عصر ارتباط – میلاد یداللهی – کمتر روزی را پیدا میکنیم که با مرور رسانهها و شبکههای اجتماعی، به خبر هک شدن یا سرقت اطلاعات افراد و همچنین سازمانها و شرکتهای بزرگ و کوچک در دنیا برنخوریم. در برخی موارد این خبرها مربوط به نقضهای امنیتی در غولهای فناوری دنیا و شرکتهای بزرگ هستند و در بعضی دیگر ممکن است منشا آن جنگهای سایبری میان کشورها یا حتی حملات گروههای هکری کوچک و بزرگ با نیتهای سودجویانه و شخصی باشد.
ظاهرا اینگونه به نظر میرسد که هیچ ماهیت اطلاعاتی اعم از فردی و سازمانی، بزرگ و کوچک، داخلی و خارجی و غیره در فضای سایبری و فناوری اطلاعات، از تهدیدات متنوع این محیط مصون نیستند و ممکن است مورد حمله و سوءاستفاده قرار گیرند.
اساسا فرض مذکور درست است و همین فرض است که اهمیت توجه به چالشهای امنیت اطلاعات را در سطوح مختلف فردی و سازمانی برجستهتر میکند. حال سوال اینجاست که آیا حملات امنیتی و هکهای اخیر که عمدتا در زیرساختهای فناوری اطلاعات کشور رخ میدهند و از منظر حساسیت و تعدد نیز رو به رشد هستند هم طبیعی است؟ و آیا ما تمام کارهایی را که میتوانستیم برای جلوگیری از بروز این قبیل حملات انجام دهیم را کردهایم؟
با تمرکز روی امنیت فناوری اطلاعات در سطح سازمانی و زیرساختی، برای رسیدن به پاسخ سوالات مطرحشده نیاز به بررسی عوامل و موضوعاتی را داریم که در ادامه این یادداشت به صورت اجمالی به آنها میپردازیم.
موضوع اول میزان رشد و توازن امنیت اطلاعات در برابر رشد فناوری اطلاعات در سازمانها و شرکتها است. حال که در عصر دیجیتالی شدن خدمات و فرایندها قرار داریم و بسیاری از فعالیتها و سرویسها به صورت غیرحضوری شده و در بستر فناوری اطلاعات، بسیار آسانتر و با بازدهی بهتر و همچنین هزینه پایینتر ارایه میشوند، عموما موضوع امنیت اطلاعات مورد کمتوجهی قرار گرفته و متاسفانه با سرعت رشد به مراتب کمتری گسترش پیدا کرده است.
اصولا در صورتی که جایگاه امنیت در تحول دیجیتال و معماری فناوری اطلاعات به درستی تبیین نشود، گویی که قصری مجلل ساختهایم، بیآنکه پی و زیرساخت قوی برای آن ریخته باشیم.
موضوع اساسی بعدی کمبود جدی منابع از حیث بودجهای و انسانی در زیرساختهای امنیت فناوری اطلاعات کشور
است.
با مقایسه شاخص نسبت بودجه امنیت به IT در سازمانها بهراحتی متوجه میشویم که هنوز این موضوع جایگاه مناسبی در نظر مدیران ندارد و عملا ایشان موضوع پیشگیری و ارتقای امنیت اطلاعات در سازمان خود را نه به چشم سرمایهگذاری، بلکه بهعنوان هزینه مینگرند.
در واقع همانطور که شاهد هستیم، خسارات وارده ناشی از عدم توجه کافی به این موضوع به مراتب بالاتر و جبرانناپذیرتر از اختصاص منابع مکفی به آن است.
از سوی دیگر کمبود نیروی متخصص و متبحر در حوزه امنیت اطلاعات، تبدیل به یک بحران اساسی برای بسیاری از سازمانها و شرکتها شده است که باز هم به نظر میرسد مدیران به آن بیتوجه هستند.
سیل خروج نیروهای متخصص امنیت از سازمانها و جذب آنها توسط شرکتهای خارجی میتواند دلایل متعددی داشته باشد، اما برخی از بارزترینشان، برآورده نکردن نیازهای اساسی و حرفهای این دسته کارکنان از منظر مالی، جایگاه سازمانی و مسیر رشد است.
موضوع با اهمیت دیگر، توجه کافی نداشتن به نظارت مستمر، ممیزیهای دورهای و کشف آسیبپذیریهای امنیتی قبل از وقوع حوادث است. اصولاً هرچه نرخ فعالیتها و اقدامات کنترلی و پیشگیرانه امنیتی نظیر موارد ذکرشده در بالا افزایش پیدا کند، متعاقبا شاهد کاهش رخدادهای امنیتی خواهیم
بود.
پایش مستمر امنیتی سیستمهای اطلاعاتی و شبکه، انجام آزمونهای نفوذپذیری دورهای، شکار تهدیدات، ایجاد مراکز عملیات و پایش امنیت، طراحی و استقرار رویکردهای استانداردی نظیر سیستم مدیریت امنیت اطلاعات، همگی در کنار هم و بهصورتن ظاممند (نه مقطعی و جزیرهای) میتوانند تا سطح مناسبی ما را در برابر تهدیدات امنیتی
حفاظت کنند.
حال میتوانیم در پاسخ به سوالات بالا بگوییم که سطح امنیتی سازمانی و زیرساختی ما از منظر فناوری اطلاعات نیازمند تمرکز و نگاه ویژهای است که متاسفانه تاکنون به آن معطوف نشده است.
حوادث و هکهای امنیتی اخیر که به نظر میرسند بهصورت هماهنگ و برنامهریزیشده به وقوع پیوستند، تنها یک هشدار هستند و در صورت عدم چرخش راهبردی در برنامهریزیهای امنیت اطلاعات در زیرساختها، سازمانها و شرکتها، وقوع مجدد آنها در ابعاد بزرگتر دور از ذهن نیست.
*دکترای مدیریت فناوری، امنیت و مدیرعامل شرکت آشنا ایمن
