بر همین اساس در این مقاله تصمیم گرفتیم به شناسایی و بررسی 10 جنبه مهم و تأثیرگذار در طرحها و استراتژیهای حاکمیت امنیت اطلاعات بپردازیم. این اصول که درواقع، بنیان استراتژی امنیت اطلاعات را شامل میشوند، اگر بهدرستی پیادهسازی نشده یا تفسیر اشتباهی از آنها برداشت شود، نهتنها بزرگترین طرحهای امنیت سازمانی را با شکست روبرو میسازند، بلکه رخنههای امنیتی جدی را در برنامهریزیهای سازمانی به وجود میآورند. این 10 جنبه میتوانند بهعنوان یک فرم ارزشیابی توسط مدیران ارشد برای حصول اطمینان از تعریف یک برنامهریزی جامع و تأثیرگذار مورداستفاده قرار گیرند. این مقاله ماحصل سالها آموزش امنیت اطلاعات به طیف گستردهای از مخاطبان و همچنین مشاوره در پروژههای امنیت اطلاعات در بسیاری از شرکتها است. این مقاله ازآنجهت 10 اشتباه مرگبار مدیریت امنیت اطلاعات لقب گرفته است که در صورت عدم توجه به آنها میتوانند در زمان پیادهسازی یک پروژه موفقیتآمیز آن را دستخوش بحرانهای شدیدی کنند.
این نکته را به یاد داشته باشید که حاکمیت امنیت اطلاعات، یک بخش ضروری و یکپارچه در حاکمیت سازمانی به شمار میرود. این موضوع در سالهای اخیر اهمیت بیشتری پیدا کرده است. بهطوریکه به یک قانون بینالمللی تبدیلشده و حتی درباره مواردی الزامات قانونی را در سطح جهانی به وجود آورده است. برآیند این قوانین باعث میشوند تا حریم خصوصی مشتریان و بهطور مثال دادههای مربوط به بیماران تحت لوای این قانون قرارگرفته و حریم خصوصی مشتریان بیشازپیش خصوصیتر باقی بماند. بر همین اساس بعضی از دولتها قوانینی را در این زمینه اتخاذ کرده و سازمانها را ملزم به اجرای آنها ساختهاند. ازجمله این قوانین و پیشنیازهای قانونی میتوان به King II Report در آفریقای جنوبی، ECT Act، SA و HIPPA Act و(HIPPA) در ایالاتمتحده اشاره کرد.
تفسیر ساده تحولات به وجود آمده اینگونه است که هیئتمدیره و مدیران ارشد سازمانها مسئولیت مستقیم اداره امور سازمان را بر عهده خواهند داشت و نسبت به حفظ تمام داراییهای اطلاعاتی یک سازمان به شیوه ایمن مسئول خواهند بود. این قوانین نهتنها مدیران را مقید میسازند که درزمینه حفظ امنیت و محافظت از داراییهای اطلاعاتی سازمان باید به شیوهای ایمن و مسئولانه رفتار کنند، بلکه آنها را ملزم میکنند که تدابیر لازم را برای حفظ امنیت اطلاعات به کار گرفته و برای ایمن نگهداشتن اطلاعات کاربران بیوقفه در تلاش و کوشش باشند. بیتوجهی به این قوانین نهتنها باعث به خطر افتادن داراییهای اطلاعاتی سازمان شده و تبعات مالی را برای سازمان به همراه دارد، بلکه مشکلات حقوقی و قانونی جدی را برای سازمانها به همراه خواهد آورد. این قوانین بهصراحت اعلام میکنند که مدیران اجرایی مسئول بروز هرگونه مشکل امنیتی در این زمینه هستند.
علاوه بر این، مدیر اجرایی مسئولیت دیگری را بر عهده دارد؛ او موظف است گزارش محافظت از داراییهای اطلاعاتی سازمان را بهطور منظم و مشروح در اختیار هیئتمدیره قرار دهد. درصورتیکه مدیران اجرایی آنگونه که از آنها انتظار میرود در این زمینه تلاشهای لازم را انجام نداده و در این زمینه سهلانگاری کرده باشند، تعهدات فردی خود و سازمان مطبوع خود را در معرض مشکلات جدی قرار خواهند داد.
این اشتباه ارتباط تنگاتنگی با اشتباه اول داشته، اما چالش خاص خود را دارد، به دلیل اینکه از زاویه دیگری مشکلساز میشود. مشکلات امنیتی یک سازمان تنها با ابزارهای فنی حل نمیشوند. اگر مدیر سازمانی در اسرع وقت مشکل را شناسایی کند، به همان نسبت در سریعترین زمان ممکن توانایی ارائه راهحل مربوطه را خواهد داشت؛ اما متأسفانه، در بسیاری از موارد، مدیران اجرایی در سازمانها بر این باور هستند که فناوری علاج همه مشکلات است، درنتیجه نهتنها مشکل را به دپارتمان فنی شرکت واگذار میکنند، بلکه مسئله را کماهمیت در نظر گرفته و بهسرعت آن را فراموش میکنند. اگر حمایت مناسب، مستقیم و مستمر مدیر اجرایی وجود نداشته باشد و همچنین سطح آگاهی درزمینه مشکل امنیتی کم باشد، مشکل امنیتی آنگونه که باید بهطور رضایت بخشی حل نخواهد شد. بیتوجهی به این مشکل باعث میشود، فناوری به امنیت اطلاعات وارد شود، اما در عمل هیچگونه راهحل جامعی برای برونرفت از مشکل ارائه نکند. درنتیجه سرمایههای یک سازمان بهراحتی از دست میروند.
.jpg)
امنیت اطلاعات رشتهای چندبعدی از فاکتورهای متعدد است. اگر در نظر دارید سنگ بنای یک محیط ایمن و مناسب را پایهریزی کنید که از همه داراییهای اطلاعاتی یک سازمان محافظت به عمل آورد، باید همه جنبههای امنیتی مرتبط با یکدیگر را موردتوجه قرار دهید. بهعبارتدیگر باید مؤلفههای مختلف موردبررسی قرار گیرند. امنیت اطلاعات ابعاد مختلفی را شامل میشود که از آن جمله میتوان به بعد حاکمیت سازمانی (Corporate Governance Dimension)، بعد سازمانی(Organizational Dimension)، بعـــــــد سیـــاســــتگـــــذاری (Policy Dimension)، بعد بهترین عملکرد (Best Practice Dimension)، بعد اخلاقی (Ethical Dimension)، بعـــد دریــــافـت مجــــوز (CertificationDimension)، بعد قانونی و بیمه (Legal dimension)، بعـــــد پــرسنلــی/انسانـــــی (Personnel/HumanDimension)، بعد آگاهی (Awareness Dimension)، بعد فنی (Technical Dimension)، بعد سنجش (Measurement/Metrics Dimension) و درنهایت بعد بازرسی (Audit Dimension) اشاره کرد.
ماهیت غیرساکن امنیت اطلاعات به ما اجازه نمیدهد با قاطعیت اعلام کنیم، مواردی که به آنها اشاره شد، کامل هستند، بهطوریکه فاکتورهای دیگری نیز وجود دارد، اما در بسیاری مواقع تعدادی از فاکتورها با یکدیگر همپوشانی دارند. کارشناسان امنیت اطلاعات یک سازمان باید به این نکته توجه داشته باشند که پیادهسازی یک الگوی موفق امنیتی به معنای بررسی دقیق تکتک مؤلفهها و محتوای آنها نیست، بلکه همه این فاکتورها باید بهصورت جمعی موردبررسی قرار گیرند تا یک محیط ایمن ساخته شود. اگر به فاکتورهایی که در پاراگراف قبل به آنها اشاره کردیم، با دقت نگاه کنید، مشاهده خواهید کرد که این ابعاد ماهیتی غیر فنی دارند. در صورت بیتوجهی به ابعادی که به آنها اشاره شد، یک راهکار ناموزون یا به عبارت دقیقتر یک راهکار سردرگم برای امنیت اطلاعات پیادهسازی خواهد شد که درنهایت باعث میشود، بهطور مداوم نیازمند اضافه کردن ابعاد دیگری به راهکار خود باشید، چهبسا در بعضی موارد یک موازی کاری پیش روی شما قرار گیرد.
امنیت اطلاعات با این هدف پایهگذاری میشود تا خطرات مرتبط با منابع اطلاعاتی یک سازمان را کاهش دهد. این برنامه، زمانی بهطور مؤثر و دقیق کارکرد اصلی خود را نشان میدهد که ریسکهای احتمالی و ماهیت داراییهایی که باید موردحفاظت قرار گیرند، از قبل شناساییشده باشند. در غیر این صورت پیادهسازی یک برنامه امنیتی بر مبنای حدس و گمان از اساس بیهوده بوده و فقط باعث از دست رفتن منابع مالی سازمان میشود. در این مورد ابتدا باید بررسی شود که احتمال رخداد چه تهدیداتی کم بوده و عدم توجه به کدامیک از ریسکها امنیت یک سازمان را به چالش میکشد. عدم تحلیل درست این عوامل باعث میشود تا سازمان سرمایهگذاری کلانی روی ریسکهایی انجام دهد که عملاً یک خطر جدی برای سازمان به شمار نمیروند. درنتیجه ریسکهای جدی به دست فراموشی سپرده شده و در درازمدت زمینهساز یک رخنه بزرگ در سازمان میشوند.
یک مدیر امنیت اطلاعات باید همواره سؤالهایی از خود پرسیده و به دنبال پاسخی برای آنها باشد؛ اما یک مدیر امنیت اطلاعات چه سؤالاتی را باید برای خود مطرح کند؟ سؤالات متعددی در این زمینه میتوان بیان کرد، اما دو سؤال زیر اهمیت بس به سزایی دارند.
در مقابل چه ریسکهایی باید از منابع اطلاعاتی سازمان محافظت کرد؟
کدامیک از راهکارهای پیش رو بهترین محافظت را در برابر ریسکها پیادهسازی میکنند؟
دو سؤالی که مطرح شد از کلیدیترین مباحث دنیای امنیت اطلاعات به شمار میروند. اگر مدیر امنیت یک سازمان نتواند برای این پرسشها پاسخ مناسبی پیدا کند آنگاه منابع مالی سازمان صرف پیادهسازی الگوهایی خواهد شد که عملاً بیفایده خواهند بود. در بحث دکترین حاکمیت امنیت اطلاعات در مقیاس بینالمللی کارشناسان به این سؤالات اینگونه پاسخ میدهند: «یادگیری و بهکارگیری تجارب امنیت اطلاعات که موفقیتی برای دیگران به همراه داشته است.» اگر نگاه دقیقی به امنیت اطلاعات، سرقت اطلاعات و هک شدن سازمانهای بزرگ داشته باشیم، بهخوبی مشاهده میکنیم تهدیدات امنیتی، ریسکهای حاصل از آنها و اقدامات متقابلی که از سوی سازمانهای مختلف در این زمینه اتخاذشده است در عمل شباهت بسیار زیادی به یکدیگر دارند. اگر سازمانی را پیدا کردید که تجربه عملی خود را در این حوزه و راهکارهای دفاعی اتخاذشده در برابر ریسکهای احتمالی را بهصورت مستند و مکتوب منتشر کرده است، سعی کنید از تجارب بهدستآمده از آن سازمان بهطور مستقیم در برنامهریزیهای امنیتی خود استفاده کنید. بهعبارتدیگر همواره به این سؤالها دقت داشته باشید:
چه لزومی دارد کاری را که توسط دیگران انجامشده است از نو انجام دهیم؟
چه لزومی دارد برای محیطهایی که بدون عیب هستند یک بازبینی مجدد پیادهسازی کنیم؟
جنبههای زیرساختی امنیت اطلاعات در بیشتر محیطهای فناوری اطلاعات شباهت یکسانی به یکدیگر دارند. بهطور مثال اگر سایتی در اثر حمله تزریق کد SQL مورد هجوم قرارگرفته است، این قاعده در مورد سایتهای دیگر نیز صدق میکند؛ اما حتی مجربترین مدیران امنیت اطلاعات سازمانی همواره این سؤال را مطرح میکنند که شیوه صحیح انجام کارها چگونه است؟ چگونه میتوانم به این حقیقت آگاه شوم که کار انجامشده به شیوه صحیحی پیادهسازی شده است؟ نکتهای که مدیران اطلاعاتی باید به آن توجه داشته باشند این است که مبحث امنیت اطلاعات یک رویکرد جدید و نو به شمار نمیرود. در طول سالها کارشناسان امنیتی و سازمانهای بزرگ اطلاعاتی توانستهاند نقطههای قوت پیادهسازی یک استراتژی امنیتی را کشف کنند. سازمانهای بزرگ رویکردهای خود را در قالب مجموعهای گسترده جمعآوری کرده و آنها را تحت یک سند واحد منتشر میسازند. سندی که در قالب استانداردها و دستورالعملهایی در اختیار جامعه امنیت قرار داده میشود. این اسناد در اختیار مدیران امنیت اطلاعات قرار میگیرند تا با استفاده از آنها خطمشیهای خود را سازماندهی کنند. سعی کنید تفسیر درستی از یک چهارچوب امنیتی داشته باشید، بهعبارتدیگر نباید اینگونه تصور کنید که الگوبرداری عینی از این چهارچوبها برای همیشه از شما در برابر تهدیدهای امنیتی محافظت میکنند، بلکه بکوشید از این اصول به شیوه مناسبی استفاده کنید. برای دسترسی به بهترین نمونههای عینی منتشرشده در این زمینه به آدرس ISO و Securityforum مراجعه کنید.
اگر به مستندات بینالمللی منتشرشده در ارتباط با مدیریت امنیت اطلاعات نگاهی داشته باشیم بهخوبی مشاهده میکنیم که همه این دستورالعملها بر یک سیاستگذاری صحیح در امنیت اطلاعات سازمانی تأکید دارند. بهطوریکه اتخاذ یک سیاستگذاری صحیح ضامن موفقیت همه برنامههای مدیریت امنیت اطلاعات است. پیادهسازی یک سیاستگذاری صحیح و کلی سرآغازی بر یک چهارچوب جامع است که همه سیاستهای خرد و کلان امنیت اطلاعات و استانداردها را تحتالشعاع خود قرار میدهد.
این سیاستگذاری باید کوتاه بوده و به امضای ارشدترین مقام سازمان برسد. امضای مدیر ارشد بهنوعی بیانگر یک تعهد است. بهطوریکه نشان از متعهد بودن مدیر اجرایی سازمان دارد. اگر مدیر اجرایی نسبت به سیاستگذاری امنیتی بیتفاوت باشد، آنگاه همه پروژهها و تلاشهای امنیتی در سطوح بالا فاقد نقطه مرجع و تعهد برداشت میشوند و همین موضوع عاملی در جهت عدم پیشرفت واقعی برنامهها خواهد بود. چهبسا ممکن است مشکلات عدیده دیگری را نیز به همراه داشته باشد.
اگر امکان نظارت و پیروی از سیاستهای اتخاذ شده در یک سازمان امکانپذیر نباشد، داشتن یک سیاست امنیت اطلاعاتی جامع در یک سازمان یا حتی برخورداری از سیاستهای خرد حمایتی و پیروی از الگوهای بینالمللی هیچگونه سودی به همراه نخواهد داشت. درصورتیکه سیاستهای اتخاذ شده قابلیت اجرا نداشته باشند خود عاملی برای بروز اختلال خواهند شد. مدیران امنیت اطلاعات باید بتوانند فارغ از مباحث فنی توانایی بازرسی و نظارت بر روند اجرای برنامههای امنیتی را داشته باشند و اگر بخشی از یک سازمان از این سیاستها پیروی نکرد، توانایی اتخاذ تصمیمهای لازم برای بخش مربوطه را داشته باشند. این بازرسیها که اغلب با ابزارهای نظارت و سنجش انجام میشوند نباید بر مبنای گزارشهای حسابرسی باشند که بهصورت سالیانه یا دوسالانه ارائه میشود. بهطور مثال آیا کارمندی که شش ماه از اخراجش گذشته است هنوز به سیستم دسترسی دارد یا خیر. ابزارهای نظارتی باید توانایی ارائه گزارشهای لحظهای را داشته باشند. این ابزارها همچنین باید بهگونهای طراحیشده باشند که بهطور مستقیم به سراغ اشتباه رخداده بروند تا مدیریت آن بهآسانی امکانپذیر باشد. اگر این سیاست بهاشتباه تفسیر شود، این ذهنیت را به وجود میآورد که ما همه سیاستهای لازم را به مرحله اجرا گذاشتهایم؛ اما در عمل دامنه اشتباهات بهمرورزمان گستردهتر شده و همچنین پیروی از الگوهای سیاستی نیز به دست فراموشی سپرده خواهند شد.
شرط لازم برای پیادهسازی یک طرح حاکمیت امنیت اطلاعات این است که سازمان از یک ساختار سازمانی مناسب برای این منظور تبعیت کند. این ساختار باید توجه ویژهای به نحوه سازماندهی و اجرای امنیت اطلاعات داشته باشد. پیادهسازی این ساختار توسط بسیاری از استانداردها برای مدیریت اطلاعات تأیید شده است. دستورالعملهای جهانی امنیت نشان میدهند که وجود یک ساختار سازمانی مناسب به معنای یک مرکز مشاوره برای امنیت اطلاعات ایفای نقش میکند و باعث میشود الگوی امنیت اطلاعات با موفقیت در یک سازمان پیادهسازی شود. این بُعد نهتنها ساختار را موردتوجه قرار میدهد، بلکه به جنبههایی همچون مسئولیتهای شغلی مرتبط با امنیت اطلاعات، ارتباط بین وظایف مرتبط با امنیت اطلاعات و مشارکت مدیران ارشد در امنیت اطلاعات نیز رسیدگی میکند. در این ساختار مشخص میشود کدام جنبههای مدیریت امنیت اطلاعات متمرکز و کدام جنبهها از درجه اهمیت کمتری به لحاظ متمرکز بودن برخوردار هستند. همچنین بهوضوح نشان میدهد در کدام بخشها باید نظارت، اجرا و پیروی از قوانین موردتوجه قرار گیرد. عدم توجه به این مسئله باعث میشود همه مشکلات امنیتی بهطور مستقیم به دست مدیر امنیت اطلاعات سپرده شود، درحالیکه مدیر امنیت مالک این اطلاعات نیست بلکه نقش یک متصدی را بر عهده دارد. اگر در ساختار امنیت اطلاعات، مالکیت اطلاعات بهدرستی تعریف نشود و افراد اطلاع نداشته باشند که در صورت افشای اطلاعات، آنها مسئول به خطر افتادن امنیت اطلاعات خواهند بود، آنگاه مخاطرات امنیتی بزرگی به وجود خواهد آمد. همچنین مسئولیتپذیری در ارتباط با امنیت اطلاعات باید در قالب یک وظیفه اشتراکی توسط همه کارکنان موردتوجه قرار گیرد. نه اینکه همه این موارد جزء مسئولیتهای مدیر امنیت اطلاعات در نظر گرفته شود. این مسئله نهتنها باید بهصورت شفاف نشان داده شود بلکه باید بهدرستی در چارت اصلی سازمان تعریفشده باشد.
هرچند این اشتباه کاملاً مشخص و روشن است و نیازی به هیچگونه توضیحی ندارد. در بسیاری از سازمانها هیچگونه برنامهای برای آگاهسازی صحیح کاربران وجود ندارد. بهطوریکه در بسیاری از موارد کاربران از ریسکهایی که پیرامون زیرساختهای مورداستفاده توسط آنها قرار دارد، هیچگونه اطلاعی ندارند. در بعضی از سازمانها کاربران حتی از سیاستگذاریهای امنیت اطلاعات و استانداردهایی که در شرکت تعریفشده است، نیز هیچگونه اطلاعی ندارند. اگر برای کاربران توضیح داده نشود که مشکلات امنیتی چه مشکلاتی هستند و برای پیشگیری از بروز آنها چه اقداماتی باید انجام شود، در صورت بروز مشکلات امنیتی نمیتوان آنها را مقصر دانست. بهطورکلی پولی که برای اطلاعرسانی جامع در ارتباط با افزایش سطح آگاهی کاربران مصرف میشود در مقایسه با پولی که صرف امنیت اطلاعات میشود بیشتر است، اما در غایت از بروز صدمات جبرانناپذیر جلوگیری به عمل میآورد.
این اشتباه ارتباط مستقیمی با اشتباهات شماره هفت و هشت دارد؛ اما بهعنوان یک مشکل اساسی موردتوجه قرار میگیرد. بسیار دیدهشده است که در سازمانها مدیران اجرایی فردی را بهعنوان مدیر امنیت اطلاعات تعیین میکنند و از او انتظار دارند تا همه مسائل مرتبط با امنیت اطلاعات را موردبررسی قرار دهد؛ اما در عمل به دلیل پیچیده بودن مکانیسمها و چندبُعدی بودن امنیت اطلاعات این کار امکانپذیر نیست. اتخاذ چنین الگویی باعث میشود، مدیران امنیت اطلاعات بهسرعت به این واقعیت آگاه شوند که توانایی انجاموظیفه خود را ندارند و رفتهرفته کنترل امنیت اطلاعات از دست آنها خارج میشود. این موضوع باعث میشود تا سازمان در معرض مخاطرات امنیتی جدی قرار گیرد، به این دلیل که پیوستگی درروند کنترل موضوعات وجود نخواهد داشت. درنتیجه برنامه امنیتی هیچگاه بهطور کامل پیادهسازی نخواهد شد
