چالش‌های انسانی، سازمانی و تكنولوژیكی در پیاده‌سازی پروژه‌های امنیتی

مقدمه
عامل‌هايي مانند کارشناسان، عوامل تکنولوژيکي و فرآيند‌هاي سازماني عناصري هستند که پياده‌سازي  امنيت در سازمان ها را با چالش خدمات شبکه مواجه مي کنند. جنبه هاي انساني عبارتست از آنچه مربوط به شناخت و درک افراد است مانند فرهنگ و تعامل با ديگر با افراد. جنبه هاي سازماني مربوط هستند به ساختار سازمان شامل اندازه سازمان و تصميمات مديريتي در حوزه امنيت فناوري اطلاعات. جنبه هاي تکنولوژي، شامل راه حل هاي تکنيکي مانند برنامه ها و پروتکل هاست. براي مثال، براي رسيدن به درک متقابل درباره ريسک هاي امنيت در ميان ذينفعان مختلف، ارتباطات و تعاملات موثر مورد نياز است. همچنين خطاهاي انساني تهديد ديگري براي راهکارهاي امنيتي هستند. تحليل ها نشان مي دهد که فاکتورهاي سازماني مانند ارتباطات، فرهنگ امنيت و قوانين دلايل متداول خطاها در حوزه امنيت اطلاعات هستند.
متدولوژي
شناخت بهتر شرايط و محدوديت هاي دنياي واقعي در ارائه راهکارهاي امنيتي براي ايجاد سيستم هاي پسیو شبکه امن تر و قابل استفاده تر، به توسعه دهندگان و طراحان سيستم کمک خواهد کرد. سوالات اصلي که در اين مطالعه مطرح شده است، عبارتند از:
1.    مشکلات اصلي که کارشناسان در بخش امنيت اطلاعات در سازمان خود با آنها روبرو هستند، چيست؟
2.    چگونه اين چالش ها و مشکلات با هم در تقابل هستند؟
3.    الزامات اين چالش ها بر روي تحقيقات آينده چيست؟

ارائه چارچوب يکپارچه چالش ها
سه دسته از اين مشکلات بعنوان فاکتورهاي انساني دسته بندي مي شود:
1-     فرهنگ 2-  فقدان آموزش امنيت 3- فرآيندهاي امنيت ارتباطات
فقدان فرهنگ امنيت داخل سازمانها تغيير شيوه ها را مشکل کرده است. براي مثال، چندين کارمند از يک نام کاربري براي دسترسي به يک سيستم پشتیبانی شبکه استفاده مي کنند. در برخي موارد، کارمندان دسترسي به داده را بعنوان يک امتياز در نظر مي گيرند و در برابر از دست دادن اين امتياز بعنوان يک تغيير سازماني مقاومت مي نمايند. فقدان آموزش امنيت موضوع ديگر است. پياده سازي کنترل هاي امنيتي در حالي که افراد توجه کافي يا دانش کافي درباره امنيت فناوري اطلاعات ندارند، دشوار خواهد بود. فقدان فرهنگ و آموزش، شناخت ريسک هايي که ذينفعان داخل سازمان با آن مواجه هستند، تحت تاثير قرار مي دهد. زماني که ديدگاه مشترک از ريسک ها ميان ذينفعان وجود نداشته باشد امنيت ارتباطات با مشکل روبرو خواهد شد.
مواردي که به ويژگي هاي سازمان ها مربوط مي شود، عبارتند از:
1-     برآورد ريسک 2- محيط هاي باز و آزاد دانشگاهي 3- فقدان بودجه 4- قرار دادن امنيت در اولويت دوم 5- زمانبندي فشرده 6- روابط تجاري با ديگر سازمان ها 7- توزيع مسئوليت هاي فناوري اطلاعات 8- کنترل دسترسي به داده هاي حساس
فاکتورهاي مبتني بر تکنولوژي که براي پياده سازي قوانين امنيتي مطرح مي شوند، عبارتند از:
1-     پيچيدگي سيستم ها 2- دسترسي هاي توزيع شده و سيار 3- آسيب در سيستم ها و برنامه ها
نتيجه گيري
تجزيه و تحليل ها نشان داد که ارتباطات موثر يک مشکل براي کارشناساني که ريسک ها و کنترل هاي امنيتي را با ديگر ذينفعان مطرح مي نمايند، مي باشد. براي پياده سازي فرآيندهاي امنيتي بايد فرهنگ سازماني و ديدگاه ذينفعان مختلف و نه فقط کاربران نهايي درباره ريسک هاي امنيتي در نظر گرفته شود. توزيع مديريت فناوري اطلاعات و عدم آموزش هاي امنيتي میکروتیک ذينفعان فاکتورهايي هستند که تاثير منفي بر روي کارآيي و اثربخشي ارتباطات ايجاد شده توسط کارشناسان امنيت دارند.زمانبندي فشرده براي تحويل سرويس هايي که شامل نيازمنديهاي امنيتي است، مشکل ديگري است. اين مشکل به کمبود زمان، منابع و ارتباطات متناقض بين مسئولان مربوط مي باشد. به اين ترتيب يک ارتباط مستقيم بين زمانبندي فشرده و سطح امنيت وجود دارد.
توزيع، در حوزه دسترسي کنترل شده به داده دو جنبه دارد: اول، کنترل کردن دسترسي کاربراني که پراکنده هستند و از تکنولوژي هاي دسترسي متفاوت استفاده مي کنند. دوم، کنترل دسترسي به داده هاي توزيع شده در کل سازمان که توسط ذينفعان مختلف مديريت مي شود. پيشنهاد مطرح شده اينست که، پروسه هاي امنيتي بايد با فرض محيط هاي توزيع شده توسعه يابند. اين سيستم‌ها بايد به منظور فراهم کردن دسترسي کنترل شده به داده هاي توزيع شده، به اندازه کافي انعطاف پذير باشند و کانال هاي ارتباطي بين ذينفعان مختلف که به آن داده ها دسترسي دارند، بهبود ببخشند.