منبع: شرق به نقل از HP Magazine (اوت 2003) - برگردان: عليرضا عبادتی - تاريخ: 1 مهر 82 |
بعضی از مديران منابع انسانی معتقدند مسئوليت حفظ و صيانت از اطلاعات منحصرا بر عهده بخش آیتی (فناوری اطلاعات) هر سازمان است. اما اشتباه از اين فاحشتر ممكن نيست. كارمندان هر شركت يا سازمان میتوانند نقش بزرگی در حفظ اطلاعات حساس سازمان و جلوگيری از افتادن آن به دست نااهلان و نامحرمان بازی كنند. بدون تعليم و تربيت صحيح حتی كارگران و كارمندان خوشنيت نيز تمام رشتههای سازمان را پنبه میكنند. اين سهلانگاری وضعيت شركت يا سازمان را دچار مخاطره و به رابطه ميان آن شركت يا سازمان با مشتری و شركا لطمه وارد میكند. از اين رو رابطه تنگاتنگ ميان مديران و كارشناسان منابع انسانی هر سازمان با بخش آیتی آن برای شناسايی نقاط ضعف و برای طراحی برنامه آموزشی موثر در جهت حفظ اطلاعات سازمان بسيار ضروری است.
از لوازم حفظ و صيانت اطلاعات در هر
سازمان استفاده از نرمافزارهای موسوم به فايروال (Firewall كه معنی تحتاللفظی آن
ديوار آتش است) است. فايروال مجموعهای از نرمافزارها و برنامههايی است كه روی
كامپيوتر مادر Server در هر شبكه نصب میشود تا از پوشهها (Files) و پروندهها
(Folders) برنامههای خصوصی هر سازمان، محتويات نامههای الكترونيكی و غيره محافظت
كند. اين برنامهها ضمن جلوگيری از نفوذ بيگانه از كاربران خودی در محيطهای ناامن
نيز محافظت میكند. سختافزارها و نرمافزارهای اين گونه برنامهها جلوی ورود و
خروج بستههای اطلاعات ناخواسته (از جمله هرزنامهها، نرمافزارهای جاسوسی، تبليغی
ويروسها و كرمها) را میگيرند، به اين ترتيب شبكه كامپيوتری آن شركت يا سازمان و
اطلاعات ارزشمند آن از گزند هكرها (حملهكنندگان اينترنتي) و تهديدهای خطرناک مصون
میماند. اما اين حقيقت را نمیتوان كتمان كرد كه اين فايروالها مانع و سد نهايی
عليه هكرهای باتجربه و خبره به حساب نمیآيند و اصولا كارمندان كمتجربه راه نفوذ
حملهكنندگان و بدخواهان را هموار میكنند افراد سازمان اگر درست تعليم نبينند
بزرگترين و مهمترين عامل نفوذ بدخواهان به حساب میآيند. بنابراين هر سازمان موظف
است علاوه بر بهرهگيری از ديوارهای آتش الكترونيكی به تربيت ديوارهای آتش انسانی
[human firewall] نيز اهتمام ورزد.
اداره منابع انسانی هر سازمان به اتفاق اداره فناوری اطلاعات بايد برنامههای
آموزشی جامعی را طراحی كنند كه در آن همه كارمندان شركت از نحوه محافظت از اطلاعات
آگاهی پيدا كنند و به دليل سادهلوحی يا بیاطلاعی اطلاعات ارزشمند سازمان را لو
ندهند. برای ايجاد ديوار آتش انسانی سه عنصر كليدی بايد مورد توجه قرار گيرند:
• آگاهی مصرفكنندگان اصلی اطلاعات
• اجرای برنامههای آموزشی ويژه
• آگاهی مديريت شركت يا سازمان
در اولين گام برای ايجاد ديوار آتش انسانی، مميزی جامع تمام فعاليتهای سازمان بسيار ضروری است. مهمترين پرسشهايی كه بايد پاسخ بگيرند عبارتند از:
• سياستهای تامين امنيت اطلاعات موجود
كدامند؟
• آيا زيرساختهای موجود (از جمله كارمندان و كارگران) قادر به شناسايی و رديابی
راههای نفوذ به شبكه اطلاعات هستند؟
• آيا اعضای سازمان اطلاع دارند كه در صورت رديابی راه نفوذ يا ورود يک غريبه به
سيستم يا شبكه اطلاعاتی سازمان مهمترين اقدامها كدام هستند؟
• برای تامين عنصر اول كه آگاهی مصرفكننده اصلی اطلاعات است بايد محيط كاربران
مورد بررسی دقيق قرار گيرد و مشخص شود چه ابزارهايی مورد استفاده قرار میگيرند
مخصوصا كه ابزارهای بیسيمی مانند كامپيوترهای همراه، تلفن همراه و غيره از امنيت
كمتری نسبت به كامپيوترهای ثابت روی ميز برخوردارند.
دومين گام شناسايی همه كارمندان از جمله قديمیها و تازهواردها و مشخص كردن ميزان آگاهی آنان از روشهای محافظت از اطلاعات است. بايد سياستهای حفظ و تامين امنيت موجود مورد شناسايی قرار گرفته و مشخص شود تا چه اندازه پرسنل شركت يا سازمان از اين سياستها اطلاع دارند. در يک كلام بايد مصرفكنندگان اصلی اطلاعات در سازمان يا شركت ميزان آگاهی و مهارت آنها مورد ارزيابی قرار گيرند.
با همكاری بخش منابع انسانی هر سازمان با بخش آیتی يک پرسشنامه شامل واريانسهای مختلف برای كارمندان طراحی شود. به خاطر داشته باشيد حتی اگر سازمانی سياستهای تامين امنيت اطلاعات برای خود تعريف كرده باشد لزوما به اين معنی نيست كه كارمندان و كارگران آن سياستها را پياده میكنند. بنابراين بايد تعيين شود تا چه اندازه اين سياستها اعمال میشوند به ويژه در هر سازمان امكان بهرهبرداری از ابزارهای بیسيمی از جمله لپتاپ و موبايل و پیدیای (PDA مخفف Personal Digital Assistants يا منشی ديجيتالی شخصي) بسيار زياد است. همچنين بايد تعيين كرد آيا فناوریها و ابزارهای موجود قادر به شناسايی نقاط قابلنفوذ هستند. [به عنوان مثال آيا كامپيوترها مجهز به ad aware برای شناسايی نرمافزارهای تبليغی روی كامپيوتر هستند و كارمندان قادرند از نرمافزارهای ضد spyware (نرمافزار جاسوسي) بهره بگيرند.] كارمندان و كاركنان بايد با همه نرمافزارها و سختافزارهايی كه با آن سروكار دارند آشنا شده و نحوه محافظت از آن را بياموزند. بايد از كاركنان به دقت سئوال شود در صورتی كه تشخيص دادند كامپيوتر آنها آسيبپذير شده و يا به اطمينان رسيدند كه ابزارهای مورد استفاده آنها مورد سوءاستفاده قرار گرفته چه اقدامی انجام میدهند.
بعد از انجام اين ارزيابیها بايد برنامهای جامع تعريف و ابداع شود كه همه اين مسائل پاسخ مناسب خود را دريافت كنند و هيچ كارمندی در ميان كاركنان يک شركت يا سازمان وجود نداشته باشد كه اطلاعات جامع در مورد حفظ و صيانت اطلاعات نداشته باشد. بايد سياستهايی اتخاذ شود كه به سادگی درک شود و به خوبی به اجرا درآيد. مديريت شركت يا سازمان بايد در جريان مستقيم اين اقدامات قرار داشته باشد و بهترين راهكارها برای رسيدن به حداكثر نتيجه مطلوب اتخاذ شود. بايد هراز چند گاهی جلسات يادآوری هم برای تازهواردها و هم كاركنان قديمی ترتيب داده شود. لازم به ذكر است كه اگر اين كلاسها فقط در حد برشمردن سرفصلها و سياستهای تامين امنيت اطلاعات باشد بايد از خير آن گذشت چون هيچ فايدهای ندارد بلكه بايد همه كاركنان مورد آزمايش قرار بگيرند و مشخص شود كه از عهده سادهترين كارها در جهت تامين امنيت اطلاعات برمیآيند يا نه. آيا قادرند گذر واژه يا رمز عبور خود را تغيير دهند آيا میتوانند فايلی را به نامه الكترونيكی خود پيوست كرده و بفرستند؟
در كلاسهای آموزشی بايد به سرقت هويت، جعل و كلاهبرداری پرداخته شود و اين كافی نيست كه كارمندان با هرزنامه و نامه الكترونيكی يا نرمافزارهای پيام آنی [messanger]، نرمافزارهای ضدويروس و نحوه بهروز آوردن اطلاعات آشنا باشند. هر يک از اين ابزارها - در صورتی كه به درستی مورد استفاده قرار نگيرند - وسيله مناسبی برای سوءاستفاده اجنبیهاست.با همكاری اداره منابع انسانی و اداره فناوری اطلاعات بايد چالشهای هر حوزه روشن شوند و مراحل حفظ و صيانت اطلاعات بايد گام به گام به كارمندان آموزش داده شود. بايد از راههای مختلف از جمله نصب پوستر، فرستادن نامه الكترونيكی و هر وسيله ممكن ديگر مدام كاركنان را در مورد خطرات و تهديدهای احتمالی مطلع ساخت و نشان داد كه شركت يا سازمان در انجام سياستهای حفظ و صيانت اطلاعات مصمم و جدی است. آموزش نبايد مختص تازهواردها يا عده خاصی باشد. مانند هر برنامه تجاری بعد از كامل شدن آموزش، ارزيابی عملكرد و تعيين اثربخشی و كارآمدی برنامههای آموزشی الزامی است. از آنجايی كه دنيا با سرعت زياد در حال تغيير است آشنايی با جديدترين مسايل مربوطه الزامی است. عنصر كليدی دوم اجرای برنامههای آموزشی ويژه برای گروهی خاص است كه در بخش فناوری اطلاعات يا دپارتمان آیتی مشغول فعاليت هستند. اين آموزشهای ويژه مخصوص كسانی است كه وظايف و مسئوليتهای ويژه در بخش آیتی بر عهده دارد. بخش آیتی افرادی كه بايد آموزشهای ويژه ببينند به اداره منابع انسانی معرفی میكند تا آموزشهای لازم را ببينند. در اين جا نيز بايد بعضی از سئوالها پاسخ مناسب بگيرند.
آيا سياست امنيتی ويژهای برای بخش آیتی تعريف شده است؟ آيا فناوریها، نرمافزارها و سختافزارهايی برای حفظ بخش آیتی وجود دارد كه تهيه و آشنايی با آن ضرورت اجتنابناپذير است؟ آيا فرد آموزشديده قادر به رديابی راههای نفود يا تشخيص سوءاستفاده از اطلاعات هست؟ بعد از شناسايی گروه خاص و آموزش های مورد نياز آنها برنامههای آموزشی آغاز شده و بعد از اتمام پيگيری، يادآوری، ارزيابی عملكرد، بهروز در آمدن اطلاعات اين گروه خاص به دقت انجام شود. اين گروه استفاده از آخرين فناوریها و نرمافزارها را بايد جدی بگيرد. عنصر سوم آگاهی مديريت شركت يا سازمان است. بدون حمايت و پشتيبانی مديريت هيچ برنامهای به سرانجام نمیرسد به همان اندازهای كه كاربران اصلی به اطلاعات حساس دسترسی دارند مديران نيز دسترسی دارند و آشنايی مديريت با نحوه صيانت از اطلاعات در موفقيت پروژههای امنيت اطلاعات موثر است. معمولا مديران را میتوان با خط پايان ترازنامه (منظور سود و زيان شركت يا سازمان) متقاعد كرد بنابراين بايد با زبان خودشان ضرورت اجرای برنامههای صيانت از اطلاعات را عنوان كرد. اگر سود ناشی از اجرای سياستهای امنيتی به صورت عينی برآورد شود مدير با خلوص بيشتری خود را وقف اين سياستها خواهد كرد. برای مميزی ميزان آگاهی مديريت از لزوم و نحوه صيانت اطلاعات بايد سئوالهای زير پاسخ بگيرند:
• آيا مديريت همگام با ساير اعضای شركت
يا سازمان در جهت اجرای سياستهای امنيتی گام برمیدارد؟
• آيا مديريت از فناوریها و ابزارهای لازم برای ردگيری راههای نفوذ و جلوگيری از
سوءاستفاده حمايت به عمل میآورد؟
• آيا مديريت میداند كه در صورت رديابی يک نقطه ضعف در سيستم امنيتی بايد چه كار
كند؟
مديريت به دليل داشتن مسئوليت بيشتر و برای پاسخگويی دقيقتر بايد از آموزش بيشتری برخوردار شود. در واقع اگر نقش مديريت از يک كاربر اصلی اطلاعات فراتر رود بيشتر از ساير اعضای شركت يا سازمان خود را وقف حفظ و صيانت اطلاعات يک سازمان میكند و به عنوان الگو مطرح میشود. در واقع اگر مديريت برنامهها و سياستهای امنيتی را جدی نگيرد هيچ يک از اعضا و كاركنان جدی نخواهند گرفت. امنيت اطلاعات به يک حوزه در حال تكامل و پيشرفت تبديل شده است همواره تهديدها و خطرات يک گام جلوتر از راههای پيشگيری هستند. اگرچه كه برنامهها و نرمافزارهای محافظت از اطلاعات روز به روز پيچيدهتر و مجهزتر میشوند اما توجه خاص و مكرر به ديوار آتش انسانی الزامی است. ارزيابی و حفظ آگاهی كاركنان هر شركت نسبت به نحوه محافظت از اطلاعات آن سازمان يک امر ضروری و اجتنابناپذير است. امنيت اطلاعات زمانی تحقق پيدا میكند كه يک شركت يا سازمان علاوه بر مجهز بودن به آخرين فناوریهای روز، كارمندان آگاه و آموزشديدهای داشته باشد كه اصول امنيت اطلاعات را به خوبی درک كرده باشند.
پینوشت:
* كاتلين كو مدير خدمات آموزشی شركت سايمنتک است. سايمنتک يكی از عظيمترين شركتهای سازنده نرمافزارهای ضدويروس و فايروال است.
منبع: شرق به نقل از HP Magazine (اوت 2003) - برگردان: عليرضا عبادتی - تاريخ: 1 مهر 82 |
Home | Iran | World | Articles | Links | About Contact | Instant Message | Feedback This website is optimized for Microsoft Internet Explorer All external sites will open in a new window Copyright © 2003 Jabolsa.com | Copyrights | Privacy Policy |