سه اصل برای مدیریت امنیت اطلاعات (ISMS) در سازمانها
سه اصل برای مدیریت امنیت اطلاعات (ISMS) در سازمانها
وقتیکه سازمانی به چالشهای امنیت اطلاعات نظر میکند باید ملاحظات متعددی داشته و ریسکهای مختلفی را بررسی نماید. در مواردی سازمان و افراد درگیر بهسختی میتوانند نقطه شروع بررسی را مشخص نمایند. استانداردهای خاصی را میتوان بهعنوان راهنما برای شروع کار استفاده نمود، اما 3 اصل وجود دارد که نباید نادیده گرفت. این سه قدم ساده از داشتن سطوح امنیت اطلاعات مناسب در سازمان اطمینان حاصل میکند.
اصل اول: هماهنگ نمودن اقدامات امنیتی با اهداف کسبوکار یا سازمان
نقطه شروع باید اصولاً اجرا اقدامات امنیتی بر سرمایههای اطلاعاتی سازمان باشد. اگر این کار متمرکز بر اهداف کسبوکار یا سازمان اجرا نشود بعداً سازمان با مشکلاتی مواجه خواهد شد. از ضروریات کار داشتن برنامه ضدویروس، دیواره آتش، IDS، سرورهای redundant، راهحلهای backup میباشند اما هماهنگی اصول پایه امنیتی با اهداف اصلی سازمان ضروری و واجب است.
وقتیکه مدیریت اصلی یک سازمان متوجه و قانع شود که داشتن یک دیواره آتش برای فیلتر کردن ترافیک اینترنتی یا سیاستی منع اتصال USB به کامپیوترهای سازمانی ممکن است بر عملکرد سازمان تأثیر منفی داشته باشد، دیدگاه سازمانی نسبت به بخش امنیت اطلاعات مثبتتر خواهد بود.
البته بااینحال ممکن است که بهسختی بتوان سازمان را قانع کرد که مبالغ قابلملاحظهای برای مطابقت با کنترلهای ISO 27001 سرمایهگذاری کنند و یا حتی یک پروژه امنیتی جدید را اجرا کنند. درواقع هرگونه تغییر در سازمان یا کسبوکار باید از سطوح ریسکپذیری قابلقبول برای آن سازمان برخوردار باشد.
اصل دوم: بهترین روشهای مدیریت
پس از پیادهسازی تکنولوژیها و پروسههای امنیتی که سازمان را پشتیبانی میکند، بروز نگهداشتن تمامی این اقدامات حائز اهمیت است. بخش امنیت اطلاعات باید اطمینان حاصل نماید که تمامی موارد پیادهسازی شده همگام با اهداف سازمانی پیش برود و مدیریت ردههای بالا باید درک کنند که اینیک پروژه کوتاهمدت نیست و باید درزمینهٔ امنیت اطلاعات “سیکل بهبود دائمی” وجود داشته باشد.
هر تغییر اعمالی نیاز به یک روش پیادهسازی چندمرحلهای دارد تا مشکلات شناسایی شوند و راهحلها کشف و اجرا شوند، تا بر روی کل عملکرد سازمان اثرات منفی نگذارد. با کاربران باتجربهتر شروع کنید و از آنها بازخورد دریافت کنید و تجربهای مثبت برای همه کارمندان و کاربران ایجاد کنید. این کافی نیست که فقط عملکرد کنترلها ازنظر فنی خوب عمل کند و باید اطمینان حاصل نمود که این کنترلها بر روی کارمندان و پروسهها تأثیرات منفی ندارد.
یکی از موارد ضروری برای موفقیت مدیریت امنیت اطلاعات تست کردن (testing) است. این کار باید برای همه برنامهها و پروژهها، خصوصاً موارد مربوط به تداوم فعالیتهای کسبوکار، قبل از پیادهسازی انجام بگیرد. بهعنوانمثال با داشتن backup موردنیاز، سازمانها تست recovery را تا زمان وقوع یک مشکل انجام نمیدهند و در برخی از موارد recovery در زمان نیاز سازمان عمل نمیکند. پس تست کردن باید پیش از پیادهسازی انجام شود.
اصل سوم: افزایش آگاهی کاربران
با توجه به عامل انسانی شما میتوانید به بهترین نحو از اصول یک و دو بهره ببرید. عدم توجه به عامل انسانی، زمان و فعالیت سرمایهگذاری شده، پیادهسازی امنیت اطلاعات را میتواند تضعیف یا بیاثر نماید. به همین دلیل داشتن مدیریت تغییر مناسب در سازمان از ضروریات است. در زمان پیادهسازی سیاستها، پروسهها و تکنولوژی جدید همیشه مقداری اعتراض و مخالفت در میان کاربران وجود دارد.
سازمان بهتر است با در نظر داشتن وضعیت کارمندان تغییرات ایجاد کند، به آنها آموزش دهد تا کارمندان تواناییهای موردنیاز مدیریت بر پروسهها و تکنولوژیها را کسب کنند و فعالیتهای آنان بهمرورزمان همگام با نیازها و چالشهای جدید سازمان شود.
برای مثال در زمان اجرا تکنولوژی رمزنگاری، این سیاست باید پیادهسازی شود و همزمان منافع آن به کاربران توضیح داده شود. در زمان اجرا احراز هویت دو فاکتوری که برای کاربران مشکلساز و یا سخت میباشد، ترجیحاً منافع و فرصتهای محافظت از اطلاعات شخصی در سطوح بالاتر به آنان توضیح داده شود.
متأسفانه بخش آموزش کاربری در امنیت اطلاعات کمتر موردتوجه مدیریت سازمانها قرار میگیرد. تمرکز سازمان باید بر توجیه همه کارمندان در مورد سیاستهای امنیتی موجود در سازمان و تطبیق با این قوانین از طریق استفاده درست از کنترلهای موجود باشد. توصیه میشود که بر آگاهسازی امنیت اطلاعات تأکید شود و سازمان کارمندان را در جهت درک اهمیت و عواقب عدم تطبیق با پروسههای سازمانی یاری نماید.
برای هر یک از موارد ذکرشده بالا حجم زیادی مطالب باید خوانده شود، قوانین نوشته شود و پیادهسازی توسعه پیدا کند. شاید این سه اصل در هر سازمان یا شرکتی وجود نداشته باشد اما به یاد داشتن این موارد میتواند بر مدیریت فعالیتها تأثیر مثبتی داشته باشد.
