3 باور ارزشمند در امنیت اطلاعات که باید بدانید

سازمانها و شرکتها ناگزير به سرمايه گذاري در امنيت اطلاعات هستند. در کسب و کاري که در تمامي بخشهاي اساسي خود شامل : توليد ، فروش ، ارتباط با مشتري ، مالي و حسابداري ، يکپارچگي با سازمانهاي ديگر و ساير الزامات کسب و کارهاي پر از رقابت امروزي به سامانه هاي اطلاعاتي و شبکه جهاني اينترنت وابسته است ، ناديده گرفتن امنيت اطلاعات در ساختار مديريتي و معماري فن آوري اطلاعات کسب و کار، موجب از دست دادن مزيت رقابتي شرکت شده و در برخي از موارد امکان ادامه حيات شرکت يا سازمان را با چالشهاي جدي روبرو مي کند از اين رو امنيت اطلاعات به عنوان بخشي جدايي ناپذير از معماري فن آوري اطلاعات سازمانها قلمداد شده و با بکار گيري فرآيندهاي مناسب در تمامي تار و پود سازمان جريان مي يابد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. شرکتها به شما امنیت نمی فروشند ، آنها تنها ابزارهای امنیتی در اختیار شما قرار می دهند.
  2. مهمترین عنصر در سیستم امنیت اطلاعات نیروی انسانی است.
  3. (( امن شدن )) متفاوت از (( در امنیت باقی ماندن )) است

امنیت اطلاعات یگانه کالایی است که در انبوه محصولات گوناگون هیچ شرکت امنیتی نمی توان یافت چرا که در محیط بسیار پیچیده شبکه های امروزی و با وجود آفرینش هر روزه روشهای خلاقانه و بسیارموثری که در سایه آسیب پذیری های گسترده در منابع فن آوری اطلاعات جان می گیرند، و درترکیب با انگیزه های قوی و متعدد مهاجمان و نا آگاهی و کم دانشی منابع انسانی و شیوه های نادرست مدیریتی به سمی مهلک و کشنده و تهدیدی جدی و گریزناپذیر برای سازمانها تبدیل می شوند، نمی توان تنها با در اختیارداشتن و استقرار ابزارهایی چون دیواره آتش ، سامانه های تشخیص نفوذ ، ضد بدافزارها و ... از وجود امنیت اطلاعات در کسب و کار سخن به میان آورد .

امنیت اطلاعات

پذیرش برابری امنیت اطلاعات با نصب و استقرار ابزارهای امنیتی گواه روشنی است بر نبود نگرش سیستمی به امنیت اطلاعات در سازمان شما . از این رو نخستین گام رهایی از این پندار نادرست پذیرش این واقعیت است که امنیت اطلاعات یک سیستم است ، سیستمی که امن شدن و در امنیت باقی ماندن با هزینه ای قابل پذیرش مهمترین خروجی آن به شمار می رود. یک سیستم امنیت اطلاعات در هر سازمان و کسب وکاری از سه عنصر اساسی تشکیل شده است : انسان ، رویه ها یا خطی مشی ها و فن آوری.

هرچند که خروجی این سیستم نتیجه برهم کنش و بهم پیوستگی این سه عنصر اصلی است اما نباید فراموش کرد که این عامل انسانی است که خط مشی های امنیتی و سیاستهای سازمانی را تدوین می کند ، آنهارا بکار می گیرد و بر اجرای درست آنها نظارت می کند و هم اوست که چینش و ساختار تجهیزات امنیتی را در محیط شبکه تعیین می کند ، ابزارهای امنیتی را پیکربندی کرده و تحلیلگر و تصمیم گیرنده نهایی در هنگام رویداد رخدادهای امنیتی است.

امنیت اطلاعات

یک نمونه تاریخی از ناتوانی ابزارها در نبود یک سیستم امنیتی کارآمد و فراگیر ، دیوار چین است. این دیوار که بزرگترین سازه دفاعی و نظامی دنیای کهن به شمار می آید با هدف پیشگیری از هجوم قبایل مهاجم شمالی به چین ساخته شد. اما هرگز نتوانست مانع از یورش آنان به چین شود. مغولان سرانجام با عبور از این سد بزرگ و در ظاهر نفوذ ناپذیر دروازه های چین را گشودند و برای سالیان دراز به فرمانروایان بی چون و چرای آن سرزمین بدل گشتند.

سیستم امنیت اطلاعاتی که به درستی و بر اساس تجربیات برتر جهانی طراحی و پیاده سازی شده باشد دو ره آورد ارزشمند برای سازمان به ارمغان می آورد : امن شدن و در امنیت باقی ماندن

درک تفاوت این دو در حقیقت بیانگر نگاه فرآیند محور سازمان به امنیت اطلاعات است چراکه بدون وجود یک نگرش فرآیندی سازمان می تواند سرمایه های اطلاعاتی خود را برای مدت زمانی بسیار محدود امن کند اما هرگز نخواهد توانست امنیت بدست آمده را در دراز مدت حفظ کند.

امنیت اطلاعات

آنچه که تفاوت این دو مفهوم نزدیک به هم و در عین حال بسیار دور ازهم را هر چه بیشتر نمایان می سازد سازو کار درونی سیستم امنیت اطلاعات است که چرخه حفاظت (Protection) ، شناسایی (Detection) و واکنش (Response) هسته مرکزی آنرا تشکیل می دهد. حفاظت مطمئن از منابع شبکه در برابر حمله و نفوذ ، شناسايي سريع و به هنگام حمله بويژه در مراحل ابتدايي آن و سرانجام واکنش مناسب به رويداد هاي امنيتي از جمله مواردي است که مي بايست همواره در طراحي و ايجاد يک محيط امن به آن توجه کرد.

هر یک از مراحل سه گانه حفاظت ، شناسایی و واکنش در زمینه یک رویکرد فرآیندی و مبتنی بر مدل چرخه ای برنامه ریزی (Plan) ، اجرا (Do) ، بررسی (Control) و اقدام(Act ) پیامدهای سیستم امنیت اطلاعات را به گونه ای رقم می زنند که افزون بر تامین امنیت منایع و سرمایه های اطلاعاتی سازمان ، بهبود و ارتقای دائمی سیستم برای اطمینان از توانایی آن در مقاومت و پایداری در برابر حملات جدید و ناشناخته را تضمین می کند.


نظرات