اهمیت امنیت اطلاعات در سازمان‌ها

اهمیت امنیت اطلاعات در سازمان‌ها

۱۳۹۸/۰۲/۱۵

اهمیت امنیت اطلاعات در سازمان‌ها

در عصر حاضر توجه به امنیت در تمام عرصه‌های زندگی از مهمترین موضوعات به شمار می‌رود. موضوع امنیت اطلاعات در سازمان‌ها و به خصوص سازمان هایی که با اطلاعات حیاتی کار می‌کنند بسیار پررنگ‌تر احساس می‌شود. اطلاعاتی که می‌تواند توسط عوامل داخلی یا خارجی، به صورت خواسته یا ناخواسته به سرقت برود و خسارات جبران‌ناپذیری به همراه داشته باشد. بدین سبب توجه به امنیت اطلاعات امری لاینفک و غیرقابل انکار در حیات سازمان به شمار می‌رود. در راستای تحقق این امر علاوه بر ایجاد سیاست‌های کنترلی و امنیتی و محافظت از داده‌ها، نیازمند ایجاد تکنیک‌ها و رویه‌های خاص برای بالابردن قدرت تصمیم‌گیری، ایجاد اطمینان نزد مشتریان، رقابت بهتر و به کارگیری سیستم‌های مدیریت امنیت اطلاعات ISMS در سازمان‌ها می‌شوند.
امنیت اطلاعات به منظور حفظ و نگهداری اطلاعات از فعالیت‌هایی هم‌چون جلوگیری از دسترسی غیرمجاز، استفاده، خواندن، تغییر، دستکاری و یا افشا کردن اطلاعات تا تعریف ساختار صحیح مدیریت دسترسی، استفاده صحیح و روالمند از داده‌های سازمان تشکیل می‌شود و موجب کنترل محرمانگی، یکپارچگی و در دسترس بودن داده‌ها در سازمان خواهد شد.
وجود یک حفره یا مشکل امنیتی می‌تواند خسارات جبران‌ناپذیری به سازمان مورد تهاجم وارد نماید از جمله:
  از دست دادن اعتبار فعلی سازمان در میان رقبا
  کاهش درآمدهای سازمانی
  افزایش هزینه‌های سازمانی
  سلب اعتماد مشتریان و سرمایه‌گذاران و حتی کارمندان
  کاهش مشتریان سازمان

 لطمات در سطوح کلان کشور 

واژه امنیت اطلاعات فقط برای یک یا چند دستگاه بیان نمی‌شود بلکه در تمام سطوح سازمانی در نظر بیان می‌گردد. بدان معنا که باید تمهیداتی در نظر گرفته شود تا از بدو خلق و ورود اطلاعات، حال چه به صورت سخت‌افزاری (فیزیکی) و چه به به صورت نرم‌افزاری، یا انسانی تا محل قرار گرفتن و ذخیره و بایگانی آن، تمام تدابیر امنیتی جهت مقابله با تهدیدات مختلف برنامه‌ریزی صورت گیرد. برخی از عوامل تهدیدکننده اطلاعات در سازمان‌ها عبارتند از:
  تهدیدات فیزیکی هم‌چون بلایای طبیعی، دزدی، تخریب فیزیکی، تداخل‌های فیزیکی، تخریب شبکه، جاسوس‌های سازمانی و ...
  تهدیدات نرم‌افزاری هم‌چون نفوذ به دیواره‌های آتش سازمان، هجوم بدافزارها، تخریب داده‌ها، انتشار غیرمجاز داده‌ها، جاسوسی با استفاده از ابزارهای دیجیتالی و ...

 تهدیدات انسانی هم‌چون افشا اطلاعات، خرابکاری انسانی، مهندسی اجتماعی، تخریب در اثر دانش ناکافی و ....
در حال حاضر سیل عظیمی از حملات سایبری و تهدیدات امنیتی به خاطر وجود عوامل انسانی و در واقع سهل‌انگاری آن‌ها می باشد و دلیل اصلی این امر به دلیل آموزش ندیدن افراد برای حفظ حریم خصوصی و دسترسی افراد به اطلاعات حیاتی سازمانی می‌باشد که اهمیت امنیت منابع انسانی در سازمان را دوچندان می‌کند.
جدا از مسائل مطرح‌شده دلیل بخش زیادی از ضعف‌های امنیتی نرم‌افزاری را می‌توان به صورت خلاصه نتیجه در نظر نگرفتن برخی مسائل امنیتی هم‌چون سهل‌انگاری و عدم شناخت از قواعد و اصول کدنویسی امن در کار برنامه‌نویسان و طراحان سیستم، اولیت‌بندی پایین امنیت از دیدگاه برنامه‌نویسان، خلاقیت تبهکاران، سطح پایین آگاهی کاربران، تکرار مکرر اشتباهات امنیتی نام برد که شرکت امن‌افزار گستر آپادانا در این حوزه می‌تواند به برنامه‌نویسان در خصوص تکنیک‌های ارزیابی نرم‌افزار و معماری امن راهنمایی لازم را ارائه نماید.
حال که تا این‌جا مفهوم امنیت در سازمان‌ها و وجود حیاتی آن در سازمان‌ها مشخص شد هر سازمان باید مجهز به یک سیستم امنیتی پویا و یک چارچوب خاص در کار خود باشد. به همین منظور ابتدا باید یک دید کلی از تمام دارایی‌های موجود در یک سازمان داشته باشیم. برای ارتقاء سطح امنیت در سازمان‌ها مراحل زیر پیشنهاد می‌شود:
  شناسایی منابع حساس سازمانی جهت محافظت
  شناسایی تهدیدات بالقوه سازمان

تغییر ساختار و معماری سازمان متناسب با ساختار سازمانی امن
  تصمیم‌گیری درباره چگونگی مقابله با تهدیدات شناسایی شده
  پیاده‌سازی راه‌کارهای امنیتی مقرون به صرفه جهت محافظت از دارایی‌های شناسایی شده
  مرور مجدد تمام فعالیت‌های مذکور به صورت مستمر و منظم در صورت مشاهده ضعف یا تهدید جدید

برای پیاده‌سازی راه‌کارهای امنیتی مقرون به صرفه و یک سیستم امنیتی پویا و یک چارچوب خاص، اقدامات زیر می‌تواند مفید واقع شود:
  مدیران و کارمندان به طور پیوسته آموزش‌های امنیتی را دریافت کنند.
  با استفاده از سیستم مدیریت امنیت اطلاعات، یک سری کنترل‌ها و محدودیت‌ها برای دسترسی افراد مختلف در سطوح سازمانی مختلف ایجاد شود.
  استفاده از نرم‌افزارهای کاربردی جهت هر چه بیشتر سیستمی کردن امور و کاهش خطاهای انسانی
  ایجاد امنیت نرم‌افزاری و سخت‌افزاری در سازمان
  ایجاد  شبکه‌های اینترنتی امن با پهنای باند مناسب
  ایجاد مراکز امداد جهت حملات سایبری احتمالی
  تجهیز آزمایشگاه‌های تحقیق و توسعه در مراکز تحقیقاتی
البته راه‌کار بسیاری از سازمان‌ها استفاده از گران‌قیمت‌ترین فایروال‌ها و برنامه‌های ضد باج‌افزار و آنتی‌ویروس‌ها می‌باشد اما شایان ذکر هست که فقط داشتن این ابزارهای امنیتی کافی نیست و این ابزارها زمانی سازنده و مفید هستند که با شناخت و تحلیل‌های دقیق امنیتی، استفاده از روال‌های استاندارد در به کارگیری و کنترل سیستم‌های امنیتی و به‌روزرسانی مداوم این سیستم‌ها صورت بگیرد.
داده‌ها بخش جدایی‌ناپذیر سازمان‌ها بوده و محافظت از آن‌ها امری ضروری می‌باشد، چه بسا راه‌کارهای امنیتی زیادی برای مقابله با تهدیدات امنیتی در سازمان‌ها وجود دارد از جمله ساده‌ترین آن‌ها تهیه نسخه‌های پشتیبان به صورت منظم و در چند نسخه به صورت مطمئن می‌باشد اما مطمئن‌ترین راه‌کار بررسی کامل و دقیق سازمان با استفاده از مشاوره امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات (ISMS)  می‌باشد.

نویسنده: بهاره جلائی یزدنژاد

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.