نوع مقاله : مقاله پژوهشی
نویسنده
کارشنا س مسئول اماروتبادل اطلاعت الکترونی
چکیده
پژوهش حاضر با هدف شناسایی و اولویتبندی مخاطرات مؤثر بر سامانههای مدیریت امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان (بندر امام خمینی) انجام شد. روش پژوهش از لحاظ هدف، کاربردی است و از لحاظ رویکرد، پیمایشی و از نظر نوع مطالعه، اکتشافی است. جامعة آماری این پژوهش، 20 نفر از مدیران ارشد، مدیران میانی و کارشناسان ارشد فناوری اطلاعات و ارتباطات در ادارة کل بنادر و دریانوردی استان خوزستان بودند، که به حوزة امنیت سامانههای اطلاعاتی این سازمان اشراف کامل داشتند. این گروه خبره هم در مرحلة شناسایی، و هم در مرحلة اولویتبندی مخاطرهها مورد پرسش قرار گرفتند. برای انتخاب این افراد از روش سرشماری استفاده شد. ابزار اصلی برای جمعآوری دادهها در این پژوهش، سه پرسشنامه بود که بنا به اهداف مختلف طراحی شدند و پس از اخذ تأییدیه از استاد راهنما، در میان جامعة آماری موردنظر توزیع شدند. پرسشنامة اول با هدف شناسایی مخاطرهها بهصورت نیمهساختاریافته طراحی شد. پرسشنامة دوم با هدف غربالگری مخاطرات شناساییشده بهصورت بسته، و براساس طیف پنجگزینهای لیکرت تنظیم شد. پرسشنامة سوم با هدف تعیین اوزان مخاطرات اصلی (مقایسات زوجی) و همچنین تعیین اولویت مخاطرات فرعی (طیف پنجگزینهای) طراحی گردید. تجزیهوتحلیلهای دادهها با استفاده از نرمافزارهای SPSS، Expert Choice و Excel، آزمون T، آزمون کولموگراف ـ اسمیرنوف، فرایند تحلیل سلسلهمراتبی، و TOPSIS انجام شد. نتایج پژوهش منجر به شناسایی 27 مخاطره برای مدیریت امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان در قالب چهار دستة کلی شد. پس از تلخیص دادههای حاصل از پرسشنامة سوم، و انجام تجزیهوتحلیل تاپسیس و فرایند تحلیل سلسلهمراتبی بر روی دادهها، رتبة مخاطرات اصلی و فرعی بهدست آمد که در جدول (6) نشان داده شده است.
کلیدواژهها
1- مقدمه
1-1- بیان مسئله
فناوری اطلاعات و سامانههای اطلاعاتی در همة بخشهای زندگی بشر ریشه دوانیدهاند و گرچه به تسهیل زندگی و ارتباطات بشر کمک میکنند، اما مانند هر فناوری نوظهور دیگر، با خود خطراتی را نیز به همراه میآورند. بهعنوان مثال، سازمانی که برای افزایش اثربخشی و کارایی خود در زمینة ارتباطات، از شبکههای مخابراتی و اینترنتی کمک میگیرد، باید مخاطرات ناشی از دسترسی افراد غیرمجاز یا رقبا به اطلاعات سازمان را بپذیرد یا آنها را مدیریت کند. ازاینرو، در تصمیمگیری برای پیادهسازی سامانههای اطلاعاتی و بهرهگیری از مزایای فناوری اطلاعات، مانند هر نوع تصمیم دیگر، باید به بررسی خطرات احتمالی آن پرداخت و با مدیریت مخاطرههای موجود، اثربخشی سامانه را ارتقا بخشید.
مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است، که وظیفة تعیین اهداف امنیتی، و بررسی موانع موجود در رسیدن به این اهداف و ارائة راهکارهای لازم را بر عهده دارد. همچنین، مدیریت امنیت وظیفة پیادهسازی و کنترل عملکرد سامانة امنیت سازمان را نیز بر عهده دارد و باید تلاش کند، تا سامانه را همیشه روزآمد نگه دارد. هدف از مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایههای سازمان (نرمافزاری، سختافزاری، اطلاعاتی و ارتباطی و نیروی انسانی) در برابر هر گونه تهدید (اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سامانه و خطرات ایجادشده از سوی کاربران) است (دشتی، ۱۳۸۴). برای رسیدن به این هدف، به یک برنامة منسجم نیاز است. سامانة امنیت اطلاعات راهکاری برای رسیدن به این هدف است. یکی از وظایف مدیریت امنیت، بررسی و ایجاد یک سامانة امنیت اطلاعات است، که با اهداف سازمان متناسب باشد. برای طراحی این سامانه، باید عوامل مختلفی را در نظر گرفت. محاسبة ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبة خسارتهای احتمالی و تخمین هزینه- سودمندی استفاده از سامانة امنیت اطلاعات، بررسی تهدیدهای احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سامانههای امنیت اطلاعات ضروری به نظر میرسند (پیپکین، 2000).
ادارة کل بنادر و دریانوردی استان خوزستان (بندر امام خمینی (ره)) نیز از این قاعده مستثنی نیست و با توجه به نقش راهبردی آن در اقتصاد منطقه و کشور، توجه به امنیت سامانههای اطلاعاتی مستقر در آن بسیار حائز اهمیت است. مصاحبههای اولیه با مدیران فناوری اطلاعات در این سازمان، گویای این بود که نبود فعالیتهای پژوهشی دقیق در حوزة شناسایی و ارزیابی مخاطرات این حوزه، از نگرانیهای آنها است. بنابراین، انجام چنین پژوهشهایی میتواند آنها را در زمینة پیشبینی و کنترل مخاطرات احتمالی کمک کند. ازاینرو، پژوهش پیش رو قصد دارد، که با انجام یک مطالعة نظاممند و علمی، به پرسش زیر پاسخ دهد: "در ادارة کل بنادر و دریانوردی استان خوزستان، مخاطرات سامانة مدیریت امنیت اطلاعات کدامند؟ اولویتبندی آنها چگونه است؟"
1-2- مرور پیشینة پژوهش
یعقوبی و همکاران (1394)، پژوهشی را با عنوان "شناسایی و رتبهبندی عوامل ریسک رایانش ابری در سازمانهای دولتی" به انجام رساندند. در این پژوهش، درابتدا، با مرور مقالههای مهم، فهرست جامعی از مخاطرات استخراج شد و در دو دستة محسوس و غیرمحسوس طبقهبندی شدند. سپس، دربارة این مخاطرات و تقسیمبندی آنها با شش نفر از خبرگان مصاحبه شد و درنتیجه، 10 مخاطره شناسایی شد. پس از آن، این مخاطرات با نظرسنجی از 52 خبره و با کمک فرایندتحلیل سلسلهمراتبی فازی رتبهبندی شدند. نتایج این پژوهش نشان دادند، که خبرگان، مخاطرههای نامحسوس را مهمترین مخاطرات در بهکارگیری رایانش ابری[1] در سازمانهای دولتی میدانند. در این میان، مخاطرة محرمانگی داده رتبة نخست را به دست آورد.
گودرزی و هاشمی (1391)، پژوهشی را با عنوان "شناخت و رتبهبندی عوامل ریسک خرید خارجی براساس روش AHP" در شرکت طراحی مهندسی و تأمین قطعات ایران خودرو (ساپکو) انجام دادند. هدف این پژوهش، بررسی فرایند خرید خارجی در صنعت خودروی ایران، بهمنظور شناخت و رتبهبندی مخاطرات خرید خارجی براساس روشهای تصمیمگیری چندمعیاره بود. در همین راستا، پس از شناسایی این مخاطرات از طریق بررسی پیشینه، با استفاده از فرایند تحلیل سلسلهمراتبی اولویتبندی شدند.
صیادی و همکاران (1390)، پژوهشی را با عنوان "ارزیابی و رتبهبندی ریسک در پروژههای تونلسازی با استفاده از روش تخصیص خطی" به انجام رساندند. در این پژوهش، نخست ساختار جامعی از مخاطرات اصلی پروژههای تونلسازی، در قالب 17 دستة اصلی و 196 زیرسطح تهیه شده و سپس، این مخاطرات در عملیات تونلسازی سد سیمره، در جنوب غرب ایران، رتبهبندی شدهاند. بدینمنظور، بهمنظور جمعآوری و تجمیع نظر خبرگان، از روش تصمیمگیری گروهی و میانگین وزین و بهمنظور تعیین رتبة مخاطرات، از روش تخصیص خطی بهعنوان یکی از روشهای تصمیمگیری چندمعیاره استفاده شده است. شاخصهای رتبهبندی به دو دستة اولیه و ثانویه تقسیم شدهاند. شاخص اولیه بر مبنای احتمال و میزان اثرگذاری مخاطرات بر اهداف اصلی پروژه (زمان، هزینه، کیفیت و عملکرد) با وزنهای متفاوت تعیین شده است. دستة دوم شاخصها شامل اثرات اجتماعی- اقتصادی، اثرات زیستمحیطی، نزدیکی زمان وقوع مخاطره، میزان مواجهه با مخاطره، عدم اطمینان تخمین و میزان مدیریتپذیری مخاطره است. با کمک روش تخصیص خطی، مخاطرات با توجه به شاخصهای گوناگون بهتر ارزیابی میگردند و درنتیجه، واقعبینانهتر رتبهدهی میشوند. براساس نتایج بهدستآمده، عوامل اقتصادی و شرایط حقوقی بهترتیب بیشترین و کمترین رتبة مخاطرات را به خود اختصاص میدهند.
جعفرنژاد و یوسفی زنوز (1387)، پژوهشی را با عنوان "ارائة مدل فازی رتبهبندی ریسک در پروژههای حفاری شرکت پتروپارس" انجام دادهاند. در این پژوهش، ابتدا مخاطرات ممکن در یک پروژة حفاری چاه نفت از طریق پرسشنامههای باز و گروه خبرگان شناسایی شدهاند. سپس، با رویکرد فازی به سنجش و رتبهبندی مخاطرات پرداخته شده است.
جبلعاملی و همکاران (1386)، پژوهشی را با عنوان "رتبهبندی ریسک پروژه با استفاده از فرایند تصمیمگیری چندمعیاره" به انجام رساندند. در این پژوهش، بهمنظور امکان استفاده از روشهای مختلف تصمیمگیری چندمعیاره در رتبهبندی مخاطرات پروژه، این روشها، بهعنوان رویکردی کمّی، مورد بررسی قرار گرفتهاند. در هنگام انتخاب روشهای تصمیمگیری چندمعیاره، توجه به ویژگیهای روش و شرایط مسئله دارای اهمیت بسیار بود. چراکه در صورت توجه نکردن به این ویژگیها و شرایط، حصول نتایج اشتباه دور از انتظار نبود. در پایان، روشهای مناسب تصمیمگیری چندمعیاره برای حل مسئلة رتبهبندی مخاطرات پروژه معرفی شده و کاربرد این رویکرد در رتبهبندی مخاطرات یک پروژة واقعی صنعت انرژی در کشور با استفاده از روش تاپسیس[2]، بهعنوان نمونه معرفی شده است.
جیکیانگ و همکاران (2014)، پژوهشی را با عنوان "یک روش جدید آنالیز ریسک امنیت اطلاعات بر مبنای درجة عضویت" به انجام رساندند. روش ارائهشده در این پژوهش، حالت عمومیشدة روش میانگین موزون بود. در این روش، تحلیل مقایسهای به روشی انجام میشود، که دقت طبقهبندی را ارتقا میبخشد.
ریس و همکاران (2010)، پژوهشی را با عنوان "ریسک های برونسپاری سیستمهای اطلاعاتی" به انجام رساندند. آنها در این پژوهش سعی کردند، که با ارائة شواهد و قرائن واقعی و همچنین، با تکیه بر مبانی نظری، مخاطرههایی را که ممکن است برای امنیت اطلاعات سازمان، در برونسپاری سامانههای اطلاعاتی به وجود آیند، بهصورت کلی معرفی کنند و نسبت به آنها حساسیت ایجاد کنند.
2- روش پژوهش
این پژوهش، از لحاظ هدف، کاربردی، از لحاظ رویکرد، پیمایشی و از نظر نوع مطالعات، اکتشافی است. در این پژوهش، بهمنظور دستیابی به اهداف و پاسخگویی به پرسشهای پژوهش، پژوهشی میدانی در دو مرحلة کلی زیر انجام شده است: (1) شناسایی و غربالگری مخاطرات امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان و (2) وزندهی و اولویتبندی مخاطرات شناساییشده، براساس روشهای فرایند تحلیل سلسلهمراتبی و تاپسیس.
جامعة آماری این پژوهش، 20 نفر از مدیران ارشد، مدیران میانی و کارشناسان ارشد فناوری اطلاعات و ارتباطات در ادارة کل بنادر و دریانوردی استان خوزستان بودند، که به حوزة امنیت سامانههای اطلاعاتی این سازمان اشراف کامل داشتند. این گروه خبره، هم در مرحلة شناسایی و هم در مرحلة اولویتبندی مخاطرات مورد پرسش قرار گرفتند. برای انتخاب این افراد، سعی شد از روش "سرشماری" استفاده شود، و همة افراد مطلع و خبرة ادارة کل بنادر و دریانوردی استان خوزستان در حوزة موضوع پژوهش، در فرایند پژوهش مشارکت داده شوند.
بهطور کلی روش گردآوری دادهها در این پژوهش به دو دستة کلی قابلتقسیم است: (1) روش کتابخانهای و اینترنتی بهمنظور آشنایی با ادبیات و پیشینة پژوهش و (2) استفاده از سه پرسشنامة پژوهشگرساخته برای جمعآوری دادهها مراحل 1 و 2. پرسشنامة اول بهصورت نیمهباز طراحی شد و هدف از آن، شناسایی مخاطرات امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان بود؛ پرسشنامة دوم بهصورت بسته و براساس مخاطرات شناساییشده در مرحلة قبل طراحی شد، و هدف از آن، غربالگری و دستیابی به اجماع بر روی موارد شناساییشده در مرحلة قبل بود و پرسشنامة سوم براساس عوامل نهاییشده در مرحلة دوم و روشهای فرایند تحلیل سلسلهمراتبی و تاپسیس طراحی شد، و هدف از آن، اولویتبندی مخاطرات شناساییشدة امنیت اطلاعات بود.
علاوهبراین، در این پژوهش، در مرحلة شناسایی و غربالگری مخاطرات، از روشهای تجزیهوتحلیل آماری (توصیفی و استنباطی) استفاده شد. گفتنی است، که برای انجام تجزیهوتحلیلها در این فاز، از آزمونهای کولموگروف ـ اسمیرنوف و آزمون T و همچنین، نرمافزارهای Excel و SPSS استفاده شد. در مرحلة تعیین وزن و رتبة مخاطرات امنیت اطلاعات نیز، از روشهای فرایند تحلیل سلسلهمراتبی و تاپسیس استفاده شد، و برای انجام محاسبات این مرحله نیز، از نرمافزارهای Expert Choice و Excel استفاده شد.
3- تجزیهوتحلیل دادهها
3-1- شناسایی مخاطرات
در این پژوهش، از طریق بررسی پیشینه، مخاطرات اصلی حوزة امنیت سامانههای اطلاعاتی مشخص شدند. سپس، براساس نظر خبرگان و از طریق پرسشنامة باز، سعی شد تا مخاطرات مربوط به هر بخش شناسایی شوند. پس از جمعآوری پرسشنامة اول و حذف موارد تکراری، درنهایت، 31 مخاطره استخراج شدند. سلسهمراتب این مخاطرات در جدول (1) بیان شده است:
جدول (1): سلسله مراتب ریسکهای شناساییشده در مرحله اول
ریسکهای اصلی |
ریسکهای فرعی |
کد |
ریسکهای برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) |
نبود تعهد و حمایت برخی از مدیران ارشد نسبت به امنیت اطلاعات |
R1 |
عدم تخصیص بودجههای مناسب به طرحهای مربوط به امنیت اطلاعات |
R2 |
|
عدم توجه به زمانبندی پیادهسازی و اجرایینمودن طرحهای حوزة امنیت اطلاعات |
R3 |
|
عدم بهرهگیری از مشاورین برجسته در زمینه امنیت اطلاعات |
R4 |
|
عدم ثبات مدیران در حوزة امنیت اطلاعات |
R5 |
|
کمبود نیرویهای متخصص در زمینه امنیت اطلاعات |
R6 |
|
آگاهی پائین کارکنان در حوزه امنیت اطلاعات |
R7 |
|
عدم ارائه آموزشهای مناسب به کارکنان در حوزة امنیت اطلاعات |
R8 |
|
عدم هماهنگی بین کارکنان سطوح مختلف در حوزة امنیت اطلاعات |
R9 |
|
خرابکاریهای عمدی در حوزة امنیت اطلاعات |
R10 |
|
عدم وجود یک طرح جامع برای امنیت اطلاعات و سرمایهگذاریهای متناسب با اولویت های امنیتی |
R11 |
|
ریسکهای برخاسته از خطمشیها و رویهها |
عدم وجود یک خط مشی امنیت اطلاعات جامع، کامل و قابل بازنگری |
R12 |
شفاف نبودن تعریف مسئولیت امنیت اطلاعات |
R13 |
|
عدم وجود رویهای مناسب در طبقهبندی و کدگذاری اطلاعات |
R14 |
|
عدم انطباق سیستمها با خط مشیها و استانداردهای امنیت اطلاعات |
R15 |
|
عدم مدیریت (شناسایی و رفع) ضعفهای امنیت اطلاعات |
R16 |
|
عدم وجود رویههای مدیریت بحران در حوزة امنیت اطلاعات |
R17 |
|
عدم بازمهندسی دورهای فرایندهای حوزة امنیت اطلاعات |
R18 |
|
عدم هماهنگی کامل بین رویههای و فرایندهای حوزة امنیت اطلاعات با دیگر حوزه های سازمانی |
R19 |
|
ریسکهای برخاسته از سیستمهای کنترلی |
عدم کنترل مناسب در صحت دادههای ورودی، پردازشهای درونی، و صحت دادههای خروجی |
R20 |
عدم نظارت و پایش مناسب در توسعة نرمافزارهای برونسپاریشده حوزههای اطلاعاتی |
R21 |
|
عدم گزارشدهی مناسب رویدادها و ضعفهای حوزة امنیت اطلاعات |
R22 |
|
عدم وجود اقدامات مناسب پیشگیرانه، اکتشافی و اصلاحی (بهروزرسانی نرمافزارهای امنیتی) برای حفاظت از سیستم امنیت اطلاعات |
R23 |
|
عدم آشنایی کامل و بهروز متخصصین حوزة امنیت اطلاعات با ویروسها، کرمها، جاسوسافزارها و اسپمها |
R24 |
|
عدم وجود سیستمهای کنترلی اثربخش و کارا |
R25 |
|
عدم مستندسازی و آرشیوبندی کامل و صحیح فرایندها، رویدادها و رویهها در حوزة امنیت اطلاعات |
R26 |
|
ریسکهای برخاسته از سیستمهای اطلاعاتی |
عدم ایجاد نسخة پشتیبان از برخی اطلاعات و یا نگهداری نامناسب از نسخههای پشتیبان |
R27 |
سطحبندی نامناسب اطلاعات (جهت تعیین دسترسیها و سلسله مراتب اطلاعاتی) |
R28 |
|
عدم وجود امنیت کافی در فرایند تبادل اطلاعات و نرمافزارهای تخصصی واحدهای مختلف سازمان |
R29 |
|
عدم وجود امنیت در خدمات شبکههای اینترنتی مورداستفاده سازمان |
R30 |
|
عدم امنیت کامل سیستم اینترانت داخلی سازمان و احتمال نفوذپذیری آن |
R31 |
3-2- غربالگری مخاطرات
پس از شناسایی اولیة مخاطرات، باید نظرات جمعآوریشدة خبرگان غربالگری میشد. بدینمنظور، آزمون T تکنمونهای انتخاب گردید. اما پیششرط استفاده از این آزمون، نرمال بودن دادهها و متغیرها است. ازاینرو، درابتدا سعی شد، که با استفاده از آزمون کولموگروف ـ اسمیرنوف، از نرمال بودن متغیرها اطمینان حاصل شود. نتایج این آزمون در جدول (2) نشان داده شده است.
جدول (2): آزمون نرمالبودن متغیرها
ریسک های اصلی |
کولموگروف اسمیرنوف |
مقدار معنیداری (sig.) |
نرمال/ غیرنرمال |
ریسکهای برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) |
377/0 |
333/0 |
نرمال |
ریسکهای برخاسته از خط مشیها و رویهها |
417/0 |
059/0 |
نرمال |
ریسکهای برخاسته از سیستمهای کنترلی |
926/0 |
155/0 |
نرمال |
ریسکهای برخاسته از سیستمهای اطلاعاتی |
449/0 |
077/0 |
نرمال |
با توجه به اینکه سیگمای مربوط به هر چهار متغیر بالاتر از 05/0 است، میتوان دادهها را نرمال فرض کرد و با هدف غربالگری مخاطرات از آزمون پارامتری T استفاده نمود. بر این اساس، با استفاده از طیف پنجگزینهای لیکرت، خبرگان دربارة اهمیت و مرتبط بودن مخاطرات با وضعیت حاکم بر ادارة کل بنادر و دریانوردی استان خوزستان (بندر امام خمینی) مورد پرسش قرار گرفتند (پرسشنامة دوم) و سپس، بهمنظور حذف مخاطرههایی که اهمیت و سنخیت آنها با این مجموعه کم است، از آزمون T استفاده شد. در این آزمون، حد آستانه 3 و درجة اطمینان 95 درصد منظور شد. نتایج آزمون T در جدول (3) بیان شدهاند. برای انجام این آزمون از نرمافزار SPSS استفاده شده است:
جدول (3): نتایج آزمون t
One-Sample Test |
||||||
|
Test Value = 3 |
|||||
آماره آزمون |
درجه آزادی |
سطح معناداری |
اختلاف میانگین |
95% بازه اطمینان از اختلاف |
||
پائین |
بالا |
|||||
R1 |
896/2 |
19 |
009/0 |
7/0 |
19411/0 |
20589/1 |
R2 |
570/2 |
19 |
019/0 |
7/0 |
12983/0 |
27017/1 |
R3 |
513/0 |
19 |
614/0 |
15/0 |
46257/0- |
76257/0 |
R4 |
210/5 |
19 |
000/0 |
1 |
59826/0 |
40174/1 |
R5 |
850/6 |
19 |
000/0 |
1/1 |
76388/0 |
43612/1 |
R6 |
877/5 |
19 |
000/0 |
15/1 |
74044/0 |
55956/1 |
R7 |
018/3 |
19 |
007/0 |
9/0 |
27578/0 |
52422/1 |
R8 |
359/4 |
19 |
000/0 |
1 |
51983/0 |
48017/1 |
R9 |
8650/6- |
19 |
000/0 |
1/1- |
43612/1- |
76388/0- |
R10 |
667/7- |
19 |
000/0 |
15/1- |
46395/1- |
83605/0- |
R11 |
387/3 |
19 |
003/0 |
8/0 |
30563/0 |
29437/1 |
R12 |
395/5 |
19 |
000/0 |
1/1 |
67321/0 |
52679/1 |
R13 |
580/0 |
19 |
569/0 |
2/0 |
52186/0- |
92186/0 |
R14 |
414/4 |
19 |
000/0 |
9/0 |
47321/0 |
32679/1 |
R15 |
470/3 |
19 |
003/0 |
75/0 |
29764/0 |
20236/1 |
R16 |
339/5 |
19 |
000/0 |
2/1 |
72953/0 |
67047/1 |
R17 |
886/2 |
19 |
009/0 |
8/0 |
21981/0 |
38019/1 |
R18 |
371/3 |
19 |
028/0 |
65/0 |
07630/0 |
22370/1 |
R19 |
725/6- |
19 |
000/0 |
3/1- |
70460/1- |
89540/0- |
R20 |
723/4 |
19 |
000/0 |
9/0 |
50114/0 |
29886/1 |
R21 |
607/0 |
19 |
551/0 |
2/0 |
48918/0 |
88918/0 |
R22 |
510/5 |
19 |
000/0 |
15/1 |
71320/0 |
58680/1 |
R23 |
639/0 |
19 |
530/0 |
2/0 |
45487/0 |
85487/0 |
R24 |
380/2 |
19 |
028/0 |
75/0 |
09031/0 |
40969/1 |
R25 |
395/5- |
19 |
000/0 |
1/1- |
52679/1- |
67321/0- |
R26 |
454/3 |
19 |
003/0 |
9/0 |
35463/0 |
44537/1 |
R27 |
214/3 |
19 |
005/0 |
9/0 |
31387/0 |
48613/1 |
R28 |
772/5 |
19 |
000/0 |
1/1 |
70114/0 |
49886/1 |
R29 |
790/4 |
19 |
000/0 |
95/0 |
53485/0 |
36515/1 |
R30 |
604/2 |
19 |
017/0 |
55/0 |
10795/0 |
99205/0 |
R31 |
082/5 |
19 |
000/0 |
1/1 |
64701/0 |
55299/1 |
برای تحلیل نتایج این آزمون، فرض صفر و فرض یک بهصورت زیر در نظر گرفته شد:
H0: µ = 3
H1: µ ≠ 3
ازآنجاکه در پرسشنامة مربوط به آزمون T، از طیف پنجگزینهای لیکرت استفاده شد و در یک طیف پنجنقطهای، میانگین با سه برابر بود، میانگین عددِ سه در نظر گرفته شد. با توجه به جدول بالا و فرضهای مذکور، و با توجه به اینکه سیگمای همة مخاطرات کمتر از 05/0 است، فرض صفر دربارة همة آنها رد میشود و فرض یک پذیرفته میشود. اما برای اینکه بدانیم، میانگین اهمیت کدام مخاطره بیشتر از سه است، و میانگین اهمیت کدام مخاطره از سه کمتر است، باید به مقدار آمارة T در جدول (3) دقت کنیم. اگر میزان این آماره مثبت باشد، نشان میدهد که این مخاطره از میانگین بالاتر است و برعکس. همانگونه که در جدول (3) مشاهده میشود، مقدار T در مخاطرات R9، R10، R19، R25 منفی است. درنتیجه، اهمیت این مخاطرهها کمتر از میانگین (3) است و از سلسلهمراتب مخاطرهها حذف میشوند. ازاینرو، سلسلهمراتب نهایی مخاطرهها بهصورت زیر است.
جدول (4): سلسله مراتب ریسک ها پس از حذف زیر موارد کم اهمیت
ریسک های اصلی |
ریسک های فرعی |
کد |
ریسکهای برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) |
نبود تعهد و حمایت برخی از مدیران ارشد به امنیت اطلاعات |
R1 |
عدم تخصیص بودجه های مناسب به طرح های مربوط به امنیت اطلاعات |
R2 |
|
عدم توجه به زمانبندی پیاده سازی و اجرایی نمودن طرح های حوزه امنیت اطلاعات |
R3 |
|
عدم بهره گیری از مشاورین برجسته در زمینه امنیت اطلاعات |
R4 |
|
عدم ثبات مدیران در حوزه امنیت اطلاعات |
R5 |
|
کمبود نیروی های متخصص در زمینه امنیت اطلاعات |
R6 |
|
آگاهی پائین کارکنان در حوزه امنیت اطلاعات |
R7 |
|
عدم ارائه آموزشهای مناسب به کارکنان در حوزه امنیت اطلاعات |
R8 |
|
عدم وجود یک طرح جامع و فراگیر برای امنیت اطلاعات و سرمایه گذاری های مناسب و متناسب با اولویت های امنیتی |
R9 |
|
ریسکهای برخاسته از خطمشیها و رویهها |
عدم وجود یک خط مشی امنیت اطلاعات جامع، کامل و قابل بازنگری |
R10 |
شفاف نبودن تعریف مسئولیت امنیت اطلاعات |
R11 |
|
عدم وجود رویهای مناسب در طبقهبندی و کدگذاری اطلاعات |
R12 |
|
عدم انطباق سیستمها با خط مشیها و استانداردهای امنیت اطلاعات |
R13 |
|
عدم مدیریت (شناسایی و رفع) ضعفهای امنیت اطلاعات |
R14 |
|
عدم وجود رویههای مدیریت بحران در حوزة امنیت اطلاعات |
R15 |
|
عدم بازمهندسی دورهای فرایندهای حوزة امنیت اطلاعات |
R16 |
|
ریسکهای برخاسته از سیستمهای کنترلی |
عدم کنترل مناسب در صحت دادههای ورودی، پردازشهای درونی، و صحت دادههای خروجی |
R17 |
عدم نظارت و پایش مناسب در توسعه نرمافزارهای برونسپاریشده حوزههای اطلاعاتی |
R18 |
|
عدم گزارشدهی مناسب رویدادها و ضعفهای حوزة امنیت اطلاعات |
R19 |
|
عدم وجود اقدامات مناسب پیشگیرانه، اکتشافی و اصلاحی (بهروزرسانی نرمافزارهای امنیتی) برای حفاظت از سیستم امنیت اطلاعات |
R20 |
|
عدم آشنایی کامل و بهروز متخصصین حوزة امنیت اطلاعات با ویروسها، کرمها، جاسوسافزارها و اسپمها |
R21 |
|
عدم مستندسازی و آرشیوبندی کامل و صحیح فرایندها، رویدادها و رویهها در حوزة امنیت اطلاعات |
R22 |
|
ریسکهای برخاسته از سیستمهای اطلاعاتی |
عدم ایجاد نسخة پشتیبان از برخی اطلاعات و یا نگهداری نامناسب از نسخههای پشتیبان |
R23 |
سطحبندی نامناسب اطلاعات (جهت تعیین دسترسیها و سلسله مراتب اطلاعاتی) |
R24 |
|
عدم وجود امنیت کافی در فرایند تبادل اطلاعات و نرمافزارهای تخصصی واحدهای مختلف سازمان |
R25 |
|
عدم وجود امنیت در خدمات شبکههای اینترنتی مورداستفاده سازمان |
R26 |
|
عدم امنیت کامل سیستم اینترانت داخلی سازمان و احتمال نفوذپذیری آن |
R27 |
3-3- اولویتبندی مخاطرات اصلی
پس از ساخت مدل در برنامة Expert Choice و ورود ماتریس مقایسات زوجی (برگرفته از نظر 20 خبره)، وزن مخاطرات اصلی بهدست آمد که در شکل (1) نشان داده شده است.
شکل (1): خروجی نرمافزار Expert Choice در خصوص تعیین وزن نسبی ریسکهای اصلی
همانطور که در شکل (1) دیده میشود، مخاطرات برخاسته از سامانههای کنترلی با وزن نسبی 453/0 از بیشترین اهمیت برخوردار است. مخاطرات برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) با وزن نسبی 338/0 در اولویت دوم، مخاطرات برخاسته از خطمشیها و رویهها با وزن نسبی 139/0 در اولویت سوم، و درنهایت، مخاطرات برخاسته از سامانههای اطلاعاتی نیز با وزن نسبی 070/0 در رتبة چهارم قرار دارند. نرخ ناسازگاری مقایسات زوجی 07/0 به دستآمده است. اما ازآنجاکه کمتر از 10/0 است، این مقایسات قابلقبول نیستند.
3-4- وزن نسبی شاخصهای تصمیمگیری
در این پژوهش بر اساس پرسشنامة مربوط به تاپسیس، دو معیار تصمیمگیری برای تعیین اولویت مخاطرات در نظر گرفته شدند: (1) احتمال وقوع و (2) میزان تأثیر. در این بخش، بهمنظور کسب اطلاعات دقیقتر دربارة نظر خبرگان، این دو معیار وزندهی شدهاند. در شکل (2)، خروجی نرمافزار اکسپرتچویس دربارة وزن نسبی این شاخصِ تصمیمگیری ارائه شده است.
شکل (2): خروجی نرمافزار Expert Choice در خصوص تعیین وزن نسبی شاخصهای تصمیمگیری
همانطور که از شکل (2) مشخص است، وزن شاخصِ "احتمال وقوع"691/0 به دست آمده و وزن شاخصِ"میزان تأثیر" نیز، 309/0 محاسبه شده است.
3-5- رتبهبندی مخاطرات شناساییشده
در این پژوهش، بهمنظور رتبهبندی مخاطرات، از روش تاپسیس استفاده شد. بدینمنظور، پرسشنامة سوم طراحی و توزیع شد. در این پرسشنامه، از خبرگان خواسته شد، که با در نظر گرفتن هر یک از معیارهای "احتمال وقوع" و "میزان تأثیر"، به مخاطرهها نمره دهند. در جدول زیر، نتیجة حاصل از مراحل هفتگانة تجزیهوتحلیل تاپسیس که منجر به محاسبة ضریب نزدیکی هر یک از مخاطرهها شد، ارائه شده است:
جدول (5): محاسبه نزدیکی به راهحل ایدهآل مثبت و منفی همچنین رتبهبندی گزینهها
ریسکها |
ضریب نزدیکی (CL) |
نبود تعهد و حمایت برخی از مدیران ارشد نسبت به امنیت اطلاعات |
1 |
عدم تخصیص بودجههای مناسب به طرحهای مربوط به امنیت اطلاعات |
0.816 |
عدم توجه به زمانبندی پیادهسازی و اجرایینمودن طرحهای حوزة امنیت اطلاعات |
0.901 |
عدم بهرهگیری از مشاورین برجسته در زمینة امنیت اطلاعات |
1 |
عدم ثبات مدیران در حوزة امنیت اطلاعات |
0.75 |
کمبود نیرویهای متخصص در زمینة امنیت اطلاعات |
0.901 |
آگاهی پائین کارکنان در حوزة امنیت اطلاعات |
1 |
عدم ارائه آموزشهای مناسب به کارکنان در حوزة امنیت اطلاعات |
0.75 |
عدم وجود یک طرح جامع برای امنیت اطلاعات و سرمایهگذاریهای متناسب با اولویتهای امنیتی |
0.75 |
عدم وجود یک خطمشی امنیت اطلاعات جامع، کامل و قابل بازنگری |
0.75 |
شفاف نبودن تعریف مسئولیت امنیت اطلاعات |
0.221 |
عدم وجود رویهای مناسب در طبقهبندی و کدگذاری اطلاعات |
0.75 |
عدم انطباق سیستمها با خطمشیها و استانداردهای امنیت اطلاعات |
0.099 |
عدم مدیریت (شناسایی و رفع) ضعفهای امنیت اطلاعات |
0.697 |
عدم وجود رویههای مدیریت بحران در حوزة امنیت اطلاعات |
0.75 |
عدم بازمهندسی دورهای فرایندهای حوزة امنیت اطلاعات |
0.779 |
عدم کنترل مناسب در صحت دادههای ورودی، پردازشهای درونی، و صحت دادههای خروجی |
0.75 |
عدم نظارت و پایش مناسب در توسعة نرمافزارهای برونسپاریشده حوزههای اطلاعاتی |
0.5 |
عدم گزارشدهی مناسب رویدادها و ضعفهای حوزة امنیت اطلاعات |
0.75 |
عدم وجود اقدامات مناسب پیشگیرانه، اکتشافی و اصلاحی (بهروزرسانی نرمافزارهای امنیتی) برای حفاظت از سیستم امنیت اطلاعات |
0.457 |
عدم آشنایی کامل و بهروز متخصصین حوزة امنیت اطلاعات با ویروسها، کرمها، جاسوسافزارها و اسپمها |
1 |
عدم مستندسازی و آرشیوبندی کامل و صحیح فرایندها، رویدادها و رویهها در حوزة امنیت اطلاعات |
0.697 |
عدم ایجاد نسخة پشتیبان از برخی اطلاعات و یا نگهداری نامناسب از نسخههای پشتیبان |
0.779 |
سطحبندی نامناسب اطلاعات (جهت تعیین دسترسیها و سلسله مراتب اطلاعاتی) |
0.75 |
عدم وجود امنیت کافی در فرایند تبادل اطلاعات و نرمافزارهای تخصصی واحدهای مختلف سازمان |
0.75 |
عدم وجود امنیت در خدمات شبکههای اینترنتی مورداستفاده سازمان |
0.361 |
عدم امنیت کامل سیستم اینترانت داخلی سازمان و احتمال نفوذپذیری آن |
0.697 |
4- نتیجهگیری
در این پژوهش، پس از تلخیص دادههای حاصل از پرسشنامههای اول و دوم، و انجام آزمون T، درنهایت، 27 مخاطرة محتمل برای مدیریت امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان در قالب چهار دستة کلی شناسایی شدند. پس از تلخیص دادههای حاصل از پرسشنامة سوم، و انجام تجزیهوتحلیل تاپسیس و فرایند تحلیل سلسلهمراتبی بر روی دادهها، رتبة مخاطرات اصلی و فرعی بهدست آمد که در جدول (6) نشان داده شده است.
جدول (6): اولویتبندی ریسک های اصلی و فرعی
ریسک های اصلی |
رتبه |
ریسک های برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) |
1 |
ریسک های برخاسته از سیستم های کنترلی |
2 |
ریسک های برخاسته از خط مشی ها و رویه ها |
3 |
ریسک های برخاسته از سیستم های اطلاعاتی |
4 |
ریسک های فرعی |
رتبه |
نبود تعهد و حمایت برخی از مدیران ارشد به امنیت اطلاعات |
1 |
عدم بهره گیری از مشاورین برجسته در زمینه امنیت اطلاعات |
|
آگاهی پائین کارکنان در حوزه امنیت اطلاعات |
|
عدم آشنایی کامل و به روز متخصصین حوزه امنیت اطلاعات با ویروس ها، کرم ها، جاسوس افزارها و اسپم ها |
|
عدم توجه به زمانبندی پیاده سازی و اجرایی نمودن طرح های حوزه امنیت اطلاعات |
2 |
کمبود نیروی های متخصص در زمینه امنیت اطلاعات |
|
عدم تخصیص بودجه های مناسب به طرح های مربوط به امنیت اطلاعات |
3 |
عدم بازمهندسی دوره ای فرایند های حوزه امنیت اطلاعات |
4 |
عدم ایجاد نسخه پشتیبان از برخی اطلاعات و یا نگهداری نامناسب از نسخه های پشتیبان |
|
عدم وجود یک طرح جامع و فراگیر برای امنیت اطلاعات و سرمایه گذاری های مناسب و متناسب با اولویت های امنیتی |
5 |
عدم وجود یک خط مشی امنیت اطلاعات جامع، کامل و قابل بازنگری |
|
عدم وجود رویه ای مناسب در طبقه بندی و کدگذاری اطلاعات |
|
عدم وجود رویه های مدیریت بحران در حوزه امنیت اطلاعات |
|
عدم کنترل مناسب در صحت داده های ورودی، پردازش های درونی، و صحت داده های خروجی |
|
عدم گزارش دهی مناسب رویدادها و ضعف های حوزه امنیت اطلاعات |
|
سطح بندی نامناسب اطلاعات (جهت تعیین دسترسی ها و سلسله مراتب اطلاعاتی) |
|
عدم وجود امنیت کافی در فرایند تبادل اطلاعات و نرم افزارهای تخصصی واحدهای مختلف سازمان |
|
عدم ثبات مدیران در حوزه امنیت اطلاعات |
6 |
عدم ارائه آموزشهای مناسب به کارکنان در حوزه امنیت اطلاعات |
|
عدم مدیریت (شناسایی و رفع) ضعف های امنیت اطلاعات |
7 |
عدم مستند سازی و آرشیوبندی کامل و صحیح فرایندها، رویدادها و رویه ها در حوزه امنیت اطلاعات |
|
عدم امنیت کامل سیستم اینترانت داخلی سازمان و احتمال نفوذ پذیری آن |
|
عدم نظارت و پایش مناسب در توسعه نرم افزارهای برون سپاری شده حوزه های اطلاعاتی |
8 |
عدم وجود اقدامات مناسب پیشگیرانه، اکتشافی و اصلاحی (به روز رسانی نرم افزارهای امنیتی) برای حفاظت از سیستم امنیت اطلاعات |
9 |
عدم وجود امنیت در خدمات شبکه های اینترنتی مورد استفاده سازمان |
10 |
شفاف نبودن تعریف مسئولیت امنیت اطلاعات |
11 |
عدم انطباق سیستم ها با خط مشی ها و استانداردهای امنیت اطلاعات |
12 |
پیشنهادات: (1) با توجه به محدودیت اجرایی پژوهش مبنی بر زمانبر بودن توزیع و جمعآوری پرسشنامهها، پیشنهاد میشود، که دو مرحلة اولیة پژوهش که به شناسایی مخاطرهها مربوط هستند، به روش دلفی و در یک جلسة مشترک انجام شوند، (2) با توجه به زمانبر بودن مرحلة جمعآوری دادهها، پیشنهاد میشود، که از فرصتهایی مانند همایشها و کنفرانسها و جلسههای عمومی که در آنها بسیاری از خبرگان گرد میآیند، استفاده شود و در زمانهای مقتضی در طول کنفرانس یا پس از جلسه دادهها جمعآوری شوند و (3) پیشنهاد میشود، که چنین پژوهشی در دیگر سازمانهای همسنخ با ادارة کل بنادر و دریانوردی استان خوزستان انجام شود، و نتایج آن با نتایج این پژوهش مقایسه گردد.