ضرورت توجه به امنيت اطلاعات ( بخش اول )

ضرورت توجه به امنيت اطلاعات ( بخش اول ) 
طراحی و پياده سازی يك محيط ايمن در سازمان های مدرن اطلاعاتی يكی از چالش های اساسی در عصر حاضر محسوب می گردد . برای بسياری از سازمان ها و موسسات اهميت و ضرورت توجه جدی به مقوله امنيت اطلاعات هنوز در هاله ای از ابهام قرار دارد و برخی ديگر امنيت را تا سطح يك محصول تنزل داده و فكر می كنند كه با تهيه يك محصول نرم افزاری خاص و نصب آن در سازمان خود ، امنيت را برای سازمان خود به ارمغان می آورند .  بخاظر داشته باشيم كه امنيت يك فرآيند است نه يك محصول . 
در مجموعه مقالاتی كه بدين منظور آماده شده است و به تدريج بر روی سايت منشتر خواهد شد قصد داريم به ضرورت توجه جدی به مقوله امنيت اطلاعات اشاره نموده تا از اين رهگذر با ابعاد متفاوت ايجاد يك محيط ايمن آشنا شده و بتوانيم يك مدل امنيتی مناسب را در سازمان خود پياده سازی نمائيم .

اهميت امنيت اطلاعات برای يك سازمان 
وجود يك حفره و يا مشكل  امنيتی ، می تواند يك سازمان را به روش های متفاوتی تحت تاثير قرار خواهد داد . آشنائی با عواقب خطرناك يك حفره امنيتی در يك سازمان و شناسائی مهمترين تهديدات امنيتی كه می تواند حيات يك سازمان را با مشكل مواجه نمايد ، از جمله موارد ضروری به منظور طراحی و پياده سازی يك مدل امنيتی در يك سازمان می باشد .

وجود حفره های امنيتی در يك سازمان ، می تواند پيامدهای منفی متعددی را برای يك سازمان به دنبال داشته باشد :

•  كاهش درآمد و افزايش هزينه

• خدشه به اعتبار و شهرت يك سازمان

• از دست دادن داده و اطلاعات مهم

• اختلال در فرآيندهای جاری يك سازمان

• پيامدهای قانونی به دليل عدم ايجاد يك سيستم ايمن و تاثير جانبی منفی بر فعاليت ساير سازمان ها

• سلب اعتماد مشتريان

• سلب اعتماد سرمايه گذاران

 امنيت اطلاعات در سازمان ها  طی ساليان اخير 
ماحصل بررسی انجام شده توسط موسسات و مراكز تحقيقاتی معتبر در خصوص امنيت اطلاعات ،نشاندهنده اين واقعيت مهم است كه حملات مهاجمان بر روی درآمد و هزينه يك سازمان بطور مستقيم و يا غيرمستقيم تاثير خواهد داشت ( كاهش درآمد ، افزايش هزينه ) .

•  در سال 2003 ، ويروس ها و حملات از نوع DoS  ( برگرفته از Denial of Service ) بيشترين تبعات منفی را برای سازمان ها به دنبال داشته اند. 
   

• در سال 2004 ، سرقت اطلاعات بالاترين جايگاه را داشته و حملات از نوع DoS با اندكی كاهش نسبت به سال 2003 در رتبه دوم قرار گرفته اند . 
   

• با اين كه هزينه پياده سازی يك سيستم حفاظتی اندك نمی باشد ولی می توان آن را به عنوان بخشی از هزينه هائی در نظر گرفت كه يك سازمان به دليل عدم ايمن سازی ، می بايست پرداخت نمايد ( برخورد با تبعات منفی  ) .   
   

• موثرترين راهكار و يا راه حل امنيتی ، ايجاد يك محيط چندلايه ای است . در يك محيط چند لايه ، مهاجمان در هر لايه شناسائی و با آنان برخورد خواهد شد . موفقيت يك مهاجم نيز به عبور موفقيت آميز از هر لايه بستگی دارد . راه هكار امنيتی چندلايه به "دفاع در عمق " نيز مشهور است . در اين مدل ،‌ در هر لايه از استراتژی های تدافعی خاصی استفاده می گردد كه با توجه به ماهيت پويای امنيت اطلاعات ، می بايست به صورت ادواری توسط كارشناسان حرفه ای امنيت اطلاعات ، بررسی و بهنگام گردند .

  هر سازمان  می بايست يك فريمورك و يا چارچوب امنيتی فعال و پويا را برای خود  ايجاد و به درستی از آن نگهداری نمايد .

   

• در سال 2004 ، هفتاد درصد سازمان ها حداقل يك مرتبه مورد تهاجم قرار گرفته اند . 
   

• در سال 2003 بالغ بر 666 ميليون دلار صرف برخورد با مشكلات امنيتی در سازمان ها شده است .  
   

• نيمی از سازمان ها به اين موضوع اعتراف نموده اند كه نمی دانند چه ميزان از اطلاعات سازمان خود را به دليل حملات از دست داده اند . 
   

• چهل و يك درصد سازمان ها اعلام داشته اند كه دارای هيچگونه طرح و يا برنامه ای برای گزارش و يا پاسخ به تهديدات امنيتی نمی باشند .

مزايای سرمايه گذاری در امنيت اطلاعات 
سازمان ها و موسسات تجاری با پياده سازی يك استراتژی امنيتی از مزايای زير بهره مند خواهند شد :

• كاهش احتمال غيرفعال شدن سيستم ها و برنامه ها ( از دست دادن فرصت ها )

• استفاده موثر از منابع انسانی و غيرانسانی در يك سازمان ( افزايش بهره وری ) 
   

• كاهش هزينه از دست دادن داده توسط ويروس های مخرب و يا حفره های امنيتی ( حفاظت از داده های ارزشمند )

•  افزايش حفاظت از مالكيت معنوی