فن آوري اطلاعات داراي يك نقش حياتي و تعيين كننده در اكثر سازمان هاي مدرن اطلاعاتي است . امروزه زيرساخت فن آوري اطلاعات سازمان ها در محيطي قرار گرفته اند كه بطور فزاينده بر تعداد دشمنان و مهاجماني كه علاقه مند به حضور مستمر ، مطمئن و سودمند سيستم هاي كامپيوتري نمي باشد ، افزوده مي گردد . حملات سيري كاملا" صعودي را داشته و متاسفانه اغلب سازمان ها قادر به واكنش مناسب در مقابل تهديدات امنيتي جديد در زمان مطلوب و قبل از سوء استفاده از سيستم هاي كامپيوتري خود نمي باشند .
كاهش مدت زمان لازم به منظور برخورد با تهديدات امنيتي و افزايش بهره وري ، از جمله خواسته هاي مشترك سازمان ها و كاربران مي باشد . به منظور برخورد مناسب و ساختيافته با تهديدات امنيتي ،‌ "مديريت خطرات امنيتي " و يا مديريت ريسك امنيتي به يكي از نيازهاي اوليه و اساسي مراكز فن آوري اطلاعات تبديل شده است .
در اين بخش از مجموعه مقالات "ضرورت توجه به امنيت اطلاعات " ،‌ به بررسي مديريت خطرات امنيتي و پيش نيازهاي لازم در اين رابطه خواهيم پرداخت .

مفاهيم مديريت خطرات امنيتي ( مديريت ريسك )

در بسياري‌ از سازمان ها ، ضرورت توجه به "مديريت خطرات امنيتي" پس از بروز يك حادثه امنيتي كوچك نظير آلودگي يك كامپيوتر توسط ويروس و يا هدف قرار گرفتن وب سايت سازمان ، احساس مي گردد. در ادامه با افزايش حملات و تشديد اوضاع ، مشكلات و مسائل امنيتي متعددي براي سازمان ها ايجاد مي گردد . سازمان ها يكي پس از ديگري در مواجه منطقي با مشكلات امنيتي نااميد شده و به منظور برخورد با بحران هاي امنيتي ، برخوردهاي انفعالي را در دستور كار خود قرار مي دهند .
افزايش بي رويه حملات موفقيت آميز مبتني بر شبكه ، ضرورت پياده سازي يك رويكرد پيشگيرانه ( در مقابل رويكردهاي انفعالي ) براي مديريت خطرات امنيتي را براي بسياري از سازمان ها به اثبات رسانده است .
مديريت خطرات امنيتي ،‌ فرآيندي است كه در آن تهديدات موجود در يك سازمان شناسائي ، اولويت بندي و نحوه مديريت آنان در يك سطح قابل قبول مشخص مي گردد . وجود يك استراتژي مدون به منظور مديريت خطرات امنيتي ، سازمان ها را قادر مي سازد كه فرآيندهائي را به منظور شناسائي و اولويت بندي فعاليت ها در محيط فن آوري اطلاعات پياده سازي و از آنان نگهداري نمايند . جايگزيني برخوردهاي پيشگيرانه با برخوردهاي انفعالي ، مهمترين دستاورد مديريت خطرات امنيتي در يك سازمان مي باشد كه قطعا" بهبود وضعيت يك سازمان را به دنبال خواهد داشت چراكه احتمال دستيابي مستمر به زيرساخت فن آوري اطلاعات افزايش يافته و در فرآيندهاي جاري يك سازمان خللي ايجاد نمي گردد .
جايگزيني برخوردهاي پيشگيرانه با برخوردهاي انفعالي مهمترين دستاورد مديريت خطرات امنيتي در يك سازمان مي باشد.
پياده سازي فرآيند مديريت خطرات امنيتي براي سازمان ها دستاوردهاي متعددي را به دنبال خواهد داشت :
• زمان پاسخ به تهديدات : با ايجاد فرآيند مديريت خطرات امنيتي ، سازمان ها مي توانند در مقابل تهديدات امنيتي جديد در زمان مناسب و به سرعت واكنش لازم را داشته باشند ( قبل از سوء استفاده از تمام محيط شبكه ) . مديريت خطرات امنيتي، بستر لازم براي پيشگيري در مقابل تهديدات و يا آسيب پذيري سازمان ها را فراهم مي نمايد . بدين ترتيب ، نحوه برخورد سازمان ها با مسائل و مشكلات امنيتي از واكنش هاي انفعالي به واكنش هاي پيشگيرانه تغيير خواهد كرد .
• مديريت قانونمند :تدوين مجموعه قوانين جديد در ارتباط با حفط حريم خصوصي كاربران ، تعهدات مالي و وظابف حقوقي ،‌ سازمان ها را مجبور مي نمايد كه زيرساخت فن آوري اطلاعات خود را با دقت بيشتر و موثرتر از گذشته مديريت نمايند . بسياري از سازمان ها داراي تعهدات قانوني به منظور پياده سازي و نگهداري يك سطح امنيتي حداقل در محدوده عملياتي خود مي باشند . بروز اشكال در مديريت پيشگيرانه امنيتي ، سازمان ها را به دليل عدم انجام وظايف و مسئوليت هاي قانوني خود در معرض آسيب حقوقي قرار خواهد داد .
• هزينه هاي مديريت زيرساخت : فرآيند مديريت خطرات امنيتي ، سازمان ها را قادر مي سازد كه با يك وضعيت مطلوب ، مقرون به صرفه و در يك سطح قابل قبول امنيتي فعاليت هاي جاري خود را انجام دهند . فرآيند فوق همچنين يك مسير مشخص و پايدار براي سازماندهي و اولويت بندي منابع محدود را به منظور مديريت خطرات ارائه مي نمايد . مزاياي واقعي پياده سازي مديريت خطرات امنيتي زماني هويدا مي گردد كه سازمان ها بتوانند كنترل هائي مقرون به صرفه به منظور كاهش تهديدات امنيتي را پياده سازي نمايند .
• مديريت و اولويت بندي خطرات : مديريت خطرات امنيتي مي تواند به يك سازمان كمك نمايد كه اصول امنيتي را به منظور كاهش بيشترين خطرات در محيط مربوطه بكار گيرد ( نه اين كه از يك رويكرد غيرمنسجم براي ايمن سازي عناصر مجزاء در سازمان استفاده گردد ).

عوامل موفقيت پروژه مديريت خطرات امنيتي

پياده سازي موفقيت آميز پروژه مديريت خطرات امنيتي به عوامل متعددي بستگي خواهد داشت :
• ضمانت اجرائي : مديران ارشد سازمان ، مي بايست از پروژه مديريت خطرات امنيتي حمايت نمايند . بدون وجود ضمانت هاي اجرائي لازم ، كاركنان يك سازمان ممكن است در مقابل استفاده از توصيه ها و راهكارهاي ارائه شده در خصوص نحوه انجام فعاليت ها ، با آنان مقاومت نموده و مرگ فرسايشي آنان را باعث گردند .
• تعريف يك ليست مشخص از افرادي كه در مقوله امنيت ذينفع مي باشند . در هر سازمان افرادي وجود دارند كه از نتايج و دستاوردهاي مديريت خطرات امنيتي بيش از ساير افراد ذينفع مي باشند . گروه مديريت ريسك امنيتي ، مي بايست نسبت به شناسائي اين افراد در سازمان اقدام و آنان را با فرآيندهاي موجود به منظور حفاظت از سرمايه ها و از دست ندادن منابع مالي در درازمدت آشنا نمايد .
• وجود بلوغ سازماني در ارتباط با مديريت خطرات امنيتي :‌ مديريت خطرات امنيتي صرفا" در سازمان هائي كه داراي يك بلوغ سازماني مناسب مي باشند ، قابل پياده سا‍زي است . بلوغ سازماني و اطلاعاتي ، مي بايست در تعداد زيادي از سطوح مديريتي يك سازمان وجود داشته باشد .
• وجود يك فضاي فكري باز براي كارگروهي : پروژه مديريت خطرات امنيتي نيازمند يك رويكرد باز و صادقانه ارتباطي است ( هم بين اعضاي گروه و هم با ساير افراد شاغل در سازمان كه مديريت خطرات امنيتي براي آنان دستاوردهاي ارزشمندي را به دنبال خواهد داشت ) . وجود يك تفكر ارتباطي مثبت و اعتقاد عملي به كار گروهي در ذهن يكايك اعضاء گروه ، علاوه بر استفاده مفيد از زمان، ضريب موفقيت پروژه را در زمان مواجهه با مسائل و مشكلات ناخواسته افزايش مي دهد ( مشاركت و همكاري به منظور حل مسائل ) .
• ديد سيستماتيك نسبت به سازمان :‌ در زمان پياده سازي پروژه مديريت خطرات امنيتي ، مي بايست بررسي تمام سازمان بدون هيچگونه افراط و يا تفريطي در دستور كار قرار گيرد . در برخي موارد ممكن است يك واحد خاص در سازمان پروژه را به سمتي هدايت نمايد كه بيشتر در جهت تامين اهداف يك بخش باشد و نه تمامي سازمان ( نگرش سيستماتيك نسبت به مسائل و يافتن راه حل آنان ) .
• اختيارات لازم براي گروه مديريت خطرات امنيتي :‌ مشاركت در پروژه مديريت خطرات امنيتي به منزله قبول مسئوليت به منظور شناسائي و كنترل مهمترين تهديدات امنيتي است كه سرمايه هاي يك سازمان ر ا در معرض خطر قرار مي دهد . با توجه به اهداف مهم پروژه ، مي بايست اين گروه داراي اختيارات كافي و منابع مورد نياز به منظور انجام وظايف قانوني خود باشند.

رويكردهاي متفاوت مديريت خطرات امنيتي

اكثر سازمان ها به منظور مديريت خطرات امنيتي از دو رويكرد متفاوت استفاده مي نمايند :
• رويكرد انفعالي ، فرآيندي است كه بر اساس آن صرفا" پس از بروز يك حادثه امنيتي به آن پاسخ داده مي شود . تعداد زيادي از كارشناسان حرفه اي فن آوري اطلاعات همواره با اين محدوديت مواجه مي باشند كه فعاليت ها را بگونه اي انجام و به اتمام برسانند كه كمترين مشكل را براي كاركنان ايجاد نمايد . پس از بروز يك مشكل امنيتي ، كارشناسان فن آوري اطلاعات صرفا" مي توانند از پيشرفت مشكل جلوگيري نموده و پس از ايزوله نمودن آن ، مشكل سيستم هاي آلوده را برطرف نمايند . شايد در اين رابطه برخي علاقه مند باشند كه عامل اصلي بروز مشكل را پيدا نمايند، ولي با توجه به محدوديت زمان و منابع موجود درسازمان ، عملا" امكان انجام آن وجود نخواهد داشت . متاسفانه براي بسياري از سازمان ها همچنان رويكردهاي انفعالي يك نگرش موثر به منظور برخورد با تهديدات امنيتي است ( پس از بروز مشكل در رابطه با نحوه برخورد با آن تصميم گرفته مي شود و براي پيشگيري از بروز حوادث از رويكرد خاصي تبعيت نمي گردد ) .
• رويكرد پيشگيرانه ، فرآيندي است كه باعث كاهش خطر آسيب پذيري در يك سازمان مي گردد . مديريت پيشگيري از خطرات امنيتي داراي مزاياي متعددي نسبت به يك رويكرد انفعالي است . در مقابل اين كه منتظر بمانيم تا يك حادثه اتفاق افتد و به آن پاسخ دهيم ، احتمال بروز مشكل در اولين مكان را كاهش خواهيم داد . بدين منظور از رويه هائي خاص به منظور حفاظت از سرمايه هاي مهم سازمان استفاده مي گردد . با پياده سازي كنترل هائي كه كاهش آسيب پذيري سيستم و سوء استفاده از آنان توسط نرم افزارهاي مخرب را به دنبال خواهد داشت ، امكان سوء استفاده مهاجمان از فرصت هاي ايجاد شده كاهش يافته و پيشگيري لازم در اين خصوص انجام خواهد شد .
يك رويكرد پيشگيرانه مي تواند به يك سازمان در جهت كاهش تعداد حوادث امنيتي در آينده كمك نمايد ولي اين بدين معني نخواهد بود كه چنين مسائلي در آينده اتفاق نخواهند افتاد . بنابراين ، سازمان ها مي بايست فرآيند پاسخ به حوادث امنيتي را بهبود داده و بطور همزمان ايجاد رويكردهاي پيشگيرانه درازمدت را در دستور كار خود قرار دهند .