ParvanehDesigner
شنبه 13 فروردین 1384, 21:44 عصر
به عضویت درآمدن در استانداردهای امنیت IT، همچون BS7799 کمک بزرگی در جهت کاهش فشار بر روی جامعهی تولیدکنندگان فنی است.
شرکتهای چند ملیتی، سرمایهگذاریهای مالی زیادی را در زمینهی امنیت IT انجام دادهاند و مشتاقانه منتظر هستند تا تامینکنندگان کوچک پایبندی خود را به تعهدات امنیتی ثابت کنند.
در سخنرانی متخصصان امنیت IT در نشست امنیت RSA در ماه گذشته پیشبینی شد که شرکتهای بزرگ در آینده در عقد قراردادهای خود با تامینکنندگان پیش از انجام هر کاری ناگزیر خواهند بود، حداقل استانداردهای امنیتی را مشخص کنند.
با آنکه بسیاری از کسب و کارهای کوچک میتوانند بیشترین درآمد را از کمترین میزان مشتری داشته باشند، کمتر مورد توجه قرار میگیرند. دلیل اصلی این کماقبالی نبودن امنیت قابل قبول در چنین تجارتهای IT است.
هر شریک تجاری پیش از آنکه با سازمانی وارد شراکت شود مایل است از میزان امنیت موجود در سازمان با خبر شود. با بیان این مطالب، مدیران IT برای به دست آوردن سطحی از امنیت که بتواند جایگزین ممیزیهای بینظم و قاعدهی شرکای آیندهی تجاری شود، چه میتوانند بکنند؟
یک راهحل مطمئن برای کاهش اینگونه مشکلات استفاده از استانداردهایی همچون BS7799 و ISO17799 (نسخهی بینالمللی BS7799) است که معرف بهترین الگوی تکنیک امنیت هستند.
استانداردهای یاد شده موارد مهمی همچون چگونگی جلوگیری از اعمال غیرمجاز از طریق اطلاعرسانی سیستمها، برای جلوگیری از خسارات احتمالی و تغییر یا سواستفادهی دادههای مصرفکنندگان را زیر پوشش قرار میدهند. مشخص شدن این استانداردها برای دستیابی به بالاترین فناوری مورد نیاز بسیار با اهمیت است. در اختیار داشتن این استاندارد به مدیران IT اطمینان میدهد که نیازهای امنیتی شرکای بزرگتر خود را برآورده خواهند کرد و کنترل و هدایت این ایمنی را خود به دست خواهند گرفت.
به هرحال مدیران IT در صورت پذیرفتن این توافقات، باید همهی هزینهی مربوط به دریافت گواهینامههای استاندارد را پذیرا باشند. برای مثال برنامهی احتمالی آموزشهای مورد نیاز از جمله بخشهای ناگزیر کاری در این زمینه است. مدیران باید بدانند که با دریافت گواهینامههای یاد شده هر 6 ماه یکبار برای ممیزی رعایت استانداردها، بازرسیهایی در انتظار آنها خواهد بود. این بازرسیها ثابت میکند که روند تجاری در راستای انتظارات گواهینامههای شرکت بوده است.
هر شرکت به نوبهی خود میتواند از بهترین فناوری امنیتی برخوردار باشد. اما این امکان نیز وجود دارد که فناوری امنیتی مورد استفادهی سازمان مورد قبول استانداردهای امنیتی نباشد. افزون بر این ممکن است شرکتها در اجرای فناوریهای امنیتی خود دچار اشتباه شوند و جبران این اشتباهها در برخی موارد بسیار پرهزینه است.
اجرای استانداردهایی از قبیل BS7799 باید به عنوان یک مزیت رقابتی در نظر گرفه شود. این استاندارد و بسیاری دیگر از این دست استانداردها بر پایهی "الگوی دمینگ" (برنامهریزی، اجرا، کنترل و عمل) بنا نهاده شدهاند. این الگو نمونهای کامل در آسان کردن روند تجارت و نشانگر تاکید سازمان بر مسالهی استاندارد است.
مدیران IT باید در مقابل دیدگاههایی که رعایت استانداردها را بینیاز از دریافت گواهینامههای بینالمللی میدانند هشیار و محتاط باشند. گروهی معتقدند که اطاعت از استانداردها نیازی به تن دادن به دردسرهای ممیزی و دریافت گواهینامه ندارد و تنها در عمل باید اطاعت از استانداردها را نشان داد. شاید در کوتاه مدت این اندیشه بسیار کمدردسرتر و آسانتر به نظر برسد، اما بسیاری از شرکای بزرگ تجاری برای اطمینان از ادامهی همکاری باید از رعایت استانداردهای ایمنی در سازمان اطمینان حاصل کنند و این هدف تنها با دریافت گواهینامه و ممیزیهای منظم به دست میآید.
مدیران IT با توجه به زمان و فشارهای موجود باید ممیزی را به عنوان حقیقتی از زندگی حرفهای خود بپذیرند. بهتر است که مدیران همواره سازمان خود را برای بازرسی آماده کنند. به یاد داشته باشید که بیتوجهی به این بازرسیها میتواند مشکلات بزرگی برای شما به وجود آورد.
به علاوه باید از برگزاری دورههای آموزشی مربوط به استانداردهای امنیتی اطمینان حاصل کنید. چرا که همین قوانین امنیتی تا تبدیل شدن به بهترین تکنیک میتواند دردسرهای زیادی برای شما به وجود آورد.
اگر مدیران IT دارای گواهینامههای کامل امنیت نباشند، نباید از دیگر شرکتها توقع حمایت و همراهی داشته باشند؛ چرا که در نمایش تکنیکهای امنیتی شرکت خود ناموفق ظاهر شدهاند.
نویسنده : آرتور بارنس (www.ComputerWeekly.com)
مترجم : مهدی کشتکار
ناشر : همکاران سیستم
شرکتهای چند ملیتی، سرمایهگذاریهای مالی زیادی را در زمینهی امنیت IT انجام دادهاند و مشتاقانه منتظر هستند تا تامینکنندگان کوچک پایبندی خود را به تعهدات امنیتی ثابت کنند.
در سخنرانی متخصصان امنیت IT در نشست امنیت RSA در ماه گذشته پیشبینی شد که شرکتهای بزرگ در آینده در عقد قراردادهای خود با تامینکنندگان پیش از انجام هر کاری ناگزیر خواهند بود، حداقل استانداردهای امنیتی را مشخص کنند.
با آنکه بسیاری از کسب و کارهای کوچک میتوانند بیشترین درآمد را از کمترین میزان مشتری داشته باشند، کمتر مورد توجه قرار میگیرند. دلیل اصلی این کماقبالی نبودن امنیت قابل قبول در چنین تجارتهای IT است.
هر شریک تجاری پیش از آنکه با سازمانی وارد شراکت شود مایل است از میزان امنیت موجود در سازمان با خبر شود. با بیان این مطالب، مدیران IT برای به دست آوردن سطحی از امنیت که بتواند جایگزین ممیزیهای بینظم و قاعدهی شرکای آیندهی تجاری شود، چه میتوانند بکنند؟
یک راهحل مطمئن برای کاهش اینگونه مشکلات استفاده از استانداردهایی همچون BS7799 و ISO17799 (نسخهی بینالمللی BS7799) است که معرف بهترین الگوی تکنیک امنیت هستند.
استانداردهای یاد شده موارد مهمی همچون چگونگی جلوگیری از اعمال غیرمجاز از طریق اطلاعرسانی سیستمها، برای جلوگیری از خسارات احتمالی و تغییر یا سواستفادهی دادههای مصرفکنندگان را زیر پوشش قرار میدهند. مشخص شدن این استانداردها برای دستیابی به بالاترین فناوری مورد نیاز بسیار با اهمیت است. در اختیار داشتن این استاندارد به مدیران IT اطمینان میدهد که نیازهای امنیتی شرکای بزرگتر خود را برآورده خواهند کرد و کنترل و هدایت این ایمنی را خود به دست خواهند گرفت.
به هرحال مدیران IT در صورت پذیرفتن این توافقات، باید همهی هزینهی مربوط به دریافت گواهینامههای استاندارد را پذیرا باشند. برای مثال برنامهی احتمالی آموزشهای مورد نیاز از جمله بخشهای ناگزیر کاری در این زمینه است. مدیران باید بدانند که با دریافت گواهینامههای یاد شده هر 6 ماه یکبار برای ممیزی رعایت استانداردها، بازرسیهایی در انتظار آنها خواهد بود. این بازرسیها ثابت میکند که روند تجاری در راستای انتظارات گواهینامههای شرکت بوده است.
هر شرکت به نوبهی خود میتواند از بهترین فناوری امنیتی برخوردار باشد. اما این امکان نیز وجود دارد که فناوری امنیتی مورد استفادهی سازمان مورد قبول استانداردهای امنیتی نباشد. افزون بر این ممکن است شرکتها در اجرای فناوریهای امنیتی خود دچار اشتباه شوند و جبران این اشتباهها در برخی موارد بسیار پرهزینه است.
اجرای استانداردهایی از قبیل BS7799 باید به عنوان یک مزیت رقابتی در نظر گرفه شود. این استاندارد و بسیاری دیگر از این دست استانداردها بر پایهی "الگوی دمینگ" (برنامهریزی، اجرا، کنترل و عمل) بنا نهاده شدهاند. این الگو نمونهای کامل در آسان کردن روند تجارت و نشانگر تاکید سازمان بر مسالهی استاندارد است.
مدیران IT باید در مقابل دیدگاههایی که رعایت استانداردها را بینیاز از دریافت گواهینامههای بینالمللی میدانند هشیار و محتاط باشند. گروهی معتقدند که اطاعت از استانداردها نیازی به تن دادن به دردسرهای ممیزی و دریافت گواهینامه ندارد و تنها در عمل باید اطاعت از استانداردها را نشان داد. شاید در کوتاه مدت این اندیشه بسیار کمدردسرتر و آسانتر به نظر برسد، اما بسیاری از شرکای بزرگ تجاری برای اطمینان از ادامهی همکاری باید از رعایت استانداردهای ایمنی در سازمان اطمینان حاصل کنند و این هدف تنها با دریافت گواهینامه و ممیزیهای منظم به دست میآید.
مدیران IT با توجه به زمان و فشارهای موجود باید ممیزی را به عنوان حقیقتی از زندگی حرفهای خود بپذیرند. بهتر است که مدیران همواره سازمان خود را برای بازرسی آماده کنند. به یاد داشته باشید که بیتوجهی به این بازرسیها میتواند مشکلات بزرگی برای شما به وجود آورد.
به علاوه باید از برگزاری دورههای آموزشی مربوط به استانداردهای امنیتی اطمینان حاصل کنید. چرا که همین قوانین امنیتی تا تبدیل شدن به بهترین تکنیک میتواند دردسرهای زیادی برای شما به وجود آورد.
اگر مدیران IT دارای گواهینامههای کامل امنیت نباشند، نباید از دیگر شرکتها توقع حمایت و همراهی داشته باشند؛ چرا که در نمایش تکنیکهای امنیتی شرکت خود ناموفق ظاهر شدهاند.
نویسنده : آرتور بارنس (www.ComputerWeekly.com)
مترجم : مهدی کشتکار
ناشر : همکاران سیستم