برنامه جامع امنیت تجارت الکترونیک(۲)
طرح مستمر :
گام بعد اجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامه های محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است.بسیاری از شرکت ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیواره های آتش ، برای حفاظت از سیستم هایشان کافی است.داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند : 1)آتش سوزی و انفجار ، 2)خرابکاری عمدی در سخت افزار ، نرم افزار و یا داده ها و اطلاعات ، 3)دزدیده شدن نرم افزار و سخت افزار ، 4) فقدان پرسنل کلیدی امنیت تجارت الکترونیک ، 5)فقدان برنامه های کاربردی ، 6)فقدان فناوری ، 7)فقدان ارتباطات و 8)فقدان فروشندگان.تهدید ها در هر یک از این حوزه ها باید به دقت ارزیابی و طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند.
فناوری های تجارت الکترونیک:
سپس ، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را ، ارزیابی کند.درک اینکه فناوری های مورد ایتفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.
حوزه های بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت داده ها و اطلاعات در دسترس ، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیتی SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction) شامل لایه های مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت ، یکپارچگی ، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکت ها ، در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری تخصص دارند ، استفاده می کنند.
افراد :
مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت می کنند.نقائص امنیتی بیش از آنگه ناشی از سیستم باشند ، به وسیله ی افرادی که مدیریت سیستم را برعهده دارند و کاربران سیستم رخ می دهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار می گیرند ، اطلاع دارند.شرکت ، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال می تواند تا حد زیادی مانع آنها گردد.
راهبرد :
ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک ، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد می تواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه بایدشامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی ، ساختارهای مدیریتی و تصمیم سازان(Decision-Makers) اجرای برنامه های امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد.
مدیریت :
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامه ای است.پشتیبانی مدیریت ، از مدیران رده بالا شروع و در تمام سطوح ادامه می یابد.چنین برنامه ای در شرکت های بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه ، اجرای برنامه های آن و ارزیابی مجدد برنامه های موجود است.بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که می تواند آنرا با مطالعه مقالات ، کتب و مطالعات موردی منتشر شده بدست آورد.
منبع:www.ec.informationalsociety.com
