Isengard
18th May 2010, 01:37 AM
چالشهاي امنيت اطلاعات در سازمانها
---------------------------------------
چکيده
تلاش براي حفظ امنيت اطلاعات، وظيفه هر فرد است. اين فرد ميتواند يک کاربر عادي، کارشناس فني، راهبر سيستم، راهبر شبکه و مدير يک سيستم يا شبکه در سازمان باشد. توجه به اهميت امنيت اطلاعات باعث ميشود اقدامات ضروري و اطمينان بخشي براي حفاظت از سيستمها صورت پذيرد و استفاده از مجموعهاي موثر از سياستهاي امنيتي، گام مهمي در جهت اطمينان از اين مساله است.
در آن صورت در بيشتر موارد کامپيوترها و اطلاعات، از دسترسيهاي غيرمجاز ايمن خواهند بود و ميتوان اطلاعات را بهصورت امن در شبکه با سايرين مبادله کرد. امنيت اطلاعات در سازمانهاي الکترونيکي به خصوص شهرداريها بهعنوان يکي از زيرساختها و الزامات اساسي مورد تاکيد قرار گرفته است، چراکه پايگاه دادههايشان حاوي اطلاعات محرمانه شهروندان يا مشتريان ميباشد.
اتخاذ سياستهاي امنيتي مناسب و اجراي صحيح آنها خطر از دست دادن ناگهاني اطلاعات را کاهش ميدهد، ورود غيرمجاز به سيستم را بسيار مشکلتر ميکند و ابزار امنيتي براي شناسايي حملات و اصلاح رخنههاي امنيتي را فراهم ميسازد. براي حفظ اطلاعات محرمانه و کمک به يکپارچگي برنامهها و اطلاعات ذخيره شده بايد تلفيقي از سياستگذاريها و پيادهسازي آن انجام شود. اين مقاله اجزاي مختلف سياستهاي امنيتي موثر براي سازمانهاي الکترونيکي به خصوص سازمانهاي شهرداري را پوشش ميدهد.
مقدمه
در سازمانهاي کوچک ممکن است شرايط تامين امنيت اطلاعات ساده باشد و هر کس مسووليت کامپيوترها و فايلهاي خود را بر عهده داشته باشد.
با اين حال براي گروههاي بزرگتر مثل سازمانهايي که با تراکنشهاي تجاري سروکار دارند يا گروههايي که از دادههاي محرمانه شهروندان يا مشتريان نگهداري ميکنند (مثل شهرداريها)، نياز به ايجاد سياستها و روالهاي رسمي امنيتي بيشتر اهميت پيدا ميکند [8].
هنگاميکه مديران و کارمندان موضوع امنيت اطلاعات را مدنظر قرار ميدهند، همواره با مسايل مشابهي مواجه خواهند بود. در نتيجه توجه به نقش اطلاعات به عنوان کالاي با ارزش در تجارت امروز و لزوم حفاظت از آن ضروري به نظر ميرسد.
هر گروه براي اطلاعات خود نياز به سطح معيني از امنيت و روالهاي شفاف و ساده براي به اجرا درآمدن توسط کارکنان، توانايي ايجاد و حفظ آگاهي از نيازهاي مشتريان، و درکي از چگونگي پيادهسازي سياستهاي امنيتي در يک محيط عملياتي دارد.
مديران براي نيل به اهداف تعيين شده بايد بر سياستهاي امنيت اطلاعات توجه موکد داشته باشند. همچنين درک هزينههاي پيادهسازي سياستهاي امنيتي کارآ از اهميت زيادي برخوردار است. فناوريها روالهاي امنيتي نوعي سرمايهگذاري به حساب ميآيند و بايد با توجه به هزينههاي ضايعات محتمل، مورد ارزيابي قرار گيرند.
اطلاعات مانند خوني است که در رگهاي سازمان جاري است و بدون اطلاعات هيات مديره (مغز شرکت) نميتواند تصميمات کليدي بگيرد و قسمتهاي خريد و پرسنلي و مالي (دهان، قلب و…) نميتوانند منابع مورد نياز خود را براي ادامه حيات سازمان به دست آورند.
نقش داده و اطلاعات در مديريت سازمانها، نقش حياتي و اساسي دارد، هرچه فضاي اطلاعاتي يک سازمان دقيقتر، منسجمتر و سيستماتيکتر باشد، سازمان بهتر ميتواند به اهدافش نايل آيد.
با توجه به اهميت اطلاعات، ميتوان گفت بحث دسترسي به اطلاعات و از سوي ديگر امنيت و حفاظت از اطلاعات در سطح کشوري براي حکمرانان و مديران از زمانهاي قديم مطرح بوده است. دستيابي به اطلاعات ميتواند موجب نابودي سازمان گردد. امکان از بين رفتن اطلاعات در اثر عوامل فيزيکي و عوامل تهديد کننده اطلاعات سازمان وجود دارد. اما با توسعه فناوري اطلاعات و استفاده از اطلاعات بهعنوان يک ابزار تجاري و سرمايه سودآور، بحث امنيت اطلاعات بعد جديدي به خود ميگيرد. در تجارت امروز، اطلاعات نقش سرمايه يک شرکت را ايفا ميکند و حفاظت از اطلاعات سازمان يکي از ارکان مهم بقاي آن ميباشد. به اين ترتيب، طبقبندي و ارزشگذاري و حفاظت از منابع اطلاعاتي، بسيار حياتي و مهم بهشمار ميآيد [1].
ضرورت توجه به امنيت اطلاعات
در دنياي امروز، هرچه بيشتر به ماشيني شدن قدم ميگذاريم ديگر روابط چهره به چهره و مستقيم و راهحلهاي قديمي نميتواند پاسخگوي مشکلات ما باشد. در شهرهاي امروز ما با افزايش جمغيت و در نتيجه آن افزايش ترافيک شهري روبهرو هستيم. کاغذبازيهاي پيشين، ديگر نميتواند روش مناسب در جهت رسيدگي به کارهاي اداري شهروندان باشد. از اين سازمانهاي مهم نظير شهرداريها در شهرهاي بزرگ که به نوعي قلب شهر محسوب ميشوند بايد دست از روشهاي پيشين برداشته و وارد دنياي فناوري اطلاعات و دنياي دولت الکترونيک شويم [5].
در اينجاست که شهرداري الکترونيک و فناوري اطلاعات، داراي يک نقش حياتي و تعيينکننده در اکثر سازمانهاي شهرداري است. بعد از اجرايي شدن برنامه الکترونيکي خدمات شهرداري، شهروندان از طريق شبکههاي بينالمللي اينترنت و يا اينترنت شهري ميتوانند خدمات مورد نياز خود مانند پرداخت عوارض خودرو، عوارض نوسازي، عوارض و درخواست صدور پروانه، ارجاعنامهها به صورت الکترونيکي و پيگري نامههاي در گردش در مراحل مختلف در شهرداري را بدون مراجعه حضوري در شهرداري دريافت کنند [6].
امروزه زيرساخت فناوري اطلاعات سازمانها در محيطي قرار گرفتهاند که بهطور فزآينده بر تعداد دشمنان و مهاجماني که علاقهمند به حضور مستمر، مطمئن و سودمند سيستمهاي کامپيوتري نميباشد، افزوده ميگردد. دنيايي که در آن فعاليتهاي بسيار سريعتر و مطمئنتر انجام ميگيرد و نيازي به تراکم جمعيت در دنياي فيزيکي نيست. بايد براي کاهش ترافيک شهري، هزينههاي انجام کار، برخوردها و ناراحتيهاي رواني، فساد اداري و غيره که همه روزه در سازمانهاي شهرداري با آن روبهرو هستيم چارهاي انديشيد و بهترين راهحل ايجاد يک چارچوب امنيتي فعال و پويا براي هر سازمان ميباشد.
3- بعضي شاخصهاي آماري امنيت اطلاعات در سازمانها
تحقيق جهاني امنيت اطلاعات ارنست و يانگ در سال 2003 نشان ميدهد که 90% سازمانها معتقدند امنيت اطلاعات براي دستيابي آنها به اهداف کليشان بسيار حايز اهميت است. 78% از سازمانها عنوان کردند که اولين هدفشان از تلاش براي تامين امنيت اطلاعات کاهش مخاطرات ميباشد. اين سازمانها شامل 1000 شرکت ثروتمند ميشدند که بخشي از منابع خود را براي مبارزه با مسايل امنيتي اختصاص داده بودند. در ادامه اين تحقيق:
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاساه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند [8].
4- عوامل تهديدکننده اطلاعات
امنيت اطلاعات، ويژه يک يا چند دستگاه کامپيوتر نيست، بلکه شامل کل سازمان است. وجود اصول و اساسنامه در زمينه ايمنسازي اطلاعات سازمان، از در ورودي تا محل قرار گرفتن اطلاعات لازم است. تعريف امنيت مرزها را ميشکند و کليه عوامل تهديدکننده اطلاعات سازمان را در برميگيرد. بنابراين داشتن برنامه و استراتژي جامع و کاملي که تمام موارد تهديدکننده و چگونگي برخورد با هريک را مشخص ميکند از اولويتهاي برنامه هر سازمان ميباشد [2].
در زير به برخي از عوامل تهديدکننده اطلاعات در سازمانها اشاره ميشود:
1-4 تهديدات فيزيکي
● بلاي طبيعي (آتشسوزي، زلزله، و…)؛
● دزدي؛
● تخريب؛
● تداخلهاي فيزيکي؛
● تخريب شبکه؛
● جاسوسي سازمانيافته.
2-4 امنيت فيزيکي
اولين مرحله اين است که اطمينان حاصل کنيد کامپيوتر به لحاظ فيزيکي ايمن است. اين مرحله ممکن است بسته به اينکه کامپيوتر را در کجا قرار دادهايد يا اينکه کامپيوتر و دادهها از چه حساسيتي برخوردار هستند يک قسمت جزيي يا يک قسمت بسيار مهم محسوب شود.
امنيت فيزيکي همه کارهايي است که بيش از تايپ فرامين روي صفحه کليد انجام ميشود؛ مثل ساختن سيستم اعلام خطر، قفل کردن يک کليد روي منبع برق کامپيوتر، اتاقک قفل شده و مجهز به دوربين مداربسته کامپيوتر، و مقسمهاي برق و منبع برق وقفهناپذير، امنيت فيزيکي عليرغم اينکه مساله بسيار مهمي است، بيشتر وقتها ناديده گرفته ميشود [8].
3-4 تهديدات نرمافزاري
● نفوذ به ديوارههاي آتش؛
● بدافزارها (ويروسها، تراواها، کرمها)؛
● انتشار غيرمجاز يا تخريب دادهها؛
● جاسوسي سازمانيافته بهوسيله ابزارهاي ديجيتالي.
از موضع تهديدات انساني، شرکت بايد عوامل خرابکار داخلي و خارجي را شناسايي کند. در برخي موارد نقض امنيت داخلي ميتواند ناشي از خطاي انساني باشد، يک سهلانگاري ساده، بيتوجهي، يا عدم آموزش کافي کارمندان [8].
در يک نظرسنجي از 100 شرکت خدمات مالي جهاني، 91% از افرادي که مورد پرسش قرار گرفتند، درباره ناتواني خود در رسيدگي به مشکلات درون سازماني اظهار نگراني کردند.
اين در حالي است که 79% از آنها عامل انساني را علت بنيادين عمده معضلات ميدانند. عليرغم اين مسأله و بهکارگيري ابزارهاي امنيتي مختلف، آمار در اين نظرسنجي نشان ميدهد که 22% آنها در سال گذشته هيچ برنامه آموزشي جديدي براي کارکنان خود در نظر نگرفتهاند؛ و تنها در 30% موارد نيروي کار جديد آنها آنقدر با تجربه هستند که بههنگام بروز بحران، عکسالعمل مناسبي نشان دهند. در نتيجه ميتوان گفت که بيشترين ميزان خسارت از طريق اشتباههاي انساني به سيستم اطلاعاتي وارد ميشود. عدم ارايه آموزشهاي مناسب و عدم آگاهي و روزآمدسازي اطلاعات توسط کاربران و گاه بيتوجهي آنها در کار موجب تحميل هزينههاي سنگين بر سازمان ميشود. که با آموزش و آگاهي در کنار مديريت شناسايي هعويت افراد و روش دستيابي آنها به اطلاعات بخش مهمي از مسايل مربوط به کاربران اطلاعاتي حل خواهد شد [3].
سازمانها بايد در اقدامي نوآورانه با ترکيبي از عمليات امنيتي IT و شخص تلاش کنند تا در جريان فعاليتهاي کارکنان خود قرار گيرند. وجود حمايتهاي و غيردولتي در داخل کشور و حملات به سيستمهاي داخلي سازمانها و شرکتها را ميتوان يکي ديگر از تهديدها ارزيابي کرد. از مهمترين اقدامات براي مقابله با اين با اين تهديدات، ميتوان به موارد زير اشاره کرد:
ايجاد شبکههاي ملي اينترنت با پهناي باند مناسب، ايجاد مرکز امداد براي حملات، تجهيز آزمايشگاهها در مراکز تحقيقاتي براي امر خودکفايي، ايجاد دورههاي آموزش براي مديران و روساي حوزه، سند امنيت فضاي تبادل اطلاعات کشور به مفهوم مرکز اشتراک و تبادل اطلاعات [4].
4-4 راهکارها:
رويکرد اغلب سازمانها در مواجه با تهديدات، خريد محصولات امنيتي مانند فايروال و برنامههاي ضدويروس، و به کارگيري آنها در سيستمهاي کامپيوتري بوده است. استفاده از گرانقيمتترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي، استفاده از روالهاي استاندارد در بهکارگيري و کنترل سيستمهاي امنيتي و بهروزساني مداوم اين سيستمها به تنهايي کارساز نخواهد بود. مديريت امنيت اطلاعات و سيستم امنيت اطلاعات راهکار حل مشکلات مذکور ميباشد [7].
4-5 مديريت امنيت اطلاعات
مديريت امنيت اطلاعات بخشي از مديريت اطلاعات است که وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اهداف و ارايه راهکارهاي لازم را بر عهده دارد. همچنين مديريت امنيت وظيفه پيادهسازي و کنترل عملکرد سيستم امنيت سازمان را برعهده داشته و در نهايت بايد تلاش کند تا سيستم را هميشه را هميشه روزآمد نگه دارد. هدف مديريت امنيت اطلاعات در يک سازمان، حفظ سرمايههاي (نرمافزاري، سختافزاري، اطلاعتي و ارتباطي و نيروي انساني) سازمان در مقابل هرگونه تهديد (اعم از دسترسي غيرمجاز به اطلاعات، خطرات ناشي از محيط و سيستم و خطرات ايجاد شده از سوي کاربران) است (دشتي، 1384: 159). و براي رسيدن به اين اهداف نياز به يک برنامه منسجم دارد. سيستم امنيت اطلاعات راهکاري براي رسيدن به اين هدف ميباشد [7].
6-4 طراحي سيستم امنيت اطلاعات
يکي از وظايف مديريت امنيت بررسي و ايجاد يک سيستم امنيت اطلاعات است که متناسب با اهداف سازمان باشد. براي طراحي اين سيستم بايد عوامل مختلفي را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادي، بررسي خطرات و محاسبه خسارتهاي احتمالي و تخمين هزينه، سودمندي استفاده از سيستم امنيت اطلاعات، بررسي تهديدات احتمالي و بررسي راهکارهاي مختلف و انتخاب سودمندترين روش براي طراحي سيستمهاي امنيت اطلاعات ضروري به نظر ميرسد [7].
5- نکاتي در طراحي سيستمهاي امنيت اطلاعات در سازمانهاي شهرداري
پيادهسازي و استقرار امنيت اطلاعات در سازمانهاي شهرداري ممکن است براساس کارآيي، سهولت استفاده، و برقراري ارتباط با ساير بخشها و سازمانها مورد بررسي قرار گيرد. از آنجا که بهطور کلي در بافتهاي دولتي مساله سودآوري مطرح نيست، در نتيجه بودجه کنترل وجود دارد و باعث ميشود توانايي سازمان در تهيه جديدترين سختافزارها و نرمافزارهاي امنيتي محدود شود. همزمان سازمانهاي شهرداري بايد بر حفاظت از دادهعا نيز تمرکز کنند، چراکه پايگاه دادههايشان حاوي اطلاعات حساسي در مورد افراد است؛ اطلاعاتي از قبيل اطلاعات فردي و سوابق پزشکي، و ماليات.
متاسفانه حتي در سازمانهاي شهرداري کشور نيز حفاظت اطلاعات دچار مشکل است و از سيستمها يمنسوخ، سرمايهگذاريهاي نامناسب و کارمندان از کارافتادهاي که فاقد شايستگيهاي لازم در بعد امنيت اطلاعات هستند رنج ميبرند.
به هرحال ميان سطوح مديريتي تنشهايي وجود دارد. بدون برنامه کلي براي ايجاد يک محيط امن براي فناوري اطلاعات، هر قسمت ممکن است يک راهکار براي برقراري امنيت اطلاعات توسعه دهد که از ماموريتها، اهداف، و مقاصد عملياتي همان قسمت ناشي شده و ممکن است به همان اندازه که براي يک قسمت مناسب است براي قسمتهاي ديگر چندان به کار نيايد. اين راهکارهاي مختلف ممکن است باعث شوند امنيت اطلاعات در بعضي حوزهها بيش از حد مورد نياز يا کمتر از حد مورد نياز تامين شده باشد؛ در حاليکه وجود نظارت از طرف مديريت سطوح بالا تضمين خواهد کرد که تجارب امنيتي بهگونهاي تنظيم ميشوند که مجموعه سازمان بتواند عملکرد بهتري داشته باشد.
6- دلايل ضعف در امنيت اطلاعات
برنامههاي نرمافزاري غالبا بدون در نظر گرفتن مسايل امنيتي توليد ميشوند. اين مساله چند دليل دارد:
● سهلانگاري- برنامهنويسان و طراحان از اهميت نکات امنيتي اطلاعي ندارند.
● اولويت پايين- تا چندي قبل حتي کساني که نسبت به نکات امنيتي آگاهي اسبت به آن اقدام چنداني نميکردند و در نتيجه مسايل امنيتي مورد توجه لازم واقع نميشد.
● خلاقيت تبهکاران- انسان موجود خلاقي است و افراد با انگيزه، هميشه براي غلبه بر موانع امنيتي و کشف اشتباهاتي که منجر به نقايص امنيتي شوند، راهي پيدا خواهند کرد.
● سطح پايين آگاهي کاربران- کاربران معمولي (قربانيان تخلفات امنيتي) بهطور طبيعي از تهديدهاي اطراف خود آگاهي ندارند و به همين دليل در پي راههاي مناسب جهت تضمين امنيت دادهها و سيستمهاي خود نيستند.
● بينظمي برنامهنويسان- در کارهاي مربوط به برنامهنويسي اشتباهات مشابه چندين بار تکرار ميشوند و باعث ايجاد نقايص امنيتي ميگردند [8].
7- براي محافظت از اطلاعات سازمان- نسخههاي پشتيبان تهيه نماييد به چند دليل ممکن است اطلاعات از بين بروند که برخي از آنها به شرح زير آمده است:
• پاک شدن اتفاقي فايل؛
• دزديده شدن کامپيوتر؛
• ذخيره ناخواسته يک فايل بر روي فايل ديگر؛
• روند نادرست به اجرا درآمدن يک برنامه بهگونهاي که باعث تغيير يا پاک شدن اطلاعات شود؛
• وجود يک برنامه مخرب (مثل ويروس) که باعث تغيير، بازنويسي و يا حذف اطلاعات شود؛
• آتشسوزي و استفاده از آب براي خاموش کردن کامپيوتر سوخته، که باعث غيرقابل بازيابي شدن اطلاعات ميشود.
• و…
يکي از راهحلها براي مقابله با ايت نهديدات، تهيه نسخههاي پشتيبان ميباشد. نسخه پشتيبان به خودي خود يک کپي از فايل يا مجموعهاي از فايلها است که با انتقال به يک ديسک فلاپي و يا ديسک فشرده از آن نگهداري ميشود. چنانچه فابل اصلي به هر دليلي از بين برود يا پاک شود ميتوان از نسخه پشتيبان استفاده کرد و آن را جايگزين فايل قبلي کرد. مهمترين نکته در مورد نسخههاي پشتيبان اين است که تهيه پشتيبان بايد در فواصل زماني منظم صورت بگيرد [8].
8- نتيجهگيري
يک سازمان علاوه بر تامين امنيت منابع اطلاعاتي خود، بايد متعهد باشد که مجموعه سياستهايي را براي ايمن ساختن اطلاعات سازمان خود تنظيم کند. اين سياستها نقش مهمي در امنيت اطلاعات دارد، ولي با اين حال تناقضي نيز وجود خواهد داشت و آن اينکه چهارچوب سياست سازمان بايد قادر به افزايش سطح امنيت باشد. روشهاي برخورد با ناامني از طريق شناسايي بحران و عوامل ناامني و محدودکننده ناامني و همچنين ابزار کنترل آن تعيين ميگردد.
در اينجا وجود اطلاعات کافي و سيستمهاي کافي و مناسب براي بهکارگيري اطلاعات و همچنين برنامههاي مناسب جهت پيشگيري و در صورت وقوع، کنترل بحران (برنامههاي شهري مناسب) از اصليترين مولفههاي مورد نياز جهت حفظ و توسعه امنيت اطلاعات ميباشد.
مراجع
[1] دکتر عليرضا احمدي، دانشيار علم و صنعت، ICT Strategic Planning T، انتشارات توليد دانش، تابستان 1383،
[2] Communications of the ACM, Volume 32, Number 6, June 1989 (the entire issue).
[3] wib site: www. Howstuffwork.com
[5] website: www. Srco.ir
[6] سخنراني همايون يزدان پناه دربرگزاري همايش مديران فاواي شهرداريهاي کشور در اصفهان. (خبرگزاري موج)
[7] <http://ict.moe.org.i/Homepage.aspx.aspx?tabid=4704&site (http://njavan.com/forum/redirector.php?url=http%3A%2F%2Fict.moe.org.i%2FHo mepage.aspx.aspx%3Ftabid%3D4704%26site)= ict.moe.org&Lang= fa
[8] George Sadowsky: James X. Dempsey: Alan Greenberg: Barbara J. Mack: Alan Schwartz: IT Secrity Handbook: infoDev, Worldbank: 2003.
Web site: رياضي، معاون فناوري ارتباطات و اطلاعات،
سازمان پدافند غیرعامل جمهوری اسلامی ایران
منبع اصلی : ماهنامه عصر فناوري اطلاعات- شماره 51- صفحات 75- 78
دکتر اميرحسين اميرخاني
جميله توکلي
---------------------------------------
چکيده
تلاش براي حفظ امنيت اطلاعات، وظيفه هر فرد است. اين فرد ميتواند يک کاربر عادي، کارشناس فني، راهبر سيستم، راهبر شبکه و مدير يک سيستم يا شبکه در سازمان باشد. توجه به اهميت امنيت اطلاعات باعث ميشود اقدامات ضروري و اطمينان بخشي براي حفاظت از سيستمها صورت پذيرد و استفاده از مجموعهاي موثر از سياستهاي امنيتي، گام مهمي در جهت اطمينان از اين مساله است.
در آن صورت در بيشتر موارد کامپيوترها و اطلاعات، از دسترسيهاي غيرمجاز ايمن خواهند بود و ميتوان اطلاعات را بهصورت امن در شبکه با سايرين مبادله کرد. امنيت اطلاعات در سازمانهاي الکترونيکي به خصوص شهرداريها بهعنوان يکي از زيرساختها و الزامات اساسي مورد تاکيد قرار گرفته است، چراکه پايگاه دادههايشان حاوي اطلاعات محرمانه شهروندان يا مشتريان ميباشد.
اتخاذ سياستهاي امنيتي مناسب و اجراي صحيح آنها خطر از دست دادن ناگهاني اطلاعات را کاهش ميدهد، ورود غيرمجاز به سيستم را بسيار مشکلتر ميکند و ابزار امنيتي براي شناسايي حملات و اصلاح رخنههاي امنيتي را فراهم ميسازد. براي حفظ اطلاعات محرمانه و کمک به يکپارچگي برنامهها و اطلاعات ذخيره شده بايد تلفيقي از سياستگذاريها و پيادهسازي آن انجام شود. اين مقاله اجزاي مختلف سياستهاي امنيتي موثر براي سازمانهاي الکترونيکي به خصوص سازمانهاي شهرداري را پوشش ميدهد.
مقدمه
در سازمانهاي کوچک ممکن است شرايط تامين امنيت اطلاعات ساده باشد و هر کس مسووليت کامپيوترها و فايلهاي خود را بر عهده داشته باشد.
با اين حال براي گروههاي بزرگتر مثل سازمانهايي که با تراکنشهاي تجاري سروکار دارند يا گروههايي که از دادههاي محرمانه شهروندان يا مشتريان نگهداري ميکنند (مثل شهرداريها)، نياز به ايجاد سياستها و روالهاي رسمي امنيتي بيشتر اهميت پيدا ميکند [8].
هنگاميکه مديران و کارمندان موضوع امنيت اطلاعات را مدنظر قرار ميدهند، همواره با مسايل مشابهي مواجه خواهند بود. در نتيجه توجه به نقش اطلاعات به عنوان کالاي با ارزش در تجارت امروز و لزوم حفاظت از آن ضروري به نظر ميرسد.
هر گروه براي اطلاعات خود نياز به سطح معيني از امنيت و روالهاي شفاف و ساده براي به اجرا درآمدن توسط کارکنان، توانايي ايجاد و حفظ آگاهي از نيازهاي مشتريان، و درکي از چگونگي پيادهسازي سياستهاي امنيتي در يک محيط عملياتي دارد.
مديران براي نيل به اهداف تعيين شده بايد بر سياستهاي امنيت اطلاعات توجه موکد داشته باشند. همچنين درک هزينههاي پيادهسازي سياستهاي امنيتي کارآ از اهميت زيادي برخوردار است. فناوريها روالهاي امنيتي نوعي سرمايهگذاري به حساب ميآيند و بايد با توجه به هزينههاي ضايعات محتمل، مورد ارزيابي قرار گيرند.
اطلاعات مانند خوني است که در رگهاي سازمان جاري است و بدون اطلاعات هيات مديره (مغز شرکت) نميتواند تصميمات کليدي بگيرد و قسمتهاي خريد و پرسنلي و مالي (دهان، قلب و…) نميتوانند منابع مورد نياز خود را براي ادامه حيات سازمان به دست آورند.
نقش داده و اطلاعات در مديريت سازمانها، نقش حياتي و اساسي دارد، هرچه فضاي اطلاعاتي يک سازمان دقيقتر، منسجمتر و سيستماتيکتر باشد، سازمان بهتر ميتواند به اهدافش نايل آيد.
با توجه به اهميت اطلاعات، ميتوان گفت بحث دسترسي به اطلاعات و از سوي ديگر امنيت و حفاظت از اطلاعات در سطح کشوري براي حکمرانان و مديران از زمانهاي قديم مطرح بوده است. دستيابي به اطلاعات ميتواند موجب نابودي سازمان گردد. امکان از بين رفتن اطلاعات در اثر عوامل فيزيکي و عوامل تهديد کننده اطلاعات سازمان وجود دارد. اما با توسعه فناوري اطلاعات و استفاده از اطلاعات بهعنوان يک ابزار تجاري و سرمايه سودآور، بحث امنيت اطلاعات بعد جديدي به خود ميگيرد. در تجارت امروز، اطلاعات نقش سرمايه يک شرکت را ايفا ميکند و حفاظت از اطلاعات سازمان يکي از ارکان مهم بقاي آن ميباشد. به اين ترتيب، طبقبندي و ارزشگذاري و حفاظت از منابع اطلاعاتي، بسيار حياتي و مهم بهشمار ميآيد [1].
ضرورت توجه به امنيت اطلاعات
در دنياي امروز، هرچه بيشتر به ماشيني شدن قدم ميگذاريم ديگر روابط چهره به چهره و مستقيم و راهحلهاي قديمي نميتواند پاسخگوي مشکلات ما باشد. در شهرهاي امروز ما با افزايش جمغيت و در نتيجه آن افزايش ترافيک شهري روبهرو هستيم. کاغذبازيهاي پيشين، ديگر نميتواند روش مناسب در جهت رسيدگي به کارهاي اداري شهروندان باشد. از اين سازمانهاي مهم نظير شهرداريها در شهرهاي بزرگ که به نوعي قلب شهر محسوب ميشوند بايد دست از روشهاي پيشين برداشته و وارد دنياي فناوري اطلاعات و دنياي دولت الکترونيک شويم [5].
در اينجاست که شهرداري الکترونيک و فناوري اطلاعات، داراي يک نقش حياتي و تعيينکننده در اکثر سازمانهاي شهرداري است. بعد از اجرايي شدن برنامه الکترونيکي خدمات شهرداري، شهروندان از طريق شبکههاي بينالمللي اينترنت و يا اينترنت شهري ميتوانند خدمات مورد نياز خود مانند پرداخت عوارض خودرو، عوارض نوسازي، عوارض و درخواست صدور پروانه، ارجاعنامهها به صورت الکترونيکي و پيگري نامههاي در گردش در مراحل مختلف در شهرداري را بدون مراجعه حضوري در شهرداري دريافت کنند [6].
امروزه زيرساخت فناوري اطلاعات سازمانها در محيطي قرار گرفتهاند که بهطور فزآينده بر تعداد دشمنان و مهاجماني که علاقهمند به حضور مستمر، مطمئن و سودمند سيستمهاي کامپيوتري نميباشد، افزوده ميگردد. دنيايي که در آن فعاليتهاي بسيار سريعتر و مطمئنتر انجام ميگيرد و نيازي به تراکم جمعيت در دنياي فيزيکي نيست. بايد براي کاهش ترافيک شهري، هزينههاي انجام کار، برخوردها و ناراحتيهاي رواني، فساد اداري و غيره که همه روزه در سازمانهاي شهرداري با آن روبهرو هستيم چارهاي انديشيد و بهترين راهحل ايجاد يک چارچوب امنيتي فعال و پويا براي هر سازمان ميباشد.
3- بعضي شاخصهاي آماري امنيت اطلاعات در سازمانها
تحقيق جهاني امنيت اطلاعات ارنست و يانگ در سال 2003 نشان ميدهد که 90% سازمانها معتقدند امنيت اطلاعات براي دستيابي آنها به اهداف کليشان بسيار حايز اهميت است. 78% از سازمانها عنوان کردند که اولين هدفشان از تلاش براي تامين امنيت اطلاعات کاهش مخاطرات ميباشد. اين سازمانها شامل 1000 شرکت ثروتمند ميشدند که بخشي از منابع خود را براي مبارزه با مسايل امنيتي اختصاص داده بودند. در ادامه اين تحقيق:
• بيش از 34% از سازمانها اظهار ميکنند که قدرت کافي براي تشخيص اين که آيا سيستمهايشان در حال حاضر مورد حمله قرار دارند يا خير را ندارند.
• بيش از 33% اظهار ميکنند که توانايي ارايه عکسالعمل مناسب در واکنش به رخدادهاي امنيتي را ندارند.
• تنها 34% از سازمانها ادعا ميکنند که حاضر به اطاعت از ضوابط امنيتي قابل اجرا ميباشند.
• 56% سازمانها بودجه ناکافي را مانع اصلي تامين موثر امنيت اطلاعات ميدانند.
• حدود 60% از سازمانها اظهار ميکنند که بازگشت سرمايه را براي امنيت اطلاعاتي به ندرت محاسبه ميکنند يا هرگز محاساه نميکنند.
• تنها 29% سازمانها آموزش و آگاهي کارمندان را به عنوان قسمتي که بيشترين سرمايهگذاري براي امنيت اطلاعات را روي آن داشتهاند ذکر ميکنند؛ در مقابل 83% از فناوري به عنوان اولويت اول سرمايهگذاري خود در تامين امنيت اطلاعات نام مي برند.
• تنها 35% از سازمانها اظهار ميکنند که براي کارکنان برنامههاي پيوسته اطلاعرساني و آموزشي دارند. اين آمارها حاکي از اين هستند که همه سازمانها فشارهاي مالي و رواني تهديدهاي امنيت اطلاعات را حس ميکنند [8].
4- عوامل تهديدکننده اطلاعات
امنيت اطلاعات، ويژه يک يا چند دستگاه کامپيوتر نيست، بلکه شامل کل سازمان است. وجود اصول و اساسنامه در زمينه ايمنسازي اطلاعات سازمان، از در ورودي تا محل قرار گرفتن اطلاعات لازم است. تعريف امنيت مرزها را ميشکند و کليه عوامل تهديدکننده اطلاعات سازمان را در برميگيرد. بنابراين داشتن برنامه و استراتژي جامع و کاملي که تمام موارد تهديدکننده و چگونگي برخورد با هريک را مشخص ميکند از اولويتهاي برنامه هر سازمان ميباشد [2].
در زير به برخي از عوامل تهديدکننده اطلاعات در سازمانها اشاره ميشود:
1-4 تهديدات فيزيکي
● بلاي طبيعي (آتشسوزي، زلزله، و…)؛
● دزدي؛
● تخريب؛
● تداخلهاي فيزيکي؛
● تخريب شبکه؛
● جاسوسي سازمانيافته.
2-4 امنيت فيزيکي
اولين مرحله اين است که اطمينان حاصل کنيد کامپيوتر به لحاظ فيزيکي ايمن است. اين مرحله ممکن است بسته به اينکه کامپيوتر را در کجا قرار دادهايد يا اينکه کامپيوتر و دادهها از چه حساسيتي برخوردار هستند يک قسمت جزيي يا يک قسمت بسيار مهم محسوب شود.
امنيت فيزيکي همه کارهايي است که بيش از تايپ فرامين روي صفحه کليد انجام ميشود؛ مثل ساختن سيستم اعلام خطر، قفل کردن يک کليد روي منبع برق کامپيوتر، اتاقک قفل شده و مجهز به دوربين مداربسته کامپيوتر، و مقسمهاي برق و منبع برق وقفهناپذير، امنيت فيزيکي عليرغم اينکه مساله بسيار مهمي است، بيشتر وقتها ناديده گرفته ميشود [8].
3-4 تهديدات نرمافزاري
● نفوذ به ديوارههاي آتش؛
● بدافزارها (ويروسها، تراواها، کرمها)؛
● انتشار غيرمجاز يا تخريب دادهها؛
● جاسوسي سازمانيافته بهوسيله ابزارهاي ديجيتالي.
از موضع تهديدات انساني، شرکت بايد عوامل خرابکار داخلي و خارجي را شناسايي کند. در برخي موارد نقض امنيت داخلي ميتواند ناشي از خطاي انساني باشد، يک سهلانگاري ساده، بيتوجهي، يا عدم آموزش کافي کارمندان [8].
در يک نظرسنجي از 100 شرکت خدمات مالي جهاني، 91% از افرادي که مورد پرسش قرار گرفتند، درباره ناتواني خود در رسيدگي به مشکلات درون سازماني اظهار نگراني کردند.
اين در حالي است که 79% از آنها عامل انساني را علت بنيادين عمده معضلات ميدانند. عليرغم اين مسأله و بهکارگيري ابزارهاي امنيتي مختلف، آمار در اين نظرسنجي نشان ميدهد که 22% آنها در سال گذشته هيچ برنامه آموزشي جديدي براي کارکنان خود در نظر نگرفتهاند؛ و تنها در 30% موارد نيروي کار جديد آنها آنقدر با تجربه هستند که بههنگام بروز بحران، عکسالعمل مناسبي نشان دهند. در نتيجه ميتوان گفت که بيشترين ميزان خسارت از طريق اشتباههاي انساني به سيستم اطلاعاتي وارد ميشود. عدم ارايه آموزشهاي مناسب و عدم آگاهي و روزآمدسازي اطلاعات توسط کاربران و گاه بيتوجهي آنها در کار موجب تحميل هزينههاي سنگين بر سازمان ميشود. که با آموزش و آگاهي در کنار مديريت شناسايي هعويت افراد و روش دستيابي آنها به اطلاعات بخش مهمي از مسايل مربوط به کاربران اطلاعاتي حل خواهد شد [3].
سازمانها بايد در اقدامي نوآورانه با ترکيبي از عمليات امنيتي IT و شخص تلاش کنند تا در جريان فعاليتهاي کارکنان خود قرار گيرند. وجود حمايتهاي و غيردولتي در داخل کشور و حملات به سيستمهاي داخلي سازمانها و شرکتها را ميتوان يکي ديگر از تهديدها ارزيابي کرد. از مهمترين اقدامات براي مقابله با اين با اين تهديدات، ميتوان به موارد زير اشاره کرد:
ايجاد شبکههاي ملي اينترنت با پهناي باند مناسب، ايجاد مرکز امداد براي حملات، تجهيز آزمايشگاهها در مراکز تحقيقاتي براي امر خودکفايي، ايجاد دورههاي آموزش براي مديران و روساي حوزه، سند امنيت فضاي تبادل اطلاعات کشور به مفهوم مرکز اشتراک و تبادل اطلاعات [4].
4-4 راهکارها:
رويکرد اغلب سازمانها در مواجه با تهديدات، خريد محصولات امنيتي مانند فايروال و برنامههاي ضدويروس، و به کارگيري آنها در سيستمهاي کامپيوتري بوده است. استفاده از گرانقيمتترين محصولات امنيتي بدون شناخت و تحليل دقيق نيازهاي امنيتي، استفاده از روالهاي استاندارد در بهکارگيري و کنترل سيستمهاي امنيتي و بهروزساني مداوم اين سيستمها به تنهايي کارساز نخواهد بود. مديريت امنيت اطلاعات و سيستم امنيت اطلاعات راهکار حل مشکلات مذکور ميباشد [7].
4-5 مديريت امنيت اطلاعات
مديريت امنيت اطلاعات بخشي از مديريت اطلاعات است که وظيفه تعيين اهداف امنيت و بررسي موانع سر راه رسيدن به اهداف و ارايه راهکارهاي لازم را بر عهده دارد. همچنين مديريت امنيت وظيفه پيادهسازي و کنترل عملکرد سيستم امنيت سازمان را برعهده داشته و در نهايت بايد تلاش کند تا سيستم را هميشه را هميشه روزآمد نگه دارد. هدف مديريت امنيت اطلاعات در يک سازمان، حفظ سرمايههاي (نرمافزاري، سختافزاري، اطلاعتي و ارتباطي و نيروي انساني) سازمان در مقابل هرگونه تهديد (اعم از دسترسي غيرمجاز به اطلاعات، خطرات ناشي از محيط و سيستم و خطرات ايجاد شده از سوي کاربران) است (دشتي، 1384: 159). و براي رسيدن به اين اهداف نياز به يک برنامه منسجم دارد. سيستم امنيت اطلاعات راهکاري براي رسيدن به اين هدف ميباشد [7].
6-4 طراحي سيستم امنيت اطلاعات
يکي از وظايف مديريت امنيت بررسي و ايجاد يک سيستم امنيت اطلاعات است که متناسب با اهداف سازمان باشد. براي طراحي اين سيستم بايد عوامل مختلفي را در نظر گرفت. محاسبه ارزش اطلاعات از نظر اقتصادي، بررسي خطرات و محاسبه خسارتهاي احتمالي و تخمين هزينه، سودمندي استفاده از سيستم امنيت اطلاعات، بررسي تهديدات احتمالي و بررسي راهکارهاي مختلف و انتخاب سودمندترين روش براي طراحي سيستمهاي امنيت اطلاعات ضروري به نظر ميرسد [7].
5- نکاتي در طراحي سيستمهاي امنيت اطلاعات در سازمانهاي شهرداري
پيادهسازي و استقرار امنيت اطلاعات در سازمانهاي شهرداري ممکن است براساس کارآيي، سهولت استفاده، و برقراري ارتباط با ساير بخشها و سازمانها مورد بررسي قرار گيرد. از آنجا که بهطور کلي در بافتهاي دولتي مساله سودآوري مطرح نيست، در نتيجه بودجه کنترل وجود دارد و باعث ميشود توانايي سازمان در تهيه جديدترين سختافزارها و نرمافزارهاي امنيتي محدود شود. همزمان سازمانهاي شهرداري بايد بر حفاظت از دادهعا نيز تمرکز کنند، چراکه پايگاه دادههايشان حاوي اطلاعات حساسي در مورد افراد است؛ اطلاعاتي از قبيل اطلاعات فردي و سوابق پزشکي، و ماليات.
متاسفانه حتي در سازمانهاي شهرداري کشور نيز حفاظت اطلاعات دچار مشکل است و از سيستمها يمنسوخ، سرمايهگذاريهاي نامناسب و کارمندان از کارافتادهاي که فاقد شايستگيهاي لازم در بعد امنيت اطلاعات هستند رنج ميبرند.
به هرحال ميان سطوح مديريتي تنشهايي وجود دارد. بدون برنامه کلي براي ايجاد يک محيط امن براي فناوري اطلاعات، هر قسمت ممکن است يک راهکار براي برقراري امنيت اطلاعات توسعه دهد که از ماموريتها، اهداف، و مقاصد عملياتي همان قسمت ناشي شده و ممکن است به همان اندازه که براي يک قسمت مناسب است براي قسمتهاي ديگر چندان به کار نيايد. اين راهکارهاي مختلف ممکن است باعث شوند امنيت اطلاعات در بعضي حوزهها بيش از حد مورد نياز يا کمتر از حد مورد نياز تامين شده باشد؛ در حاليکه وجود نظارت از طرف مديريت سطوح بالا تضمين خواهد کرد که تجارب امنيتي بهگونهاي تنظيم ميشوند که مجموعه سازمان بتواند عملکرد بهتري داشته باشد.
6- دلايل ضعف در امنيت اطلاعات
برنامههاي نرمافزاري غالبا بدون در نظر گرفتن مسايل امنيتي توليد ميشوند. اين مساله چند دليل دارد:
● سهلانگاري- برنامهنويسان و طراحان از اهميت نکات امنيتي اطلاعي ندارند.
● اولويت پايين- تا چندي قبل حتي کساني که نسبت به نکات امنيتي آگاهي اسبت به آن اقدام چنداني نميکردند و در نتيجه مسايل امنيتي مورد توجه لازم واقع نميشد.
● خلاقيت تبهکاران- انسان موجود خلاقي است و افراد با انگيزه، هميشه براي غلبه بر موانع امنيتي و کشف اشتباهاتي که منجر به نقايص امنيتي شوند، راهي پيدا خواهند کرد.
● سطح پايين آگاهي کاربران- کاربران معمولي (قربانيان تخلفات امنيتي) بهطور طبيعي از تهديدهاي اطراف خود آگاهي ندارند و به همين دليل در پي راههاي مناسب جهت تضمين امنيت دادهها و سيستمهاي خود نيستند.
● بينظمي برنامهنويسان- در کارهاي مربوط به برنامهنويسي اشتباهات مشابه چندين بار تکرار ميشوند و باعث ايجاد نقايص امنيتي ميگردند [8].
7- براي محافظت از اطلاعات سازمان- نسخههاي پشتيبان تهيه نماييد به چند دليل ممکن است اطلاعات از بين بروند که برخي از آنها به شرح زير آمده است:
• پاک شدن اتفاقي فايل؛
• دزديده شدن کامپيوتر؛
• ذخيره ناخواسته يک فايل بر روي فايل ديگر؛
• روند نادرست به اجرا درآمدن يک برنامه بهگونهاي که باعث تغيير يا پاک شدن اطلاعات شود؛
• وجود يک برنامه مخرب (مثل ويروس) که باعث تغيير، بازنويسي و يا حذف اطلاعات شود؛
• آتشسوزي و استفاده از آب براي خاموش کردن کامپيوتر سوخته، که باعث غيرقابل بازيابي شدن اطلاعات ميشود.
• و…
يکي از راهحلها براي مقابله با ايت نهديدات، تهيه نسخههاي پشتيبان ميباشد. نسخه پشتيبان به خودي خود يک کپي از فايل يا مجموعهاي از فايلها است که با انتقال به يک ديسک فلاپي و يا ديسک فشرده از آن نگهداري ميشود. چنانچه فابل اصلي به هر دليلي از بين برود يا پاک شود ميتوان از نسخه پشتيبان استفاده کرد و آن را جايگزين فايل قبلي کرد. مهمترين نکته در مورد نسخههاي پشتيبان اين است که تهيه پشتيبان بايد در فواصل زماني منظم صورت بگيرد [8].
8- نتيجهگيري
يک سازمان علاوه بر تامين امنيت منابع اطلاعاتي خود، بايد متعهد باشد که مجموعه سياستهايي را براي ايمن ساختن اطلاعات سازمان خود تنظيم کند. اين سياستها نقش مهمي در امنيت اطلاعات دارد، ولي با اين حال تناقضي نيز وجود خواهد داشت و آن اينکه چهارچوب سياست سازمان بايد قادر به افزايش سطح امنيت باشد. روشهاي برخورد با ناامني از طريق شناسايي بحران و عوامل ناامني و محدودکننده ناامني و همچنين ابزار کنترل آن تعيين ميگردد.
در اينجا وجود اطلاعات کافي و سيستمهاي کافي و مناسب براي بهکارگيري اطلاعات و همچنين برنامههاي مناسب جهت پيشگيري و در صورت وقوع، کنترل بحران (برنامههاي شهري مناسب) از اصليترين مولفههاي مورد نياز جهت حفظ و توسعه امنيت اطلاعات ميباشد.
مراجع
[1] دکتر عليرضا احمدي، دانشيار علم و صنعت، ICT Strategic Planning T، انتشارات توليد دانش، تابستان 1383،
[2] Communications of the ACM, Volume 32, Number 6, June 1989 (the entire issue).
[3] wib site: www. Howstuffwork.com
[5] website: www. Srco.ir
[6] سخنراني همايون يزدان پناه دربرگزاري همايش مديران فاواي شهرداريهاي کشور در اصفهان. (خبرگزاري موج)
[7] <http://ict.moe.org.i/Homepage.aspx.aspx?tabid=4704&site (http://njavan.com/forum/redirector.php?url=http%3A%2F%2Fict.moe.org.i%2FHo mepage.aspx.aspx%3Ftabid%3D4704%26site)= ict.moe.org&Lang= fa
[8] George Sadowsky: James X. Dempsey: Alan Greenberg: Barbara J. Mack: Alan Schwartz: IT Secrity Handbook: infoDev, Worldbank: 2003.
Web site: رياضي، معاون فناوري ارتباطات و اطلاعات،
سازمان پدافند غیرعامل جمهوری اسلامی ایران
منبع اصلی : ماهنامه عصر فناوري اطلاعات- شماره 51- صفحات 75- 78
دکتر اميرحسين اميرخاني
جميله توکلي