ITanalyze

میلاد یداللهی - کمتر روزی را پیدا می‌کنیم که با مرور رسانه‌ها و شبکه‌های اجتماعی، به خبر هک شدن یا سرقت اطلاعات افراد و همچنین سازمان‌ها و شرکت‌های بزرگ و کوچک در دنیا برنخوریم.

در برخی موارد این خبرها مربوط به نقض‌های امنیتی در غول‌های فناوری دنیا و شرکت‌های بزرگ هستند و در بعضی دیگر ممکن است منشا آن جنگ‌های سایبری میان کشورها یا حتی حملات گروه‌های هکری کوچک و بزرگ با نیت‌های سودجویانه و شخصی باشد.
ظاهرا این‌گونه به نظر می‌رسد که هیچ ماهیت اطلاعاتی‌ اعم از فردی و سازمانی، بزرگ و کوچک، داخلی و خارجی و غیره در فضای سایبری و فناوری اطلاعات، از تهدیدات متنوع این محیط مصون نیستند و ممکن است مورد حمله و سوءاستفاده قرار گیرند.
اساسا فرض مذکور درست است و همین فرض است که اهمیت توجه به چالش‌های امنیت اطلاعات را در سطوح مختلف فردی و سازمانی برجسته‌تر می‌کند. حال سوال اینجاست که آیا حملات امنیتی و هک‌های اخیر که عمدتا در زیرساخت‌های فناوری اطلاعات کشور رخ می‌دهند و از منظر حساسیت و تعدد نیز رو به رشد هستند هم طبیعی است؟ و آیا ما تمام کارهایی را که می‌توانستیم برای جلوگیری از بروز این قبیل حملات انجام دهیم را کرده‌ایم؟
با تمرکز روی امنیت فناوری اطلاعات در سطح سازمانی و زیرساختی، برای رسیدن به پاسخ سوالات مطرح‌شده نیاز به بررسی عوامل و موضوعاتی را داریم که در ادامه این یادداشت به صورت اجمالی به آنها می‌پردازیم.
موضوع اول میزان رشد و توازن امنیت اطلاعات در برابر رشد فناوری اطلاعات در سازمان‌ها و شرکت‌ها است. حال که در عصر دیجیتالی شدن خدمات و فرایندها قرار داریم و بسیاری از فعالیت‌ها و سرویس‌ها به صورت غیرحضوری شده و در بستر فناوری اطلاعات، بسیار آسان‌تر و با بازدهی بهتر و همچنین هزینه پایین‌تر ارایه می‌شوند، عموما موضوع امنیت اطلاعات مورد کم‌توجهی قرار گرفته و متاسفانه با سرعت رشد به مراتب کمتری گسترش پیدا کرده است.
اصولا در صورتی که جایگاه امنیت در تحول دیجیتال و معماری فناوری اطلاعات به درستی تبیین نشود، گویی که قصری مجلل ساخته‌ایم، بی‌آنکه پی و زیرساخت قوی‌ برای آن ریخته باشیم.
موضوع اساسی بعدی کمبود جدی منابع از حیث بودجه‌ای و انسانی در زیرساخت‌های امنیت فناوری اطلاعات کشور است.
با مقایسه شاخص نسبت بودجه امنیت به IT در سازمان‌ها به‌راحتی متوجه می‌شویم که هنوز این موضوع جایگاه مناسبی در نظر مدیران ندارد و عملا ایشان موضوع پیشگیری و ارتقای امنیت اطلاعات در سازمان خود را نه به چشم سرمایه‌گذاری، بلکه به‌عنوان هزینه می‌نگرند.
در واقع همان‌طور که شاهد هستیم، خسارات وارده ناشی از عدم توجه کافی به این موضوع به مراتب بالاتر و جبران‌ناپذیرتر از اختصاص منابع مکفی به آن است.
از سوی دیگر کمبود نیروی متخصص و متبحر در حوزه امنیت اطلاعات، تبدیل به یک بحران اساسی برای بسیاری از سازمان‌ها و شرکت‌ها شده است که باز هم به نظر می‌رسد مدیران به آن بی‌توجه هستند.
سیل خروج نیروهای متخصص امنیت از سازمان‌ها و جذب آنها توسط شرکت‌های خارجی می‌تواند دلایل متعددی داشته باشد، اما برخی از بارزترین‌شان، برآورده‌ نکردن نیازهای اساسی و حرفه‌ای این دسته کارکنان از منظر مالی، جایگاه سازمانی و مسیر رشد است.
موضوع با اهمیت دیگر، توجه کافی نداشتن به نظارت مستمر، ممیزی‌های دوره‌ای و کشف آسیب‌پذیری‌های امنیتی قبل از وقوع حوادث است. اصولاً هرچه نرخ فعالیت‌ها و اقدامات کنترلی و پیشگیرانه امنیتی نظیر موارد ذکرشده در بالا افزایش پیدا کند، متعاقبا شاهد کاهش رخدادهای امنیتی خواهیم
بود.
پایش مستمر امنیتی سیستم‌های اطلاعاتی و شبکه، انجام آزمون‌های نفوذپذیری دوره‌ای، شکار تهدیدات، ایجاد مراکز عملیات و پایش امنیت، طراحی و استقرار رویکردهای استانداردی نظیر سیستم مدیریت امنیت اطلاعات، همگی در کنار هم و به‌صورتن ظام‌مند (نه مقطعی و جزیره‌ای) می‌توانند تا سطح مناسبی ما را در برابر تهدیدات امنیتی حفاظت کنند.
حال می‌توانیم در پاسخ به سوالات بالا بگوییم که سطح امنیتی سازمانی و زیرساختی ما از منظر فناوری اطلاعات نیازمند تمرکز و نگاه ویژه‌ای است که متاسفانه تاکنون به آن معطوف نشده است.
حوادث و هک‌های امنیتی اخیر که به نظر می‌رسند به‌صورت هماهنگ و برنامه‌ریزی‌شده به وقوع پیوستند، تنها یک هشدار هستند و در صورت عدم چرخش راهبردی در برنامه‌ریزی‌های امنیت اطلاعات در زیرساخت‌ها، سازمان‌ها و شرکت‌ها، وقوع مجدد آنها در ابعاد بزرگ‌تر دور از ذهن نیست.(منبع:عصرارتباط)