انتشار کتاب مخاطره امنیت اطلاعات: روش‌های ارزیابی و مدیریت، با همکاری شرکت امن‌پردازان کویر

توسعه روزافزون به‌کارگیری فناوری اطلاعات در فرآیندهای کسب‌وکار موجب شده است که اطلاعات و دارایی‌های اطلاعاتی به‌ یکی از منابع حیاتی سازمان‌ها تبدیل شود. استفاده مناسب از این اطلاعات و دارایی‌های اطلاعاتی به یکی از نیازهای اساسی برای دستیابی به اهداف سازمانی تبدیل شده‌است و حفظ محرمانگی، صحت و دسترس‌پذیری اطلاعات از مشخصه‌های مهم برای حفظ حیات و تداوم کسب‌وکار تلقی می‌شود.

پیشرفت سیستم‌های رایانه‌ای، رایانش ابری، خدمات شبکه‌های اجتماعی و وابستگی کسب‌وکارها به فناوری اطلاعات، آنها را در معرض خطرات زیادی از جمله سرقت، از بین رفتن و یا تخریب اطلاعات قرار داده است. از این منظر باید گفت تامین امنیت اطلاعات مهمترین دغدغه و چالش این دوران است. از مهمترین موضوعات در حوزه امنیت اطلاعات، شناسایی و مدیریت مخاطره است. مدیریت مخاطره‌ها را می‌توان به‌عنوان سنگ‌بنای تصمیم‌های مدیران و متخصصان امنیتی دانست. مدیریت مخاطره یک فرآیند نظام‌مند است که به سازمان‌ها در درک اینکه مخاطره چیست، چه کسانی در معرض مخاطره قرار دارند و اینکه کنترل‌های فعلی برای این مخاطره‌ها و قضاوت‌های موجود در خصوص کفایت این کنترل‌ها مناسب هستند یا خیر، کمک می‌کند. در صورتی‌که این کنترل‌های موجود مناسب و کافی نباشند، برای ارتقای کنترل و مدیریت سطح مخاطره به یک سطح قابل قبول و معقول، نیاز است اقدام‌هایی انجام شود. امروزه پیاده‌سازی یک سیستم مدیریت امنیت اطلاعات مبتنی بر مدیریت مخاطره مناسب در سازمان‌ها، به خصوص سازمان‌های بزرگ، بیش از هرگونه تعهد اخلاقی برای محافظت از کارکنان، به یک الزام قانونی تبدیل شده است.

یکی از کارکردهای مهم حاکمیت مدیریت فناوری اطلاعات، مدیریت مخاطره (ریسک) است که هدف آن ایجاد یک محیط امن برای کسب‌‏وکارهای الکترونیکی و تجارت ‏الکترونیکی است. در حمایت از این کارکرد، سازمان‌های گوناگون علاقمند به پیاده‌سازی استانداردهایی هستند که روش‌های گوناگون مدیریت مخاطره را منتشر کرده‌اند. این روش‏‌ها، در قالب دستورالعمل‏‌ها/ راهنماها، استانداردها و چارچوب‏‌های ملی و بین‌‏المللی از خاستگاه‌‏های گوناگون کاربردی و پژوهشی و به‏ منظور ارزیابی مخاطره امنیت اطلاعات طراحی، و به‏ منظور شناسایی، تحلیل و کاهش مخاطره‌‏های مرتبط با فناوری اطلاعات از سوی سازمان‌ها مورد استفاده قرار می‏‌گیرد. به رغم تعداد روزافزون روش‌های ارزیابی و مدیریت مخاطره، گزارش‌های گوناگون، نظرسنجی‌ها و ادبیات این حوزه نشان می‌‏دهد که گسترش کاربرد این روش‌ها در حال حاضر در سازمان‌ها به دلیل کمبود آگاهی، هزینه‌های بالا، نیاز به تخصص و فرآیند طولانی بسیار محدود است. از سوی دیگر در حوزه کاربرد در ایران شاهد آن هستیم که علی‏‌رغم وجود تنوع زیاد روش‌های ارزیابی مخاطره امنیت اطلاعات، هم از سوی مشاوران و هم از سوی بهره‌برداران دانش و آگاهی کافی در خصوص این روش‌ها وجود ندارد و تنها تعداد محدودی از آنها مورد استفاده قرار می‌گیرد. با این توضیحات، این کتاب با هدف مقایسه جامع و مصورسازی روش‌های ارزیابی و مدیریت مخاطره امنیت اطلاعات، در چهار فصل به شرح زیر منتشر شده است:

۱_ مفاهیم پایه مدیریت مخاطره امنیت اطلاعات: در این فصل سعی شده است روند شکل‌گیری مفهوم مدیریت امنیت اطلاعات، اهمیت و ضرورت توجه به امنیت اطلاعات، و مفاهیم پایه‌ای از جمله امنیت، امنیت اطلاعات، مدیرت امنیت اطلاعات، مخاطره، مدیریت مخاطره معرفی شود.

۲_ روش‌های ارزیابی مخاطره: در این فصل نُه روش اصلی مدیریت مخاطره در مفهوم کلی آن (نه در موضوع امنیت اطلاعات) معرفی و تشریح شده‌اند.

۳_ روش‌های ارزیابی مخاطره امنیت اطلاعات: در این فصل بر اساس روش پژوهش بیان شده در کتاب، ۵۰ روش مدیریت و ارزیابی مخاطره امنیت اطلاعات مورد بررسی قرار گرفته و بر اساس یک روش ارزیابی مشخص، ۱۸ روش جاری برتر در سطح دنیا در سه دسته و در قالب شناسنامه علمی معرفی شده‌اند.

۴_ مقایسه روش‌های ارزیابی مخاطره امنیت اطلاعات: در این فصل ۱۸ روش منتخب در بخش قبل بر اساس یک چارچوب مقایسه حاوی ۱۹ معیار شامل ـ نوع، ماهیت، سازمان ارائه‏ دهنده، اندازه سازمان هدف، سطح کاربری، سطح تخصص، فرآیند تطبیق مراحل مدیریت و ارزیابی مخاطره، رویکردهای تخمین مخاطره، شیوه ارزیابی مخاطره، پشتیبانی ابزارها، پشتیبانی از زبان‏های رایج، میزان سازگاری با استانداردها و مستندات، پوشش تعاریف و اصطلاحات، سرعت، سهولت استفاده، فرآیند روشن و شفاف و تکرارپذیری ـ مورد بررسی قرار گرفته و در جداول جداگانه نتایح ارزیابی ارائه شده است. در انتها نیز در قالب یک مصورسازی جامع، نتایج این مقایسه ارائه شده است.

«شرکت فنی‌ومهندسی امن‌پردازان کویر» یکی از پیشروان حوزه امنیت شبکه و اطلاعات در کشور و جز سه شرکت برتر ارائه‌دهنده خدمات، محصولات و راهکارهای بومی در زمینه مدیریت مخاطرات امنیت اطلاعات در ایران است. ما معتقدیم”ارزیابی مخاطره امنیت اطلاعات” و راهکارهای فنی مبتنی بر آن، باید همواره به‌عنوان سنگ‌بنای پیاده‌سازی استانداردهای “سیستم مدیریت امنیت اطلاعات” مورد توجه سازمان‌ها و کسب‌وکارها قرار گیرد. اگرچه هم‌اکنون تنوع روش‌های ارزیابی و مدیریت مخاطره امنیت اطلاعات، همچنین عدم توافق در معیارهای مرجع مورد تأیید و نبود چارچوب مقایسه‌ای برای ارزیابی آنها، سازمان‌ها را در فرآیند انتخاب و استفاده از این روش‌ها با چالش‌هایی جدی مواجه کرده است. در همین راستا امیدواریم این اثر بتواند برای مدیران اجرایی، ممیزان، مشاوران و سران تیم‌های امنیتی در استفاده بهینه از یک چارچوب ارزیابی مقایسه‌ای، با هدف به‌کارگیری مناسب روش‌های ارزیابی و مدیریت مخاطره امنیت اطلاعات مفید بوده و با کاهش چالش‌های سازمان‌ها در این حوزه، به ذینفعان این اطمینان خاطر را دهد که مخاطره‌ها به شکل بهینه مدیریت می‌شوند.