طراحي و پياده سازي يك محيط ايمن در سازمان هاي مدرن اطلاعاتي يكي از چالش هاي اساسي در عصر حاضر محسوب مي گردد . براي بسياري از سازمان ها و موسسات اهميت و ضرورت توجه جدي به مقوله امنيت اطلاعات هنوز در هاله اي از ابهام قرار دارد و برخي ديگر امنيت را تا سطح يك محصول تنزل داده و فكر مي كنند كه با تهيه يك محصول نرم افزاري خاص و نصب آن در سازمان خود ، امنيت را براي سازمان خود به ارمغان مي آورند . بخاظر داشته باشيم كه امنيت يك فرآيند است نه يك محصول .
در مجموعه مقالاتي كه بدين منظور آماده شده است و به تدريج بر روي سايت منشتر خواهد شد قصد داريم به ضرورت توجه جدي به مقوله امنيت اطلاعات اشاره نموده تا از اين رهگذر با ابعاد متفاوت ايجاد يك محيط ايمن آشنا شده و بتوانيم يك مدل امنيتي مناسب را در سازمان خود پياده سازي نمائيم .
اهميت امنيت اطلاعات براي يك سازمان
وجود يك حفره و يا مشكل امنيتي ، مي تواند يك سازمان را به روش هاي متفاوتي تحت تاثير قرار خواهد داد . آشنائي با عواقب خطرناك يك حفره امنيتي در يك سازمان و شناسائي مهمترين تهديدات امنيتي كه مي تواند حيات يك سازمان را با مشكل مواجه نمايد ، از جمله موارد ضروري به منظور طراحي و پياده سازي يك مدل امنيتي در يك سازمان مي باشد .
پيشگيري از خرابي و عواقب خطرناك يك حفره امنيتي ، يكي از مهمترين دلايل پياده سازي يك استراتژي امنيتي موثر و كارآ است .
وجود حفره هاي امنيتي در يك سازمان ، مي تواند پيامدهاي منفي متعددي را براي يك سازمان به دنبال داشته باشد :
• كاهش درآمد و افزايش هزينه
• خدشه به اعتبار و شهرت يك سازمان
• از دست دادن داده و اطلاعات مهم
• اختلال در فرآيندهاي جاري يك سازمان
• پيامدهاي قانوني به دليل عدم ايجاد يك سيستم ايمن و تاثير جانبي منفي بر فعاليت ساير سازمان ها
• سلب اعتماد مشتريان
• سلب اعتماد سرمايه گذاران
امنيت اطلاعات در سازمان ها طي ساليان اخير
ماحصل بررسي انجام شده توسط موسسات و مراكز تحقيقاتي معتبر در خصوص امنيت اطلاعات ،نشاندهنده اين واقعيت مهم است كه حملات مهاجمان بر روي درآمد و هزينه يك سازمان بطور مستقيم و يا غيرمستقيم تاثير خواهد داشت ( كاهش درآمد ، افزايش هزينه ) .
• در سال 2003 ، ويروس ها و حملات از نوع DoS ( برگرفته از Denial of Service ) بيشترين تبعات منفي را براي سازمان ها به دنبال داشته اند.
• در سال 2004 ، سرقت اطلاعات بالاترين جايگاه را داشته و حملات از نوع DoS با اندكي كاهش نسبت به سال 2003 در رتبه دوم قرار گرفته اند .
• با اين كه هزينه پياده سازي يك سيستم حفاظتي اندك نمي باشد ولي مي توان آن را به عنوان بخشي از هزينه هائي در نظر گرفت كه يك سازمان به دليل عدم ايمن سازي ، مي بايست پرداخت نمايد ( برخورد با تبعات منفي ) .
• موثرترين راهكار و يا راه حل امنيتي ، ايجاد يك محيط چندلايه اي است . در يك محيط چند لايه ، مهاجمان در هر لايه شناسائي و با آنان برخورد خواهد شد . موفقيت يك مهاجم نيز به عبور موفقيت آميز از هر لايه بستگي دارد . راه هكار امنيتي چندلايه به "دفاع در عمق " نيز مشهور است . در اين مدل ، در هر لايه از استراتژي هاي تدافعي خاصي استفاده مي گردد كه با توجه به ماهيت پوياي امنيت اطلاعات ، مي بايست به صورت ادواري توسط كارشناسان حرفه اي امنيت اطلاعات ، بررسي و بهنگام گردند .
هر سازمان مي بايست يك فريمورك و يا چارچوب امنيتي فعال و پويا را براي خود ايجاد و به درستي از آن نگهداري نمايد .
• در سال 2004 ، هفتاد درصد سازمان ها حداقل يك مرتبه مورد تهاجم قرار گرفته اند .
• در سال 2003 بالغ بر 666 ميليون دلار صرف برخورد با مشكلات امنيتي در سازمان ها شده است .
• نيمي از سازمان ها به اين موضوع اعتراف نموده اند كه نمي دانند چه ميزان از اطلاعات سازمان خود را به دليل حملات از دست داده اند .
• چهل و يك درصد سازمان ها اعلام داشته اند كه داراي هيچگونه طرح و يا برنامه اي براي گزارش و يا پاسخ به تهديدات امنيتي نمي باشند .
مزاياي سرمايه گذاري در امنيت اطلاعات
سازمان ها و موسسات تجاري با پياده سازي يك استراتژي امنيتي از مزاياي زير بهره مند خواهند شد :
• كاهش احتمال غيرفعال شدن سيستم ها و برنامه ها ( از دست دادن فرصت ها )
• استفاده موثر از منابع انساني و غيرانساني در يك سازمان ( افزايش بهره وري )
• كاهش هزينه از دست دادن داده توسط ويروس هاي مخرب و يا حفره هاي امنيتي ( حفاظت از داده هاي ارزشمند )
• افزايش حفاظت از مالكيت معنوي
• هزينه پيشگيري از يك مشكل امنيتي ، همواره كمتر از هزينه بازسازي خرابي متاثر از آن است .
• يك مشكل امنيتي كه باعث از بين رفتن اطلاعات مشتريان مي شود ، مي تواند پيامدهاي قانوني را براي يك سازمان به دنبال داشته باشد .