روح الله آل شیخ - عضو هیات علمی گروه مهندسی فناوری اطلاعات دانشگاه پیام نور صندوق پستی ۵۶۷۶۱ ۷۶۹۳ ، تهران، ایران

عملا هر جا را که بنگرید تهدیدات امنیتی وجود دارند.امنیت اطلاعات و داراییها، بهویژه در چند سال گذشته بر بیشتر تصمیمگیریهای جهان کسب و کار سایه افکنده است. ضمن آنکه در نهایت مهم انگاشتن امنیت کار خوب و مهمی است لیکن وقتی صحبت ازکاستن از ریسک در سازمان پیش میآید راهحلهایآسانی در دست نیست. بدتر از آن اینکه دانستن اینموضوع که باید چه گامهایی برای درمان ضعفهای امنیتی برداشته شود، بهخصوص اگر با محدودیتهای بودجهای و افزایش مدام تعداد تهدیدها هم روبهرو باشیم، بسیار دشوار است. با این توضیحات مبهوتماندن در مقابل حجم کاری که در حوزه ارزیابیامنیتی وجود دارد، بسیار آسان است. لیکن نباید اینطور باشد )نباید تسلیم شد(. برنامهریزی و اجرای مناسب به شما در امنسازی محیط و IT تان کمک خواهد کرد. و در برخی از موارد هم این قانون است که از سازمان شما خواهد خواست که چنین کنید.بنابراین تقریبا دیگر هیچ عذری برای برقرار نساختن یک استراتژی استوار و موثر امنیتی برای حال و آینده در دست نیست. متدولوژی ارایه شده در این مقاله شما را در مراحل لازم برای ممیزی، آنالیز و پرداختن به هرگونه ضعف IT امنیتی که ممکن است در داشتهها، سیاستها و روندهایشما موجود باشد راهنمایی میکند. هر یک از مراحل این متدولوژی به یکی از جنبههای خاص این ارزیابی همه جانبه خواهد پرداخت. با دنبال کردن این مراحل، جمعآوری دادههای مورد نیاز، اجرای ممیزیها و جمعبندی صحیح نتایج خواهید توانست زیربنای محکمی را برای یک استراتژی امنیتی رسمی پایهریزی نمایید.

متدولوژی ، امن سازی ، مخاطره ،کسب وکار، فناوری اطلاعات