چالش های استقرار سیستم مدیریت امنیت اطلاعات در اپراتورهای تلفن همراه

در جهان امروز اتکای هر سازمانی، چه دولتی و چه خصوصی، بر مبنای تکنولوژی اطلاعات است که به طور فزاینده ای در حال افزایش می­باشد. در طول دو دهه­ی گذشته، ماهیت سیستم ­های اطلاعاتی به طور عمده­ای تغییر یافته و تبدیل به بخش بزرگی از فرآیند های کسب و کار شده است. اطلاعات، به یک دارایی استراتژیکی توسعه یافته و سیستم های اطلاعاتی به یک ابزار استراتژیکی برای سازمان ها و دولت ها تبدیل شده است. در شرایط کنونی، امنیت اطلاعات ماهیتی مدیریتی پیدا کرده و نیازمند آموزش و توجه مدیران سازمان ها می باشد. سیستم مدیریت امنیت اطلاعات ISMS، حفاظت از اطلاعات در سه مفهوم خاص محرمانه بودن، صحت و در دسترس بودن اطلاعات تعریف می­شود. بسیاری از شکست های پیاده سازی ISMSریشه در مسائل سازمانی و بی توجهی به وضعیت آمادگی سازمان قبل از پیاده سازی دارد.(برای کسب اطلاعات بیشتر در مورد استانداردهای سیستم مدیریت امنیت اطلاعات در خانواده 27000 به این مقاله رجوع شود.) این مقاله به بررسی چالش های پیاده سازی سیستم مدیریت امنیت اطلاعات ISMS در اپراتورها می­پردازد. نتایج این بررسی­ نشان می دهد امنیت یک فرآیند تکاملی و تدریجی است و سازمان باید تصمیم بگیرد که امنیت داشته باشد و این نیاز حتما باید توسط مدیریت ارشد سازمان مورد تائید و حمایت قرار گیرد. در واقع حتی اگر موفق شویم در یک اپراتور با استفاده از رویکردهای استراژیک مختلف استقرار ISMS، سیستم مدیریت امنیت اطلاعات را پیاده سازی نماییم، عدم تداوم آن هیچ آورده ای را از نظر امنیتی برای آن اپراتور نخواهد داشت. بنابراین، مهم ترین نکته، باور و اعتقاد مدیریت عالی سازمان و همچنین حمایت و آموزش های لازم برای ایجاد فرهنگ امنیت در سازمان برای پیاده­سازی موفق سیستم مدیریت امنیت اطلاعات می باشد.

مهمترین چالش های پیاده سازی سیستم مدیریت امنیت اطلاعات در اپراتورها به شرح زیر می­باشد:

• عدم وجود الزام برای اجرای کامل سیستم مدیریت امنیت اطلاعات

برخی از اپراتورها بازه زمانی بسیار زیادی صرف شناسایی دارایی ها و نامگذاری آنها می نمایند و در بحث ارزشگذاری و ارزیابی دارایی ها بدون مصاحبه با مالک دارایی برای ارزیابی مخاطرات آنها اقدام می نمایند ولی در صورتی­که می بایست این دومرحله یعنی ارزشگذاری و ارزیابی دارایی ها با نظارت و مشورت مالک دارایی و به صورت کاملا دقیق انجام شود زیرا فاز طراحی و تدوین مقابله با مخاطرات را تحت تاثیر قرار می دهد، به همین دلیل است که نتایجی که بدست می آید نامطلوب است و برخی از افراد در اپراتورها با استناد به همین نتایج این مرحله را پایان کار دانسته و هیچ الزامی در خود برای اجرای طرح نمی بینند.

• گسترده بودن محدوده پیاده سازی سیستم مدیریت امنیت اطلاعات

با توجه به این نکته که تعیین محدوده در پیاده سازی امری ضروری می باشد تصمیم گیری و انتخاب نامناسب محدوده منجر به شکست پروژه می شود. در صورتیکه دامنه بزرگتر از توانایی سازمان در اجرا تعریف شود، قطعا کار با چالش مواجه خواهد شد. پیشنهاد می شود در ابتدا محدوده سیستم مدیریت امنیت اطلاعات در دامنه کوچکتری پیاده سازی شود تا فرهنگ سیستم مدیریت امنیت اطلاعات در سازمان نهادینه گردد. و سپس با توجه به نتایج و تجربه های بدست آمده برای واحدهای درگیر دیگر پیاده سازی شود.

• عدم ارائه آموزش­های لازم به پرسنل

مبحث سیستم مدیریت امنیت اطلاعات در اکثر اپراتورها بدلیل ناملموس بودن آن جای چالش زیادی بین کارفرما و پیمانکاران ایجاد نموده است. برای انجام بهتر امور و همکاری بیشتر بین طرفین و ایجاد همزبانی لازم، ارائه برخی دوره­های آموزشی در سطوح مختلف از مدیریت تا کارشناسی الزامی است که این دوره ها می تواند به تسریع در انجام امور و همکاری بیشتر بین واحدهای مختلف و استفاده از الفاظ یکسان برای سیستم مدیریت امنیت اطلاعات بین پرسنل کمک نماید.

• عدم تعیین متولی استقرار در اپراتورها

عدم تعیین متولی استقرار سیستم مدیریت امنیت اطلاعات در برخی اپراتورها در تعامل با پیمانکاران، آنها را دچار چالش های متعددی نموده است. اختلاف سلیقه و ارائه درخواست های متفاوت از سوی واحدهای مختلف سازمان باعث سردرگمی پرسنل و پیمانکاران برای انجام امور در اپراتورها خواهد شد. در صورتیکه در اپراتورها متولی استقرار سیستم مدیریت امنیت اطلاعات مشخص نباشد و همچنین فرد مشخصی جهت برعهده گرفتن فعالیت ها و هدایت پروژه وجود نداشته باشد این روند از مسیر اصلی خود خارج شده و در نهایت منجر به شکست پروژه در حال اجرا می شود.

• عدم تفکیک مسئولیت ها و وظایف پرسنل در اپراتورها

با توجه به اینکه تمامی مسئولیت ­های امنیت اطلاعات جهت کاهش سوء استفاده از دارایی ­های اپراتورها باید تعریف و اختصاص داده شوند، پس تفکیک مسئولیت­ ها و وظایف بسیار حائز اهمیت است. پس می بایست این مسئولیت ها و وظایف به صورت شفاف و دقیق تعریف شود و به افراد مسئول ابلاغ شود.

• عدم برگزاری جلسات در زمان تدوین و پیاده ­سازی

عدم برگزاری جلسات استقرار و پیاده­سازی سیستم مدیریت امنیت اطلاعات در اپراتورها موجب کند شدن پیشرفت و فعالیت های مربوطه خواهد شد به همین دلیل پیشنهاد می شود، به برگزاری این جلسات توجه زیادی شود زیرا تاثیر به سزایی در پیشرفت و اجرای پروژه سیستم مدیریت امنیت اطلاعات در اپراتورها دارد.

• عدم تمایل به اجرای ممیزی

بسیاری از سازما­ن­ها پس از پایان پیاده­سازی سیستم مدیریت امنیت اطلاعات، تمایلی برای انجام ممیزی ندارند. در صورت عدم وجود الزام برای ممیزی، نه کارفرماها و نه پیمانکاران در اپراتورها آن طور که باید به انجام وظایف خود اهتمام نمی­ورزند در صورتیکه می بایست با توجه به بند 9 متن استاندارد ISO27001:2013 اپراتورها در بازه های زمانی برنامه ریزی شده ممیزی ها را انجام دهند و این ممیزی را به طور موثر پیاده سازی و نگهداری نمایند.

• عدم وجود سوابق مکتوب در زمینه پیاده­ سازی سیستم مدیریت امنیت اطلاعات

با توجه به متن استاندارد ISO27001:2013 کلیه پیگیری ها در جهت پیاده سازی در اپراتورها می بایست به صورت مکتوب باشد تا در زمان ممیزی به راحتی قابل استناد باشند. بنابراین پیگیری از طریق تلفن در اپراتور باعث ایجاد مشکلاتی در زمان ممیزی می شود.

• عدم وجود برنامه­ای منظم و متوالی جهت برگزاری جلسات کارگروه اجرایی

جهت پیگیری کلیه امور مربوط به تدوین و پیاده سازی سیستم مدیریت امنیت اطلاعات در اپراتورها، می بایست جلسات کارگروه اجرایی به صورت منظم برگزار شود و عدم برگزاری این جلسات و یا عدم صورت جلسه نمودن جلسات کارگروهای اجرایی در اپراتورها باعث بروز مشکل در زمان پیگیری تصمیمات می شود.

• عدم همکاری و هماهنگی واحدهای درگیر پروژه در اپراتورها

ارائه یک راهکار مطلوب امنیتی نیازمند همکاری همه جانبه واحدهای سازمانی در ارائه اطلاعات دقیق و سریع به مشاور بوده و تامین امنیت مطلوب نیازمند اجرای طرح امنیتی ارائه شده توسط پیمانکار در اپراتورها می باشد. بدین ترتیب همکاری و هماهنگی واحدهای مختلف در اپراتورها یک اصل انکارناپذیر در موفقیت پیاده سازی سیستم مدیریت امنیت اطلاعات می باشد.