ضرورت توجه به امنيت اطلاعات ( بخش دوم )
فن آوری اطلاعات دارای يك نقش حياتی و تعيين كننده در اكثر سازمان های مدرن اطلاعاتی است . امروزه زيرساخت فن آوری اطلاعات سازمان ها در محيطی قرار گرفته اند كه بطور فزاينده بر تعداد دشمنان و مهاجمانی كه علاقه مند به حضور مستمر ، مطمئن و سودمند سيستم های كامپيوتری نمی باشد ، افزوده می گردد . حملات سيری كاملا" صعودی را داشته و متاسفانه اغلب سازمان ها قادر به واكنش مناسب در مقابل تهديدات امنيتی جديد در زمان مطلوب و قبل از سوء استفاده از سيستم های كامپيوتری خود نمی باشند .
كاهش مدت زمان لازم به منظور برخورد با تهديدات امنيتی و افزايش بهره وری ، از جمله خواسته های مشترك سازمان ها و كاربران می باشد . به منظور برخورد مناسب و ساختيافته با تهديدات امنيتی ، "مديريت خطرات امنيتی " و يا مديريت ريسك امنيتی به يكی از نيازهای اوليه و اساسی مراكز فن آوری اطلاعات تبديل شده است .
در اين بخش از مجموعه مقالات "ضرورت توجه به امنيت اطلاعات " ، به بررسی مديريت خطرات امنيتی و پيش نيازهای لازم در اين رابطه خواهيم پرداخت .
افزايش بی رويه حملات موفقيت آميز مبتنی بر شبكه ، ضرورت پياده سازی يك رويكرد پيشگيرانه ( در مقابل رويكردهای انفعالی ) برای مديريت خطرات امنيتی را برای بسياری از سازمان ها به اثبات رسانده است .
مديريت خطرات امنيتی ، فرآيندی است كه در آن تهديدات موجود در يك سازمان شناسائی ، اولويت بندی و نحوه مديريت آنان در يك سطح قابل قبول مشخص می گردد . وجود يك استراتژی مدون به منظور مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه فرآيندهائی را به منظور شناسائی و اولويت بندی فعاليت ها در محيط فن آوری اطلاعات پياده سازی و از آنان نگهداری نمايند . جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی ، مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد كه قطعا" بهبود وضعيت يك سازمان را به دنبال خواهد داشت چراكه احتمال دستيابی مستمر به زيرساخت فن آوری اطلاعات افزايش يافته و در فرآيندهای جاری يك سازمان خللی ايجاد نمی گردد .
جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد.
پياده سازی فرآيند مديريت خطرات امنيتی برای سازمان ها دستاوردهای متعددی را به دنبال خواهد داشت :
• زمان پاسخ به تهديدات : با ايجاد فرآيند مديريت خطرات امنيتی ، سازمان ها می توانند در مقابل تهديدات امنيتی جديد در زمان مناسب و به سرعت واكنش لازم را داشته باشند ( قبل از سوء استفاده از تمام محيط شبكه ) . مديريت خطرات امنيتی، بستر لازم برای پيشگيری در مقابل تهديدات و يا آسيب پذيری سازمان ها را فراهم می نمايد . بدين ترتيب ، نحوه برخورد سازمان ها با مسائل و مشكلات امنيتی از واكنش های انفعالی به واكنش های پيشگيرانه تغيير خواهد كرد .
• مديريت قانونمند :تدوين مجموعه قوانين جديد در ارتباط با حفط حريم خصوصی كاربران ، تعهدات مالی و وظابف حقوقی ، سازمان ها را مجبور می نمايد كه زيرساخت فن آوری اطلاعات خود را با دقت بيشتر و موثرتر از گذشته مديريت نمايند . بسياری از سازمان ها دارای تعهدات قانونی به منظور پياده سازی و نگهداری يك سطح امنيتی حداقل در محدوده عملياتی خود می باشند . بروز اشكال در مديريت پيشگيرانه امنيتی ، سازمان ها را به دليل عدم انجام وظايف و مسئوليت های قانونی خود در معرض آسيب حقوقی قرار خواهد داد .
• هزينه های مديريت زيرساخت : فرآيند مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه با يك وضعيت مطلوب ، مقرون به صرفه و در يك سطح قابل قبول امنيتی فعاليت های جاری خود را انجام دهند . فرآيند فوق همچنين يك مسير مشخص و پايدار برای سازماندهی و اولويت بندی منابع محدود را به منظور مديريت خطرات ارائه می نمايد . مزايای واقعی پياده سازی مديريت خطرات امنيتی زمانی هويدا می گردد كه سازمان ها بتوانند كنترل هائی مقرون به صرفه به منظور كاهش تهديدات امنيتی را پياده سازی نمايند .
• مديريت و اولويت بندی خطرات : مديريت خطرات امنيتی می تواند به يك سازمان كمك نمايد كه اصول امنيتی را به منظور كاهش بيشترين خطرات در محيط مربوطه بكار گيرد ( نه اين كه از يك رويكرد غيرمنسجم برای ايمن سازی عناصر مجزاء در سازمان استفاده گردد ).
• ضمانت اجرائی : مديران ارشد سازمان ، می بايست از پروژه مديريت خطرات امنيتی حمايت نمايند . بدون وجود ضمانت های اجرائی لازم ، كاركنان يك سازمان ممكن است در مقابل استفاده از توصيه ها و راهكارهای ارائه شده در خصوص نحوه انجام فعاليت ها ، با آنان مقاومت نموده و مرگ فرسايشی آنان را باعث گردند .
• تعريف يك ليست مشخص از افرادی كه در مقوله امنيت ذينفع می باشند . در هر سازمان افرادی وجود دارند كه از نتايج و دستاوردهای مديريت خطرات امنيتی بيش از ساير افراد ذينفع می باشند . گروه مديريت ريسك امنيتی ، می بايست نسبت به شناسائی اين افراد در سازمان اقدام و آنان را با فرآيندهای موجود به منظور حفاظت از سرمايه ها و از دست ندادن منابع مالی در درازمدت آشنا نمايد .
• وجود بلوغ سازمانی در ارتباط با مديريت خطرات امنيتی : مديريت خطرات امنيتی صرفا" در سازمان هائی كه دارای يك بلوغ سازمانی مناسب می باشند ، قابل پياده سازی است . بلوغ سازمانی و اطلاعاتی ، می بايست در تعداد زيادی از سطوح مديريتی يك سازمان وجود داشته باشد .
• وجود يك فضای فكری باز برای كارگروهی : پروژه مديريت خطرات امنيتی نيازمند يك رويكرد باز و صادقانه ارتباطی است ( هم بين اعضای گروه و هم با ساير افراد شاغل در سازمان كه مديريت خطرات امنيتی برای آنان دستاوردهای ارزشمندی را به دنبال خواهد داشت ) . وجود يك تفكر ارتباطی مثبت و اعتقاد عملی به كار گروهی در ذهن يكايك اعضاء گروه ، علاوه بر استفاده مفيد از زمان، ضريب موفقيت پروژه را در زمان مواجهه با مسائل و مشكلات ناخواسته افزايش می دهد ( مشاركت و همكاری به منظور حل مسائل ) .
• ديد سيستماتيك نسبت به سازمان : در زمان پياده سازی پروژه مديريت خطرات امنيتی ، می بايست بررسی تمام سازمان بدون هيچگونه افراط و يا تفريطی در دستور كار قرار گيرد . در برخی موارد ممكن است يك واحد خاص در سازمان پروژه را به سمتی هدايت نمايد كه بيشتر در جهت تامين اهداف يك بخش باشد و نه تمامی سازمان ( نگرش سيستماتيك نسبت به مسائل و يافتن راه حل آنان ) .
• اختيارات لازم برای گروه مديريت خطرات امنيتی : مشاركت در پروژه مديريت خطرات امنيتی به منزله قبول مسئوليت به منظور شناسائی و كنترل مهمترين تهديدات امنيتی است كه سرمايه های يك سازمان ر ا در معرض خطر قرار می دهد . با توجه به اهداف مهم پروژه ، می بايست اين گروه دارای اختيارات كافی و منابع مورد نياز به منظور انجام وظايف قانونی خود باشند.
• رويكرد انفعالی ، فرآيندی است كه بر اساس آن صرفا" پس از بروز يك حادثه امنيتی به آن پاسخ داده می شود . تعداد زيادی از كارشناسان حرفه ای فن آوری اطلاعات همواره با اين محدوديت مواجه می باشند كه فعاليت ها را بگونه ای انجام و به اتمام برسانند كه كمترين مشكل را برای كاركنان ايجاد نمايد . پس از بروز يك مشكل امنيتی ، كارشناسان فن آوری اطلاعات صرفا" می توانند از پيشرفت مشكل جلوگيری نموده و پس از ايزوله نمودن آن ، مشكل سيستم های آلوده را برطرف نمايند . شايد در اين رابطه برخی علاقه مند باشند كه عامل اصلی بروز مشكل را پيدا نمايند، ولی با توجه به محدوديت زمان و منابع موجود درسازمان ، عملا" امكان انجام آن وجود نخواهد داشت . متاسفانه برای بسياری از سازمان ها همچنان رويكردهای انفعالی يك نگرش موثر به منظور برخورد با تهديدات امنيتی است ( پس از بروز مشكل در رابطه با نحوه برخورد با آن تصميم گرفته می شود و برای پيشگيری از بروز حوادث از رويكرد خاصی تبعيت نمی گردد ) .
• رويكرد پيشگيرانه ، فرآيندی است كه باعث كاهش خطر آسيب پذيری در يك سازمان می گردد . مديريت پيشگيری از خطرات امنيتی دارای مزايای متعددی نسبت به يك رويكرد انفعالی است . در مقابل اين كه منتظر بمانيم تا يك حادثه اتفاق افتد و به آن پاسخ دهيم ، احتمال بروز مشكل در اولين مكان را كاهش خواهيم داد . بدين منظور از رويه هائی خاص به منظور حفاظت از سرمايه های مهم سازمان استفاده می گردد . با پياده سازی كنترل هائی كه كاهش آسيب پذيری سيستم و سوء استفاده از آنان توسط نرم افزارهای مخرب را به دنبال خواهد داشت ، امكان سوء استفاده مهاجمان از فرصت های ايجاد شده كاهش يافته و پيشگيری لازم در اين خصوص انجام خواهد شد .
يك رويكرد پيشگيرانه می تواند به يك سازمان در جهت كاهش تعداد حوادث امنيتی در آينده كمك نمايد ولی اين بدين معنی نخواهد بود كه چنين مسائلی در آينده اتفاق نخواهند افتاد . بنابراين ، سازمان ها می بايست فرآيند پاسخ به حوادث امنيتی را بهبود داده و بطور همزمان ايجاد رويكردهای پيشگيرانه درازمدت را در دستور كار خود قرار دهند .
كاهش مدت زمان لازم به منظور برخورد با تهديدات امنيتی و افزايش بهره وری ، از جمله خواسته های مشترك سازمان ها و كاربران می باشد . به منظور برخورد مناسب و ساختيافته با تهديدات امنيتی ، "مديريت خطرات امنيتی " و يا مديريت ريسك امنيتی به يكی از نيازهای اوليه و اساسی مراكز فن آوری اطلاعات تبديل شده است .
در اين بخش از مجموعه مقالات "ضرورت توجه به امنيت اطلاعات " ، به بررسی مديريت خطرات امنيتی و پيش نيازهای لازم در اين رابطه خواهيم پرداخت .
مفاهيم مديريت خطرات امنيتی ( مديريت ريسك )
افزايش بی رويه حملات موفقيت آميز مبتنی بر شبكه ، ضرورت پياده سازی يك رويكرد پيشگيرانه ( در مقابل رويكردهای انفعالی ) برای مديريت خطرات امنيتی را برای بسياری از سازمان ها به اثبات رسانده است .
مديريت خطرات امنيتی ، فرآيندی است كه در آن تهديدات موجود در يك سازمان شناسائی ، اولويت بندی و نحوه مديريت آنان در يك سطح قابل قبول مشخص می گردد . وجود يك استراتژی مدون به منظور مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه فرآيندهائی را به منظور شناسائی و اولويت بندی فعاليت ها در محيط فن آوری اطلاعات پياده سازی و از آنان نگهداری نمايند . جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی ، مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد كه قطعا" بهبود وضعيت يك سازمان را به دنبال خواهد داشت چراكه احتمال دستيابی مستمر به زيرساخت فن آوری اطلاعات افزايش يافته و در فرآيندهای جاری يك سازمان خللی ايجاد نمی گردد .
جايگزينی برخوردهای پيشگيرانه با برخوردهای انفعالی مهمترين دستاورد مديريت خطرات امنيتی در يك سازمان می باشد.
پياده سازی فرآيند مديريت خطرات امنيتی برای سازمان ها دستاوردهای متعددی را به دنبال خواهد داشت :
• زمان پاسخ به تهديدات : با ايجاد فرآيند مديريت خطرات امنيتی ، سازمان ها می توانند در مقابل تهديدات امنيتی جديد در زمان مناسب و به سرعت واكنش لازم را داشته باشند ( قبل از سوء استفاده از تمام محيط شبكه ) . مديريت خطرات امنيتی، بستر لازم برای پيشگيری در مقابل تهديدات و يا آسيب پذيری سازمان ها را فراهم می نمايد . بدين ترتيب ، نحوه برخورد سازمان ها با مسائل و مشكلات امنيتی از واكنش های انفعالی به واكنش های پيشگيرانه تغيير خواهد كرد .
• مديريت قانونمند :تدوين مجموعه قوانين جديد در ارتباط با حفط حريم خصوصی كاربران ، تعهدات مالی و وظابف حقوقی ، سازمان ها را مجبور می نمايد كه زيرساخت فن آوری اطلاعات خود را با دقت بيشتر و موثرتر از گذشته مديريت نمايند . بسياری از سازمان ها دارای تعهدات قانونی به منظور پياده سازی و نگهداری يك سطح امنيتی حداقل در محدوده عملياتی خود می باشند . بروز اشكال در مديريت پيشگيرانه امنيتی ، سازمان ها را به دليل عدم انجام وظايف و مسئوليت های قانونی خود در معرض آسيب حقوقی قرار خواهد داد .
• هزينه های مديريت زيرساخت : فرآيند مديريت خطرات امنيتی ، سازمان ها را قادر می سازد كه با يك وضعيت مطلوب ، مقرون به صرفه و در يك سطح قابل قبول امنيتی فعاليت های جاری خود را انجام دهند . فرآيند فوق همچنين يك مسير مشخص و پايدار برای سازماندهی و اولويت بندی منابع محدود را به منظور مديريت خطرات ارائه می نمايد . مزايای واقعی پياده سازی مديريت خطرات امنيتی زمانی هويدا می گردد كه سازمان ها بتوانند كنترل هائی مقرون به صرفه به منظور كاهش تهديدات امنيتی را پياده سازی نمايند .
• مديريت و اولويت بندی خطرات : مديريت خطرات امنيتی می تواند به يك سازمان كمك نمايد كه اصول امنيتی را به منظور كاهش بيشترين خطرات در محيط مربوطه بكار گيرد ( نه اين كه از يك رويكرد غيرمنسجم برای ايمن سازی عناصر مجزاء در سازمان استفاده گردد ).
عوامل موفقيت پروژه مديريت خطرات امنيتی
• ضمانت اجرائی : مديران ارشد سازمان ، می بايست از پروژه مديريت خطرات امنيتی حمايت نمايند . بدون وجود ضمانت های اجرائی لازم ، كاركنان يك سازمان ممكن است در مقابل استفاده از توصيه ها و راهكارهای ارائه شده در خصوص نحوه انجام فعاليت ها ، با آنان مقاومت نموده و مرگ فرسايشی آنان را باعث گردند .
• تعريف يك ليست مشخص از افرادی كه در مقوله امنيت ذينفع می باشند . در هر سازمان افرادی وجود دارند كه از نتايج و دستاوردهای مديريت خطرات امنيتی بيش از ساير افراد ذينفع می باشند . گروه مديريت ريسك امنيتی ، می بايست نسبت به شناسائی اين افراد در سازمان اقدام و آنان را با فرآيندهای موجود به منظور حفاظت از سرمايه ها و از دست ندادن منابع مالی در درازمدت آشنا نمايد .
• وجود بلوغ سازمانی در ارتباط با مديريت خطرات امنيتی : مديريت خطرات امنيتی صرفا" در سازمان هائی كه دارای يك بلوغ سازمانی مناسب می باشند ، قابل پياده سازی است . بلوغ سازمانی و اطلاعاتی ، می بايست در تعداد زيادی از سطوح مديريتی يك سازمان وجود داشته باشد .
• وجود يك فضای فكری باز برای كارگروهی : پروژه مديريت خطرات امنيتی نيازمند يك رويكرد باز و صادقانه ارتباطی است ( هم بين اعضای گروه و هم با ساير افراد شاغل در سازمان كه مديريت خطرات امنيتی برای آنان دستاوردهای ارزشمندی را به دنبال خواهد داشت ) . وجود يك تفكر ارتباطی مثبت و اعتقاد عملی به كار گروهی در ذهن يكايك اعضاء گروه ، علاوه بر استفاده مفيد از زمان، ضريب موفقيت پروژه را در زمان مواجهه با مسائل و مشكلات ناخواسته افزايش می دهد ( مشاركت و همكاری به منظور حل مسائل ) .
• ديد سيستماتيك نسبت به سازمان : در زمان پياده سازی پروژه مديريت خطرات امنيتی ، می بايست بررسی تمام سازمان بدون هيچگونه افراط و يا تفريطی در دستور كار قرار گيرد . در برخی موارد ممكن است يك واحد خاص در سازمان پروژه را به سمتی هدايت نمايد كه بيشتر در جهت تامين اهداف يك بخش باشد و نه تمامی سازمان ( نگرش سيستماتيك نسبت به مسائل و يافتن راه حل آنان ) .
• اختيارات لازم برای گروه مديريت خطرات امنيتی : مشاركت در پروژه مديريت خطرات امنيتی به منزله قبول مسئوليت به منظور شناسائی و كنترل مهمترين تهديدات امنيتی است كه سرمايه های يك سازمان ر ا در معرض خطر قرار می دهد . با توجه به اهداف مهم پروژه ، می بايست اين گروه دارای اختيارات كافی و منابع مورد نياز به منظور انجام وظايف قانونی خود باشند.
رويكردهای متفاوت مديريت خطرات امنيتی
• رويكرد انفعالی ، فرآيندی است كه بر اساس آن صرفا" پس از بروز يك حادثه امنيتی به آن پاسخ داده می شود . تعداد زيادی از كارشناسان حرفه ای فن آوری اطلاعات همواره با اين محدوديت مواجه می باشند كه فعاليت ها را بگونه ای انجام و به اتمام برسانند كه كمترين مشكل را برای كاركنان ايجاد نمايد . پس از بروز يك مشكل امنيتی ، كارشناسان فن آوری اطلاعات صرفا" می توانند از پيشرفت مشكل جلوگيری نموده و پس از ايزوله نمودن آن ، مشكل سيستم های آلوده را برطرف نمايند . شايد در اين رابطه برخی علاقه مند باشند كه عامل اصلی بروز مشكل را پيدا نمايند، ولی با توجه به محدوديت زمان و منابع موجود درسازمان ، عملا" امكان انجام آن وجود نخواهد داشت . متاسفانه برای بسياری از سازمان ها همچنان رويكردهای انفعالی يك نگرش موثر به منظور برخورد با تهديدات امنيتی است ( پس از بروز مشكل در رابطه با نحوه برخورد با آن تصميم گرفته می شود و برای پيشگيری از بروز حوادث از رويكرد خاصی تبعيت نمی گردد ) .
• رويكرد پيشگيرانه ، فرآيندی است كه باعث كاهش خطر آسيب پذيری در يك سازمان می گردد . مديريت پيشگيری از خطرات امنيتی دارای مزايای متعددی نسبت به يك رويكرد انفعالی است . در مقابل اين كه منتظر بمانيم تا يك حادثه اتفاق افتد و به آن پاسخ دهيم ، احتمال بروز مشكل در اولين مكان را كاهش خواهيم داد . بدين منظور از رويه هائی خاص به منظور حفاظت از سرمايه های مهم سازمان استفاده می گردد . با پياده سازی كنترل هائی كه كاهش آسيب پذيری سيستم و سوء استفاده از آنان توسط نرم افزارهای مخرب را به دنبال خواهد داشت ، امكان سوء استفاده مهاجمان از فرصت های ايجاد شده كاهش يافته و پيشگيری لازم در اين خصوص انجام خواهد شد .
يك رويكرد پيشگيرانه می تواند به يك سازمان در جهت كاهش تعداد حوادث امنيتی در آينده كمك نمايد ولی اين بدين معنی نخواهد بود كه چنين مسائلی در آينده اتفاق نخواهند افتاد . بنابراين ، سازمان ها می بايست فرآيند پاسخ به حوادث امنيتی را بهبود داده و بطور همزمان ايجاد رويكردهای پيشگيرانه درازمدت را در دستور كار خود قرار دهند .