امنیت اطلاعات به مجموعه از فعالیت هایی گفته می شود که به منظور نگهداری از شبکه های کامپیوتری صورت می پذیرد که آن را معمولا با نام اختصاری و کوتاه شده Infosec نشان می دهند. امنیت اطلاعات شیوه، سیاست ها و اصولی می باشد که از داده های دیجیتالی و سایر انواع اطلاعات حفاظت می کند. این شیوه ها و سیاست ها شبکه های کامپیوتری سازمانها را در برابر حمله و تهدیدات داخلی و خارجی امن می کند. امنیت داده بحث بسیار مهمی می باشد که باید سازمانها آن را جدی بگیرند. کلیه منابع سخت افزاری و نرم افزاری برای خودداری از دسترسی های غیرمجاز باید امن شوند، از این رو باید تدبیر های امنیتی جدی گرفته شوند تا شبکه و امنیت داده در سازمان ها قطعی شود.
سه اصل اولیه و پایه ای در امنیت اطلاعات
- محرمانه بودن
- یکپارچگی
- در دسترس بودن
امنیت اطلاعات در یک سازمان موجب می شود که کارکنان بتوانند به داده های مورد نیاز خود دسترسی داشته باشند و از دستیابی دیگران به این دادهها پیشگیری می کنند. به همین علت می باشد که ابداع امنیت داده در یک سازمان امری بسیار مهم و حیاتی می باشد.
محرمانه بودن
محرمانه بودن به این معنی است که اطلاعات به صورتی حفاظ می شود که داده ها در اختیار اشخاص و روند های غیرمجاز قرار نخواهند گرفت. برای مثال فرض کنید شما برای ورود به ایمیل خود دارای یک نام کاربری و یک رمز عبور می باشید. با توجه به وجود رمز عبور که برای اکانت جیمیل خود نقل کردید، باعث محرمانگی اکانت خود شده اید و از اطلاعات خود محافظت کرده اید اما بر اساس اتفاق در حین ورود به اکانت خود، نفر کناری شما رمز عبورتان را مشاهده می کند، در این صورت رمز عبور به خطر افتاده می باشد و محرمانه بودن فسخ می گردد.
یکپارچگی
یکپارچگی در امنیت داده به معنای حفظ صحت و کامل بودن داده ها می باشد. این بدان معنی است که نمی توان داده ها را به روش غیرمجاز ویرایش نمود. به طور خلاصه، یکپارچه بودن یعنی جلوگیری از تغییر داده به روش غیرمجاز و تشخیص تغییر در صورت دستکاری غیرمجاز اطلاعات می باشد. یکپارچه بودن زمانی فسخ می شود که اطلاعات در حین ذخیره و یا نابود شدن به صورت غیرمجاز تغییر پیدا کند. برای مثال اگر یکی از کارمندان شما، سازمان را ترک کرد باید در کلیه بخش ها اطلاعات حساب های آن به روز شود تا وضعیت ترک کار مشخص باشد. فکر کنید در این بین اطلاعات فرد از طریق روش های غیرمجاز دچار تغییر شود. در این صورت یکپارچگی امنیت اطلاعات به خطر خواهد افتاد.
در دسترس بودن
در دسترس بودن اطلاعات به این معنی می باشد که در صورت نیاز افراد مجاز به داده ها باید اطلاعات در دسترس باشند. این بدان معنی است که باید از درست کار کردن و جلوگیری از اختلال در سامانه های ذخیره و پردازش اطلاعات و کانالهای ارتباطی مورد استفاده برای دسترسی به اطلاعات اطمینان حاصل کرد. به طور کلی سامانه هایی که دارای دسترسی بالایی هستند به راحتی همیشه حتی در صورت قطعی برق، اختلال در شبکه و… بازهم در دسترس خواهند بود.
اهميت امنيت اطلاعات برای يك سازمان
یکی از دارایی های مهم یک سازمان، اطلاعات و دادههای آن مجموعه می باشد. از این رو نگهداری و محافظت از دادهها در سازمان بسیار حائز اهمیت است. اگر کوچک ترین مشکل امنیتی برای اطلاعات پیش بیاید امکان دارد بخشهای یک سازمان را تحت تاثیر قرار بدهد. به همین دلیل باید تمامی حفرههای امنیتی را شناخت و برای رفع آن در یک سازمان اقدام نمود. برای یک سازمان وجود یک طرح امنیتی و پیاده سازی یک مدل امنیتی الزامی می باشد.
نبود امنیت اطلاعات در یک سازمان می تواند پیامدهایی را به دنبال داشته باشد که این پیامدهای عبارتند از:
- کاهش درآمد سازمان
- بالا رفتن هزینه ها در یک سازمان
- نابودی اعتبار و شهرت یک برند یا سازمان
- نابودی اطلاعات و دادههای مهم
- ایجاد اختلال در فرایندهای فعلی یک سازمان
- آسیب رساندن به اعتماد مشتریان
مزايای سرمايهگذاری در امنيت اطلاعات
سازمانها برای حفظ اطلاعات خود باید بر روی امنیت داده سازمان سرمایه گذاری کنند. شرکت ها باید برای سازمان خود یک راهبرد امنیتی فراهم نمایند. مزایای امنیت اطلاعات در سازمان ها عبارتند از:
- دسترسی همیشه و فعال بودن سیستم ها و برنامه ها
- افزایش بهره وری
- حفاظت از دادههای ارزشمند (کاهش هزینه داده توسط ویروسها)
- حفظ مالکیت معنوی
کنترل امنیت داده
کنترل امنیت به مجموعه ای از اقداماتی می گویند که باعث حفاظت، پیشگیری، مقابله و به حداقل رساندن دامنه تهدیدات امنیتی خواهد شد. کنترل امنیتی به طور کلی بر سه دسته تقسیم می شود:
کنترل مدیریتی
کنترل مدیریتی عبارت است از سیاستها، استاندارد ها و قوانینی که توسط مراجع ذیصلاح تایید شده اند. در حقیقت، کنترل مدیریتی ، یک چارچوب امن برای سازمان و افراد تشکیل می دهد، چارچوبی که در این فاز طراحی می شود به افراد داخل کسب و کار این دید را می دهد که چگونه با امنیت فعالیت های خود را انجام دهند. قوانین و مقرراتی که توسط نهاد های دولتی برای سازمانها وضع شده به نوعی یک کنترل مدیریتی محسوب می شود. چرا که این قوانین نیز یک چارچوب امن برای کسب و کارها تشکیل می دهد. برخی از نمونههای کنترل امنیتی عبارتند از:
- سیاست امنیتی شرکتهای بزرگ
- سیاست مدیریت رمز عبور
- سیاست استخدام
- سیاست انضباطی جهت انتخاب و پیاده سازی درست کنترل های منطقی و فیزیکی، نیاز به کنترلهای مدیریتی می باشد. در حقیقت کنترل مدیریتی پایه ای جهت انتخاب و پیاده سازی دو کنترل دیگر می باشد و کنترلهای فیزیکی و منطقی ابزاری جهت اعمال کنترل های مدیریتی هستند.
کنترل منطقی
کنترل منطقی همان کنترل فنی می باشد. این کنترل با به کارگیری نرمافزار، سختافزار و داده ها بر روی دسترسی اطلاعات و سامانه های رایانه ای نظارت میکند. نمونه هایی از کنترل منطقی عبارت است از:
- گذرواژه
- فایروال
- سامانه تشخیص نفوذ به شبکه
- رمزنگاری دادهها
کنترل فیزیکی
کنترل فیزیکی، همان طور که از نامش مشخص می باشد جهت حفاظت و کنترل وسایل و محیط کاری استفاده می شود تا نحوه دسترسی به اطلاعات قابل کنترل باشند. برخی از این کنترل های فیزیکی عبارتند از:
- درب
- قفل
- دزدگیر ضد سرقت
- دوربینهای مداربسته
مشاغل در زمینه امنیت اطلاعات
در حوزه امنیت داده و اطلاعات مشاغل بسیار زیادی وجود دارد که شاید شما هر یک را با عنوان های مختلفی شنیده باشید. ما در ادامه این مقاله به چندین شغل در حوزه امنیت اطلاعات اشاره کرده ایم:
- افسر ارشد امنیت فناوری اطلاعات (CSO)
- افسر ارشد امنیت اطلاعات (CISO)
- مهندس امنیت یا مدیر سیستمهای امنیتی (System Admin)
- تحلیل گر امنیت داده یا مشاور امنیت فناوری اطلاعات
افسر ارشد امنیت داده با همکاری مسئول ارشد اطلاعات، مسئولیت کلی امنیت سایبری و سیاست های امنیت اطلاعات را برعهده دارند. مهندس امنیت یا مدیر سیستمهای امنیتی معمولا مسئول پیادهسازی یا ارزیابی سیستم می باشد. یک تحلیل گر یا مشاور امنیت داده، مسئول ارزیابی ریسک، ارزیابی اثربخشی کنترل ها یا تجزیه و تحلیل شکست و تاثیر آن می باشد.
منبع: