عاملهای انسانی در امنیت اطلاعات/عاملهای انسانی، سازمانی و فناوری در امنیت فناوری اطلاعات
عاملهای انسانی، سازمانی و فناوری در امنیت فناوری اطلاعات
امنیت اطلاعات همواره یک مسئله بحرانی برای سازمانها بوده است، که این سازمانها باید از داراییهای اطلاعاتی خود در برابر دسترسیهای غیرمجاز و شکافهای امنیتی حاصل از فعالیتهای تجاری مراقبت و حفاظت نمایند. برای سازمانها واجب و الزامیست که مطالعات خود را در زمینه مسائل امنیتی، نه تنها در بخش فناوری بلکه در بعدهای انسانی و سازمانی نیز گسترش بخشند. درک بهترمحدودیتها و موقعیتهای دنیای واقعی در طول اکتساب شیوههای امنیتی، کمک میکند که سیستمهای امنیتی درست و به جا مورد استفاده قرار گیرند. امروزه اسناد و مدارک تجربی اندکی در زمینه عوامل انسانی، سازمانی و فناوری مؤثر بر مدیریت امنیت فناوری اطلاعات یا ITSM وجود دارد و همچنین نقشها و مسئولیتهای شاغلین در بخشهای امنیتی سازمانها و تأثیرات ابزارهای موردنیاز و مؤثر آنها در زمینه مدیریت امنیت فناوری اطلاعات به ندرت شناخته شده میباشند.
اهداف اصلی پروژههای مدیریت انسانی، سازمانی و فناوری عبارتند از:
۱)ایجاد یک متدولوژی جهت ارزیابی ابزارهای امنیتی در فناوری اطلاعات
۲)طراحی و معرفی راه حلهای مبتنی بر فناوری و دستورالعملهای مؤثر برای کمک به شاغلین بخش امنیت
متدولوژی
[ویرایش]جمعآوری دادهها از طریق پرسشنامه، مصاحبه و یک سری مشاهدات صورت میگیرد. برای کاهش تعصبات، هر مصاحبه را دو محقق انجام میدهند. سوالات هر مصاحبه باید به طور مستمر تجدید نظر، اعتبارسنجی و به روزرسانی گردند. هر پروژه توسط ۵محقق مورد بررسی و تحلیل قرار میگیرد.
طبق نتایج اولیه که بر روی ۱۴ شرکت کننده از ۱۶ سازمان انجام گرفته، واقعیتهای مدیریت امنیت فناوری اطلاعات در سازمانها ونیازهای مهارتی مورد نیاز برای شاغلین، برجسته سازی گردیده است.
چالشهای مدیریت امنیت
[ویرایش]از جمله سوالات اصلی که در این بخش وجود دارند عبارتند از:
۱)چالشهای اصلی که شاغلین بخش امنیت در یک سازمان با آنها روبرو میشوند کدامند؟
۲)واکنش این چالشها چگونه خواهد بود؟
در پژوهشی، متغیرهای سازمانی از قبیل بزرگی سازمان، نوع تجارت سازمان و حمایت مدیریت ارشد با اثربخشی امنیتی، فرهنگ امنیت و فشار سیاستهای امنیتی در بین سازمانها مرتبط دانسته شده است.
تاثیرمدلهای مدیریت امنیت (SMM)
[ویرایش]یکی از مهمترین چالشهای مورد بررسی، انتخاب درست مدل مدیریت امنیت توسط سازمان است. مدیر SMM در یک تیم امنیتی نقش اصلی و مرکزی را بر عهده دارد.
مطالعهای روی ۱۰ شرکت کننده از یک سازمان آکادمیک انجام شد، که اخیراً یک تیم امنیتی متمرکز در آن از هم پاشیده شده بود. این مطالعه نشان داد که مدلی که در یک سازمان مورد استفاده قرار میگیرد، باید با سازمان تطابق کامل داشته باشد. مدل مدیریت امنیت سعی دارد صفات ناپسند سازمان را از بین برده و همواره در راستای اهداف سازمان عمل مینماید.
مسئولیتها، وظایف و مهارتهای امنیتی
[ویرایش]مسئولیتهای شاغلین بخش امنیت از وظایف سطح بالا، مانند طراحی سیستمهای امنیتی و سیاستهای توسعه گرفته تا وظایف بررسی و تحلیل ووظایف پشتیبانی و نگهداری از جمله به روز ساختن لیستهای کنترل دسترسی، رتبه بندی شده است.
وظایف اصلی و پایه به صورت سه مهارت قابل انجام هستند که قابل توجه مدیریت امنیت فناوری اطلاعات(ITSM) میباشند که این سه مهارت عبارتند از:الگوشناسی، تحلیلهای استنتاجی و مهارتهای برقراری ارتباط
تعاملات مشترک
[ویرایش]شاغلین بخش امنیت در محیطهای جمعی کار میکنند، محیطی که هرگونه اشتباه در برقراری ارتباط در آن، ممکن است باعث آسیبهای امنیتی جدی شود. هدف اصلی در این بخش درک این موضوع است که چگونه ارتباطات و ابزارهای امنیتی از تعاملات بین شاغلین امنیتی و سهامداران حمایت میکند. سوالات پژوهشی این بحث عبارتند از:
۱)چه زمانی شاغلین امنیتی باید تعاملات مشترک انجام دهند
۲)چه ابزارهایی برای این تعاملات مورد نیاز است
شرایط نیمه مطلوب در مدیریت امنیت فناوری اطلاعات
[ویرایش]ماهیت پیچیده وتوزیع شده ITSM , اغلب به شرایط نیمه مطلوب و اشتباه منجر میشود. شخصی به نام Busby چارچوبی برای اشتباهات موجود در یک سیستم توزیع شده تعریف کرد که در آن علائم و هنجارها بسیار مهم میباشند.
همچنان تجزیه و تحلیلها در حال انجام هستند، اما نتایج اولیه نشان میدهند که ITSM به دانش ضمنی وسیعی در خصوص تکنولوژی و تجارت وابسته است وحافظه تعاملی برای فعال نمودن این دانش بکار میرود بخصوص زمانی که امنیت فناوری اطلاعات باید در مقابل شرایط بوجود آمده واکنش نشان دهد. اینگونه پژوهشها به ما کمک میکنند تا با کسب اطلاعات بیشتر، مدلهای عوامل انسانی، سازمانی و فناوری مؤثر بر ITSM را توسعه بخشیم و دامنه پژوهشهای خود را در سایر زمینهها گسترش دهیم.
نتیجهگیری
[ویرایش]در نتیجه، این پروژه انجام گردید تا روشهای کاری شاغلین بخش امنیتی فناوری اطلاعات و تأثیرات عوامل انسانی، سازمانی و فناوری بر روی این روشها مورد بررسی قرار گیرد. هدف ما این است که ابزارها و فرایندها را در زمینه مدیریت امنیت IT در میان سازمانها توسعه بخشیم. ما باید پژوهشهای گذشته را پیوسته اعتبارسنجی نموده و دانش مدیریت امنیت IT را مدام به روز رسانی کنیم. بهنگام گذار از فاز پژوهش به طراحی ابزار، توسعه و بررسی، باید با سایر محققان مشارکتهای لازم را به عمل آوریم.
عنوان انگلیسی مقاله
[ویرایش]Human, Organizational, and Technological Factors of IT Security
منابع
[ویرایش]پیوند به مقاله: دریافت منبع