1- مقدمه

1-1- بیان مسئله

فناوری اطلاعات و سامانه‌های اطلاعاتی در همة بخش‌های زندگی بشر ریشه دوانیده‌اند و گرچه به تسهیل زندگی و ارتباطات بشر کمک می‌کنند، اما مانند هر فناوری نوظهور دیگر، با خود خطراتی را نیز به همراه می‌آورند. به‌عنوان مثال، سازمانی که برای افزایش اثربخشی و کارایی خود در زمینة ارتباطات، از شبکه‌های مخابراتی و اینترنتی کمک می‌گیرد، باید مخاطرات ناشی از دسترسی افراد غیرمجاز یا رقبا به اطلاعات سازمان را بپذیرد یا آنها را مدیریت کند. ازاین‌رو، در تصمیم‌گیری برای پیاده‌سازی سامانه‌های اطلاعاتی و بهره‌گیری از مزایای فناوری اطلاعات، مانند هر نوع تصمیم دیگر، باید به بررسی خطرات احتمالی آن پرداخت و با مدیریت مخاطره‌های موجود، اثربخشی سامانه را ارتقا بخشید.

مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است، که وظیفة تعیین اهداف امنیتی، و بررسی موانع موجود در رسیدن به این اهداف و ارائة راهکارهای لازم را بر عهده دارد. همچنین، مدیریت امنیت وظیفة پیاده‌سازی و کنترل عملکرد سامانة امنیت سازمان را نیز بر عهده دارد و باید تلاش کند، تا سامانه را همیشه روزآمد نگه دارد. هدف از مدیریت امنیت اطلاعات در یک سازمان، حفظ سرمایه‌های سازمان (نرم‌افزاری، سخت‌افزاری، اطلاعاتی و ارتباطی و نیروی انسانی) در برابر هر گونه تهدید (اعم از دسترسی غیرمجاز به اطلاعات، خطرات ناشی از محیط و سامانه و خطرات ایجادشده از سوی کاربران) است (دشتی، ۱۳۸۴). برای رسیدن به این هدف، به یک برنامة منسجم نیاز است. سامانة امنیت اطلاعات راهکاری برای رسیدن به این هدف است. یکی از وظایف مدیریت امنیت، بررسی و ایجاد یک سامانة امنیت اطلاعات است، که با اهداف سازمان متناسب باشد. برای طراحی این سامانه، باید عوامل مختلفی را در نظر گرفت. محاسبة ارزش اطلاعات از نظر اقتصادی، بررسی خطرات و محاسبة خسارت‌های احتمالی و تخمین هزینه- سودمندی استفاده از سامانة امنیت اطلاعات، بررسی تهدیدهای احتمالی و بررسی راهکارهای مختلف و انتخاب سودمندترین روش برای طراحی سامانه‌های امنیت اطلاعات ضروری به نظر می‌رسند (پیپکین، 2000).

ادارة کل بنادر و دریانوردی استان خوزستان (بندر امام خمینی (ره)) نیز از این قاعده مستثنی نیست و با توجه به نقش راهبردی آن در اقتصاد منطقه و کشور، توجه به امنیت سامانه‌های اطلاعاتی مستقر در آن بسیار حائز اهمیت است. مصاحبه‌های اولیه با مدیران فناوری اطلاعات در این سازمان، گویای این بود که نبود فعالیت‌های پژوهشی دقیق در حوزة شناسایی و ارزیابی مخاطرات این حوزه، از نگرانی‌های آنها است. بنابراین، انجام چنین پژوهش‌هایی می‌تواند آنها را در زمینة پیش‌بینی و کنترل مخاطرات احتمالی کمک کند. ازاین‌رو، پژوهش پیش رو قصد دارد، که با انجام یک مطالعة نظام‌مند و علمی، به پرسش زیر پاسخ دهد: "در ادارة کل بنادر و دریانوردی استان خوزستان، مخاطرات سامانة مدیریت امنیت اطلاعات کدامند؟ اولویت‌بندی آنها چگونه است؟"

1-2- مرور پیشینة پژوهش

یعقوبی و همکاران (1394)، پژوهشی را با عنوان "شناسایی و رتبه‌بندی عوامل ریسک رایانش ابری در سازمان‌های دولتی" به انجام رساندند. در این پژوهش، درابتدا، با مرور مقاله‌های مهم، فهرست جامعی از مخاطرات استخراج شد و در دو دستة محسوس و غیرمحسوس طبقه‌بندی شدند. سپس، دربارة این مخاطرات و تقسیم‌بندی آنها با شش نفر از خبرگان مصاحبه شد و درنتیجه، 10 مخاطره شناسایی شد. پس از آن، این مخاطرات با نظرسنجی از 52 خبره و با کمک فرایندتحلیل سلسله‌مراتبی فازی رتبه‌بندی شدند. نتایج این پژوهش نشان دادند، که خبرگان، مخاطره‌های نامحسوس را مهم‌ترین مخاطرات در به‌کارگیری رایانش ابری[1] در سازمان‌های دولتی می‌دانند. در این میان، مخاطرة محرمانگی داده رتبة نخست را به دست آورد.

گودرزی و هاشمی (1391)، پژوهشی را با عنوان "شناخت و رتبه‌بندی عوامل ریسک خرید خارجی براساس روش AHP" در شرکت طراحی مهندسی و تأمین قطعات ایران خودرو (ساپکو) انجام دادند. هدف این پژوهش، بررسی فرایند خرید خارجی در صنعت خودروی ایران، به‌منظور شناخت و رتبه‌بندی مخاطرات خرید خارجی براساس روش‌های تصمیم‌گیری چندمعیاره بود. در همین راستا، پس از شناسایی این مخاطرات از طریق بررسی پیشینه، با استفاده از فرایند تحلیل سلسله‌مراتبی اولویت‌بندی شدند.

صیادی و همکاران (1390)، پژوهشی را با عنوان "ارزیابی و رتبه‌بندی ریسک در پروژه‌های تونل‌سازی با استفاده از روش تخصیص خطی" به انجام رساندند. در این پژوهش، نخست ساختار جامعی از مخاطرات اصلی پروژه‌های تونل‌سازی، در قالب 17 دستة اصلی و 196 زیرسطح تهیه شده و سپس، این مخاطرات در عملیات تونل‌سازی سد سیمره، در جنوب غرب ایران، رتبه‌بندی شده‌اند. بدین‌منظور، به‌منظور جمع‌آوری و تجمیع نظر خبرگان، از روش تصمیم‌گیری گروهی و میانگین وزین و به‌منظور تعیین رتبة مخاطرات، از روش تخصیص خطی به‌عنوان یکی از روش‌های تصمیم‌گیری چندمعیاره استفاده شده است. شاخص‌های رتبه‌بندی به دو دستة اولیه و ثانویه تقسیم شده‌اند. شاخص اولیه بر مبنای احتمال و میزان اثرگذاری مخاطرات بر اهداف اصلی پروژه (زمان، هزینه، کیفیت و عملکرد) با وزن‌های متفاوت تعیین شده است. دستة دوم شاخص‌ها شامل اثرات اجتماعی- اقتصادی، اثرات زیست‌محیطی، نزدیکی زمان وقوع مخاطره، میزان مواجهه با مخاطره، عدم اطمینان تخمین و میزان مدیریت‌پذیری مخاطره است. با کمک روش تخصیص خطی، مخاطرات با توجه به شاخص‌های گوناگون بهتر ارزیابی می‌گردند و درنتیجه، واقع‌بینانه‌تر رتبه‌دهی  می‌شوند. براساس نتایج به‌دست‌آمده، عوامل اقتصادی و شرایط حقوقی به‌ترتیب بیشترین و کمترین رتبة مخاطرات را به خود اختصاص می‌دهند.

جعفرنژاد و یوسفی زنوز (1387)، پژوهشی را با عنوان "ارائة مدل فازی رتبه‌بندی ریسک در پروژه‌های حفاری شرکت پتروپارس" انجام داده‌اند. در این پژوهش، ابتدا مخاطرات ممکن در یک پروژة حفاری چاه نفت از طریق پرسشنامه‌های باز و گروه خبرگان شناسایی شده‌اند. سپس، با رویکرد فازی به سنجش و رتبه‌بندی مخاطرات پرداخته شده است.

جبل‌عاملی و همکاران (1386)، پژوهشی را با عنوان "رتبه‌بندی ریسک پروژه با استفاده از فرایند تصمیم‌گیری چندمعیاره" به انجام رساندند. در این پژوهش، به‌منظور امکان استفاده از روش‌های مختلف تصمیم‌گیری چندمعیاره در رتبه‌بندی مخاطرات پروژه، این روش‌ها، به‌عنوان رویکردی کمّی، مورد بررسی قرار گرفته‌اند. در هنگام انتخاب روش‌های تصمیم‌گیری چندمعیاره، توجه به ویژگی‌های روش و شرایط مسئله دارای اهمیت بسیار بود. چراکه در صورت توجه نکردن به این ویژگی‌ها و شرایط، حصول نتایج اشتباه دور از انتظار نبود. در پایان، روش‌های مناسب تصمیم‌گیری چندمعیاره برای حل مسئلة رتبه‌بندی مخاطرات پروژه معرفی شده و کاربرد این رویکرد در رتبه‌بندی مخاطرات یک پروژة واقعی صنعت انرژی در کشور با استفاده از روش تاپسیس[2]، به‌عنوان نمونه معرفی شده است.

جیکیانگ و همکاران (2014)، پژوهشی را با عنوان "یک روش جدید آنالیز ریسک امنیت اطلاعات بر مبنای درجة عضویت" به انجام رساندند. روش ارائه‌شده در این پژوهش، حالت عمومی‌شدة روش میانگین موزون بود. در این روش، تحلیل مقایسه‌ای به روشی انجام می‌شود، که دقت طبقه‌بندی را ارتقا می‌بخشد.

ریس و همکاران (2010)، پژوهشی را با عنوان "ریسک های برون‌سپاری سیستم‌های اطلاعاتی" به انجام رساندند. آنها در این پژوهش سعی کردند، که با ارائة شواهد و قرائن واقعی و همچنین، با تکیه بر مبانی نظری، مخاطره‌هایی را که ممکن است برای امنیت اطلاعات سازمان، در برون‌سپاری سامانه‌های اطلاعاتی به وجود آیند، به‌صورت کلی معرفی کنند و نسبت به آنها حساسیت ایجاد کنند.

2- روش پژوهش

این پژوهش، از لحاظ هدف، کاربردی، از لحاظ رویکرد، پیمایشی و از نظر نوع مطالعات، اکتشافی است. در این پژوهش، به‌منظور دستیابی به اهداف و پاسخگویی به پرسش‌های پژوهش، پژوهشی میدانی در دو مرحلة کلی زیر انجام شده است: (1) شناسایی و غربالگری مخاطرات امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان و (2) وزن‌دهی و اولویت‌بندی مخاطرات شناسایی‌شده، براساس روش‌های فرایند تحلیل سلسله‌مراتبی و تاپسیس.

جامعة آماری این پژوهش، 20 نفر از مدیران ارشد، مدیران میانی و کارشناسان ارشد فناوری اطلاعات و ارتباطات در ادارة کل بنادر و دریانوردی استان خوزستان بودند، که به حوزة امنیت سامانه‌های اطلاعاتی این سازمان اشراف کامل داشتند. این گروه خبره، هم در مرحلة شناسایی و هم در مرحلة اولویت‌بندی مخاطرات مورد پرسش قرار گرفتند. برای انتخاب این افراد، سعی شد از روش "سرشماری" استفاده شود، و همة افراد مطلع و خبرة ادارة کل بنادر و دریانوردی استان خوزستان در حوزة موضوع پژوهش، در فرایند پژوهش مشارکت داده شوند.

به‌طور کلی روش گردآوری داده‌ها در این پژوهش به دو دستة کلی قابل‌تقسیم است: (1) روش کتابخانه‌ای و اینترنتی به‌منظور آشنایی با ادبیات و پیشینة پژوهش و (2) استفاده از سه پرسشنامة پژوهشگرساخته برای جمع‌آوری داده‌ها مراحل 1 و 2. پرسشنامة اول به‌صورت نیمه‌باز طراحی شد و هدف از آن، شناسایی مخاطرات امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان بود؛ پرسشنامة دوم به‌صورت بسته و براساس مخاطرات شناسایی‌شده در مرحلة قبل طراحی شد، و هدف از آن، غربالگری و دستیابی به اجماع بر روی موارد شناسایی‌شده در مرحلة قبل بود و پرسشنامة سوم براساس عوامل نهایی‌شده در مرحلة دوم و روش‌های فرایند تحلیل سلسله‌مراتبی و تاپسیس طراحی شد، و هدف از آن، اولویت‌بندی مخاطرات شناسایی‌شدة امنیت اطلاعات بود.

علاوه‌براین، در این پژوهش، در مرحلة شناسایی و غربالگری مخاطرات، از روش‌های تجزیه‌وتحلیل آماری (توصیفی و استنباطی) استفاده شد. گفتنی است، که برای انجام تجزیه‌وتحلیل‌ها در این فاز، از آزمون‌های کولموگروف ـ اسمیرنوف و آزمون T و همچنین، نرم‌افزارهای Excel و SPSS استفاده شد. در مرحلة تعیین وزن و رتبة مخاطرات امنیت اطلاعات نیز، از روش‌های فرایند تحلیل سلسله‌مراتبی و تاپسیس استفاده شد، و برای انجام محاسبات این مرحله نیز، از نرم‌افزارهای Expert Choice و Excel استفاده شد.

3- تجزیه‌وتحلیل داده‌ها

3-1- شناسایی مخاطرات

در این پژوهش، از طریق بررسی پیشینه، مخاطرات اصلی حوزة امنیت سامانه‌های اطلاعاتی مشخص شدند. سپس، براساس نظر خبرگان و از طریق پرسشنامة باز، سعی شد تا مخاطرات مربوط به هر بخش شناسایی شوند. پس از جمع‌آوری پرسشنامة اول و حذف موارد تکراری، درنهایت، 31 مخاطره استخراج شدند. سلسه‌مراتب این مخاطرات در جدول (1) بیان شده است:

جدول (1): سلسله مراتب ریسک‌های شناسایی‌شده در مرحله اول

3-2- غربالگری مخاطرات

پس از شناسایی اولیة مخاطرات، باید نظرات جمع‌آوری‌شدة خبرگان غربالگری می‌شد. بدین‌منظور، آزمون T تک‌نمونه‌ای انتخاب گردید. اما پیش‌شرط استفاده از این آزمون، نرمال بودن داده‌ها و متغیرها است. ازاین‌رو، درابتدا سعی شد، که با استفاده از آزمون کولموگروف ـ اسمیرنوف، از نرمال بودن متغیرها اطمینان حاصل شود. نتایج این آزمون در جدول (2) نشان داده شده است.

جدول (2): آزمون نرمال‌بودن متغیرها

با توجه به اینکه سیگمای مربوط به هر چهار متغیر بالاتر از 05/0 است، می‌توان داده‌ها را نرمال فرض کرد و با هدف غربالگری مخاطرات از آزمون پارامتری T استفاده نمود. بر این اساس، با استفاده از طیف پنج‌گزینه‌ای لیکرت، خبرگان دربارة اهمیت و مرتبط بودن مخاطرات با وضعیت حاکم بر ادارة کل بنادر و دریانوردی استان خوزستان (بندر امام خمینی) مورد پرسش قرار گرفتند (پرسشنامة دوم) و سپس، به‌منظور حذف مخاطره‌هایی که اهمیت و سنخیت آنها با این مجموعه کم است، از آزمون T استفاده شد. در این آزمون، حد آستانه 3 و درجة اطمینان 95 درصد منظور شد. نتایج آزمون T در جدول (3) بیان شده‌اند. برای انجام این آزمون از نرم‌افزار SPSS استفاده شده است:

جدول (3): نتایج آزمون t

برای تحلیل نتایج این آزمون، فرض صفر و فرض یک به‌صورت زیر در نظر گرفته شد:

H₀: µ = 3

H₁: µ ≠ 3

ازآنجاکه در پرسشنامة مربوط به آزمون T، از طیف پنج‌گزینه‌ای لیکرت استفاده شد و در یک طیف پنج‌نقطه‌ای، میانگین با سه برابر بود، میانگین عددِ سه در نظر گرفته شد. با توجه به جدول بالا و فرض‌های مذکور، و با توجه به اینکه سیگمای همة مخاطرات کمتر از 05/0 است، فرض صفر دربارة همة آنها رد می‌شود و فرض یک پذیرفته می‌شود. اما برای اینکه بدانیم، میانگین اهمیت کدام مخاطره بیشتر از سه است، و میانگین اهمیت کدام مخاطره از سه کمتر است، باید به مقدار آمارة T در جدول (3) دقت کنیم. اگر میزان این آماره مثبت باشد، نشان می‌دهد که این مخاطره از میانگین بالاتر است و برعکس. همان‌گونه که در جدول (3) مشاهده می‌شود، مقدار T در مخاطرات R9، R10، R19، R25 منفی است. درنتیجه، اهمیت این مخاطره‌ها کمتر از میانگین (3) است و از سلسله‌مراتب مخاطره‌ها حذف می‌شوند. ازاین‌رو، سلسله‌مراتب نهایی مخاطره‌ها به‌صورت زیر است.

جدول (4): سلسله مراتب ریسک ها پس از حذف زیر موارد کم اهمیت

3-3- اولویت‌بندی مخاطرات اصلی

پس از ساخت مدل در برنامة Expert Choice و ورود ماتریس مقایسات زوجی (برگرفته از نظر 20 خبره)، وزن مخاطرات اصلی به‌دست آمد که در شکل (1) نشان داده شده است.

شکل (1): خروجی نرم‌افزار Expert Choice در خصوص تعیین وزن نسبی ریسک‌های اصلی

همان‌طور که در شکل (1) دیده می‌شود، مخاطرات برخاسته از سامانه‌های کنترلی با وزن نسبی 453/0 از بیشترین اهمیت برخوردار است. مخاطرات برخاسته از عوامل انسانی (مدیران ارشد، مشاورین و کارکنان) با وزن نسبی 338/0 در اولویت دوم، مخاطرات برخاسته از خط‌مشی‌ها و رویه‌ها با وزن نسبی 139/0 در اولویت سوم، و درنهایت، مخاطرات برخاسته از سامانه‌های اطلاعاتی نیز با وزن نسبی 070/0 در رتبة چهارم قرار دارند. نرخ ناسازگاری مقایسات زوجی 07/0 به دست‌آمده است. اما ازآنجاکه کمتر از 10/0 است، این مقایسات قابل‌قبول نیستند.

3-4- وزن نسبی شاخص‌های تصمیم‌گیری

در این پژوهش بر اساس پرسشنامة مربوط به تاپسیس، دو معیار تصمیم‌گیری برای تعیین اولویت مخاطرات در نظر گرفته شدند: (1) احتمال وقوع و (2) میزان تأثیر. در این بخش، به‌منظور کسب اطلاعات دقیق‌تر دربارة نظر خبرگان، این دو معیار وزن‌دهی شده‌اند. در شکل (2)، خروجی نرم‌افزار اکسپرت‌چویس دربارة وزن نسبی این شاخصِ تصمیم‌گیری ارائه شده است.

شکل (2): خروجی نرم‌افزار Expert Choice در خصوص تعیین وزن نسبی شاخص‌های تصمیم‌گیری

همان‌طور که از شکل (2) مشخص است، وزن شاخصِ "احتمال وقوع"691/0 به ‌دست ‌آمده و وزن شاخصِ"میزان تأثیر" نیز، 309/0 محاسبه شده است.

3-5- رتبه‌بندی مخاطرات شناسایی‌شده

در این پژوهش، به‌منظور رتبه‌بندی مخاطرات، از روش تاپسیس استفاده شد. بدین‌منظور، پرسشنامة سوم طراحی و توزیع شد. در این پرسشنامه، از خبرگان خواسته شد، که با در نظر گرفتن هر یک از معیارهای "احتمال وقوع" و "میزان تأثیر"، به مخاطره‌ها نمره دهند. در جدول زیر، نتیجة حاصل از مراحل هفت‌گانة تجزیه‌وتحلیل‌ تاپسیس که منجر به محاسبة ضریب نزدیکی هر یک از مخاطره‌ها شد، ارائه شده است:

جدول (5): محاسبه نزدیکی به راه‌حل ایده‌آل مثبت و منفی همچنین رتبه‌بندی گزینه‌ها

4- نتیجه‌گیری

در این پژوهش، پس از تلخیص داده‌های حاصل از پرسشنامه‌های اول و دوم، و انجام آزمون T، درنهایت، 27 مخاطرة محتمل برای مدیریت امنیت اطلاعات در ادارة کل بنادر و دریانوردی استان خوزستان در قالب چهار دستة کلی شناسایی شدند. پس از تلخیص داده‌های حاصل از پرسشنامة سوم، و انجام تجزیه‌وتحلیل تاپسیس و فرایند تحلیل سلسله‌مراتبی بر روی داده‌ها، رتبة مخاطرات اصلی و فرعی به‌دست آمد که در جدول (6) نشان داده شده است.

جدول (6): اولویت‌بندی ریسک های اصلی و فرعی

پیشنهادات: (1) با توجه به محدودیت اجرایی پژوهش مبنی بر زمان‌بر بودن توزیع و جمع‌آوری پرسشنامه‌ها، پیشنهاد می‌شود، که دو مرحلة اولیة پژوهش که به شناسایی مخاطره‌ها مربوط هستند، به روش دلفی و در یک جلسة مشترک انجام شوند، (2) با توجه به زمان‌بر بودن مرحلة جمع‌آوری داده‌ها، پیشنهاد می‌شود، که از فرصت‌هایی مانند همایش‌ها و کنفرانس‌ها و جلسه‌های عمومی که در آنها بسیاری از خبرگان گرد می‌آیند، استفاده شود و در زمان‌های مقتضی در طول کنفرانس یا پس از جلسه داده‌ها جمع‌آوری شوند و (3) پیشنهاد می‌شود، که چنین پژوهشی در دیگر سازمان‌های هم‌سنخ با ادارة کل بنادر و دریانوردی استان خوزستان انجام شود، و نتایج آن با نتایج این پژوهش مقایسه گردد.