امنیت اطلاعات

دیباچه کوتاهی بر مدیریت ریسک و جایگاه آن در امنیت اطلاعات

از سپیده دم تاریخ تا کنون ، خطر و تهدید همزاد همیشگی آدمی بوده و در تمامی جنبه های زندگی ، او را به چالش کشیده است. هرچند که در گذار زمان و از دورانی به دوران دیگر پا به پای پیشرفت های بشری و دگرگونی های رخ داده در زندگی نوع بشر رنگ عوض کرده و تغییر ماهیت داده است اما همچنان بسان جنگ آوری سلحشور انسان را در تمامی گستره زندگی به مبارزه ای بی پایان فرا می خواند . چنانکه به رغم تمامی پیشرفتهای علمی و فنی بشر و دگرگونی های عمیق رخ داده در روابط بین الملل ، خطر جنگ همچنان بر زندگی بشر سایه انداخته است و به یمن دانش و فن آوری های نوین ، زندگی و صلح را قدرتمند تر از همیشه تهدید می کند و انسان همچنان در برابر خطر حوادث طبیعی مانند سونامی و زلزله ناتوان و آسیب پذیر است.

  

ورود کاروان تمدن بشری به عصر اطلاعات و در هم تنیدگی گسترده و عمیق جنبه های گوناگون جوامع بشری از اقتصاد و تجارت گرفته تا سیاست و روابط اجتماعی با فن آوری اطلاعات و نیز ارائه گسترده خدمات وتوزیع انبوه دانش و اطلاعات در بستر شبکه جهانی اینترنت و تبدیل این شبکه عظیم به مهم ترین پل ارتباطی افراد ، سازمانها و دولتها ، سرآغاز آفرینش فصل تازه ای در تمدن بشری بوده است ، فصلی که اساسی ترین مولفه و حیاتی ترین عنصرتشکیل دهنده آن اطلاعات است . ازاین رو تهدیداتی جدید و با ماهیتی بسیار متفاوت از گذشته فراروی انسان هزاره سوم قرار گرفته که با شدتی هرچه تمامتر و پیچیدگی روزافزون بر پایه های لرزان زیر ساخت های فنی ، انسانی و سازمانی فن آوری اطلاعات و ارتباطات می تازد و آرمانی جز به زانو درآوردن مولفه های بنیادین امنیت اطلاعت یعنی : محرمانگی ، دسترس پذیری و یکپارچگی را در سر نمی پروراند. چنانکه امواج سهمگین حملات DDOS که می تواند سامانه های بزرگ مبتنی بر فن آوری اطلاعات را به جهان تاریک سکوت و خاموشی واپس زند ویا تهدید شیوه های پیچیده مهندسی اجتماعی در به زانو درآوردن سازوکارهای دفاعی و امنیتی ، مشتی نمونه خروار از تهدیداتی است که انسان عصر جدید با آن دست به گریبان است. تهدیداتی که در گذشته و پیش از ورود تمدن بشری به عصر اطلاعات ، هرگز وجود نداشته است . از این منظر دور از حقیقت نیست اگرکه امنیت اطلاعات را یکی از بزرگترین چالش های پیش روی انسان در هزاره سوم بدانیم .

بدین سان هنر تحلیل ریسک و دانش مدیریت آن برای سازمان های پویا و پیشتاز عصر حاضرکه در محیطی پر از رقابت و چالش برانگیز فعالیت دارند و فن آوری اطلاعات یکی از مهمترین و حیاتی ترین منابع حفظ و ایجاد مزیت رقابتی برای شرکتها و سازمانهاست ، از زاویه امنیت اطلاعات و در نتیجه حفظ مزیت رقابتی اهمیتی حیاتی دارد و یگانه راهی است که یا به امنیت و تداوم حضور در بازار می انجامد یا به نابودی و حذف شدن توسط رقبا ، از این رو مساله ، بودن یا نبودن است و به هیچ وجه نمی توان آنرا نادیده انگاشت . برخی از مهم ترین دلایل اهمیت و جایگاه ارزنده تحلیل و مدیریت ریسک در امنیت اطلاعات عبارتند از :

١ - امنیت اطلاعات پیچیده و پرهزینه است و منابعی که سازمان در اختیار دارد محدود است و اندک از این رو با انجام یک تحلیل ریسک جامع و دقیق منابع محدود و کمیاب سازمان در مسیر حفاظت صحیح از دارائیها و سرمایه های اطلاعاتی ارزشمند هزینه شده و از اتلاف منابع جلوگیری خواهد شد.

٢- سرآغاز شکست و ناکامی بسیاری از طرح های امنیت اطلاعات ، حفاظت نادرست از چیز های درست و یا حفاظت درست از چیزهای نادرست است به زبان ساده تر، طرح شکست می خورد زیرا طراحان آن زحمت شناسایی دارایی های ارزشمند و سرمایه های اطلاعاتی راهبردی سازمان را به خود نداده و بدون هیچ گونه شناخت و یا با آگاهی اندک از تهدیدات فرارو و پیامدهای رخداد انها بر ماموریت ها و اهداف سازمان اقدام به طراحی و پیاده سازی برنامه های امنیت اطلاعات می نمایند در نتیجه طرح تهیه شده از پاسخ به پرسشهای مهمی چون : از چه چیزی و به چه میزان باید حفاظت شود ناتوان خواهد بود. از این رو درک و شناسایی درست ریسک های موجود و توانایی در بکار گیری داده های به دست آمده از ارزیابی و تحلیل ریسک می تواند نقطه پایانی باشد بر طراحی سست و بی پایه و سرآغازی بر طراحی اثر بخش و کارامد مبتنی بر حقایق و آگاهی عمیق از سرمایه و دارایی های پرارزش ، تهدیدات فراروی انها ، شدت اثر و پیامد تهدیدات بر اهداف و ماموریت های سازمان و در نهایت انتخاب ابزارها و رویه های مناسب و به صرفه برای مهار و کاهش تهدیدات. و انتخاب راهبردهای مناسب مدیریت ریسک نظیر پذیرش ، اجتناب ، کاهش و یا انتقال ریسک به دیگران.

در حقیقت بنیان مهندسی امنیت اطلاعات ، درک درست تهدیدات فراروی اطلاعات و پیاده سازی اقدامات حفاظتی مناسب و به صرفه برای مهار(Control) یا کاهش تهدیدات است از این رو اجرای سیستم مدیریت امنیت اطلاعات در سازمان بر پایه مدیریت و ارزیابی ریسک بنا نهاده می شود و بدون وجود یک برنامه منظم و جامع تحلیل ، ارزیابی و بهبود ریسک امکان دستیابی به اهداف سیستم مدیرییت امنیت اطلاعات وجود نخواهد داشت و به همین دلیل است که الزامات مربوط به ارزیابی و کاهش ریسک ، بخش بزرگی از مفاد استانداردهای سیستم مدیریت امنیت اطلاعات را تشکیل می دهد. برخی از مهمترین استانداردهای موجود عبارتند از : استاندار BS7799 که قدیمی ترین استاندارد تدوین شده در خصوص سیستم مدیریت امنیت اطلاعات است و بسیاری از استانداردهای جهانی از آن الهام گرفته و یا به صورت کامل از آن مشتق شده اند و نیز سری استانداردهای 27000 ISOکاملترین استاندار جهانی تدوین شده در این حوزه است.

محمد ایزانلو یکشنبه 3 تیر 1397 ساعت 14:36
نظرات 0 + ارسال نظر
امکان ثبت نظر جدید برای این مطلب وجود ندارد.