۳ اصل طلایی برای مدیریت امنیت اطلاعات در سازمان

 

وقتی‌که یک سازمان  به چالش‌های امنیت اطلاعات نظر می‌کند باید ملاحظات متعددی داشته و ریسک‌های مختلفی را بررسی نماید. در مواردی سازمان و افراد درگیر به‌سختی می‌توانند نقطه شروع بررسی را مشخص نمایند. استانداردهای خاصی را می‌توان به‌عنوان راهنما برای شروع کار استفاده نمود، اما سه اصل وجود دارد که نباید نادیده گرفته شوند. این سه قدم ساده از داشتن سطوح امنیت اطلاعات مناسب در سازمان اطمینان حاصل می‌کند.

information-security

 

اصل اول: هماهنگ نمودن اقدامات امنیتی با اهداف کسب‌وکار یا سازمان

نقطه شروع باید اصولاً اجرا اقدامات امنیتی بر سرمایه‌های اطلاعاتی سازمان باشد. اگر این کار متمرکز بر اهداف کسب‌وکار یا سازمان اجرا نشود بعداً سازمان با مشکلاتی مواجه خواهد شد. از ضروریات کار داشتن برنامه ضدویروس، دیواره آتش، IDS، سرورهای redundant، راه‌حل‌های backup می‌باشند اما هماهنگی اصول پایه امنیتی با اهداف اصلی سازمان ضروری و واجب است.
وقتی‌که مدیریت اصلی یک سازمان متوجه و قانع شود که داشتن یک دیواره آتش برای فیلتر کردن ترافیک اینترنتی یا سیاستی منع اتصال USB به کامپیوترهای سازمانی ممکن است بر عملکرد سازمان تأثیر منفی داشته باشد، دیدگاه سازمانی نسبت به بخش امنیت اطلاعات مثبت‌تر خواهد بود.
البته بااین‌حال ممکن است که به‌سختی بتوان سازمان را قانع کرد که مبالغ قابل‌ملاحظه‌ای برای مطابقت با کنترل‌های ISO 27001 سرمایه‌گذاری کنند و یا حتی یک پروژه امنیتی جدید را اجرا کنند. درواقع هرگونه تغییر در سازمان یا کسب‌وکار باید از سطوح ریسک‌پذیری قابل‌قبول برای آن سازمان برخوردار باشد.

اصل دوم: بهترین روش‌های مدیریت

پس از پیاده‌سازی تکنولوژی‌ها و پروسه‌های امنیتی که سازمان را پشتیبانی می‌کند، بروز نگه‌داشتن تمامی این اقدامات حائز اهمیت است. بخش امنیت اطلاعات باید اطمینان حاصل نماید که تمامی موارد پیاده‌سازی شده همگام با اهداف سازمانی پیش برود و مدیریت رده‌های بالا باید درک کنند که این‌یک پروژه کوتاه‌مدت نیست و باید درزمینهٔ امنیت اطلاعات “سیکل بهبود دائمی” وجود داشته باشد.
هر تغییر اعمالی نیاز به یک روش پیاده‌سازی چندمرحله‌ای دارد تا مشکلات شناسایی شوند و راه‌حل‌ها کشف و اجرا شوند، تا بر روی کل عملکرد سازمان اثرات منفی نگذارد. با کاربران باتجربه‌تر شروع کنید و از آنها بازخورد دریافت کنید و تجربه‌ای مثبت برای همه کارمندان و کاربران ایجاد کنید. این کافی نیست که فقط عملکرد کنترل‌ها ازنظر فنی خوب عمل کند و باید اطمینان حاصل نمود که این کنترل‌ها بر روی کارمندان و پروسه‌ها تأثیرات منفی ندارد.
یکی از موارد ضروری برای موفقیت مدیریت امنیت اطلاعات تست کردن (testing) است. این کار باید برای همه برنامه‌ها و پروژه‌ها، خصوصاً موارد مربوط به تداوم فعالیت‌های کسب‌وکار، قبل از پیاده‌سازی انجام بگیرد. به‌عنوان‌مثال با داشتن backup موردنیاز، سازمان‌ها تست recovery را تا زمان وقوع یک مشکل انجام نمی‌دهند و در برخی از موارد recovery در زمان نیاز سازمان عمل نمی‌کند. پس تست کردن باید پیش از پیاده‌سازی انجام شود.

اصل سوم: افزایش آگاهی کاربران

با توجه به عامل انسانی شما می‌توانید به بهترین نحو از اصول یک و دو بهره ببرید. عدم توجه به عامل انسانی، زمان و فعالیت سرمایه‌گذاری شده، پیاده‌سازی امنیت اطلاعات را می‌تواند تضعیف یا بی‌اثر نماید. به همین دلیل داشتن مدیریت تغییر مناسب در سازمان از ضروریات است. در زمان پیاده‌سازی سیاست‌ها، پروسه‌ها و تکنولوژی جدید همیشه مقداری اعتراض و مخالفت در میان کاربران وجود دارد.
سازمان بهتر است با در نظر داشتن وضعیت کارمندان تغییرات ایجاد کند، به آنها آموزش دهد تا کارمندان توانایی‌های موردنیاز مدیریت بر پروسه‌ها و تکنولوژی‌ها را کسب کنند و فعالیت‌های آنان به‌مرورزمان همگام با نیازها و چالش‌های جدید سازمان شود.
برای مثال در زمان اجرا تکنولوژی رمزنگاری، این سیاست باید پیاده‌سازی شود و همزمان منافع آن به کاربران توضیح داده شود. در زمان اجرا احراز هویت دو فاکتوری که برای کاربران مشکل‌ساز و یا سخت می‌باشد، ترجیحاً منافع و فرصت‌های محافظت از اطلاعات شخصی در سطوح بالاتر به آنان توضیح داده شود.
متأسفانه بخش آموزش کاربری در امنیت اطلاعات کمتر موردتوجه مدیریت سازمان‌ها قرار می‌گیرد. تمرکز سازمان باید بر توجیه همه کارمندان در مورد سیاست‌های امنیتی موجود در سازمان و تطبیق با این قوانین از طریق استفاده درست از کنترل‌های موجود باشد. توصیه می‌شود که بر آگاه‌سازی امنیت اطلاعات تأکید شود و سازمان کارمندان را در جهت درک اهمیت و عواقب عدم تطبیق با پروسه‌های سازمانی یاری نماید.
برای هر یک از موارد ذکرشده بالا حجم زیادی مطالب باید خوانده شود، قوانین نوشته شود و پیاده‌سازی توسعه پیدا کند. شاید این سه اصل در هر سازمان یا شرکتی وجود نداشته باشد اما به یاد داشتن این موارد می‌تواند بر مدیریت فعالیت‌ها تأثیر مثبتی داشته باشد.

منبع نوشته : http://www.spooler.ir/news/16-parskharazm-news/80-news-strategyplanningbreaches

درباره نویسنده

امیررضا اسدی کارشناس ارشد مدیریت فناوری اطلاعات هستم.

نوشته‌های مرتبط

لطفا دیدگاه خود را ثبت کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *