امنیت اطلاعات، پیوستار توسعه فناوری اطلاعات

محمدحسین ضیغمی

مشاور مدیرعامل و مدیرکل دفتر حراست سازمان تامین‌اجتماعی

تامین۲۴/ ایجاد و توسعه اینترنت، که زمینه‌ساز ارائه سرویس‌های رایگان، متعدد و متنوع در این بستر شده، موید این موضوع است. سرویس‌هایی که به منظور افزایش کارایی در جمع‌آوری اطلاعات به صورت هوشمندانه روبه‌پیشرفت هستند، خلق مفاهیم «وب ۱» و «وب ۲» و گذر از آن به سوی «وب معنایی» و «وب هوشمند» ازجمله این موارد است. به‌راستی رسالت اصلی گوگل،‌ فیس‌بوک و بیش از ۲۰۰ شبکه اجتماعی دیگر در دنیا چیست؟ یا صرف هزینه‌های گزاف در ساخت مراکز داده و زیرساختی در دنیا چگونه جبران می‌شود؟ تعیین جایگاه جمهوری اسلامی ایران در این کارزار اطلاعاتی بسیار حائز اهمیت است و همواره مورد تاکید بوده است. تا جایی که مقام معظم رهبری می‌فرمایند: «اهمیت فضای مجازی به اندازه اهمیت انقلاب اسلامی است.» پس ضروری است تمامی نهادها و ارگان‌ها با تعیین نقش خود در این حوزه به خلق تصویری کلان از وضعیت اطلاعات در کشور کمک کنند. در خصوص سازمان تامین‌اجتماعی، اهمیت اطلاعات این سازمان بر کسی پوشیده نیست و از نظر افراد آگاه، جایگاه سازمان تامین‌اجتماعی در صدر سازمان‌های مهم از منظر اهمیت اطلاعاتی است و این اطلاعات در مرحله‌ای از حساسیت و اهمیت قرار دارند که حتی تشریح دلایل اهمیت آن در محافل عمومی نیز نیازمند دقت و توجه است.

حال باید دید مخاطرات پیش ‌روی سازمان تامین‌اجتماعی چیست و چه راهکارهایی برای امنیت اطلاعات در این سازمان پیشنهاد می‌شود. طبقه‌بندی کلی در خصوص چالش‌های امنیتی سازمان تامین‌اجتماعی شامل چند محور است: عدم ارائه سرویس به مشتریان، آسیب‌پذیری‌های فنی، حریم خصوصی و نقص قوانین و فرآیندها، که با عنایت به سه شاخص اصلی دسترسی، محرمانگی و جامعیت اطلاعات اولویت‌بندی می‌شوند. در بخش اول بدیهی است که عدم ارائه سرویس به مشتری یا حتی ارائه سرویس نامناسب، ناقض اصل دسترس‌پذیری اطلاعات است. این موضوع به صورت تخصصی در طبقه منع سرویس قرار گرفته و با توجه به سطح تنوع و تکثر خدمات سازمان حتی می‌تواند به معضلات امنیتی برای کشور منتج شود. در بخش دوم که بیشتر به جنبه‌های تخصصی امنیت می‌پردازد موضوع آسیب‌پذیرهای فنی سرویس‌های سازمان مورد نظر است. این آسیب‌پذیری‌ها به طور بالقوه عامل و منشأ تغییر، تخریب یا سرقت اطلاعات و درنهایت ناقض جامعیت و محرمانگی اطلاعات است.

بخش سوم نیز مربوط به اهمیت حفظ حریم خصوصی ذی‌نفعان است که هرگونه کوتاهی در آن سبب سلب اعتماد می‌شود. بخش چهارم نیز مربوط به نقص و خلل در فرآیندهای کاری سازمان است که امکان سوءاستفاده‌های غیرقانونی را میسر می‌کند و بیشتر جنبه کارکردی دارد که البته با مکانیزم‌های سیستمی ازجمله بی‌آی (Bi) کنترل‌شدنی است. دفتر مرکزی حراست سازمان تامین‌اجتماعی نیز حسب وظایف ذاتی و ابلاغی، خود را موظف به پاسخگویی در حوزه امنیت اطلاعات دانسته و نسبت به حضور در کمیته راهبردی امنیت اطلاعات، پیگیری اجرای سیستم مدیریت امنیت اطلاعات، تعریف و تبیین جایگاه تشکیلاتی کارشناسان امنیت اطلاعات در ذیل تشکیلات حراست، برگزاری دوره‌های تخصصی امنیت و... اقدام کرده و همواره از حمایت‌های مدیرعامل سازمان برخوردار بوده و از همکاری دفتر راهبری سیستم‌ها، شرکت خدمات ماشینی تامین و سایر حوزه‌های ذی‌مدخل بهره‌مند شده است. با توجه به تمامی اقدامات صورت‌گرفته در دوره اخیر مدیریتی سازمان، اقدام و حرکت به سوی ایجاد و تقویت زبان و نگرش مشترک در تعریف و تبیین امنیت اطلاعات ضروری است و نیازمند فرهنگ‌سازی در بخش‌های مدیریتی و کارشناسی سازمان است. این موضوع از آن جهت مهم است که بدانیم تعریف و تقلیل امنیت به موضوعی صرفا فنی، خطایی استراتژیک و آشکار تلقی می‌شود. به عبارت دیگر نقش و اهمیت امنیت به‌منزله یک پیوست در کنار اقدامات نرم‌افزاری و سخت‌افزاری قرار می‌گیرد. درواقع هرگاه امنیت اطلاعات به‌مثابه دغدغه کسب‌وکار انگاشته شود، یک‌قدم به تحقق امنیت نزدیک شده‌ایم.

منبع : هفته نامه آتیه نو