با ارائه اولین استاندارد مدیریت امنیت اطلاعات، نگرش سیستماتیک به مقوله ایمنسازی فضای تبادل اطلاعات شکل گرفت. بر اساس این نگرش، تامین امنیت فضای تبادل اطلاعات سازمان ها، دفعتا مقدور نمیباشد و لازم است این امر بصورت مداوم در یک چرخه ایمنسازی شامل مراحل طراحی، پیادهسازی، ارزیابی و اصلاح، انجام گیرد. برای این منظور لازم است هر سازمان خدمات شبکه بر اساس یک متدولوژی مشخص، اقدامات زیر را انجام دهد:
1- تهیه طرحها و برنامههای امنیتی موردنیاز سازمان
2- ایجاد تشکیلات موردنیاز جهت ایجاد و تداوم امنیت فضای تبادل اطلاعات سازمان
3- اجرای طرحها و برنامههای امنیتی سازمان
و در نهایت اقدام به پیاده سازی سیستم مدیریت امنیت اطلاعات نماید .
1 چالش های منجر به شکست پروژه ISMS
پیاده سازی هر سیستم مدیریتی در یک سازمان با موانعی روبروست. گاه این موانع آن چنان جدی است که عملا پیاده سازی سیستم را غیر ممکن می سازد. به هر حال باید در نظر داشت که می توان با شناخت چالش ها و اقدام در جهت بر طرف سازی آنها مسیر را در حرکت به سمت آن هموار کرد.
مهمترین موانع پیش رو در پیاده سازی ISMS عبارتند از :
1-1 مشکلات مدیریتی
• عدم ثبات مدیران در سازمان ها همیشه از مشکلات اساسی در پروژه ها می باشد .این تغییرات از لایه مدیران میانی تا لایه مدیریت کلان سازمان، می تواند صورت گیرد.
• عدم تعهد مدیریت - تعهد مدیریت اصلی ترین بحث در شکل گیری ISMS می باشد. هدف ISMS ایجاد یک سیستم مدیریتی پشتیبانی شبکه است حال اگر مدیریت تعهدی نسبت به اجرایی شدن ISMS نداشته باشد پیاده سازی آن نه تنها به بهبود امنیت در سازمان کمک نمی کند بلکه سازمان را مختل نیز خواهد کرد.
1-2 مشکلات کارکنان
• عدم آگاهی مناسب منابع انسانی- پیش از پروژه ISMS آگاهی لازم به کارمندان داده نمی شود.
• کمبود منابع انسانی متخصص – عدم حضور نیروی متخصص در حوزه فناوری اطلاعات در سازمان، مشکلات بسیاری را از ابتدا تا انتهای پروژه به همراه خواهد داشت .
• مقاومت کاربران در برابر تغییر
• عدم برقراری ارتباط موثر -مدیران امنیت اطلاعات می بایست قادر به ارتباط موثر با کاربران نهایی و از طرف دیگر مدیران ارشد و هیئت مدیره باشند.
1-3 مشکلات سازمانی
• عدم بلوغ سازمانی - عدم بلوغ سازمانی در بکار گیری سیستم مدیریتی از مهمترین موانع در ایجاد ISMS در هر سازمان محسوب می شود.
• تغییر ساختار سازمانی – تغییر محدوده و ادارات انتخاب شده در پروژه و گاهی تلفیق و جدا سازی ادارات از دیگر مشکلات پیاده سازی است
• عدم استفاده از مشاور مناسب - انتخاب مناسب پیمانکاری که تخصص لازم را داشته باشد و متدولوژی مناسبی در پیاده سازی ارایه دهد
• نداشتن متولی ISMS در سازمان- به دلیل ماهیت پروژه که موضوع امنیت است معمولاً در سازمان ها اداره حراست مسئولیت پروژه را بر عهده می گیرد در صورتیکه سهم بیشتر این پروژه مربوط به IT است .
• عدم تخصیص بودجه مناسب- بسیاری از مدیران از انتخاب معیار مناسب جهت تعیین رقم بودجه غافل می شوند و با صرف هزینه کمتر و عدم تخصیص بودجه مناسب برای پروژه شرایط نامناسبی را فراهم می کنند.
1-4 مشکلات فنی :
• وجود نرم افزار های قدیمی و سیستم عامل های غیر اورجینال - از نقطه نظر فنی وجود نرم افزار های قدیمی و سیستم عامل پسیو شبکه های غیر اورجینال یکی از جدی ترین چالشهای امنیتی به شمار می رود. • عدم وجود الگوی مناسب توسعه با دیدگاه فناوری اطلاعات ، این مساله باعث عدم مکانیزه شدن بسیاری از فرایند های سازمان و در نتیجه عدم امکان پیاده سازی مناسب سیستم امنیت اطلاعات خواهد شد.
1-5 مشکلات مناقصه
در پروژه های سیستم مدیریت امنیت اطلاعات، محصول نهایی در انتهای پروژه تحویل کارفرما نمی شود و ماهیت پروژه ایجاد سیستم و جاری ساختن این سیستم در سازمان است. کارفرما با بیان نیازمندی های خود و شرکت کنندگان در مناقصه با توصیف روشی جهت پوشش دهی آنها در مناقصات شرکت می کنند . ار آنجائیکه برداشت متفاوتی از این نیازها و الزامات می شود، شرکت کنندگان پروپزالهای متفاوتی ارائه می دهند و در نتیجه قیمت های پیشنهادی متفاوتی ارائه می شود که این مسئله باعث می شود، قیمت کمتر در مناقصه برنده شود و انتخاب درستی برای پیمانکار صورت نگیرد .
2 نتیجه گیری:
مشکلات مدیران امنیت اطلاعات این است که بسیاری از مواقع مجبور می شوند نقش یک متخصص فنی با دیدگاه مدیریتی فرمان دهنده را بپذیرند.
آن ها معمولا تصمیمات مربوط به امنیت اطلاعات را بدون درگیر کردن یا مذاکره با کارکنان می گیرند.، مدیریت خوب فناوری اطلاعات به طور فزاینده بستگی به انسان ها و همچنین فرآیندها و ملاحظات فنی دارد.
مدیران امنیت فناوری اطلاعات به طور فزاینده برای جایگزینی رویکرد کنترلی با یک سبکی که بیشتر دانشگاهی باشد، فعالیت دارند. این شامل کمک میکروتیک به کاربر نهایی و بحث و مذاکره و تصمیم گیری در مورد مسائل امنیت اطلاعات است. متاسفانه تحقیقات نشان داده است که این دو نقش گاهی اشتباه گرفته می شود و این می تواند به تناقضاتی در پیام هایی که به کاربران نهایی فرستاده می شود بیانجامد. مدیران امنیت اطلاعات از برخی از مشکلات ذاتی در سازمان، آگاه هستند. از طرفی اگر آن ها یک دستور را بگیرند و وضعیت را کنترل کنند پس از آن موقعیت آنها به گونه ای می شود که بیشتر توجهشان معطوف به کاربر نهایی شده و کمتر می توانند به خود توجه داشته باشند.
از سوی دیگر اگر مدیر امنیت اطلاعات یک رویکرد بیشتر دانشگاهی و مبنی بر اختیار کاربر نهایی برای تصمیم گیری بیشتر با توجه به امنیت اطلاعات داشته باشد، پس از آن احتمال رخ دادن حوادث (حداقل در کوتاه مدت) بیشتر خواهد شد و اشتباهات بیشتری به وجود می آید.
این حالت نیاز به پذیرش و شاید سرمایه گذاری بیشتر برای بهبود آن را دارد. مصاحبه با مدیران امنیت اطلاعات نصب شبکه اشکار کرد که آن ها برروی صحبت، ارائه و تقویت ایده ها تمرکز دارند ولی توجهی به گوش دادن به کاربر نهایی ندارند. در نهایت پیاده سازی سیستم مدیریت امنیت اطلاعات به صورت یک پروژه نیست، که روزی شروع و روزی پایان داشته باشد . ISMS یک سیستم است که باید از همان ابتدا در لایه های داخل سازمان نفوذ کند و امنیت ایجاد شده در سالهای متوالی توسط کمیته های راهبردی و استراتژیک سازمان بهبود یابد