• صفحه اصلی
  • درباره ما
    • معرفی رایزن سامانه گستر
    • شرکا تجاری و نمایندگیها
    • گالری تصاویر
  • خدمات قابل ارائه
    • آموزشهای تخصصی
    • مشاوره و پیاده سازی
    • مشاوره و تامین ابزارهای مدیریت فاوا
  • رویدادهای پیش رو
  • وبلاگ
  • وبینارها
  • نرم افزار ماروال
  • تماس با ما
    • اطلاعات تماس
    • فرصتهای همکاری
رایزن سامانه گستررایزن سامانه گستر
  • صفحه اصلی
  • درباره ما
    • معرفی رایزن سامانه گستر
    • شرکا تجاری و نمایندگیها
    • گالری تصاویر
  • خدمات قابل ارائه
    • آموزشهای تخصصی
    • مشاوره و پیاده سازی
    • مشاوره و تامین ابزارهای مدیریت فاوا
  • رویدادهای پیش رو
  • وبلاگ
  • وبینارها
  • نرم افزار ماروال
  • تماس با ما
    • اطلاعات تماس
    • فرصتهای همکاری

وبلاگ

  • خانه
  • بلاگ
  • وبلاگ
  • امنیت اطلاعات دقیقا چیه؟

امنیت اطلاعات دقیقا چیه؟

  • ارسال شده توسط رایزن سامانه گستر
  • تاریخ تیر ۲۶, ۱۳۹۶
  • نظرات ۰ نظر
5/5 - (4 امتیاز)

درسهایی که از WikiLeaks می توانیم یاد بگیریم؟ امنیت اطلاعات دقیقا چیه؟

این روزها  WikiLeaks یک  ماجرای داغ است و آن هم این است که خیلی مرسوم نیست که اسناد محرمانه قدرتمندترین دولت جهان بخواهد فاش شود و بر روی اینترنت منتشر شود.

من نمی خواهم در مورد این بنویسم که اصلا کار WikiLeaks برای افشای چنین اطلاعاتی قانونی بوده یا نه، آیا این اطلاعات باید برای عموم صرفا به این دلیل که مردم علاقه به دانستن آن اطلاعات داشتند منتشر میشد یا نه، چه اتفاقی برای موسسش خواهد افتاد (در زمان نوشتن این مقاله Julian Assange در بازداشت بود) و …

مشکل این است که اگر  WikiLeaks تعطیل شود  یک WikiLeaks جدید دوباره باز می شود یعنی تهدید فاش شدن اطلاعات برای مردم همیشه هست. (به هر حال قبل از دستگیر شدنش جولین اعلام کرد که می خواهد اطلاعاتی در مورد بانک اصلی ایالت متحده امریکا و قصورش را منتشر کند.)

من اینجا می خواهم از دید شرکت ها نگاه کنم، اینکه چه اتفاقی می افتد اگر هدف بعدی WikiLeaks شرکت ما باشد؟ چطوری می توانیم از امنیت اطلاعاتمان مطمئن شویم و از آسیب چنین حوادث بزرگی به دور باشیم؟

یک مثال ساده:

امنیت اطلاعات در عمل چطوری است؟ بیاید یک مثال ساده بزنیم: شما اغلب لپ تاپتان را در ماشین خود در صندلی عقب می گذارید. شانس شما دیر یا زود لپ تاپتان را می دزدند. چه کاری می توانیم انجام بدهیم که این ریسک را کم کنیم؟ اول از همه شما می توانید یه قائون بگذارید (نوشتن یک رویه یا یک سیاست)، اینکه نمی توانید لپ تاپ را بدون مراقبت درون ماشین نگهدارید و یا اینکه شما مجبور هستید که ماشینتان را در جایی که حفاظت فیزیکی هست پارک کنید. دوم اینکه شما می توانید اطلاعاتتان را با گذاشتن یک پسورد قوی و رمز کردن داده هایتان محافظت کنید. پس شما میتوانید چند تا کارمند داشته باشید که به صورت قانونی مسئولیت هرآسیبی که پیش بیاید بر عهده آنها باشد اما همه اینها موثر نخواهد بود اگر که شما قوانین را برای کارمندانتان در قالب یک آموزش کوتاه توضیح ندهید.

خب چه نتیجه ایی می توانیم از این مثال بگیریم؟ امنیت اطلاعات هرگز به تنهایی یک معیار امنیتی نیست و معیارها هم تنها معیارهای  مرتبط با IT نیست بلکه شامل مسائل سازمانی، مدیریت منابع انسانی، امنیت فیزیکی و حمایت قانونی می شود. این یک مثال از یک لپ تاپ تنها بود. حالا در نظر بگیرید که حفاظت از اطلاعات درون سازمان شما چقدر پیچیده می شود جایی که اطلاعات نه تنها بر روی کامپیوتر شما ذخیره می شود، بلکه بر روی چندین سرور نیز ذخیره می شود، نه تنها بر روی USB memory بلکه در راس همه کارمندان و شما ممکن است یک کارمند ناراضی داشته باشید. به نظر یک کار غیر ممکن می رسد؟ سخت است بله اما غیرممکن نیست.

چگونه به آن نزدیک شویم؟

چیزی که شما برای حل این مشکل پیچیده نیاز دارید یک چارچوب است. خبر خوب این است که چنین چارچوب هایی تحت استاندارهایی وجود دارند که متداول ترین آن ISO 27001 است، استاندارد بین المللی پیشرو برای مدیریت امنیت اطلاعات اما چارچوب های دیگری مثل COBIT، سری های NIST SP 800، PCI DSS و … وجود دارد.

ما می خواهیم بر روی استاندراد ISO 27001 تمرکز کنیم. تصور می کنم که این استاندارد زمینه خوبی برای ایجاد سیستم امنیت اطلاعات ایجاد می کند زیرا کاتالوگی از 133 کنترل امنیتی ارائه می دهد و هم چنین این انعطاف پذیری را دارد که تنها آن کنترل هایی را که واقعا در ارتباط با ریسک مورد نیاز است را بخواهیم داشته باشیم  اما بهترین ویژگی اش این است که یک چارچوب مدیریتی برای کنترل، مدیریت و هدایت مسائل امنیتی تعریف می کند. بنابراین، دستیابی به چنین مدیریت امنیتی بخشی از مدیریت کلی سازمان می شود.

به طور خلاصه، این استاندارد شما را قادر می سازد که تمامی اطلاعات در اشکال مختلف، تمامی ریسکها  را در نظر بگیرید و مسیر جدیدی برای حل مجدد هرگونه مشکل احتمالی و حفظ امنیت اطلاعاتتان را در اختیارتان قرار می دهد.

پیامدهای کسب و کار:

خب آیا سازمانها باید نگران باشند که اطلاعاتشان در بین مردم افشا شود؟ اگر کاری غیر قانونی یا غیر اخلاقی انجام میدهند  حتما باید نگران باشند.

با این حال، برای سازمان هایی که قانونی عمل می کنند اگر بخواهند که کسب و کارشان را حفظ کنند، آنها نباید تنها به بازگشت سرمایه، سهم بازار، چشم انداز دراز مدت فکر کنند بلکه باید استراتژی آنها مسائل امنیتی را نیز در نظر بگیرد.  به دلیل اینکه داشتن اطلاعات ناامن به مراتب می تواند هزینه بیشتری از مثلا خرابی یک محصول جدید به دنبال داشته باشد. امنیت منظورم تنها امنیت فیزیکی نیست چون به سادگی دیگر این کافی نیست ، تکنولوژی باعث می شود که اطلاعات از راه های مختلفی نشت کند.

چیزی که نیاز است یک رویکرد جامع برای امنیت اطلاعات است. مهم نیست که از ISO 27001 استفاده میکنید یا COBIT و یا هر چارچوب دیگری. این تلاش تنها برای یکبار نیست بلکه یک عملیات مداوم است. بله این چیزی نیست که افراد IT بتوانند به تنهایی انجام دهند، این چیزی است که کل سازمان باید در آن شرکت داشته باشد، شروع از هیئت مدیره.

نوشته های مرتبط:

  1. سوپ مرغ برای روح مدیریت خدمات
    هنگامي که شما با شور و شوق زيادي پروژه بهبود مديريت خدمات فناوري اطلاعات را در سازمان خود آغاز مي‌کنيد، بايد به فاکتورهايي که عموماً تحت عنوان «فاکتورهاي نرم» از...
  2. تاریخچه بسیار مختصر ITIL
    در تصویر زیر تاریخچه بسیار مختصری از چارچوب ITIL را مشاهده میکنید. عموم افراد زمانیکه که نام این چارچوب را میشنوند گمان میکنند که با موضوع جدیدی در حوزه فناوری...
  3. بهبود پیشخوان خدمت فناوری اطلاعات (Service Desk)، بخش سوم
    این نوشته آخرین بخش از یک مجموعه سه قسمتی است؛ پس چنانچه دو بخش قبلی را مطالعه نکرده اید به دو لینک زیر مراجعه کنید: بهبود پیشخوان خدمت فناوری اطلاعات...
  4. در جلسه دموی ابزار ITSM چه سوالاتی بپرسیم؟
    حالا که شما تصمیم گرفتید که یک ابزار مدیریت خدمات فناوری اطلاعات (ITSM) برای پیشخوان خدمت سازمانتان داشته باشید که هم بتواند کیفیت را بهبود دهد و هم هزینه های...

برچسب:Information security, ISO 27001, مقالات عمومی

  • اشتراک گذاری:
رایزن سامانه گستر
شرکت رایزن سامانه گستر به عنوان یکی از پیشگامان در حوزه چارچوبها و استانداردهای مدیریت فناوری اطلاعات نزدیک به ده سال است که در حال ارائه خدمات آموزش، مشاوره و راهکارهای نرم افزاری به شرکتها و سازمانهای دولتی و خصوصی میباشد. این شرکت به عنوان نماینده رسمی چندین شرکت و موسسه بین المللی نظیر شرکت ماروال انگلستان (ارائه کننده یکی از برترین ابزارهای مدیریت خدمات فناوری اطلاعات ITSM) و ITpreneurs هلند (ارائه کننده محتوای آموزشی تخصصی در حوزه چارچوبها و استانداردهای فناوری اطلاعات) نقش بسزایی در توسعه دانش و حرکت به سمت توسعه این بهروشها در سطح کشور داشته است.

مطلب قبلی

نقطه تمایزی میان خود و رقبای خود ایجاد نمایید: چگونه با گرفتن استاندارد ISO 20000 می‌توان به ایجاد عادات خوب در ارائه خدمات به مشتریان کمک کنیم.
تیر ۲۶, ۱۳۹۶

مطلب بعدی

منافع استفاده از پایگاه داده خطاهای شناخته شده (KEDB)
تیر ۲۸, ۱۳۹۶

ممکن است همچنین دوست داشته باشید

Self_service_cons-768×736
سوالاتی که باید قبل از پیاده‌سازی پورتال سلف سرویس فناوری اطلاعات بپرسید
۵ مرداد, ۱۴۰۱
CICD Tools
۱۰ تا از برترین ابزارهای CI/CD مورد استفاده برنامه نویسان
۲۹ خرداد, ۱۴۰۱
wef-digital-sustainability-16-9
مسئولیت فناوری اطلاعات نسبت به پایداری
۲۴ فروردین, ۱۴۰۱

نظر بدهید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.

جستجو

سوالاتی که باید قبل از پیاده‌سازی پورتال سلف سرویس فناوری اطلاعات بپرسید

سوالاتی که باید قبل از پیاده‌سازی پورتال سلف سرویس فناوری اطلاعات بپرسید

اگر به رابطه بین تیم پشتیبانی و کاربران نگاهی...

طراحی و استقرار مجموعه‌ای از فرایندهای چارچوب ITIL4 در “شرکت ابرآمد”

طراحی و استقرار مجموعه‌ای از فرایندهای چارچوب ITIL4 در “شرکت ابرآمد”

شرکت توسعه زیرساخت­‌های فناورانه ابرآمد یکی از شرکت­‌های زیرمجموعه...

۱۰ تا از برترین ابزارهای CI/CD مورد استفاده برنامه نویسان

۱۰ تا از برترین ابزارهای CI/CD مورد استفاده برنامه نویسان

عبارت CI/CD (Continuous Integration /Continuous Delivery) به معنی ادغام...

استقرار سیستم مدیریت خدمات فناوری اطلاعات و دریافت گواهینامه ISO/IEC 20000  در شرکت “مپنا توسعه دو”

استقرار سیستم مدیریت خدمات فناوری اطلاعات و دریافت گواهینامه ISO/IEC 20000 در شرکت “مپنا توسعه دو”

شرکت احداث و توسعه نیروگاه‌های سیکل ترکیبی مپنا –...

مسئولیت فناوری اطلاعات نسبت به پایداری

مسئولیت فناوری اطلاعات نسبت به پایداری

امروزه پایداری به مفهومی رایج و پرکاربرد در میان...

آخرین نوشته ها

  • سوالاتی که باید قبل از پیاده‌سازی پورتال سلف سرویس فناوری اطلاعات بپرسید
  • طراحی و استقرار مجموعه‌ای از فرایندهای چارچوب ITIL4 در “شرکت ابرآمد”
  • ۱۰ تا از برترین ابزارهای CI/CD مورد استفاده برنامه نویسان
  • استقرار سیستم مدیریت خدمات فناوری اطلاعات و دریافت گواهینامه ISO/IEC 20000 در شرکت “مپنا توسعه دو”
  • مسئولیت فناوری اطلاعات نسبت به پایداری
  • معرفی دوره ITIL® ۴ Specialist: Sustainability in Digital and IT
  • اهداف توسعه پایدار


کلیه حقوق این وب سایت به شرکت رایزن سامانه گستر متعلق بوده و نقل مطلب از آن با ذکر منبع بلامانع است.