--------------------------------------------------------------------------------------------- Optimizer of Information Technology & Communication ----------------------------------------------------------------------
امنیت، سرعت و دقت را از ما بخواهید

استراتژی مدیریت امنیت اطلاعات

 

Introduction

     ISMSS: Information System Management Strategy

 For Business

 

خلاصه مقاله:

تلفیق مهارت‌های مدیریتی استراتژی با توانمندی‌های تکنیکی و فنی علوم فناوری اطلاعات و ارتباطات موجب پیدایش پدیده جدید استراتژی فناوری اطلاعات گردیده است که به‌عنوان یک Techno-Management و دانشی میان رشته‌ای در شاخه‌بندی علوم مشاهده می‌شود. اصولا استراتژی‌ها در سازمان‌ها و شرکت‌ها بدنبال تحقق اهداف کلان با رعایت اولویت‌بندی‌ها و تمرکز بر سناریوهای دقیق هستند لذا در اولین گام‌های تدوین و اجرای یک استراتژی جامع، پرداختن به موضوع پایداری و بقاء کسب و کار، هم از حیث اقتصادی و هم از دیدگاه امنیتی نقش چشمگیری را ایفا می‌کند. چراکه چنانچه کسب و کاری با گردش اقتصادی قابل قبول و بازاری گسترده نتواند از دارایی‌های مادی و معنوی خود صیانت کند قطعا طی مدت کوتاهی در برابر حملات و تهدیدات شکست خواهد خورد. عمدتا کسب و کارهای موفق در لبه فناوری حرکت می‌کنند و محور اصلی فرایندهای خود را بر کانون علوم فناورانه از قبیل فناوری اطلاعات و ارتباطات بنا ساخته‌اند و اگر نتوانند حریم امن و قابل اعتمادی را برای فعالیت‌های خود تعریف نمایند، به‌سادگی محکوم به نابودی خواهند شد.

از سال ۱۹۹۵ که اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نام BS 7799 ارائه شد تا امروز که متدولوژی و روش‌های گوناگونی جهت حفظ و ارتقای امنیت مطرح می‌باشد و معمولا مبتنی بر استانداردهای مختلف حوزه امنیت (مانند استانداردهای خانواده  ISO 27000) عمل می‌کنند، همه بدنبال طراحی بسته‌های پیگیری و مقابله با تهدیدات و ناشناخته‌هایی بوده‌اند که تداوم و اعتبار کسب و کارها را به‌خطر می‌اندازد. این بسته‌ها که از جنس فرایند و روش هستند منابع و فرایندهای کسب و کارها را امن می‌سازند تا در زمان بروز فاجعه یا رخدادهای سایبری بتوان خسارت وارده را تعدیل و تداوم کسب و کار را پایدار نمود. سیستم‌های مدیریت امنیت اطلاعات که اصطلاحاٌ به ISMS[1] معروف هستند می‌توانند با بهروش‌های[۲] بازیابی فرایندها پس از فاجعه یا DRP[3] ترکیب شوند و با رویکردهای استراتژیک فرایندگرا بجای دارایی‌محور، انقلابی را در حوره امنیت سازمانی، مهندسی نمایند و استراتژی‌ نظام مدیریت امنیت اطلاعات را شکل دهند.

استراتژی

متاسفانه هر روزه در سطح جهان بسیاری از شرکت‌ها و سازمان‌های بزرگ بدلیل عدم رعایت موارد امنیتی و بی‌تفاوتی تا لحظۀ حمله، دچار خسارات سنگینی می‌شوند. تحقیقات اداره کسب و کارهای آمریکا نشان داده است که بیش از ۲۵درصد شرکت‌ها پس از بروز فاجعه دیگر نتوانسته‌اند به چرخه کسب و کار برگردند و برای همیشه از بین رفته‌اند، لذا هرچقدر نقطۀ اتکاء به فناوری اطلاعات محکم‌تر باشد، باید بیشتر نگران تهدیدات این حوزه بود. اکثر سازمان‌ها یا شرکت‌ها کلیه اطلاعات حیاتی خود را در محیط‌های مجازی و فضاهای الکترونیکی مانند دیتاسنترها با دسترسی‌های متعدد نگهداری می‌کنند بنابراین اتخاذ تدابیر محافظه‌کارانه و تامین امنیت این حوزه، به‌عنوان سیاستی الزامی و اجتناب‌ناپذیر، همواره در دستور کار خواهد بود.

استراتژی نظام مدیریت امنیت اطلاعات با دیدگاه فرایندمحور قادر است کلیه اجزای اصلی و حیاتی یک کسب و کار را شناسایی نماید و ارتباط موجود بین این اجزاء و ملاحظات امنیتی را مدل‌سازی کند و در هر گام، یکی از فرایندهای بااهمیت زنجیره ارزش را امن تا اولا درصد بروز تهدید کاهش پیدا کند، ثانیا در صورت بروز مشکل، از طریق تعدیل خسارات و فراخوانی فرایندهای احیاء امکان بازگشت به ادامه سرویس و فعالیت میسر گردد.

بطور کلی می‌توان چنین گفت که یک استراتژی نظام مدیریت امنیت اطلاعات، متون پیچیده استانداردها را تفسیر و کاربردی کرده و با احصاء فرایندها و دارایی‌ها، مالکین فرایند و دارایی را مشخص و به ساماندهی منابع و مستندات می‌پردازد تا از این طریق بتواند مخاطرات و تهدیدات را درقالب تدوین طرح‌های ترکیبی استراتژیک، شناسایی و مدیریت ریسک را در دستور کار خود قرار دهد. آنچه حائز اهمیت است رعایت چرخه‌های مستمر [۴]PDCA و دقت‌نظر در انجام ممیزی‌های دوره‌ای منظم است تا با بهبود روش و سیستم‌ها بتوان شرایط امنیتی مناسبی را حاکم نمود. در این بین مقوله مدیریت منابع انسانی درگیر با تدوین و اجرای این استراتژی از جزئیات و ریزه‌کاری‌های بخصوصی برخوردار می‌باشد.

استراتژی نوین نظام مدیریت امنیت اطلاعات، کلیه دارایی‌های اطلاعاتی، منابع انسانی، فیزیکی و معنوی، سخت افزاری و زیرساختی، فرایندها و سامانه‌ها، سرویس‌ و … را در قالب دارایی‌های مهم سازمانی تلقی نموده و نسبت به شناسایی، جمع‌آوری، تعیین تکلیف نمودن آنها و کنترل دسترسی‌های لازم اقدام می‌کند. در استراتژی‌ مدیریت امنیت اطلاعات موضوعات حملات و سوء‌استفاده‌های مهندسی اجتماعی نیز گنجانده شده است و سعی دارد تا تمامی جوانب حوزه امنیت را با دقت در فرایندها مستمرا لحاظ نماید چراکه امنیت صرفا با تداوم و استمرار و نهادینه‌سازی کردن فرهنگ امنیت معنا پیدا می‌کند.

[۱]  Information Security Management System

[۲] Best Practice

[۳] Disaster Recovery Plan

[۴] Plan, Do, Check, Act

نویسنده: دكتر امين گلستاني –  پژوهشگر، مشاور و مدرس حوزه استراتژی فناوری اطلاعات

**** ورود شما را به اين سايت علمي آموزشي خوش آمد مي گوييم و منتظر نقطه نظرات ارزشمند شما هستيم ****    
Copy Protected by Chetan's WP-Copyprotect. برو به بالا