بخشی از مقاله
چکیده
امروزه اهمیت و نقش اطلاعات و ارتباطات در توسعه کشورها، بویژه سازمان ها بر هیچکس پوشیده نیست و حتی یکی از شاخص های توسعه تلقی می گردد. برای آنکه فناوری اطلاعات به صورت راهبردی در سطح سازمانی مورد استفاده قرارگیرد، به برنامه ریزی دقیقی نیاز است. این برنامه شامل مطالعه در فرهنگ سازمان، توانایی، انجام تغییرات، محیط خارجی، میزان پشتیبانی مدیریت، نیازهای اطلاعاتی و راه های برآورده ساختن آنها می شود. بکارگیری و اجرای فناوری اطلاعات در سازمان ها، یک نسخه تجویز شده کلی نیست و نمی توان با یک برنامه جامع تکنولوژی اطلاعات، برای کلیه سازمان ها ، ساختار فناوری اطلاعات را پیاده سازی و اجرا نمود و باید براساس ساختار سازمانی و خط مشی ها و میزانی از بکارگیری فناوری اطلاعات که سازمان به آن نیازمند است پیش رفت.
در یک سازمان برای مواجه با تهدیدات بدون شناخت و تحلیل دقیق نیازهای امنیتی، استفاده از روالهای استاندارد در بهکارگیری و کنترل سیستمهای امنیتی و بهروزسانی مداوم این سیستمها به تنهایی کارساز نخواهد بود. توجه به اهمیت امنیت اطلاعات باعث میشود اقدامات ضروری و اطمینان بخشی برای حفاظت از سیستمها صورت پذیرد و استفاده از مجموعهای موثر از سیاستهای امنیتی، گام مهمی در جهت اطمینان از این مساله است.
کلید واژه- AAA، حریم خصوصی، کنترل دسترسی، احراز هویت، اعطای مجوز
-1 مقدمه
ما در دنیایی زندگی می کنیم که موسوم به دهکده جهانی است و در عصری به سر می بریم که عصر اطلاعات نام گرفته است. امروز اهمیت و نقش اطلاعات و ارتباطات در توسعه کشورها، بویژه سازمان ها بر هیچکس پوشیده نیست و حتی یکی از شاخص های توسعه تلقی می گردد. در جهان امروز، فناوری اطلاعات امکان سودمندی و کارآمدی اطلاعات را ممکن ساختهاست. [1][4]فناوری اطلاعات با محوریت دانش و خردگرایی انسان و اندیشه هایش به منظور بهره برداری از اندیشه و سپردن امور تکراری و غیر خلاق به ماشین و همچنین افزایش کارآیی و آزاد سازی مهارت های انسانی، در دهه های اخیر مورد توجه خاصی قرار گرفته است.
این تکنولوژی مدرن اطلاعات، بر موقعیت و عملکرد بسیاری از جوامع، سازمان ها و افراد اثرات قابل ملاحظهای گذاشته و به موازات پیشرفت های شگرفی که در این زمینه بوجود آمده است، سرنوشت جوامع، سازمان ها و افراد هر روز بیش از گذشته به این فناوری مدرن گره می خورد و از آنجائیکه به عنوان محور توسعه جوامع و سازمان ها مطرح است، بنابراین طراحی ساختار آن نیازمند ژرف اندیشی و تامل، همراه با ارائه مدل مناسب و بررسی مدل های موجود در سازمان های داخلی و خارجی است .[4]بکار گیری فناوری اطلاعات در سازمان ها تغییرات بنیادین را در کلیه زمینه ها نوید میدهد و این امر تمرکز زدایی و ایجاد ابر شاهراه و افزایش سرعت و کیفیت تصمیمگیری و مدیریت کارا را فراهم ساخته است در نتیجه می توان گفت که بکارگیری آن تحول گسترده ای را در امور اداری و سیستمهای اطلاعاتی باعث شده است، طوریکه امکان انتقال الکترونیکی داده ها، مدارک، اسناد و مکاتبات مختلف از طریق کامپیوتر و خطوط ارتباطات مخابراتی فراهم شده است.[4][2][1]
برای آنکه فناوری اطلاعات به صورت راهبردی در سطح سازمانی مورد استفاده قرارگیرد، به برنامه ریزی دقیقی نیاز است. این برنامه ریزی شامل مطالعه عمیق در فرهنگ سازمان، توانایی سازمان، انجام تغییرات، محیط خارجی سازمان، میزان پشتیبانی مدیریت، نیازهای اطلاعاتی سازمان و راه های برآورده ساختن آنها می شود همچنین باید مهارت های موجود در سازمان در این زمینه بررسی گردند تا اطمینان حاصل گردد که نیروی انسانی مناسب و کافی برای نگهداری سیستم ها هم در بعد سخت افزار و هم نرم افزار وجود داشته باشد.در تنظیم فعالیت های مرتبط با فناوری اطلاعات باید وضعیت جاری، جهت حرکت، هماهنگی تلاش ها، چارچوب سرمایه گذاری، تخصیص بودجه، اعتقاد و اطمینان مدیران و فعالیت هایی که باید در طی یک دوره آینده صورت گیرد، تعریف و مشخص گردند و به منظور جلوگیری از صرف هزینه های مجدد و موازی و تاخیر در اجرای پروژه های بزرگ توسعه، در سازمان ها ابتدا باید استراتژی توسعه با ذکر جزئیات، زمانبندی، ابزارهای دستیابی و راه های موجود تدوین و تصویب شود.
جهت تحقق بخشیدن به منفعت های ناشی از این فناوری، سازمان ها باید فناوری اطلاعات را در داخل ساختار، فرهنگ و استراتژی سازمانی خویش جاسازی نمایند و جایگاه این بخش را در سازمان به طور مشخص تعریف کنند.[2][1]بهره وری عامل مهمی در بکارگیری بهینه از این فناوری در سازمان می باشد. بهره وری در رابطه با استفاده از فناوری اطلاعات در سازمان ها به دو طریق قابل مشاهده و بررسی است اول میزان و اندازه ای که به کارگیری فناوری اطلاعات در افزایش کیفیت، حجم و به روز بودن کار تاثیر میگذارد و دوم میزانی که استفاده از این فناوری به سازمان کمک می کند تا منابع بکار رفته و هزینه ها را در جهت نیل به اهداف کاهش دهد.
مطالعات و تحقیقات نشان می دهد که بین سرمایه گذاری در فناوری اطلاعات و بازده موسسات و بهرهوری نیروی انسانی ارتباط دو سویه مثبتی وجود دارد همچنین وجود آن توانایی سازمان ها را افزایش میدهد و این در نتیجه افزایش تنوع محصولات و بهبود کیفیت و جلب رضایت مشتری است و نیز سبب تسهیل روند اداری و افزایش بازدهی نیروی انسانی و مدیریت میشود.یکی از نتایج عمده این فناوری تمرکز زدایی در عین تمرکزگرایی است بدین معنی که میتوان کارها را از راه دور انجام داد بدون آنکه لازم باشد تا در محل، حضور فیزیکی و مستمر داشته باشیم که این ویژگی بر کوتاه شدن فواصل زمانی و مکانی به عنوان یک ابر شاهراه تاکید دارد و با گسترش بکارگیری آن، ساختار سازمان ها و شرکت های بزرگ از حالت عمودی و سلسله مراتبی به صورت هسته های تخصصی و کارشناسی تغییر یافته اند لذا باید اجرای این بخش در سازمان ها طوری صورت گیرد که با فرهنگ ملی و سازمانی سازگاری داشته باشد.[6][4][2]
-2 چالش های مدیریت دسترسی
بطور کلی کنترل دسترسی به مکانیزمی گفته می شود که از طریق آن بتوان نحوه دسترسی کاربران به منابع سیستم را محدود به نیازهایشان کرد. که هدف اصلی در کنترل دسترسی جلوگیری از دسترسی غیرمجاز به اطلاعات بوده و روشی شناخته شده برای به اجرا در آوردن اهدافی نظیر محرمانگی، یکپارچگی و تائید هویت افراد و سیستم ها می باشد.[8]یکی از دغدغه ها و چالش هایی که ذهن بشر را به خود مشغول کرده فراهم نمودن محیطی امن و تحت کنترل در مجموعه ایی بدون ایجاد محدودیت، درجهت ارتقایبُعد فکری آنان است تا بتوانند کلیه قسمتهای مجموعه و همچنین دسترسی افراد مختلف از جمله مراجعه کنندگان را کنترل نمایند.سازمان های بزرگ بدلیل درگیری بیشتر با مفهوم جهانی شدن یکی از مسائلی که می توان به عنوان یک چالش پیش رو دردر این زمینه سرمایه گذاری و هزینه بیشتری را متقبل می مقوله امنیت از آن یاد کرد مدیریت دسترسی در سطح شوند.[9][3]فرایندهای نرم افزاری است..[5][8]
-1-3 مفاهیم پایه در امنیت اطلاعات
-3 امنیت اطلاعات
امنیت اطلاعات به معنی محافظت از سیستم های اطلاعاتی در مقابل تلاش ها و فعالیت های افراد غیر مجاز برای دسترسی یا دستکاری اطلاعات می باشد. می توان گفت امنیت اطلاعات بمنظور اطمینان از استمرار کسب و کار، کمینه کردن ریسک کسب و کار و حداکثر کردن فرصت های کسب و کار می باشد.به طور کلی، امنیت به عنوان کیفیت و حالت امن بودن و رهایی از خطر تعریف شده است. امنیت از طریق چندین استراتژی که معمولاً به طور همزمان و یا ترکیبی از هم استفاده میشوند قابل دستیابی است. موضوع بسیار مهمی که در مورد امنیت اطلاعات مطرح می شود ارزیابی میزان امنیت اطلاعات در یک سازمان می باشد که این ارزیابی امنیتی شامل سنجیدن ضریب ایمنی اطلاعات یک سازمان بر اساس مجموعه ای از قواعد و قوانین امنیتی و یا در مقایسه با یک سازمان مشابه میباشد.[3][1][9]
روش های زیادی برای ایجاد امنیت در سازمان وجود دارد ولی هیچ یک از راه حل ها کامل و بدون نقص نیستند. اغلب سازمان ها بر این باورند که هزینه بیشتر در این زمینه مساوی با امنیت بالاتر است ولی باید توجه داشت که افزایش بی حد و مرز امنیت باعث کاهش خلاقیت و آزادی عمل کارکنان می شود در نتیجه پاسخ به این سوال که "چه میزان باید در سازمان امنیت ایجاد کرد؟" بسیار دشوار می شود.[3]نکته دیگرآنکه معمولاً در سازمان های کوچک بدلیل وجود بودجه کم و محدود، امنیت اطلاعات به عنوان هزینه سربار مطرح است ولی در سازمان های متوسط تاکید و حساسیت بیشتری در این خصوص وجود دارد علی الخصوص که این موضوع جزء نیازهای لاینفک تجارت می باشد ولی علی ایحالامنیت اطلاعات به معنی حفظ محرمانگی، یکپارچه بودن و قابل دسترس بودن اطلاعات از افراد غیرمجاز می باشد.
محرمانگی: محرمانگی به این معناست که اطلاعات در دسترس افراد غیرمجاز قرار نگیرد و از فاش شدن آنها جلوگیری شود.به عنوان مثال، برای خرید با کارتهای اعتباری بر روی اینترنت نیاز به ارسال شماره کارت اعتباری از خریدار به فروشنده و سپس به مرکز پردازش معامله است. در این مورد شماره کارت و دیگر اطلاعات مربوط به خریدار و کارت اعتباری او نباید در اختیار افراد غیرمجاز بیافتد و این اطلاعات باید محرمانه بماند. در این مورد برای محرمانه نگهداشتن اطلاعات، شماره کارت رمزنگاری می شود و در طی انتقال یا جاهایی که ممکن است ذخیره شود - در پایگاههای داده، فایلهای ثبت وقایع سیستم، پشتیبان گیری، چاپ رسید، و غیره - رمز شده باقی می ماند همچنین دسترسی به اطلاعات و سیستمها نیز محدود می شود. اگر فردی غیر مجاز به شماره کارت به هر نحوی دست یابد، نقض محرمانگی رخ داده است.[9][8]نقض محرمانگی ممکن است اشکال مختلف داشته باشد مثلا اگر کسی از روی شانه شما اطلاعات محرمانه نمایش داده شده روی صفحه نمایش کامپیوتر شما را بخواند یا فروش یا سرقت