بیتوجهی به امنیت اطلاعات تهدیدی بزرگ برای سازمان ها:
- چه میزان از امنیت اطلاعات سازمان خود اطمینان دارید؟
- آیا منابع اطلاعاتی (پایگاههای داده) سازمان خود را به خوبی می شناسید؟
- آیا دسترسی و استفاده از این اطلاعات به خوبی کنترل میشود؟
- آیا تا به حال به این موضوع اندیشیدهاید که در صورت افشای اطلاعات حساس موجود در پایگاههای داده شما چه اتفاقی رخ می دهد؟
- اگر صفحه اول سایت سازمان شما تغییر پیدا کند چه تبعاتی خواهد داشت؟
وضع موجود:
- هر روز با فناوری های نوین روبرو هستیم که عمده آنها بر بستر ICT ارایه میشوند
- طبق نظر سنجیها ۸۶ درصد از افراد سازمان ها از حداقل یکی از این فناوری های نوین استفاده میکنند
- حجم درخواست ها از حوزه ICT رو به افزایش است و کارکنان حوزه ICT فرصت توجه به همه جنبههای فنی موضوعات را ندارند و سازمان ها به جهت درک ناصحیح از این حوزه حمایت لازم را از ایشان ندارند
- حوزه فناوری اطلاعات و ارتباطات در بکارگیری کارکنان زبده در عرصه امنیت اطلاعات و ارتباطات دچار مشکل است به عبارتی مشکل نیروی انسانی متخصص مشکل شماره یک این حوزه است
- غالباً در سازمان ها بیتوجهی به یکپارچهسازی و زیرساخت های نرمافزاری و سختافزاری برای استقرار یک سیستم مدیریت امنیت اطلاعات مشاهده میشود
- مدیران اغلب درک صحیح و دقیقی از فناوری اطلاعات ندارند
- امکانات و اعتبارات لازم به این حوزه تعلق نمیگیرد
- پرسنل فناوری اطلاعات از حوزه فعالیت خود رضایت چندانی ندارند
- نگرانی از همسو نبودن برنامههای عملیاتی با برنامههای توسعه کشور
- بیتوجهی به بخش خصوصی به عنوان عامل مهم بخش توسعه فناوری اطلاعات و ارتباطات
- پورتال یا سایت وب سازمان
- سیستم های نرمافزاری
- سیستم های قدیمی مبتنی بر DOS و FoxPro
- سیستم های ویندوزی تک کاربره
- سیستم های ویندوزی تحت شبکه (Client/Server)
- سیستم های تحت شبکه WebBase
- شبکه سازمان
- به لحاظ ساختیافتگی، امنیت اطلاعات، نوع سرور و ….
- ساختار سازمانی حوزه فناوری اطلاعات و مسایل مربوط
چه باید کرد!
- فرهنگسازی و آموزش در همه سطوح
- ایجاد ساختار سازمانی مناسب CIO در سازمان
- تامین منابع مالی مورد نیاز و بهبود زیرساخت های ارتباطی و سرمایهگذاری در حوزه فناوری اطلاعات و ارتباطات
- کمک به رشد و توسعه مراکز تحقیقاتی و پژوهشی در این حوزه (Cert و …)
- کمک به رشد و توسعه بخش خصوصی حوزه ICT
- ایجاد و توسعه سیستم مدیریت امنیت اطلاعات در سازمان (ISMS)
- تهیه قوانین، آئیننامهها، مقررات و دستورالعمل های مورد نیاز
راه کار:
- آزمون نفوذپذیری و تائیدیه امنیتی از جمله فعالیت هایی است که در فرآیند مدیریت امنیت اطلاعات سازمان باید انجام شود
- بسته به نوع آزمون میتواند نگرش اولیهای از وضعیت امنیت اطلاعات سازمان بدست آورد
فهرست موضوعات:
- ضرورت توجه به امنیت اطلاعات
- مروری بر وضع موجود
- راهکارهای پیشنهادی
- آزمون نفوذپذیری
- استاندارد ASVS OWASP
- معرفی آزمایشگاه آپا
- نحوه تعامل با آپا
- توضیح فرم ها