مشاوره امنیت اطلاعات و موضوع امنیت اطلاعات امروزه در سازمانها به منظور انتخاب و پیادهسازی فناوریهای مناسب از جایگاه ویژهای برخوردار میباشد. باور عمومی از واژه امنیت اطلاعات همواره ما را به یاد رایانه، کلمه عبور، اسم رمز، قفلهای سختافزاری و نظایر آنها میاندازد، اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعهای از دادهها که دارای معنی و هدف باشند اتلاق میشود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات میتواند به هر نوع از دادههای معنیدار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و ... گفته شود. در حالت کلی میتوان امنیت اطلاعات را به موارد سهگانه حفظ درستی، محرمانگی و دسترسپذیری بیان نمود.
بنابراین، امنیت اطلاعات، به فرآیند حفاظت اطلاعات در برابر انواع کارهای غیرمجاز شامل دسترسی، استفاده، افشا، اختلال، تغییر، مطالعه، بازرسی، ضبط یا تخریب گفته میشود. مشاهده میکنیم که کارهای ذکرشده در این تعاریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر کارمند مجاز به دسترسی به اطلاعاتی باشد که از آنها استفاده مفید نماید، دسترسی کاری مطلوب و مفید محسوب میشود که به تصمیمگیریهای سازمان کمک میکند یا اگر اطلاعات قدیمی یا منسوخی که باید تخریب شود تا افراد تصمیمگیرنده را به اشتباه نیاندازد، تخریب کاری مفید و مطلوب است. با همین تعابیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آنها را گرفته باشیم، در واقع کاری نامطلوب انجام دادهایم و تاثیر نامطلوبی بر تصمیمات کاری آنها و سازمان گذاشتهایم.
با وجود کنترلها و مشاوره امنیت اطلاعات شما از سرقت اطلاعات سازمانی خود در امان خواهید بود، اطلاعات سازمانی شما در حوزه امنیت اطلاعات داراییهای شما به حساب میآیند که برای سازمان دارای ارزش میباشند. برای مثال در یک شرکت داروسازی، اطلاعات مربوط به فرمول ساخت داروها سرمایه شرکت محسوب میشوند و یا در یک شرکت بازاریابی، اطلاعات مربوط به مشتریها جزو داراییهای شرکت محسوب میشود.
چرا سازمان ما به امنیت اطلاعات نیاز دارد؟
حال که تعاریف کلی از امنیت اطلاعات مطرح شد این موضوع را بررسی خواهیم نمود که چرا سازمانها به امنیت اطلاعات یا مشاورههای امنیت اطلاعات نیاز دارند؟ امنیت اطلاعات دارای یک سری استانداردها میباشد، در صورتیکه سازمانی به درستی کنترلهای مناسب امنیتی را پیادهسازی نکند قادر نخواهد بود به این قوانین و استانداردها دست پیدا کند. حال این سوال مطرح میشود که چه نیازی به رعایت استانداردهای امنیت اطلاعات مانند استاندارد ISO27001 ، و سایر قوانین امنیت اطلاعات در سازمان داریم؟ پاسخ در سادهترین حالت در این است که مشتریان و شریکهای تجاری سازمان با مشاهده رعایت شدن این قوانین و استانداردها توسط سازمان، اعتماد بیشتری در برقراری همکاری با شما خواهند داشت و همچنین خطمشی به ما می گوید:
حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است؟
ما باید خود را برای چه نوع ریسکهایی آماده کنیم؟
چه خطراتی درستی، محرمانگی، و در دسترسبودن اطلاعات سازمان ما را تهدید میکند؟
کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟
چه ساختار سازمانی برای اداره روشهای امنیت اطلاعات لازم است؟
و در موضوعات امنیتی مرتبط با نیروی نسانی :
آیا افراد سازمان کارهای مجاز و غیر مجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟
آیا آنها از گزارش دهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقصهای امنیتی، ویروسها و ...) را یاد گرفتهاند؟
آیا برای کارکنان تازه و کم تجربه، آموزشهای خاص در ارتباط با امنیت اطلاعات در نظر گرفته میشود؟
همچنین در موضوعات امنیت محیطی:
تعریف سطوح امنیت فیزیکی در سازمان تعریف شده است؟
امنیت کابل کشیها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و ...)
امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت
نحوه تهیه پشتیبان از اطلاعات چگونه است؟
امنیت سیستمهای در دسترس عمومی
نمونه هایی از موضوعات امنیت اطلاعات میباشد، که نیاز سازمانها را به رعایت این استانداردها و پیادهسازی آنها احساس میشود.
مقوله امنیت اطلاعات یک مقوله مهم، بسیار وسیع و پیچیده است که دستیابی به آن علاوه بر زیرساختهای بسیار حساس و آموزشهای متنوع، نیازمند دانش روز درباره مدیریت اطلاعات، فناوریهای پیشرفته و استقرار سیستمهای مدیریتی میباشد.
انتخاب مشاور امنیت اطلاعات با تجربه کاری در زمینه امنیت اطلاعات میتواند بهرهوری سازمان را افزایش و خطرات و تهدیدات را کاهش دهد تا ریسکهای موجود در سازمان به حداقل برسد.
گردآورنده: محمد رئوفی