امنیت ، مبحثی کاملا پیچیده ولی با اصولی ساده است . در بسیاری از مواقع همین سادگی اصول هستند که ما را دچار گمراهی می کنند و دور نمای فعالیت های ما را از لحاظ سهولت و اطمینان در سایه ای از ابهام فرو می برند. باید گفت که امنیت یک پردازش چند لایه است. تعیین نوع و نحوه تلقین لایه های دفاعی مورد نیاز ، فقط پس از تکمیل ارزیابی قابل ارائه است . تهیه لیستی از سیاست های اجرایی بر مبنای اینکه چه چیزی برای سازمان مهم تر و انجام آن ساده تر است در اولویت قرار دارد. پس از آنکه این اولویت ها به تایید رسیدند هر یک از آنها باید به سرعت در جای خود به اجرا گذارده شود.
ارزیابی امنیتی یک بخش بسیار مهم تراز برنامه ریزی امنیتی است. بدون ارزیابی از مخاطرات ، هیچ طرح اجرایی در جای خود به درستی قرار نمی گیرد. ارزیابی امنیتی خطوط اصلی را برای پیاده سازی طرح امنیتی که به منظور حفاظت از دارایی ها در مقابل تهدیدات است را مشخص میکند. برای اصلاح امنیت یک سیستم و محقق کردن شرایط ایمن، می بایست به سه سوال اصلی پاسخ داد:
چه منابع و دارایی هایی در سازمان احتیاج به حفاظت دارند؟
چه تهدیداتی برای هر یک از این منابع وجود دارد؟
سازمان چه مقدار تلاش ،وقت و سرمایه می بایست صرف کند تا خود را در مقابل این تهدیدات محافظت کند؟
اگر شما نمی دانید علیه چه چیزی می خواهید از دارایی های خود محافظت کنید موفق به انجام این کار نمی شوید. رایانه ها محتاج آن هستند که در مقابل خطرات از آنها حفاظت شود ولی این خطرات کدامند؟ به عبارت ساده تر خطر زمانی قابل درک است که یک تهدید، از نقاط ضعف موجود برای آسیب زدن به سیستم استفاده کند. لذا، پس از آنکه خطرات شناخته شدند، می توان طرح ها و روش هایی را برای مقابله با تهدیدات و کاهش میزان آسیب پذیری آنها ایجاد کرد. اصولا شرکت ها و سازمان ها ، پویا و در حال تغییر هستند و لذا طرح امنیتی به طور مدام باید به روز شود. به علاوه هر زمان که تعییرات عمده ای در ساختار و یا عملکردها به وجود آمد، می بایست ارزیابی مجددی صورت گیرد. بنابراین حتی زمانی که یک سازمان به ساختمان جدیدی نقل مکان می کند، کلیه دستگاه های جدید و هرآنچه که تحت تغییرات اساسی قرار می گیرد، مجددا باید مورد ارزیابی قرار گیرد.
نویسنده و طراح: امیرحسین حسینی
حجم فایل: 686 کیلوبایت
