانون در برابر امنیت داده های سازمان مسولند و تلاش می کنند با تصمیم گیری‌های هوشمندانه از نفوذ در سازمان خود جلوگیری کنند. نکته حایز اهمیت مسولیت پذیر بودن کارکنان سازمان علاوه بر شایسته بودن آنهاست.

سازمان های بزرگ نیز برای دستیابی به یک سطح از تضمین امنیتی در برابر خطراتی مثل تخریب داده ها و نرم افزارها، مداخله های تجاری، سرقت داده ها و ... اقدام به بیمه نمودن خود در فضای سایبری می نمایند چرا که مشتریان هرگز با سازمان‌هایی که بدلیل نفوذ به سیستم های اطلاعاتی آنها دچار مشکل و زیان مالی شده اند، به دلایل مختلف از جمله متضرر شدن و امکان افشاء اطلاعات شخصی‌شان، وارد معامله نمی شوند.

پیمان تعقیب کیفری جرم‌های فضای سایبری[ویرایش]

برای غلبه بر مشکلاتی که در خصوص فضای سایبری و قوانین مرتبط با آن وجود داشت در سال ۲۰۰۱ یک پیمان بین‌المللی بین کشورهای ایالات متحده، کانادا، ژاپن و آفریقای جنوبی به وسیله اتحادیه اروپا منعقد گردید. این پیمان در سال ۲۰۰۴ به وسیله ۳۸ کشور دیگر به امضاء رسید. از جمله مشکلات اساسی مطرح شده در این حوزه، رشد سریع IT و عدم همگامی تدوین قوانین لازم با این رشد و تدوین قوانینی که مورد قبول همهٔ کشورهای عضو پیمان باشد، می‌باشد.

منابع[ویرایش]

Social and Organizational Aspects of Information Security Management

پیوند به مقاله: دریافت منبع