عامل‌های انسانی در امنیت اطلاعات/ تدوین برنامه درسی امنیت اطلاعات : مطالعه موردی

ویکی‎کتاب، کتابخانهٔ آزاد
پرش به ناوبری پرش به جستجو
Gnome-go-last.svg Gnome-go-first.svg

عنوان انگلیسی : Information Security Curriculum Creation: A Case Study

عنوان فارسی : تدوین برنامه درسی امنیت اطلاعات : مطالعه موردی

بررسی برنامه های تحصیلی پایه های دانشگاهی در علوم کامپیوتر، فناوری اطلاعات، مدیریت علوم اطلاعاتی و برخی دیگر، عدم تاکید بر امنیت اطلاعات در برنامه های درسی را نشان میدهد. هدف ما از این مقاله ارائه برنامه درسی است که به واسطه آن سطح آگاهی تحصیل کنندگان رشته های علوم کامپیوتر و فناوری اطلاعات در خصوص مفاهیم امنیت اطلاعات افزایش یابد.

مقدمه:

امنیت اطلاعات به عنوان یک عامل پیشگیری و همچنین ابزاری برای حفاظت اطلاعات در برابر دسترسی مزاحمان و تخریب عمدی و غیر مجاز اطلاعات تعریف میشود.

امروزه کامپیوتر ها به بخش جداناپذیری در بدنه دولت ها و سازمان ها و همچنین به عنصر مهمی در کسب و کار تبدیل شده اند به طوریکه اختلالات موجود در سیستم های کامپیوتری خسارات بسیاری را به بار می آورد.

همانگونه که به واسطه ی بد افزارها و کرم های اینترنتی از قبیل MyDoom ، NetSky ، SoBig ، Sasser و ... شاهد اعمال خسارات فراوان به وقت و سرمایه ی افراد و مجموعه های بسیاری بوده ایم. به همین دلیل امنیت اطلاعات که پیش از این به عنوان یک مساله ثانویه مطرح بود حال در مرکز توجه فناوری اطلاعات و بسیاری از شرکت ها و موسسات قرار گرفته است. بنابراین سوال اصلی این است که چگونه تحصیل کنندگان رشته های علوم کامپیتر و فناوری اطلاعات را برای ورود به این دنیای جدیدی آماده کنیم؟

اطلاعات پیش زمینه:

همان طور که استفاده و سو استفاده از تکنولوژی روز به روز در حال گسترش است نیاز به متخصصان امنیت اطلاعات نیز روز به روز در حال افزایش است. بیشتر متخصصان امنیت هم تمایل به پیوستن به سازمان های برقرار کننده امنیت فضای سایبری مانند پلیس را دارند. این کمبود را میتوان با ایجاد رشته تحصیلی اختصاصی در این زمینه و یا با اصلاح برنامه درسی در رشته های مرتبط موجود جبران کرد.

نظرسنجی از فارغ التحصیلان اخیر :

ما تحصیل کنندگان رشته های علوم کامپیوتر و فناوری اطلاعات را مورد بررسی قرار دادیم تا تشخیص دهیم که چه تعداد از آنها در شغل خود با مسائل و مشکلات مرتبط با امنیت برخورد داشته اند و چگونه با این مشکلات رفتار (برخورد) کرده اند.

۵۲ دانشجوی فناوری اطلاعات مورد بررسی قرار گرفتند در ابتدا گروه کوچکی از دانشجویان به طور شفاهی مورد پرس و جو واقع شدند و نتایج آن بیانگر این موضوع بود که اکثریت دانشجویان فهم و نگرش درستی در خصوص امنیت اطلاعات ندارند با این وجود ما مجددا نظرسنجی را در سطح گسترده تر و به صورت نوشتاری تکرار کردیم با این وجود این نظر سنجی ناتمام و بی فایده باقی ماند زیرا ثابت شد که دانشجویان با چالش های مباحث امنیتی روبرو نشده اند و به این موضوع نا آشنا هستند.

نظرسنجی از متخصصان فناوری اطلاعات :

هدف از این بررسی مشخص کردن نیاز های متخصصان فناوری اطلاعات در زمینه امنیت است که به نظر آن ها برای کارمندان و سازمان ها لازم است. ۷۸ متخصص فناوری اطلاعات در کنفرانس InfoSecurity در کشور نیویورک بررسی شدند؛ تمام این متخصصین از گروه مدیران یا افراد با مهارت های فنی بالا انتخاب شدند. بررسی ها نشان داد که اکثریت افراد بر این که بحث امنیت موضوع جدی و حیاتی در برنامه درسی دوره های کارشناسی و کارشناسی ارشد است توافق نظر دارند.

مرور نتایج مشخص کرد که اکثریت پاسخ دهندگان معتقد بودند که برنامه درسی دانشجویان دوره کارشناسی باید با تاکید بر امینت اطلاعات باشد به طوری که تمامی مفاهیم اساسی در آن گنجانده شده باشد همچنین پاسخ دهندگان در این برنامه درسی تاکید بیشتری بر روی امنیت فیزیکی و امنیت نرم افزاری داشتند.

نتایج مصاحبه ها :

مصاحبه های خصوصی با متخصصین فناوری اطلاعات در سطوح بالا انجام شد و هنوز هم در حال انجام است که به دلیل تعدد شدید عقاید و سوالات مطرح شده امکان درج تمامی آنها امکان پذیر نیست.

این مصاحبه ها از طریق ایمیل انجام شده اند و نتایج آنها از طریق "InfoSecCD Conference’04" و یا از طریق ارتباط و تماس با مولفان مقاله قابل دسترسی است.

توسعه برنامه درسی :

رویکردی که ما برنامه ریزی کردیم در اینجا به یک برنامه درسی برای دانشجویان کارشناسی تبدیل میشود که علاقه دارند در زمینه امنیت اطلاعات بیشتر بدانند.

رویکرد ما یک ترکیب منحصر به فرد از نظرسنجی ها، مصاحبه با متخصصین و دانشجویان، بررسی ها، برنامه ریزی های درسی، بررسی های فناوری اطلاعات است که در نهایت آن را به صورت لیستی جامع از برنامه درسی ارائه خواهید داد، برنامه ای که کلیه مفاهیم امنیت اطلاعات را در بر میگیرد بعلاوه این برنامه به منظور استاندارد سازی و تطبیق با قوانین جدید دولتی و آموزشی بنا بر شرایط زمانی نیازمند تغییر و تکمیل خواهد بود.

برنامه نهایی پیشنهادی را در زیر مشاهده میکنید :

۱. مبانی امنیت اطلاعات

۲. حفظ حریم خصوصی

۳. منابع امنیتی

۴. سیاست های حفظ امنیت اطلاعات

۵. مدیریت ریسک

۶. کنترل دسترسی

۷. رمزنگاری

۸. امنیت سیستم عامل

۹. امنیت تجارت الکترونیک

۱۰. فایروال ها

۱۱. تشخیص نفوذ

۱۲. ابزارهای بازرسی و تست نفوذ پذیری شبکه

۱۳. شبکه های مجازی خصوصی

۱۴. امنیت شبکه های بیسیم

۱۵. دادگاه های جرائم کامپیوتری

نتیجه گیری :

با استفاده از این مطالعه موردی (Case study) ما قادر برنامه درسی را در زمینه امنیت اطلاعات تعریف کردیم که بتواند بهترین پاسخ به چالش های امنیتی امروز باشد.

روش ما در استفاده از نظرسنجی های متخصصان فناوری اطلاعات، مصاحبه با اهل فن، بررسی های جامع از نیازهای نیروی کار و مروری بر سایر تلاش های انجام شده در زمینه این برنامه درسی ؛ کاملا منحصر به فرد است.

لینک به مقاله منبع: دریافت منبع