مقدمه
عاملهايي مانند كارشناسان، عوامل تكنولوژيكي و فرآيندهاي سازماني عناصري هستند كه پيادهسازي امنيت در سازمان ها را با چالش خدمات شبكه مواجه مي كنند. جنبه هاي انساني عبارتست از آنچه مربوط به شناخت و درك افراد است مانند فرهنگ و تعامل با ديگر با افراد. جنبه هاي سازماني مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصميمات مديريتي در حوزه امنيت فناوري اطلاعات. جنبه هاي تكنولوژي، شامل راه حل هاي تكنيكي مانند برنامه ها و پروتكل هاست. براي مثال، براي رسيدن به درك متقابل درباره ريسك هاي امنيت در ميان ذينفعان مختلف، ارتباطات و تعاملات موثر مورد نياز است. همچنين خطاهاي انساني تهديد ديگري براي راهكارهاي امنيتي هستند. تحليل ها نشان مي دهد كه فاكتورهاي سازماني مانند ارتباطات، فرهنگ امنيت و قوانين دلايل متداول خطاها در حوزه امنيت اطلاعات هستند.
متدولوژي
شناخت بهتر شرايط و محدوديت هاي دنياي واقعي در ارائه راهكارهاي امنيتي براي ايجاد سيستم هاي پسيو شبكه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سيستم كمك خواهد كرد. سوالات اصلي كه در اين مطالعه مطرح شده است، عبارتند از:
1. مشكلات اصلي كه كارشناسان در بخش امنيت اطلاعات در سازمان خود با آنها روبرو هستند، چيست؟
2. چگونه اين چالش ها و مشكلات با هم در تقابل هستند؟
3. الزامات اين چالش ها بر روي تحقيقات آينده چيست؟
ارائه چارچوب يكپارچه چالش ها
سه دسته از اين مشكلات بعنوان فاكتورهاي انساني دسته بندي مي شود:
1- فرهنگ 2- فقدان آموزش امنيت 3- فرآيندهاي امنيت ارتباطات
فقدان فرهنگ امنيت داخل سازمانها تغيير شيوه ها را مشكل كرده است. براي مثال، چندين كارمند از يك نام كاربري براي دسترسي به يك سيستم پشتيباني شبكه استفاده مي كنند. در برخي موارد، كارمندان دسترسي به داده را بعنوان يك امتياز در نظر مي گيرند و در برابر از دست دادن اين امتياز بعنوان يك تغيير سازماني مقاومت مي نمايند. فقدان آموزش امنيت موضوع ديگر است. پياده سازي كنترل هاي امنيتي در حالي كه افراد توجه كافي يا دانش كافي درباره امنيت فناوري اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ريسك هايي كه ذينفعان داخل سازمان با آن مواجه هستند، تحت تاثير قرار مي دهد. زماني كه ديدگاه مشترك از ريسك ها ميان ذينفعان وجود نداشته باشد امنيت ارتباطات با مشكل روبرو خواهد شد.
مواردي كه به ويژگي هاي سازمان ها مربوط مي شود، عبارتند از:
1- برآورد ريسك 2- محيط هاي باز و آزاد دانشگاهي 3- فقدان بودجه 4- قرار دادن امنيت در اولويت دوم 5- زمانبندي فشرده 6- روابط تجاري با ديگر سازمان ها 7- توزيع مسئوليت هاي فناوري اطلاعات 8- كنترل دسترسي به داده هاي حساس
فاكتورهاي مبتني بر تكنولوژي كه براي پياده سازي قوانين امنيتي مطرح مي شوند، عبارتند از:
1- پيچيدگي سيستم ها 2- دسترسي هاي توزيع شده و سيار 3- آسيب در سيستم ها و برنامه ها
نتيجه گيري
تجزيه و تحليل ها نشان داد كه ارتباطات موثر يك مشكل براي كارشناساني كه ريسك ها و كنترل هاي امنيتي را با ديگر ذينفعان مطرح مي نمايند، مي باشد. براي پياده سازي فرآيندهاي امنيتي بايد فرهنگ سازماني و ديدگاه ذينفعان مختلف و نه فقط كاربران نهايي درباره ريسك هاي امنيتي در نظر گرفته شود. توزيع مديريت فناوري اطلاعات و عدم آموزش هاي امنيتي ميكروتيك ذينفعان فاكتورهايي هستند كه تاثير منفي بر روي كارآيي و اثربخشي ارتباطات ايجاد شده توسط كارشناسان امنيت دارند.زمانبندي فشرده براي تحويل سرويس هايي كه شامل نيازمنديهاي امنيتي است، مشكل ديگري است. اين مشكل به كمبود زمان، منابع و ارتباطات متناقض بين مسئولان مربوط مي باشد. به اين ترتيب يك ارتباط مستقيم بين زمانبندي فشرده و سطح امنيت وجود دارد.
توزيع، در حوزه دسترسي كنترل شده به داده دو جنبه دارد: اول، كنترل كردن دسترسي كاربراني كه پراكنده هستند و از تكنولوژي هاي دسترسي متفاوت استفاده مي كنند. دوم، كنترل دسترسي به داده هاي توزيع شده در كل سازمان كه توسط ذينفعان مختلف مديريت مي شود. پيشنهاد مطرح شده اينست كه، پروسه هاي امنيتي بايد با فرض محيط هاي توزيع شده توسعه يابند. اين سيستمها بايد به منظور فراهم كردن دسترسي كنترل شده به داده هاي توزيع شده، به اندازه كافي انعطاف پذير باشند و كانال هاي ارتباطي بين ذينفعان مختلف كه به آن داده ها دسترسي دارند، بهبود ببخشند.
- شنبه ۲۲ اردیبهشت ۹۷ ۱۷:۲۶
- ۱۱۷ بازديد
- ۰ نظر