در عصر حاضر توجه به امنیت در تمام عرصههای زندگی از مهمترین موضوعات به شمار میرود. موضوع امنیت اطلاعات در سازمانها و به خصوص سازمان هایی که با اطلاعات حیاتی کار میکنند بسیار پررنگتر احساس میشود. اطلاعاتی که میتواند توسط عوامل داخلی یا خارجی، به صورت خواسته یا ناخواسته به سرقت برود و خسارات جبرانناپذیری به همراه داشته باشد. بدین سبب توجه به امنیت اطلاعات امری لاینفک و غیرقابل انکار در حیات سازمان به شمار میرود. در راستای تحقق این امر علاوه بر ایجاد سیاستهای کنترلی و امنیتی و محافظت از دادهها، نیازمند ایجاد تکنیکها و رویههای خاص برای بالابردن قدرت تصمیمگیری، ایجاد اطمینان نزد مشتریان، رقابت بهتر و به کارگیری سیستمهای مدیریت امنیت اطلاعات ISMS در سازمانها میشوند.
امنیت اطلاعات به منظور حفظ و نگهداری اطلاعات از فعالیتهایی همچون جلوگیری از دسترسی غیرمجاز، استفاده، خواندن، تغییر، دستکاری و یا افشا کردن اطلاعات تا تعریف ساختار صحیح مدیریت دسترسی، استفاده صحیح و روالمند از دادههای سازمان تشکیل میشود و موجب کنترل محرمانگی، یکپارچگی و در دسترس بودن دادهها در سازمان خواهد شد.
وجود یک حفره یا مشکل امنیتی میتواند خسارات جبرانناپذیری به سازمان مورد تهاجم وارد نماید از جمله:
از دست دادن اعتبار فعلی سازمان در میان رقبا
کاهش درآمدهای سازمانی
افزایش هزینههای سازمانی
سلب اعتماد مشتریان و سرمایهگذاران و حتی کارمندان
کاهش مشتریان سازمان
لطمات در سطوح کلان کشور
واژه امنیت اطلاعات فقط برای یک یا چند دستگاه بیان نمیشود بلکه در تمام سطوح سازمانی در نظر بیان میگردد. بدان معنا که باید تمهیداتی در نظر گرفته شود تا از بدو خلق و ورود اطلاعات، حال چه به صورت سختافزاری (فیزیکی) و چه به به صورت نرمافزاری، یا انسانی تا محل قرار گرفتن و ذخیره و بایگانی آن، تمام تدابیر امنیتی جهت مقابله با تهدیدات مختلف برنامهریزی صورت گیرد. برخی از عوامل تهدیدکننده اطلاعات در سازمانها عبارتند از:
تهدیدات فیزیکی همچون بلایای طبیعی، دزدی، تخریب فیزیکی، تداخلهای فیزیکی، تخریب شبکه، جاسوسهای سازمانی و …
تهدیدات نرمافزاری همچون نفوذ به دیوارههای آتش سازمان، هجوم بدافزارها، تخریب دادهها، انتشار غیرمجاز دادهها، جاسوسی با استفاده از ابزارهای دیجیتالی و …
تهدیدات انسانی همچون افشا اطلاعات، خرابکاری انسانی، مهندسی اجتماعی، تخریب در اثر دانش ناکافی و ….
در حال حاضر سیل عظیمی از حملات سایبری و تهدیدات امنیتی به خاطر وجود عوامل انسانی و در واقع سهلانگاری آنها می باشد و دلیل اصلی این امر به دلیل آموزش ندیدن افراد برای حفظ حریم خصوصی و دسترسی افراد به اطلاعات حیاتی سازمانی میباشد که اهمیت امنیت منابع انسانی در سازمان را دوچندان میکند.
جدا از مسائل مطرحشده دلیل بخش زیادی از ضعفهای امنیتی نرمافزاری را میتوان به صورت خلاصه نتیجه در نظر نگرفتن برخی مسائل امنیتی همچون سهلانگاری و عدم شناخت از قواعد و اصول کدنویسی امن در کار برنامهنویسان و طراحان سیستم، اولیتبندی پایین امنیت از دیدگاه برنامهنویسان، خلاقیت تبهکاران، سطح پایین آگاهی کاربران، تکرار مکرر اشتباهات امنیتی نام برد که شرکت امنافزار گستر آپادانا در این حوزه میتواند به برنامهنویسان در خصوص تکنیکهای ارزیابی نرمافزار و معماری امن راهنمایی لازم را ارائه نماید.
حال که تا اینجا مفهوم امنیت در سازمانها و وجود حیاتی آن در سازمانها مشخص شد هر سازمان باید مجهز به یک سیستم امنیتی پویا و یک چارچوب خاص در کار خود باشد. به همین منظور ابتدا باید یک دید کلی از تمام داراییهای موجود در یک سازمان داشته باشیم. برای ارتقاء سطح امنیت در سازمانها مراحل زیر پیشنهاد میشود:
شناسایی منابع حساس سازمانی جهت محافظت
شناسایی تهدیدات بالقوه سازمان
تغییر ساختار و معماری سازمان متناسب با ساختار سازمانی امن
تصمیمگیری درباره چگونگی مقابله با تهدیدات شناسایی شده
پیادهسازی راهکارهای امنیتی مقرون به صرفه جهت محافظت از داراییهای شناسایی شده
مرور مجدد تمام فعالیتهای مذکور به صورت مستمر و منظم در صورت مشاهده ضعف یا تهدید جدید
برای پیادهسازی راهکارهای امنیتی مقرون به صرفه و یک سیستم امنیتی پویا و یک چارچوب خاص، اقدامات زیر میتواند مفید واقع شود:
مدیران و کارمندان به طور پیوسته آموزشهای امنیتی را دریافت کنند.
با استفاده از سیستم مدیریت امنیت اطلاعات، یک سری کنترلها و محدودیتها برای دسترسی افراد مختلف در سطوح سازمانی مختلف ایجاد شود.
استفاده از نرمافزارهای کاربردی جهت هر چه بیشتر سیستمی کردن امور و کاهش خطاهای انسانی
ایجاد امنیت نرمافزاری و سختافزاری در سازمان
ایجاد شبکههای اینترنتی امن با پهنای باند مناسب
ایجاد مراکز امداد جهت حملات سایبری احتمالی
تجهیز آزمایشگاههای تحقیق و توسعه در مراکز تحقیقاتی
البته راهکار بسیاری از سازمانها استفاده از گرانقیمتترین فایروالها و برنامههای ضد باجافزار و آنتیویروسها میباشد اما شایان ذکر هست که فقط داشتن این ابزارهای امنیتی کافی نیست و این ابزارها زمانی سازنده و مفید هستند که با شناخت و تحلیلهای دقیق امنیتی، استفاده از روالهای استاندارد در به کارگیری و کنترل سیستمهای امنیتی و بهروزرسانی مداوم این سیستمها صورت بگیرد.
دادهها بخش جداییناپذیر سازمانها بوده و محافظت از آنها امری ضروری میباشد، چه بسا راهکارهای امنیتی زیادی برای مقابله با تهدیدات امنیتی در سازمانها وجود دارد از جمله سادهترین آنها تهیه نسخههای پشتیبان به صورت منظم و در چند نسخه به صورت مطمئن میباشد اما مطمئنترین راهکار بررسی کامل و دقیق سازمان با استفاده از مشاوره امنیت اطلاعات و سیستم مدیریت امنیت اطلاعات (ISMS) میباشد.