چالش‌های پیاده سازی سیستم مدیریت امنیت اطلاعات در یک سازمان

اطلاعات به عنوان یکی از عناصر اساسی در یک سازمان، به همان اندازه که کارکنان، اماکن و تجهیزات اهمیت دارند، از اهمیت برخوردار می‌باشد.

در جهان امروز اتکای هر سازمانی، چه دولتی و چه خصوصی، بر مبنای تکنولوژی اطلاعات است که به طور فزاینده ای در حال افزایش می‌باشد. در طول دو دهه گذشته، ماهیت سیستم های اطلاعاتی به طور عمده ای تغییر یافته و تبدیل به بخش بزرگی از فرآیندهای کسب و کار شده است. اطلاعات، به یک دارایی استراتژیکی توسعه یافته و سیستم های اطلاعاتی به یک ابزار استراتژیکی برای سازمان ها و دولت ها تبدیل شده است.

ما باید از اطلاعات حفاظت کنیم تا:

• فقط افراد مجاز بتوانند به آن دسترسی داشته باشند. ( محرمانگی )
• اطمینان یابیم که اطلاعات درست است و دقیقا همان چیزی است که باید باشد و مورد دستکاری و تخریب قرار نگرفته است. ( یکپارچگی )
• در زمان‌های مجاز، افراد مجاز بتوانند به راحتی به آن دسترسی داشته باشند. ( دسترس پذیری )

بسیاری از شکست های پیاده سازی (ISMS) ریشه در مسائل سازمانی و بی توجهی به وضعیت آمادگی سازمان قبل از پیاده سازی دارد.

چالش های اساسی سازمان ها در پیاده سازی موفق سیستم مدیریت امنیت اطلاعات عبارتند از:

• عدم حمایت کافی مدیریت ارشد از استقرار سیستم مدیریت امنیت اطلاعات:

وقتی مدیریت ارشد سازمان به امنیت اطلاعات اهمیت کمتری بدهد، اعمال سیاست‌ها و استانداردهای لازم برای حفظ امنیت اطلاعات ممکن است دچار تخلفات و کمبود‌ها شود، همچنین عدم حمایت مدیریت ارشد می‌تواند منجر به کاهش تخصیص منابع مالی و انسانی برای پیاده‌سازی ISMS شود. این می‌تواند باعث شود که سازمان نتواند به طور کامل به استقرار فرآیند‌ها، فناوری‌ها و آموزش‌های مورد نیاز برای حفظ امنیت اطلاعات بپردازد.

• نگاه پروژه محور و موقتی به پیاده سازی سیستم مدیریت امنیت اطلاعات:

در صورتی که نگاه سازمان به مقوله ی امنیت اطلاعات پروژه محور باشد و پس از اجرای سیستم و اخذ گواهینامه در نگهداری و بهبود امنیت اطلاعات تلاشی صورت نگیرد، با بروز آسیب هاي پذیری‌های جدید و انجام حملات پیشرفته تر، امنیت سازمان در معرض مخاطره جدی قرار خواهد گرفت.

• گستردگی دامنه پیاده سازی سیستم مدیریت امنیت اطلاعات در ابتدای کار :

 این چالش ممکن است در ابتدای کار به ویژه زمانی که سازمان برای اولین بار به پیاده‌سازی  ISMS می‌پردازد، مطرح شود. گسترش سیستم مدیریت امنیت اطلاعات به تمامی بخش‌ها و واحدهای سازمان نیازمند هماهنگی و توافق بین همه‌ی واحدها، تخصیص منابع بیشتر از جمله منابع مالی، انسانی و فنی و تغییر فرهنگ و رویکرد در سازمان می‌باشد. توصیه می‌شود در ابتدا، سیستم مدیریت امنیت اطلاعات را در یک دامنه کوچکتر پیاده‌سازی کنید تا فرهنگ مدیریت امنیت اطلاعات در سازمان نهادینه شود.

• عدم تفکیک مسئولیت ها و وظایف پرسنل:

زمانی که مسئولیت‌ها و وظایف پرسنل در خصوص امنیت اطلاعات به طور واضح تعیین نشده باشد، ممکن است تداخل و ابهام در اجرای سیاست‌ها و رویه‌های امنیتی ایجاد شود. این مسئله می‌تواند منجر به نادیده گرفتن یا انجام ناقص وظایف مربوط به امنیت اطلاعات شود.

• عدم ارائه آموزش هاي لازم به پرسنل:

پرسنل سازمان بدون آموزش‌های لازم نمی‌توانند به درستی از ابزارها و روش‌های امنیتی استفاده کنند، رفتارهای امنیتی مورد نیاز را در مواجهه با مسائل امنیتی انجام دهند و یا حتی ممکن است مورد هدف حملات مهندسی اجتماعی و فیشینگ قرار بگیرند.

• کمبود منابع مالی، انسانی، فنی و …

پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات نیازمند سرمایه‌گذاری مالی و تیمی متخصص از افراد است. کمبود منابع مالی می‌تواند مانع از تامین ابزارها، فناوری‌ها و آموزش‌های لازم برای ایجاد یک سیستم موثر و قابل اطمینان شود. عدم حضور نيروي متخصص در حوزه فناوري اطلاعات در سازمان نیز مشکلات بسياري را از ابتدا تا انتهاي پروژه به همراه خواهد داشت. از نقطه نظر فني نیز وجود نرم افزار هاي قديمي و سيستم عامل ها و آنتی ویروس‌های بروزرسانی نشده يکي از جدي ترين چالش‌هاي امنيتي به شمار مي رود.

• انتخاب رویکرد سخت‌گیرانه و عدم توجه به سطح بلوغ و فرهنگ سازمانی در پیاده سازی ISMS

گرچه امنیت اطلاعات بسیار حیاتی است، اما انتخاب یک رویکرد بسیار سخت‌گیرانه ممکن است باعث محدودیت‌ها و مشکلات در عملکرد و کارایی سازمان شود.

انتخاب رویکردی که بیش از حد محدودیت‌ها و مراحل پیچیده را برای دسترسی به اطلاعات تعیین کند، می‌تواند باعث کاهش بهره‌وری و افزایش هزینه‌ها شود.

اگر نگاه سخت گیرانه‌ای نسبت به امنیت اطلاعات داشته باشیم، خود این موضوع ناامنی ایجاد می‌کند! برای مثال سازمانی را فرض کنید که تا کنون هیچ سیاستی در مورد کلمات عبور ایستگاه‌های کاری کارکنان خود نداشته و کارکنان هر کلمه عبوری را با هر میزان طول و پیچیدگی می‌توانستند انتخاب کنند. اگر یکباره این سازمان تصمیم بگیرد که کلمات عبور می‌بایست حداقل از 12 کاراکتر تشکیل شده باشد و متشکل از اعداد، حروف بزرگ و کوچک و علائم خاص باشد، این مساله باعث می‌شود افراد رمز عبورهای خود را یادداشت کنند و بر روی کیس یا کیبورد خود قرار دهند. بنابراین امنیت بیشتر خدشه دار می‌گردد.

• تقلیل مفهوم امنیت اطلاعات به امنیت شبکه

امنیت اطلاعات فقط با تجهیزات امنیتی فراهم نمی شود!

امنیت در یک سازمان، تنها با تهیه یک یا چندین محصول امنیتی فراهم نمی‌شود، بلکه امنیت یک فرایند منسجم و ادامه‌دار است که به یک دید وسیع و فراگیر و نگرش سیستمی نیاز دارد.

• عدم تمایل به اجرای ممیزی

بسیاری از سازمان ها پس از پیاده سازی سیستم مدیریت امنیت اطلاعات، تمایلی براي اجرای ممیزی ندارند. در صورت عدم وجود ممیزی، نه کارفرما و نه پیمانکار آنچنان که باید در انجام وظایف خود اهتمام نخواهند ورزید. شرکت امن گستران فرزان ایرانیان می‌تواند با ارائه خدمات زیر به سازمان‌ها در مواجهه با چالش‌های پیاده‌سازی ISMS کمک کرده و به آن‌ها کمک کند تا این سیستم را به بهترین شکل ممکن در سازمان خود پیاده‌سازی کنند.

• مشاوره و راهنمایی: این شرکت می‌تواند با ارائه مشاوره و راهنمایی متخصصانه در مورد استانداردها، فرآیندها و روش‌های مورد نیاز برای پیاده‌سازی ISMS، به سازمان‌ها کمک کند تا به درستی این سیستم را راه‌اندازی کنند.
• آموزش و آگاه‌سازی: با برگزاری دوره‌های آموزشی و آگاه‌سازی درباره اصول و رویه‌های ISMS  و نحوه اجرای آن در سازمان، این شرکت می‌تواند کادر سازمان را برای پیاده‌سازی مؤثر این سیستم آماده کند.
• ارائه راهکارهای فنی: شرکت امن گستران فرزان ایرانیان می‌تواند راهکارهای فنی مختلفی را ارائه دهد که به سازمان‌ها در اجرای ISMS و حفاظت از اطلاعاتشان کمک کنند، از جمله نرم‌افزارهای مدیریت امنیت اطلاعات و تجهیزات امنیتی.
• ارزیابی و تجزیه و تحلیل: این شرکت می‌تواند ارزیابی‌های امنیتی انجام دهد و با تحلیل نقاط ضعف و تهدیدات، به سازمان‌ها کمک کند تا بهبودهای لازم در سیستم امنیتی خود را اعمال کنند.
• پشتیبانی و پیگیری: شرکت امن گستران فرزان ایرانیان می‌تواند پشتیبانی مداوم را برای سازمان‌ها فراهم کند و در پیگیری اجرای صحیح و پیوسته ISMS به آن‌ها کمک کند.