چرا به مشاوره امنیت اطلاعات نیاز داریم ؟

چرا به مشاوره امنیت اطلاعات نیاز داریم ؟

۱۳۹۷/۰۱/۲۰

چرا به مشاوره امنیت اطلاعات نیاز داریم ؟

مشاوره امنیت اطلاعات و موضوع امنیت اطلاعات امروزه در سازمان‌ها به منظور انتخاب و پیاده‌سازی فناوری‌های مناسب از جایگاه ویژه‌ای برخوردار می‌باشد. باور عمومی از واژه امنیت اطلاعات همواره ما را به یاد رایانه، کلمه عبور، اسم رمز، قفل‌های سخت‌افزاری و نظایر آن‌ها می‌اندازد، اما این تنها یکی از ابعاد امنیت اطلاعات است. اطلاعات در تعریف علمی آن به مجموعه‌ای از داده‌ها که دارای معنی و هدف باشند اتلاق می‌شود. می بینیم که در این تعریف هیچ صحبتی از رایانه و داده های الکترونیکی یا دیجیتالی نشده است. از این رو اطلاعات می‌تواند به هر نوع از داده‌های معنی‌دار نظیر اطلاعات چاپی، کاغذی، الکترونیکی، صوتی و ... گفته شود. در حالت کلی می‌توان امنیت اطلاعات را به موارد سه‌گانه حفظ درستی، محرمانگی و دسترس‌پذیری بیان نمود.
بنابراین، امنیت اطلاعات، به فرآیند حفاظت اطلاعات در برابر انواع کارهای غیرمجاز شامل دسترسی، استفاده، افشا، اختلال، تغییر، مطالعه، بازرسی، ضبط یا تخریب گفته می‌شود. مشاهده می‌کنیم که کارهای ذکرشده در این تعاریف، کارهایی هستند که الزاما معنی منفی ندارند. مثلا اگر کارمند مجاز به دسترسی به اطلاعاتی باشد که از آن‌ها استفاده مفید نماید، دسترسی کاری مطلوب و مفید محسوب می‌شود که به تصمیم‌گیری‌های سازمان کمک می‌کند یا اگر اطلاعات قدیمی یا منسوخی که باید تخریب شود تا افراد تصمیم‌گیرنده را به اشتباه نیاندازد، تخریب کاری مفید و مطلوب است. با همین تعابیر، اگر جلوی دسترسی افراد مجاز به اطلاعات مرتبط با آن‌ها را گرفته باشیم، در واقع کاری نامطلوب انجام داده‌ایم و تاثیر نامطلوبی بر تصمیمات کاری آن‌ها و سازمان گذاشته‌ایم.
با وجود کنترل‌ها و مشاوره امنیت اطلاعات شما از سرقت اطلاعات سازمانی خود در امان خواهید بود، اطلاعات سازمانی شما در حوزه امنیت اطلاعات دارایی‌های شما به حساب می‌آیند که برای سازمان دارای ارزش می‌باشند. برای مثال در یک شرکت داروسازی، اطلاعات مربوط به فرمول ساخت داروها سرمایه شرکت محسوب می‌شوند و یا در یک شرکت بازاریابی، اطلاعات مربوط به مشتری‌ها جزو دارایی‌های شرکت محسوب می‌شود.

چرا سازمان ما به امنیت اطلاعات نیاز دارد؟
حال که تعاریف کلی از امنیت اطلاعات مطرح شد این موضوع را بررسی خواهیم نمود که چرا سازمان‌ها به امنیت اطلاعات یا مشاوره‌های امنیت اطلاعات نیاز دارند؟ امنیت اطلاعات دارای یک سری استانداردها می‌باشد، در صورتی‌که سازمانی به درستی کنترل‌های مناسب امنیتی را پیاده‌سازی نکند قادر نخواهد بود به این قوانین و استانداردها دست پیدا کند. حال این سوال مطرح می‌شود که چه نیازی به رعایت استانداردهای امنیت اطلاعات مانند استاندارد ISO27001 ، و سایر قوانین امنیت اطلاعات در سازمان داریم؟ پاسخ در ساده‌ترین حالت در این است که  مشتریان و شریک‌های تجاری سازمان با مشاهده رعایت شدن این قوانین و استانداردها توسط سازمان، اعتماد بیشتری در برقراری همکاری با شما خواهند داشت و همچنین خط‌مشی به ما می گوید:
  حفاظت از کدام دسته از اطلاعات سازمان برای ما مهم تر است؟
  ما باید خود را برای چه نوع ریسک‌هایی آماده کنیم؟
  چه خطراتی درستی، محرمانگی، و در دسترس‌بودن اطلاعات سازمان ما را تهدید می‌کند؟
  کارهای پیشنهادی ما برای پیشگیری یا واکنش در برابر این خطرات کدامند؟
  چه ساختار سازمانی برای اداره روش‌های امنیت اطلاعات لازم است؟
و در موضوعات امنیتی مرتبط با نیروی نسانی :

  آیا افراد سازمان کارهای مجاز و غیر مجاز امنیتی را می شناسند و از تبعات آنها آگاهند؟
  آیا آنها از گزارش دهی در مورد وقایع امنیتی اطلاعات (نظیر خطاهای نرم افزاری، نقص‌های امنیتی، ویروس‌ها و ...) را یاد گرفته‌اند؟
  آیا برای کارکنان تازه و کم تجربه، آموزش‌های خاص در ارتباط با امنیت اطلاعات در نظر گرفته می‌شود؟
همچنین در موضوعات امنیت محیطی:
  تعریف سطوح امنیت فیزیکی در سازمان تعریف شده است؟
  امنیت کابل کشی‌ها (شبکه کامپیوتری، تلفن، دوربین مدار بسته، سیستم اعلام حریق، دزدگیر و ...)
  امنیت تجهیزات قابل حمل (مثل لپ تاپ) در خارج از سازمان
  شیوه خروج اموال از شرکت و ورود مجدد اموال به شرکت
  نحوه تهیه پشتیبان از اطلاعات چگونه است؟
  امنیت سیستم‌های در دسترس عمومی
نمونه هایی از موضوعات امنیت اطلاعات می‌باشد، که نیاز سازمان‌ها را به رعایت این استانداردها و پیاده‌سازی آن‌ها احساس می‌شود.
مقوله امنیت اطلاعات یک مقوله مهم، بسیار وسیع و پیچیده است که دستیابی به آن علاوه بر زیرساخت‌های بسیار حساس و آموزش‌های متنوع، نیازمند دانش روز درباره مدیریت اطلاعات، فناوری‌های پیشرفته و استقرار سیستم‌های مدیریتی می‌باشد.
انتخاب مشاور امنیت اطلاعات  با تجربه کاری در زمینه امنیت اطلاعات می‌تواند بهره‌وری سازمان را افزایش و خطرات و تهدیدات را کاهش دهد تا ریسک‌های موجود در سازمان به حداقل برسد.

گردآورنده: محمد رئوفی

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.