بخشی از مقاله
چکیده
در نظام نوین کنونی ایجاد ثروت، مبتنی بر اطلاعات و دانش بوده و کسبوکارهای چابک و پیشرو، اطلاعات را بهعنوان یک دارایی راهبردی در نظر میگیرند ازاینرو حفاظت و امنیت آن بهمنظور بقاء، خلق مزیت رقابتی و خلق ارزش در سازمانها ضرورتی بیشازپیش محسوب میگردد.متأسفانه رویکرد اکثر سازمانها در مواجهه با امنیت اطلاعات تکبعدیو گاهی صرفاً فنی بوده و تلاش مشترک اندکی برای پیوند بین برنامههای امنیتی و اهداف کسبوکار صورت گرفته است.
این پژوهش سعی دارد بهمنظور همسوسازی اهداف عملیات امنیت اطلاعات و اهداف کسبوکار بر اساس مدل کسبوکار امنیت اطلاعات - BMIS - ضمن شناخت ابعاد و عوامل مهم و مؤثر امنیت اطلاعات، با استفاده از پرسشنامه و نظرسنجی از خبرگان و بهکارگیری روش دیمتل - DEMATEL - شدت تأثیرگذاری یا تأثیرپذیری عوامل را تعیین نماید. نتایج این پژوهش نشان داد که در حوزه ابعاد اصلی؛ عوامل سازمانی، فرآیند، فناوری، فرهنگ و عوامل انسانی بیشترین تأثیرگذاری را داشته و جزء عوامل پیشران و اولویتدار در اقدامات امنیتی محسوب میگردند.
-1 مقدمه
امروزه نقش داراییهای مادی در سازمانها کمرنگ شده و اطلاعات و دانش جای آن را گرفته است؛ بهطوریکه کلیه اقتصادهای امروز جهان مبتنی بر اطلاعات و فناوریهای مرتبط با آن هستند درنتیجه اطلاعات بهعنوان رکن اصلی و سرمایه سازمان محسوب شده بهطوریکه اگر جریان اطلاعات محدود شود، کسبوکارها چابکی خود را از دست میدهند.[8] ازآنجاکه ارزش اطلاعات به کاربرد آن در خلق مزیت رقابتی است، کسبوکارهای پیشرو اطلاعات را بهعنوان یک دارایی استراتژیک در نظر گرفته تا بتوانند مزیت رقابتی پایداری را خلق کنند.[13]
لذا حفاظت از آن و سیستمهای مرتبط با آن، یکی از ارکان بقاء سازمانها محسوب میگردد. ازاینرو است که فناوریها و سیستمهای اطلاعاتی نقش اساسی در دستیابی به اطلاعات صحیح، شناسایی موانع و مشکلات و چالشهای محیطی و بهتبع آن تصمیمگیری درست و پیشبرد اهداف سازمان را بر عهده داشته بهطوریکه اجلاس سران کشورهای صنعتی در ژاپن - اکیناوا، - 2000 فناوریهای اطلاعاتی را بهعنوان توانمندترین نیروی شکلدهنده قرن 21 معرفی و از تأثیر این فناوریها بر شیوههای زندگی، یادگیری، کار افراد و موتور اصلی رشد اقتصاد جهانی سخن گفته است.[5]
محیط متلاطم و پر چالش سازمانها در سالهای اخیر، مسئله تأمین امنیت اطلاعات را به یکی از مهمترین چالشها و موضوعاتی که مدیران سازمانها با آن مواجه هستند، تبدیل کرده است، اگرچه اکثر سازمانها بهدرستی به اینکه چگونه اطلاعات حیاتی باعث موفقیت آنها در تجارت، رقابت و بهطورکلی بقاء آنها شده است، پی برده و متعاقب آن به دنبال روشی امنتر برای حفاظت از اطلاعات شخصی، خصوصی و مالی شرکتهایشان هستند، اما تعداد بسیار کمی از آنها نسبت به حفاظت مؤثر آن از عوامل مخاطرهآمیز امنیتی همت گماردهاند .[6]
برخی از آنها هنوز هم به امنیت اطلاعات، به چشم هزینه نگاه کرده لذا این خطر وجود دارد که بهطور بالقوه میزان زیادی از بهرهوری و فروش خود را براثر نپرداختن جامع و کامل به موضوع امنیت اطلاعات ، براثر مخاطرات امنیتی از دست دهند در چنین سازمانهاییامنیت اطلاعات در اِنزوا بسر برده به این مفهوم که تصور میشود برقراری امنیت، مسئولیت شخص دیگری بوده، بنابراین هیچ تلاشی مشترکی برای پیوند بین برنامههای امنیتی و اهداف کسبوکار وجود نداشته، متعاقباً این نگرش منجر به ضعف در مدیریت امنیت اطلاعات و پیرو آن احتمال در معرض تهدید جدی قرار گرفتن داراییهای راهبردی شرکت میشود.[16]
گاهی هم سازمانها وظیفه تأمین امنیترا صرفاً فنی میبینند درحالیکه درست است که فناوری ابزارهایی برای محافظت از اطلاعات و سیستمهای اطلاعاتی ارائه میکند اما به تنهائی کفایت نمیکند. برای حفاظت مؤثر از اطلاعات، سازمان نیازمند برنامهریزی و داشتن راهبرد و خطمشیهای امنیت اطلاعات است که توسط استانداردها، روشها و دستورالعملهایی پشتیبانی شوند همچنین در بعضی سازمانها راهبردهای فناوری و استانداردها و سیاستها بدون درک درستی از تأثیر فرهنگسازمانی در اثربخشی آنها به کار گرفتهشده است.
درحالیکه برنامههای امنیت اطلاعات نیازمند مسئولیتپذیری در سطح سازمان و افرادش و تعامل فرآیندها و فناوری، چگونگی حکمرانی سازمانی، فرهنگ، پارامترهای انسانی و معماری، چگونگی حمایت و پشتیبانی و شناخت موانع پیشبرد برنامههای امنیت اطلاعات میشوند. برای ایجاد یک امنیت اطلاعات کارا و مؤثر، توازن میان عناصر اصلی مطرح در امنیت یعنی؛ فناوری، سازمان، افراد و فرآیند لازم است بدون این توازن شکافهایی بین امنیت اطلاعات و واحدهای کسبوکار ایجاد میگردد.
برای حل این مسئله یک مدل امنیت اطلاعات که فقط متمرکز بر فناوری نبوده و کل کسبوکار را در برگیرد لازم است بهطوریکه فناوری را با جهتگیری راهبردی و نیازهای سازمان آمیخته سازد.[16] پژوهش حاضر سعی دارد با تبیین مدل کسبوکار برای امنیت اطلاعات 1 - BMIS - به شناسایی ابعاد مؤثر در آن و تأثیرگذاری این عوامل بر یکدیگر پرداخته و رویکردی متفاوت به مسئله امنیت اطلاعات بر اساس نگرش سیستمی و مبتنی بر هم راستاسازی امنیت اطلاعات با کسبوکار، ارائه نماید.
-2 مبانی نظری و پیشینه پژوهش
در روزگار فرا صنعتی امروز، ساختار قدرت جهان در حال فروپاشی بوده و زور و ثروت محوریت قدرت را به دانش و اطلاعات داده است و دانش به دلیل انعطافپذیری بیشتر دست بالاتر را پیدا کرده است. به اعتقاد تافلر دانش و اطلاعات ویژگیای است که برخلاف زور و ثروت در اختیار همه قرار دارد و مردمیترین منبع قدرت و منعطفترین منبع برای تولید ثروت است.[2]
رشد فزاینده فناوری اطلاعات و ظهور الگوهای نوین تجارت الکترونیک، کسبوکارها را بهعنوان مفهومی همهجا حاضر تبدیل کرده و متعاقب آن پیامدها و الزاماتی را برای سازمانها به بار آورده است . این امر باعث شده حفاظت از داراییهای اطلاعاتی و سیستمهای اطلاعاتی بهعنوان منابع راهبردی، توجه کسبوکارها را به خود معطوف داشته و بهعنوان یک اولویت مدیریتی معرفی شود.[15]
لذا مدیران امنیت اطلاعات کوشش میکنند تا برنامههایی همراستا با اهداف و اولویتهای سازمانی که موجب خلق ارزشهای سازمانی و حمایت از توانایی مدیریت سازمان در نوآوری و کنترل مخاطرات باشد ایجاد کنند. ازاینرو در ادامه ضمن پرداختن به مفهوم امنیت اطلاعات به تشریح مدل کسبوکار برای امنیت اطلاعات و شناسایی ابعاد تأثیرگذار و چگونگی تأثیرگذاری آنها بر یکدیگر پرداخته خواهد شد.
-1-2 امنیت اطلاعات
با مروری به تاریخ جنگ جهانی دوم و بعدازآن، نیاز به ایمنسازی مکان فیزیکی، سختافزارها و نرمافزارهای رایانههای بزرگ محاسباتی، از تهدیدات، مفهوم امنیت کامپیوتری شکل گرفت و بهمرور در طول این سالها، از یک فرآیند ساده که عمدتاً منحصر به امنیت فیزیکی و طرحهای طبقهبندی ساده اسناد بود، بهتدریج با ظهور و گسترش فناوریهای اطلاعاتی و ارتباطی بهویژه اینترنت و متعاقباً گسترش تهدیدات و مخاطرات مرتبط با آن به مفاهیم امنیت اطلاعات، امنیت سیستمهای اطلاعاتی و امنیت سایبری توسعه یافت.
در یک تعریف ساده امنیت عبارت است از کیفیت یا حالتی از اطمینان، دور بودن و رها از خطر و محافظت در مقابل متخاصمانی که عمداً درصدد آسیبرسانی هستند. کمیته امنیت ملی سیستمهای اطلاعاتی - CNSS - 2 امنیت اطلاعات را حفاظت از اطلاعات و عناصر حیاتی آن، شامل سیستمها و سختافزارهایی که اطلاعات را استفاده، ذخیرهسازی و انتقال میدهد، تعریف کرده است تعریف ارائهشده توسط این کمیته بر پایه سه اصل و مفهوم توسعهیافته مثلث 3 C.I.A. - محرمانگی، یکپارچگی، دسترسپذیری - بناشده است.[17] ویتمن و ماتورد - همان منبع - چهار وظیفه مهم امنیت اطلاعات برای یک سازمان را به شرح زیر بیان میکنند:
1. محافظت از توانایی سازمان در انجام وظایفش.
2. فراهمسازی عملکرد مطمئن برنامههای کاربردی که روی سیستمهای اطلاعاتی سازمان اجرا میشوند.
3. حفاظت از دادههایی که سازمان جمعآوری و استفاده میکند.
4. حفظ داراییهای فناوری سازمان.
کیم و سلمان .[10] با توجه به اینکه سیستم اطلاعاتی شامل سختافزار، نرمافزار و برنامههای کاربردی است که وظیفه جمعآوری، پردازش و ذخیره و انتقال اطلاعات در یک سازمان را بر عهده دارد، امنیت آن را مجموعه اقداماتی که باعث محافظت از سیستم اطلاعاتی و دادههای ذخیرهشده در آن شود، دانسته و لاودن امنیت سیستمهای اطلاعاتی را، سیاستها، روشها و اقدامات فنی برای جلوگیری از دسترسیهای غیرمجاز، تغییر، سرقت و یا آسیب فیزیکی به آنها میداند. [11]
از طرفی بررسی پایاننامهها و مقالات نوشتهشده درزمینه امنیت اطلاعات، نشاندهنده آن است که هرچند از جنبههای مختلفی مانند فناوری، رویهها و سیاستهای امنیتی و کنترلی به مسئله امنیت اطلاعات بسیار پرداختهشده است ولی از منظر کسبوکار بر اساس عناصر و اصول بنیادی کسبوکار، ابعاد مؤثر امنیتی مورد شناسایی و تأثیر آنها بر یکدیگر تعیین نشده یا چندان موردتوجه محققان قرار نگرفته است.
بااینوجود مهمترین منابع و پژوهشهایی که به شناسایی عوامل مؤثر بر امنیت و تعیین تأثیرگذاری آن عوامل با استفاده از روش دیمتل پرداختهاند به ترتیب زیر میباشند؛ هو و همکاران [9] در پژوهشی به شناسایی آیتمهای کنترلی اصلی مدیریت امنیت اطلاعات و استراتژیهای بهبود آن با بهکارگیری روش دیمتل فازی پرداخته که یافتههای پژوهش آنها حکایت از سه آیتم اصلی کنترلی شامل خطمشی امنیتی،کنترل دسترسیها و امنیت منابع انسانی دارد.
باغبان زاده [1] نیز در پایاننامه کارشناسی ارشد خود به شناسایی و اولویتبندی عوامل انسانی مؤثر بر امنیت اطلاعات با استفاده از رویکرد ترکیبی ANP و دیمتل فازی پرداخته است.همچنین چن و لو [7] برای ارزیابی و تحلیل ریسک امنیت اطلاعات روشهای فرآیند تحلیل شبکهای - ANP - 4 و دیمتل را به کار گرفتنداُیانگ. و همکاران [12] در مقالهای مدلی جهت ارزیابی و کنترل ریسک امنیت اطلاعات پیشنهاد میدهند که میتواند امنیت اطلاعات را برای شرکتها و سازمانها ارتقا دهد. این مدل یک مدل تصمیمگیری چند معیاره ترکیبی از VIKOR، DEMATEL و ANP برای حل مسئله معیارهای متناقض است که وابستگی و بازخورد آنها را نشان میدهد.
با توجه به تعاریف و توضیحات اشارهشده و همچنین آثار عوامل سازمانی، فرآیندها، افراد و تعامل و کنش بین آنها بر امنیت اطلاعات، ضروری است فراتر از بعد فنی – انسانی، مجموعهای از برنامهریزیها و سیاستگذاریها و اقدامات با هدف حفاظت از اطلاعات در مقابل مخاطرات برنامهریزیشده یا برنامهریزی نشده صورت گرفته تا نگاه به مقوله امنیت اطلاعات از منفعلانه و واکنشی به نگاه فعالانه تبدیل شده و با همسوسازی بین عملیات و اقدامات امنیتی و اهداف راهبردی کسبوکار، مخاطرات، وقایع و خسارتهای ناشی از آن به نحو چشمگیری کاهش یابد.[16]
-2-2 مدل کسبوکار برای امنیت اطلاعات
مدیران سازمانی مقوله امنیت اطلاعات را با نگرشهای متفاوتی مینگرند. مدیران امنیت اغلب در خصوص تهدید، مخاطره، نظارت، کنترل و فناوریهای امنیتی و در عوض مدیران کسبوکار راجع به هزینه، بهرهوری و بازگشت سرمایه آن صحبت میکنند. برای غلبه بر این مشکل سازمانها بایستی فرهنگی حمایت گر و چارچوبی جامع و فراگیر برای امنیت اطلاعات شکل داده و وظایف آن را بهصورت یک کل واحد تعمیم داده بهطوریکه شناخت یک جزء منجر به شناخت سایر اجزای آن گردد. تنها رویکردی که این امر را میسر میسازد نگرش سیستمی به پدیده امنیت اطلاعات است که منجر به بلوغ سازمان در حوزه امنیت اطلاعات خواهد شد.[16]
مدل کسبوکار برای امنیت اطلاعات که در ژانویه 2009 توسط انجمن حسابرسی و کنترل سامانههای اطلاعاتی - ISACA - 5 معرفی شد، مدلی است که به متخصصان امنیتی نگاه جدیدی در رویکرد مدیریت مؤثر امنیت اطلاعات ارائه میکند. اساس این مدل متمرکز بر محیط کسبوکار بوده جایی که امنیت اطلاعات در تعامل با سایر فرآیندهای کسبوکار است. لذا این مدل یکراه حل پویا و کلنگر برای طراحی، بهکارگیری و مدیریت امنیت اطلاعات ارائه کرده تا امنیت دیگر به چشم هزینه نگریسته نشود و نگاه به آن بهعنوان خلق ارزش در سازمانها باشد.ازجمله مشخصهها و ویژگیهای مهم این مدل میتوان به موارد زیر اشاره داشت: .[16]
• تنظیم امنیت اطلاعات با اهداف کسبوکار.
• رویکرد مبتنی بر ریسک.
• توازن بین سازمان، افراد، فرآیند و فناوری.
• مزیت همگرایی راهبردهای امنیت.
• استقلال فنی و محیطی.
مدل کسبوکار برای امنیت اطلاعات، یک مدل سهبعدی است که سه عنصر سنتی موجود در فناوری اطلاعات - شامل افراد، فرآیند و فناوری - را با عنصر چهارم سازمان تلفیق کرده ازاینرو دارای 4 عنصر اصلی و 6 اتصال پویا - قوای کششی - - بهعنوان رابط بین عناصر – است. - شکل . - 1 تمام قسمتهای این مدل در تعامل با یکدیگر بوده و به دلیل پویایی ارتباط بینابینی آنها، اگر هر بخشی از مدل تغییری کند، سایر بخشها نیز متأثر از آن، تغییر میکنند.
-1-2-2 عناصر اصلی مدل کسبوکار برای امنیت اطلاعات
❖ سازمان: عن صر سازمان در مدل BMIS، شامل ساختارها و راهبردهایی است که هدف آن ایجاد مزیتهای رقابتی باتحمل سطح قابل قبولی از ری سک در اتخاذ سیا ست و نظام راهبری است. از منظر مدل BMIS، چگونگی طراحی ، استراتژی و راهبری سازمان ، افراد، فرآیندها و فناوری را تحت تأثیر قرار میدهد که نتیجه آن شناسایی مخاطرات، فرصتها و نقاط بهبود است.
❖ فرآیند: فرآیندها فعالیتهای ساختیافتهای ه ستند که بهمنظور رسیدن به یک نتیجه خاص از طریق فرد و یا انجام یک سری از وظایف مستمر برای کمک به سازمانها در دستیابی به استراتژی خود ایجاد شدهاند.در مدل BMIS، فرآیندها ارتباطدهنده ا صلی سازمان، فناوری و افراد هستند.
❖ فناوری: فناوریعنصر نسبتاً بسیار تخصصی و پیچیده برنامههای امنیتی در مدل BMIS که به متخصصان امنیتی بسیاری از ابزارهای مورداستفاده برای به انجام رساندن مأموریت و استراتژیهای کل شرکت را در اختیار قرار میدهد،محسوب میگردد. این ابزار ها بر پا یه پارامتر های عمومی امن یت یعنی محرمانه بودن، یکپارچگی و در دسترس بودن استوارند.
❖ افراد:عن صر افراد در مدل BMIS ن شاندهنده کلیه طرفهای مرتبط با سازمان شامل منابع انسانی،کارمندان، پیمانکاران فرو شندگان و تأمینکنندگان خدمات و سایر کن شگران میبا شند.
