نیازهای امنیتی بانکها در حالت کلی
امنیت اطلاعات
وقتی صحبت از امنیت اطلاعات می شود، انتظار داریم مثلث امنیت اطلاعات(محرمانگی،در دسترس پذیری و صحت و جامعیت) را پوشش بدهد. از منظر اجرا سه عامل اصلی در تمامی پروژههای IT درگیر هستند: نیروی انسانی، فرایندها و فناوری. توضیح مختصری در مورد این سه عامل و تاثیر آنها بر ISMS خواهیم داشت.
نیروی انسانی از یک طرف مهمترین و از طرف دیگر ضعیف ترین عامل است. به این دلیل مهمترین است که ایجاد کننده یا اجرا کننده دو عامل دیگر نیروی انسانی است ولی چندان به آن توجه نمیشود. این در حالی است که اگر اطلاعرسانی و آموزش کافی داشته باشد، جلو بسیاری از موارد گرفته می شود.
فرآیندها و خط مشیهای سازمان در واقع شالوده ساختمان امنیتی هستند. بنابراین اگر این شالوده به طور صحیح ایجاد نشود، نمیتوان انتظار دستاورد خاصی داشت. فناوری عامل دیگری است که معمولا خیلی بیشتر از دو عامل دیگر به آن توجه میشود. وقتی صحبت از ارتقای امنیت میشود معمولا اولین چیزی که مد نظر قرار میگیرد سخت افزارها یا نرمافزارهای امنیتی است، این در حالی است که تاثیر آن به مراتب از دو عامل دیگر کمتر است. اگر فرایندها درست تعریف شوند و نیروی انسانی آموزش مناسب ببینند به مراتب بازدهی امنیتی بیشتری حاصل خواهد شد.
معماری امنیت اطلاعات
در شکل زیر عناصر موثر در امنیت نشان داده شده است. عوامل، ویژگیها و اطلاعات به سه شکل وجود دارند، که عبارتند از: دادههای ذخیره شده، در حال پردازش یا در حال انتقال. مکعبهای کوچک یکی از این عوامل را نشان میدهد.
در واقع امنیت در همه لایه ها باید دیده شود و بحث End point security مطرح است. نمی توان گفت من وبسایت را امن طراحی می کنم ولی چون فیشینگ مربوط به کاربر است به من ربطی ندارد. در واقع اگر آگاهی در مشتری ایجاد نشود، قطعا عواقب آن تمام
شکل ۳- تهدیدات امنیتی مربوط به مدل سنتی اجرای نرمافزارها
شکل ۴- تهدیدات امنیتی در یک محیط ابری سازمانی
در هر مورد، اغلب تهدیدات امنیتی از جانب شبکه جهانی و ورود به زیرساخت سازمانی کلاینت ایجاد میشوند. در سیستم خانگی مشکل اصلی هنگام تعامل با پلتفرم بروز میکند، اما در محیط ابری نقاط انتهایی محافظت نشده دچار مشکلات امنیتی میشوند. چنانکه پیش از این گفتهشد، سطح امنیتی پلتفرمهایابریجهانی مانند گوگل و مایکروسافت به دلیل بهرهمندی از امکانات و قابلیتهای بسیار زیاد، متخصصان حرفهای و منابع نامحدود بسیار بالاتر از سطح امنیتی است که توسط سیستمهای مستقل سازمانی تأمین میشود. به همین دلیل، مهاجمان خارجی از بینتیجه ماندن حملههای خود نسبت به سرویسدهندگان حفاظت شده اطمینان دارند.
در نتیجه، مجرمان دنیای مجازی حملههای خود را متوجه تجهیزات جانبی دنیای ابری میکنند. مفهوم اصلی پردازش ابری که شامل دسترسی همیشگی و بدون محدودیت مکانی به یک پلتفرم است، احتمال وقوع چنین وقایعی را افزایش میدهد.
با بررسی تعداد حملهها به کامپیوترهایی که در نقاط انتهایی سیستم قرار دارند، سرویسهای امنیتی اطلاعات سازمانی باید به گونهای تغییر کنند که بتوانند از تجهیزات جانبی محیط ابری محافظت کنند. انجام این کار برای تأمین امنیت اطلاعات سازمانی حیاتی است.