مدیریت ریسک در امنیت اطلاعات
(قسمت اول)
با نظر به این تحولات نکاتی نظیر خطر آشکار شدن رمز عبور، خطر ویروسی شدن سیستم ها، از بین رفتن اطلاعات و تغییر اطلاعات توسط افراد غیر مجاز، نفوذ آنها به شبکه ها و سیستم های کامپیوتری از اهمیت بالایی برخوردار می شوند.
مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حل های امنیتی (از قبیل نصب دیواره های آتش، IDS، IPS و...) برای برقراری امنیت مناسب و کافی است. امنیت اطلاعات نیازمند یک «سیستم مدیریت امنیت» و همچنین یک مدیریت ریزتر برای ریسک ها و خطرات احتمالی همچنین مدیریتی برای رفع آنها می باشد.
در این مقاله هدف، توضیحات کلی در خصوص ریسک های احتمالی برای اطلاعات و نحوه برخورد با آنها می باشد. در ابتدا به منظور دانستن مدیریت ریسک دارائی ها می بایست با مفاهیم دارائی آشنا بشویم.
دارایی چیست؟
دارایی در علم حسابداری، عبارت است از کلیه اموال و حقوقی که دارای ارزش پولی باشند. دارایی های یک واحد ممکن است پدیده های عینی و مشهود باشند. مثل زمین، ساختمان، موجودی نقدی و موجودی کالا یا به صورت حقوق مالی و امتیازات غیر قابل رویت، مثل سرقفلی و مطالبات از اشخاص.
داراییها خود به پنج گروه اصلی تقسیم می شوند که عبارتند از :
دارایی های جاری: این دارایی ها اقلامی هستند که انتظار می رود در طی یک سال یا یک دوره عملیاتی از تاریخ تنظیم ترازنامه هرکدام که طولانی تر است به وجه نقد تبدیل، یا مصرف و یا فروخته شوند. معمولا دارایی های جاری بر حسب سرعت تبدیل شدن به وجه نقد و یا مصرف در ترازنامه منعکس می گردند.
سرمایه گذاری های بلندمدت: این سرمایه گذاری ها، مانند خرید اوراق قرضه و یا سهام موسسات دیگر، از نوع دارایی هایی می باشند که مدیران موسسه انتظار ندارند در طی یک دوره مالی به وجه نقد تبدیل گردند.
دارایی های ثابت: این دارایی ها، اقلامی مشهود با عمری طولانی می باشند که در جریان عملیات موسسه مورد استفاده قرار می گیرند. دارایی های این گروه به مرور زمان و پس از استفاده مکرر فرسوده می گردد به همین دلیل برای هر یک از دارایی های ثابت استهلاك منظور می شود.
دارایی های نامشهود: این گروه از دارایی ها نشان دهنده حقوق قانونی و یا ارتباط خاصی است که وجود فیزیکی نداشته، منافعی را برای صاحب آن در آینده به دنبال دارد. از جمله دارایی های نامشهود می توان به حق اختراع، حق امتیاز تولید، و سرقفلی اشاره کرد.
سایر دارایی ها: هر گاه موسسه ای دارایی داشته باشد که نتواند آن را در یکی از گروههای فوق طبقه بندی نماید از عنوان سایر دارایی ها استفاده می کند.
حال به بررسی دارایی های مربوط به آی تی که مد نظر ما برای مدیریت آنها می باشد می پردازیم که شامل موارد زیر می شود:
دارایی های سخت افزاری
فلاپی، پرینتر، اسکنر، نوت بوك،CD وDVD انواع , UPS شامل سرورها، کامپیوترهای شخصی، دستگاه فکس و تلفن و درایو های قابل حمل، اجزاء شبکه ارتباطی از قبیل روترها، مودم، سوئیچ،Flash memory.
دارایی های نرم افزاری
نرم افزارهایی که در داخل یا خارج سازمان تولید شده و در راستای مأموریت و فعالیت های سازمان مورد استفاده قرار می گیرند. مانند سیستم های اتوماسیون اداری، نرم افزارهای مالی و حسابداری، انبارداری ودیوار های آتش و مدیریت دانلود. نرم افزارهای معمول و موجود در بازار که برای انجام امور عادی و روزمره مورد استفاده قرار می گیرند مانند نرم افزارهای تایپ و فتوشاپ، اکروبات ریدر و... .
سرمایه های اطلاعاتی
شامل هر نوع اطلاعات چه فیزیکی از قبیل کاغذ و نامه وغیره، و چه غیر فیزیکی که برای سازمان دارای ارزش باشند .اطلاعات کاری و سازمانی از قبیل سوابق پروژه ها و فعالیت های انجام شده، مأموریت و گزارشات سازمانی موجود، روندها و طرح های سازمانی و ... ، اطلاعات پرسنلی از قبیل اطلاعات حقوقی، اطلاعات شخصی، سوابق کاری و خدمتی، شماره حساب های بانکی و لیست بیمه و... ، اطلاعات امنیتی از قبیل کلمات عبور، اطلاعات مربوط به رمزنگاری و احرازصلاحیت و احراز هویت کاربران و ... ، بانک های اطلاعاتی موجود بر روی سرورها، فایل های اطلاعاتی ذخیره شده بر روی سرورها یا کامپیوترهای کاربران – اطلاعات مشتریان.
سرمایه های انسانی
سرمایه های انسانی شامل تمامی کارکنانی می شود که در سازمان مشغول بکار بوده و در صورت از دست دادن آنها، به روند اجرایی سازمان و روال های کاری و سازمانی لطمه وارد خواهد شد. نظیر مدیران ارشد قسمت های مختلف سازمان و امنیت آی تی، جانشینان و معاونین آنها، رۆسای بخش ها و دوایر پرسنل متخصص و با سابقه، مدیران و کارشناسان بخش اطلاعات، پرسنل متخصص و تکنیکی موجود در دوایر و بخشها و سایر موارد.
پس از تعیین و شناسایی دارایی ها، تیم ارزیابی اقدام به شناسایی ریسک های مربوط به هر یک از دارایی ها می نماید. همانطور که از تعریف ارائه شده برای ریسک استنباط می شود، هر ریسک از سه جزء تشکیل شده است.
مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج، طراحی زیر ساخت و متعاقبا پیاده سازی راه حل های امنیتی (از قبیل نصب دیواره های آتش، IDS، IPS و...) برای برقراری امنیت مناسب و کافی است
لذا تعریف ریسک به معنی تعیین دقیق این سه جزء است. که عبارتند از :
ریسک = عامل تهدید + سرمایه + اثر تهدید
با توجه به فرمول بالا، با تغییر هر یک از اجزاء موجود در طرف چپ تساوی ، ریسک جدیدی حاصل می شود.و در نتیجه در اکثر موارد امکان دارد که برای یک دارایی مشخص، چندین ریسک مختلف را با توجه به نوع عامل تهدید و انواع اثرات آن، بتوان شناسایی نمود. بنابراین، برای هر مورد یک شناسنامه ریسک بصورت جدا تهیه خواهد شد.
عدم آگاهی کاربران بالاترین تهدید و سپس امنیت نیروی انسانی از بارزترین نمونه ها در کنار امنیت فیزیکی به شمار میروند. حجم بالای اطلاعات در هر سازمان من جمله مکاتبات، سیاست ها، اطلاعات مشتریان و ... ما را بر آن میدارد تا به فکر حفاظت از آن باشیم و در نتیجه این اطلاعات مهمترین دارایی و کلید رشد سازمان به حساب می آید. یادمان باشد که سیستم های اطلاعاتی همواره در خطر سرقت اطلاعات و تغییر و ... می باشند.
حال کارشناسان امنیت باید بدانند که برای محافطت از اطلاعات نمی توان به نوع خاصی از امنیت و یا محصول خاصی بسنده کرد و این انتظار بیهوده است که محصولی تمام انتظارات امنیتی ما را فراهم کند. از این نکته می توان چنین برداشت کرد که همیشه با ترکیب چند قابلیت امنیتی و محصول می توان به ضریب امنیت بالاتری رسید زیرا همانطور که در مقالات قبل اشاره شد امنیت یک سیستم برای تکمیل مشکلات آی تی می باشد نه یک یا چند محصول.
سارا سیفی خواه
بخش دانش و زندگی تبیان
