چند باور ارزشمند در باره امنیت اطلاعات
1- شرکتها به شما امنیت نمی فروشند ، آنها تنها ابزارهای امنیتی در اختیار شما قرار می دهند.
2- مهمترین عنصر در سیستم امنیت اطلاعات نیروی انسانی است.
3- (( امن شدن )) متفاوت از (( در امنیت باقی ماندن )) است
سازمانها و شرکتها ناگزیر به سرمایه گذاری در امنیت اطلاعات هستند. در کسب و کاری که در تمامی بخشهای اساسی خود شامل : تولید ، فروش ، ارتباط با مشتری ، مالی و حسابداری ، یکپارچگی با سازمانهای دیگر و سایر الزامات کسب و کارهای پر از رقابت امروزی به سامانه های اطلاعاتی و شبکه جهانی اینترنت وابسته است ، نادیده گرفتن امنیت اطلاعات در ساختار مدیریتی و معماری فن آوری اطلاعات کسب و کار، موجب از دست دادن مزیت رقابتی شرکت شده و در برخی از موارد امکان ادامه حیات شرکت یا سازمان را با چالشهای جدی روبرو می کند از این رو امنیت اطلاعات به عنوان بخشی جدایی ناپذیر از معماری فن آوری اطلاعات سازمانها قلمداد شده و با بکار گیری فرآیندهای مناسب در تمامی تار و پود سازمان جریان می یابد.
امنیت اطلاعات یگانه کالایی است که در انبوه محصولات گوناگون هیچ شرکت امنیتی نمی توان یافت چرا که در محیط بسیار پیچیده شبکه های امروزی و با وجود آفرینش هر روزه روشهای خلاقانه و بسیارموثری که در سایه آسیب پذیری های گسترده در منابع فن آوری اطلاعات جان می گیرند، و درترکیب با انگیزه های قوی و متعدد مهاجمان و نا آگاهی و کم دانشی منابع انسانی و شیوه های نادرست مدیریتی به سمی مهلک و کشنده و تهدیدی جدی و گریزناپذیر برای سازمانها تبدیل می شوند، نمی توان تنها با در اختیارداشتن و استقرار ابزارهایی چون دیواره آتش ، سامانه های تشخیص نفوذ ، ضد بدافزارها و ... از وجود امنیت اطلاعات در کسب و کار سخن به میان آورد .
پذیرش برابری امنیت اطلاعات با نصب و استقرار ابزارهای امنیتی گواه روشنی است بر نبود نگرش سیستمی به امنیت اطلاعات در سازمان شما . از این رو نخستین گام رهایی از این پندار نادرست پذیرش این واقعیت است که امنیت اطلاعات یک سیستم است ، سیستمی که امن شدن و در امنیت باقی ماندن با هزینه ای قابل پذیرش مهمترین خروجی آن به شمار می رود.
یک سیستم امنیت اطلاعات در هر سازمان و کسب وکاری از سه عنصر اساسی تشکیل شده است : انسان ، رویه ها یا خطی مشی ها و فن آوری. هرچند که خروجی این سیستم نتیجه برهم کنش و بهم پیوستگی این سه عنصر اصلی است اما نباید فراموش کرد که این عامل انسانی است که خط مشی های امنیتی و سیاستهای سازمانی را تدوین می کند ، آنهارا بکار می گیرد و بر اجرای درست آنها نظارت می کند و هم اوست که چینش و ساختار تجهیزات امنیتی را در محیط شبکه تعیین می کند ، ابزارهای امنیتی را پیکربندی کرده و تحلیلگر و تصمیم گیرنده نهایی در هنگام رویداد رخدادهای امنیتی است.
یک نمونه تاریخی از ناتوانی ابزارها در نبود یک سیستم امنیتی کارآمد و فراگیر ، دیوار چین است. این دیوار که بزرگترین سازه دفاعی و نظامی دنیای کهن به شمار می آید با هدف پیشگیری از هجوم قبایل مهاجم شمالی به چین ساخته شد. اما هرگز نتوانست مانع از یورش آنان به چین شود. مغولان سرانجام با عبور از این سد بزرگ و در ظاهر نفوذ ناپذیر دروازه های چین را گشودند و برای سالیان دراز به فرمانروایان بی چون و چرای آن سرزمین بدل گشتند.
سیستم امنیت اطلاعاتی که به درستی و بر اساس تجربیات برتر جهانی طراحی و پیاده سازی شده باشد دو ره آورد ارزشمند برای سازمان به ارمغان می آورد : امن شدن و در امنیت باقی ماندن
درک تفاوت این دو در حقیقت بیانگر نگاه فرآیند محور سازمان به امنیت اطلاعات است چراکه بدون وجود یک نگرش فرآیندی سازمان می تواند سرمایه های اطلاعاتی خود را برای مدت زمانی بسیار محدود امن کند اما هرگز نخواهد توانست امنیت بدست آمده را در دراز مدت حفظ کند.
آنچه که تفاوت این دو مفهوم نزدیک به هم و در عین حال بسیار دور ازهم را هر چه بیشتر نمایان می سازد سازو کار درونی سیستم امنیت اطلاعات است که چرخه حفاظت (Protection) ، شناسایی (Detection) و واکنش (Response) هسته مرکزی آنرا تشکیل می دهد. حفاظت مطمئن از منابع شبکه در برابر حمله و نفوذ ، شناسایی سریع و به هنگام حمله بویژه در مراحل ابتدایی آن و سرانجام واکنش مناسب به رویداد های امنیتی از جمله مواردی است که می بایست همواره در طراحی و ایجاد یک محیط امن به آن توجه کرد.
هر یک از مراحل سه گانه حفاظت ، شناسایی و واکنش در زمینه یک رویکرد فرآیندی و مبتنی بر مدل چرخه ای برنامه ریزی (Plan) ، اجرا (Do) ، بررسی (Control) و اقدام(Act ) پیامدهای سیستم امنیت اطلاعات را به گونه ای رقم می زنند که افزون بر تامین امنیت منایع و سرمایه های اطلاعاتی سازمان ، بهبود و ارتقای دائمی سیستم برای اطمینان از توانایی آن در مقاومت و پایداری در برابر حملات جدید و ناشناخته را تضمین می کند.