عاملهای انسانی در امنیت اطلاعات/جنبههای سازمانی و اجتماعی مدیریت امنیت اطلاعات
چکیده
[ویرایش]این مقاله به تحقیق در مورد جنبه های سازمانی و اجتماعی مدیریت امنیت اطلاعات می پردازد. تغییر در ذات امنیت به دلیل مفهوم جهانی شدن به وجود آمده است. در اینجا یک بررسی کامل در مورد ادبیات اخلاق سایبری ( Cyberethics ) در ارتباط با امنیت اطلاعات و قوانین جهانی صورت می پذیرد. موضوع این مقاله به پوشش گسترده اجتماعی، سازمانی با هدف تعریف و تحقیق بیشتر می پردازد.خروجی اصلی این مقاله عبارت است از اینکه راهبردهای امنیتی صحیحی درفرایندهای سازمانی اتخاذ و اجرا گردد (مثل نیروی انسانی) و فقط به سخت افزار و نرم افزار پرداخته نشود.
اصول اخلاقی فضای سایبری (Cyberethics)
[ویرایش]با توجه به توسعه و پیشرفت روزافزون فناوری اطلاعات (آی تی) در سطح جامعه، برخی از افراد سودجو در صدد سوءاستفاده از فناوریهای جدید برای مقاصد شخصی خود هستند؛ از این رو مفهومی با عنوان Cyberethics به معنای آزمونی برای عقاید اخلاقی و رفتاری افراد در یک محیط آنلاین مطرح گردید.
جهانی شدن
[ویرایش]عبارت است از فرایند ایجاد یک شبکه تجاری جهانی که گردش وسیع مالی و سرمایه ای را در پی دارد و لاجرم نیازمند ایجاد و حفظ اصول اخلاقی در فضای سایبری می باشد. تا کنون قوانین یکپارچه جهانی در این خصوص تدوین نگردیده است؛ چرا که کشورهای مختلف با قوانین و فرهنگ های متفاوت، اصول خاص خود در فضای سایبری را دنبال می کنند.
سیاستها، رویه ها و کاربردها
[ویرایش]بدیهی است که سازمانها باید سیاستهای واضحی (مجموعه ای از قوانین، بایدها و نبایدها) را در زمینه امنیت اطلاعات تدوین نمایند. به عنوان مثال چه کسی به چه داده ای دسترسی داشته باشد؟ و ... رویههای کاری عبارتند از مجموعه دستوراتی که نحوه انجام یک کار معین را توضیح می دهند. در واقع رویه های کاری روش پیاده سازی یک سیاست در سازمان را نشان می دهد. معمولاً رویه های کاری از انعطاف بیشتری نسبت به سیاستهای وضع شده برخوردارند.
ارزیابی امنیت اطلاعات
[ویرایش]ارزیابی امنیتی شامل سنجیدن ضریب ایمنی اطلاعات یک سازمان بر اساس مجموعهای از قواعد و قوانین امنیتی و یا در مقایسه با یک سازمان مشابه می باشد. روش های زیادی برای ایجاد امنیت در سازمان وجود دارد ولی هیچیک از راه حلها کامل و بدون نقص نیستند. اغلب،سازمان ها بر این باورند که هزینه بیشتر در این زمینه مساوی با امنیت بالاتر است ولی باید توجه داشت که افزایش بی حد و مرز امنیت باعث کاهش خلاقیت و آزادی عمل کارکنان می شود و پاسخ به این سوال که «چه میزان باید در سازمان امنیت ایجاد کرد؟» بسیار دشوار است. در اینجا به این نکته بسنده می کنیم که حفاظهای امنیتی باید به صورت چند لایه طراحی شوند که در صورت عبور مهاجم از یک لایه، فقط بخشی از اطلاعات دچار مخاطره شود و لایه بعدی در برابر وی قرار گیرد. لازم به ذکر است سازمان استاندارد جهانی، تعدادی پروتکل امنیتی را در مورد حداقل نیازمندیهای یک سازمان برای ایمن ماندن تحت عنوان ISO17799 مطرح کرده است.
چالشهای امنیت اطلاعات در سازمانهای بزرگ، متوسط و کوچک
[ویرایش]معمولاً در سازمان های کوچک به دلیل وجود بودجه کم و محدود، امنیت اطلاعات به عنوان هزینه سربار مطرح است ولی در سازمان های متوسط تاکید و حساسیت بیشتری در این خصوص وجود دارد. علی الخصوص که این موضوع جزو نیازهای لاینفک انجام تجارت آنلاین می باشد ولی با این وجود سازمان های بزرگ به دلیل درگیری بیشتر با مفهوم جهانی شدن در این زمینه سرمایه گزاری و هزینه بیشتری را متقبل می شوند.
از جمله دشواریهای مدیریت امنیت اطلاعات، تعریف مرز داخل و خارج سازمان می باشد. در سازمان های کوچک این نگرش بیشتر مورد توجه قرار میگیرد در حالیکه در سازمانهای بزرگ از روشهای ترکیبی شامل تعریف مرز سازمان و همچنین ایجاد یک لایه امنیتی برای آنالیز یک به یک سیستمهای متصل به شبکه سازمان، استفاده می نمایند. امروزه تراکنشهای الکترونیکی در روابط تجاری بین بنگاهها و سازمانها نقش کلیدی دارند. از طرفی گونه های متنوعی از وسایل الکترونیکی مثل لپ تاپ و PDA در اختیار کاربران سازمانها قرار دارند که تدابیر امنیتی سازمانها را با چالشهای جدی مواجه می سازند و مشکلات اساسی در روابط تجاری الکترونیکی، زمانی نمایان می شوند که یکی از سازمانهای دخیل در معامله تمهیدات امنیتی را رعایت ننماید. البته توجه به این نکته نیز ضروری است که استاندارد سازمانهای مختلف در خصوص برقراری امنیت می تواند متفاوت باشد. بسیاری از سازمانهای چند ملیتی با توجه به نیازمندیهای ویژه خودشان قوانین و سیاستها و رویه های خاصی را وضع می کنند که حتی اگر سیاستها نیز مشابه به نظر برسند توصیف و نحوه ی پیاده سازی آنها ممکن است تفاوت اساسی داشته باشد.
تخمین ریسک
[ویرایش]امروزه مدیریت ریسک به عنوان یک روش برجسته برای غلبه بر چالشهای امنیتی مطرح می باشد. سازمانها به روشهای زیر اقدام به تخمین ریسک مینمایند:
۱. به کمک نرم افزار تخمین ریسک که معمولاً بر اساس چک لیست ها کار می کند.
۲. از طریق تجزیه و تحلیل یک به یک موارد ریسک پذیر و تخمین احتمال رخداد آنها در یک بازه زمانی معین
۳. استفاده از نرم افزارهای ممیزی خودکار سیستمهای اطلاعاتی
نگرش بازدارنده
[ویرایش]نگرش بازدارنده عبارت است از پیش دستی کردن در برابر بروز حملات امنیتی به جای انتظار برای حمله و سپس یافتن راه چاره.در واقع پیشگیری به جای درمان.
نقش عامل انسانی در امنیت
[ویرایش]نقش عامل انسانی در برقراری امنیت بسیار کلیدی است و چه بسیار راهکارهای مدیریت امنیت کارآمدی که بدلیل ناتوانی نیروی انسانی با شکست مواجه شده اند. اگرچه امروزه کلیه کارمندان و مدیران ارشد سازمانها طبق قانون در برابر امنیت داده های سازمان مسولند و تلاش می کنند با تصمیم گیریهای هوشمندانه از نفوذ در سازمان خود جلوگیری کنند. نکته حایز اهمیت مسولیت پذیر بودن کارکنان سازمان علاوه بر شایسته بودن آنهاست.
سازمان های بزرگ نیز برای دستیابی به یک سطح از تضمین امنیتی در برابر خطراتی مثل تخریب داده ها و نرم افزارها، مداخله های تجاری، سرقت داده ها و ... اقدام به بیمه نمودن خود در فضای سایبری می نمایند چرا که مشتریان هرگز با سازمانهایی که بدلیل نفوذ به سیستم های اطلاعاتی آنها دچار مشکل و زیان مالی شده اند، به دلایل مختلف از جمله متضرر شدن و امکان افشاء اطلاعات شخصیشان، وارد معامله نمی شوند.
پیمان تعقیب کیفری جرمهای فضای سایبری
[ویرایش]برای غلبه بر مشکلاتی که در خصوص فضای سایبری و قوانین مرتبط با آن وجود داشت در سال ۲۰۰۱ یک پیمان بینالمللی بین کشورهای ایالات متحده، کانادا، ژاپن و آفریقای جنوبی به وسیله اتحادیه اروپا منعقد گردید. این پیمان در سال ۲۰۰۴ به وسیله ۳۸ کشور دیگر به امضاء رسید. از جمله مشکلات اساسی مطرح شده در این حوزه، رشد سریع IT و عدم همگامی تدوین قوانین لازم با این رشد و تدوین قوانینی که مورد قبول همهٔ کشورهای عضو پیمان باشد، میباشد.
منابع
[ویرایش]Social and Organizational Aspects of Information Security Management
پیوند به مقاله: دریافت منبع