با ارائه اولين استاندارد مديريت امنيت اطلاعات، نگرش سيستماتيك به مقوله ايمنسازي فضاي تبادل اطلاعات شكل گرفت. بر اساس اين نگرش، تامين امنيت فضاي تبادل اطلاعات سازمان ها، دفعتا مقدور نميباشد و لازم است اين امر بصورت مداوم در يك چرخه ايمنسازي شامل مراحل طراحي، پيادهسازي، ارزيابي و اصلاح، انجام گيرد. براي اين منظور لازم است هر سازمان خدمات شبكه بر اساس يك متدولوژي مشخص، اقدامات زير را انجام دهد:
1- تهيه طرحها و برنامههاي امنيتي موردنياز سازمان
2- ايجاد تشكيلات موردنياز جهت ايجاد و تداوم امنيت فضاي تبادل اطلاعات سازمان
3- اجراي طرحها و برنامههاي امنيتي سازمان
و در نهايت اقدام به پياده سازي سيستم مديريت امنيت اطلاعات نمايد .
1 چالش هاي منجر به شكست پروژه ISMS
پياده سازي هر سيستم مديريتي در يك سازمان با موانعي روبروست. گاه اين موانع آن چنان جدي است كه عملا پياده سازي سيستم را غير ممكن مي سازد. به هر حال بايد در نظر داشت كه مي توان با شناخت چالش ها و اقدام در جهت بر طرف سازي آنها مسير را در حركت به سمت آن هموار كرد.
مهمترين موانع پيش رو در پياده سازي ISMS عبارتند از :
1-1 مشكلات مديريتي
• عدم ثبات مديران در سازمان ها هميشه از مشكلات اساسي در پروژه ها مي باشد .اين تغييرات از لايه مديران مياني تا لايه مديريت كلان سازمان، مي تواند صورت گيرد.
• عدم تعهد مديريت - تعهد مديريت اصلي ترين بحث در شكل گيري ISMS مي باشد. هدف ISMS ايجاد يك سيستم مديريتي پشتيباني شبكه است حال اگر مديريت تعهدي نسبت به اجرايي شدن ISMS نداشته باشد پياده سازي آن نه تنها به بهبود امنيت در سازمان كمك نمي كند بلكه سازمان را مختل نيز خواهد كرد.
1-2 مشكلات كاركنان
• عدم آگاهي مناسب منابع انساني- پيش از پروژه ISMS آگاهي لازم به كارمندان داده نمي شود.
• كمبود منابع انساني متخصص – عدم حضور نيروي متخصص در حوزه فناوري اطلاعات در سازمان، مشكلات بسياري را از ابتدا تا انتهاي پروژه به همراه خواهد داشت .
• مقاومت كاربران در برابر تغيير
• عدم برقراري ارتباط موثر -مديران امنيت اطلاعات مي بايست قادر به ارتباط موثر با كاربران نهايي و از طرف ديگر مديران ارشد و هيئت مديره باشند.
1-3 مشكلات سازماني
• عدم بلوغ سازماني - عدم بلوغ سازماني در بكار گيري سيستم مديريتي از مهمترين موانع در ايجاد ISMS در هر سازمان محسوب مي شود.
• تغيير ساختار سازماني – تغيير محدوده و ادارات انتخاب شده در پروژه و گاهي تلفيق و جدا سازي ادارات از ديگر مشكلات پياده سازي است
• عدم استفاده از مشاور مناسب - انتخاب مناسب پيمانكاري كه تخصص لازم را داشته باشد و متدولوژي مناسبي در پياده سازي ارايه دهد
• نداشتن متولي ISMS در سازمان- به دليل ماهيت پروژه كه موضوع امنيت است معمولاً در سازمان ها اداره حراست مسئوليت پروژه را بر عهده مي گيرد در صورتيكه سهم بيشتر اين پروژه مربوط به IT است .
• عدم تخصيص بودجه مناسب- بسياري از مديران از انتخاب معيار مناسب جهت تعيين رقم بودجه غافل مي شوند و با صرف هزينه كمتر و عدم تخصيص بودجه مناسب براي پروژه شرايط نامناسبي را فراهم مي كنند.
1-4 مشكلات فني :
• وجود نرم افزار هاي قديمي و سيستم عامل هاي غير اورجينال - از نقطه نظر فني وجود نرم افزار هاي قديمي و سيستم عامل پسيو شبكه هاي غير اورجينال يكي از جدي ترين چالشهاي امنيتي به شمار مي رود.
• عدم وجود الگوي مناسب توسعه با ديدگاه فناوري اطلاعات ، اين مساله باعث عدم مكانيزه شدن بسياري از فرايند هاي سازمان و در نتيجه عدم امكان پياده سازي مناسب سيستم امنيت اطلاعات خواهد شد.
1-5 مشكلات مناقصه
در پروژه هاي سيستم مديريت امنيت اطلاعات، محصول نهايي در انتهاي پروژه تحويل كارفرما نمي شود و ماهيت پروژه ايجاد سيستم و جاري ساختن اين سيستم در سازمان است. كارفرما با بيان نيازمندي هاي خود و شركت كنندگان در مناقصه با توصيف روشي جهت پوشش دهي آنها در مناقصات شركت مي كنند . ار آنجائيكه برداشت متفاوتي از اين نيازها و الزامات مي شود، شركت كنندگان پروپزالهاي متفاوتي ارائه مي دهند و در نتيجه قيمت هاي پيشنهادي متفاوتي ارائه مي شود كه اين مسئله باعث مي شود، قيمت كمتر در مناقصه برنده شود و انتخاب درستي براي پيمانكار صورت نگيرد .
2 نتيجه گيري:
مشكلات مديران امنيت اطلاعات اين است كه بسياري از مواقع مجبور مي شوند نقش يك متخصص فني با ديدگاه مديريتي فرمان دهنده را بپذيرند.
آن ها معمولا تصميمات مربوط به امنيت اطلاعات را بدون درگير كردن يا مذاكره با كاركنان مي گيرند.، مديريت خوب فناوري اطلاعات به طور فزاينده بستگي به انسان ها و همچنين فرآيندها و ملاحظات فني دارد.
مديران امنيت فناوري اطلاعات به طور فزاينده براي جايگزيني رويكرد كنترلي با يك سبكي كه بيشتر دانشگاهي باشد، فعاليت دارند. اين شامل كمك ميكروتيك به كاربر نهايي و بحث و مذاكره و تصميم گيري در مورد مسائل امنيت اطلاعات است.
متاسفانه تحقيقات نشان داده است كه اين دو نقش گاهي اشتباه گرفته مي شود و اين مي تواند به تناقضاتي در پيام هايي كه به كاربران نهايي فرستاده مي شود بيانجامد. مديران امنيت اطلاعات از برخي از مشكلات ذاتي در سازمان، آگاه هستند. از طرفي اگر آن ها يك دستور را بگيرند و وضعيت را كنترل كنند پس از آن موقعيت آنها به گونه اي مي شود كه بيشتر توجهشان معطوف به كاربر نهايي شده و كمتر مي توانند به خود توجه داشته باشند.
از سوي ديگر اگر مدير امنيت اطلاعات يك رويكرد بيشتر دانشگاهي و مبني بر اختيار كاربر نهايي براي تصميم گيري بيشتر با توجه به امنيت اطلاعات داشته باشد، پس از آن احتمال رخ دادن حوادث (حداقل در كوتاه مدت) بيشتر خواهد شد و اشتباهات بيشتري به وجود مي آيد.
اين حالت نياز به پذيرش و شايد سرمايه گذاري بيشتر براي بهبود آن را دارد. مصاحبه با مديران امنيت اطلاعات نصب شبكه اشكار كرد كه آن ها برروي صحبت، ارائه و تقويت ايده ها تمركز دارند ولي توجهي به گوش دادن به كاربر نهايي ندارند. در نهايت پياده سازي سيستم مديريت امنيت اطلاعات به صورت يك پروژه نيست، كه روزي شروع و روزي پايان داشته باشد . ISMS يك سيستم است كه بايد از همان ابتدا در لايه هاي داخل سازمان نفوذ كند و امنيت ايجاد شده در سالهاي متوالي توسط كميته هاي راهبردي و استراتژيك سازمان بهبود يابد
- جمعه ۲۱ اردیبهشت ۹۷ ۱۵:۲۵
- ۸۰ بازديد
- ۰ نظر