۱۳۹۷-۰۲-۲۲، ۰۵:۳۴ ب.ظ
مقدمه
عامل*هایی مانند کارشناسان، عوامل تکنولوژیکی و فرآیند*های سازمانی عناصری هستند که پیاده*سازی امنیت در سازمان ها را با چالش خدمات شبکه مواجه می کنند. جنبه های انسانی عبارتست از آنچه مربوط به شناخت و درک افراد است مانند فرهنگ و تعامل با دیگر با افراد. جنبه های سازمانی مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصمیمات مدیریتی در حوزه امنیت فناوری اطلاعات. جنبه های تکنولوژی، شامل راه حل های تکنیکی مانند برنامه ها و پروتکل هاست. برای مثال، برای رسیدن به درک متقابل درباره ریسک های امنیت در میان ذینفعان مختلف، ارتباطات و تعاملات موثر مورد نیاز است. همچنین خطاهای انسانی تهدید دیگری برای راهکارهای امنیتی هستند. تحلیل ها نشان می دهد که فاکتورهای سازمانی مانند ارتباطات، فرهنگ امنیت و قوانین دلایل متداول خطاها در حوزه امنیت اطلاعات هستند.
متدولوژی
شناخت بهتر شرایط و محدودیت های دنیای واقعی در ارائه راهکارهای امنیتی برای ایجاد سیستم های پسیو شبکه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سیستم کمک خواهد کرد. سوالات اصلی که در این مطالعه مطرح شده است، عبارتند از:
1. مشکلات اصلی که کارشناسان در بخش امنیت اطلاعات در سازمان خود با آنها روبرو هستند، چیست؟
2. چگونه این چالش ها و مشکلات با هم در تقابل هستند؟
3. الزامات این چالش ها بر روی تحقیقات آینده چیست؟
ارائه چارچوب یکپارچه چالش ها
سه دسته از این مشکلات بعنوان فاکتورهای انسانی دسته بندی می شود:
1- فرهنگ 2- فقدان آموزش امنیت 3- فرآیندهای امنیت ارتباطات
فقدان فرهنگ امنیت داخل سازمانها تغییر شیوه ها را مشکل کرده است. برای مثال، چندین کارمند از یک نام کاربری برای دسترسی به یک سیستم پشتیبانی شبکه استفاده می کنند. در برخی موارد، کارمندان دسترسی به داده را بعنوان یک امتیاز در نظر می گیرند و در برابر از دست دادن این امتیاز بعنوان یک تغییر سازمانی مقاومت می نمایند. فقدان آموزش امنیت موضوع دیگر است. پیاده سازی کنترل های امنیتی در حالی که افراد توجه کافی یا دانش کافی درباره امنیت فناوری اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ریسک هایی که ذینفعان داخل سازمان با آن مواجه هستند، تحت تاثیر قرار می دهد. زمانی که دیدگاه مشترک از ریسک ها میان ذینفعان وجود نداشته باشد امنیت ارتباطات با مشکل روبرو خواهد شد.
مواردی که به ویژگی های سازمان ها مربوط می شود، عبارتند از:
1- برآورد ریسک 2- محیط های باز و آزاد دانشگاهی 3- فقدان بودجه 4- قرار دادن امنیت در اولویت دوم 5- زمانبندی فشرده 6- روابط تجاری با دیگر سازمان ها 7- توزیع مسئولیت های فناوری اطلاعات 8- کنترل دسترسی به داده های حساس
فاکتورهای مبتنی بر تکنولوژی که برای پیاده سازی قوانین امنیتی مطرح می شوند، عبارتند از:
1- پیچیدگی سیستم ها 2- دسترسی های توزیع شده و سیار 3- آسیب در سیستم ها و برنامه ها
نتیجه گیری
تجزیه و تحلیل ها نشان داد که ارتباطات موثر یک مشکل برای کارشناسانی پسیو شبکه که ریسک ها و کنترل های امنیتی را با دیگر ذینفعان مطرح می نمایند، می باشد. برای پیاده سازی فرآیندهای امنیتی باید فرهنگ سازمانی و دیدگاه ذینفعان مختلف و نه فقط کاربران نهایی درباره ریسک های امنیتی در نظر گرفته شود. توزیع مدیریت فناوری اطلاعات و عدم آموزش های امنیتی میکروتیک ذینفعان فاکتورهایی هستند که تاثیر منفی بر روی کارآیی و اثربخشی ارتباطات ایجاد شده توسط کارشناسان میکروتیک امنیت دارند.زمانبندی فشرده برای تحویل سرویس هایی که شامل نیازمندیهای امنیتی است، مشکل دیگری است. این مشکل به کمبود زمان، منابع و ارتباطات متناقض بین مسئولان مربوط می باشد. به این ترتیب یک ارتباط مستقیم بین زمانبندی فشرده و سطح امنیت وجود دارد.
توزیع، در حوزه دسترسی کنترل شده به داده دو جنبه دارد: اول، کنترل کردن دسترسی کاربرانی که پراکنده هستند و از تکنولوژی های دسترسی متفاوت استفاده می کنند. دوم، کنترل دسترسی به داده های توزیع شده در کل سازمان که توسط ذینفعان مختلف مدیریت می شود. پیشنهاد مطرح شده اینست که، پروسه های امنیتی باید با فرض محیط های توزیع شده توسعه یابند. این سیستم*ها باید به منظور فراهم کردن دسترسی کنترل شده به داده های توزیع شده، به اندازه کافی انعطاف پذیر باشند و کانال های ارتباطی بین ذینفعان مختلف که به آن داده ها دسترسی دارند، بهبود ببخشند.
عامل*هایی مانند کارشناسان، عوامل تکنولوژیکی و فرآیند*های سازمانی عناصری هستند که پیاده*سازی امنیت در سازمان ها را با چالش خدمات شبکه مواجه می کنند. جنبه های انسانی عبارتست از آنچه مربوط به شناخت و درک افراد است مانند فرهنگ و تعامل با دیگر با افراد. جنبه های سازمانی مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصمیمات مدیریتی در حوزه امنیت فناوری اطلاعات. جنبه های تکنولوژی، شامل راه حل های تکنیکی مانند برنامه ها و پروتکل هاست. برای مثال، برای رسیدن به درک متقابل درباره ریسک های امنیت در میان ذینفعان مختلف، ارتباطات و تعاملات موثر مورد نیاز است. همچنین خطاهای انسانی تهدید دیگری برای راهکارهای امنیتی هستند. تحلیل ها نشان می دهد که فاکتورهای سازمانی مانند ارتباطات، فرهنگ امنیت و قوانین دلایل متداول خطاها در حوزه امنیت اطلاعات هستند.
متدولوژی
شناخت بهتر شرایط و محدودیت های دنیای واقعی در ارائه راهکارهای امنیتی برای ایجاد سیستم های پسیو شبکه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سیستم کمک خواهد کرد. سوالات اصلی که در این مطالعه مطرح شده است، عبارتند از:
1. مشکلات اصلی که کارشناسان در بخش امنیت اطلاعات در سازمان خود با آنها روبرو هستند، چیست؟
2. چگونه این چالش ها و مشکلات با هم در تقابل هستند؟
3. الزامات این چالش ها بر روی تحقیقات آینده چیست؟
ارائه چارچوب یکپارچه چالش ها
سه دسته از این مشکلات بعنوان فاکتورهای انسانی دسته بندی می شود:
1- فرهنگ 2- فقدان آموزش امنیت 3- فرآیندهای امنیت ارتباطات
فقدان فرهنگ امنیت داخل سازمانها تغییر شیوه ها را مشکل کرده است. برای مثال، چندین کارمند از یک نام کاربری برای دسترسی به یک سیستم پشتیبانی شبکه استفاده می کنند. در برخی موارد، کارمندان دسترسی به داده را بعنوان یک امتیاز در نظر می گیرند و در برابر از دست دادن این امتیاز بعنوان یک تغییر سازمانی مقاومت می نمایند. فقدان آموزش امنیت موضوع دیگر است. پیاده سازی کنترل های امنیتی در حالی که افراد توجه کافی یا دانش کافی درباره امنیت فناوری اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ریسک هایی که ذینفعان داخل سازمان با آن مواجه هستند، تحت تاثیر قرار می دهد. زمانی که دیدگاه مشترک از ریسک ها میان ذینفعان وجود نداشته باشد امنیت ارتباطات با مشکل روبرو خواهد شد.
مواردی که به ویژگی های سازمان ها مربوط می شود، عبارتند از:
1- برآورد ریسک 2- محیط های باز و آزاد دانشگاهی 3- فقدان بودجه 4- قرار دادن امنیت در اولویت دوم 5- زمانبندی فشرده 6- روابط تجاری با دیگر سازمان ها 7- توزیع مسئولیت های فناوری اطلاعات 8- کنترل دسترسی به داده های حساس
فاکتورهای مبتنی بر تکنولوژی که برای پیاده سازی قوانین امنیتی مطرح می شوند، عبارتند از:
1- پیچیدگی سیستم ها 2- دسترسی های توزیع شده و سیار 3- آسیب در سیستم ها و برنامه ها
نتیجه گیری
تجزیه و تحلیل ها نشان داد که ارتباطات موثر یک مشکل برای کارشناسانی پسیو شبکه که ریسک ها و کنترل های امنیتی را با دیگر ذینفعان مطرح می نمایند، می باشد. برای پیاده سازی فرآیندهای امنیتی باید فرهنگ سازمانی و دیدگاه ذینفعان مختلف و نه فقط کاربران نهایی درباره ریسک های امنیتی در نظر گرفته شود. توزیع مدیریت فناوری اطلاعات و عدم آموزش های امنیتی میکروتیک ذینفعان فاکتورهایی هستند که تاثیر منفی بر روی کارآیی و اثربخشی ارتباطات ایجاد شده توسط کارشناسان میکروتیک امنیت دارند.زمانبندی فشرده برای تحویل سرویس هایی که شامل نیازمندیهای امنیتی است، مشکل دیگری است. این مشکل به کمبود زمان، منابع و ارتباطات متناقض بین مسئولان مربوط می باشد. به این ترتیب یک ارتباط مستقیم بین زمانبندی فشرده و سطح امنیت وجود دارد.
توزیع، در حوزه دسترسی کنترل شده به داده دو جنبه دارد: اول، کنترل کردن دسترسی کاربرانی که پراکنده هستند و از تکنولوژی های دسترسی متفاوت استفاده می کنند. دوم، کنترل دسترسی به داده های توزیع شده در کل سازمان که توسط ذینفعان مختلف مدیریت می شود. پیشنهاد مطرح شده اینست که، پروسه های امنیتی باید با فرض محیط های توزیع شده توسعه یابند. این سیستم*ها باید به منظور فراهم کردن دسترسی کنترل شده به داده های توزیع شده، به اندازه کافی انعطاف پذیر باشند و کانال های ارتباطی بین ذینفعان مختلف که به آن داده ها دسترسی دارند، بهبود ببخشند.