اولین گام برای ایجاد یک برنامه جامع امنیت تجارت الکترونیک ، انجام یک ارزیابی کامل از ارزش و اهمیت تجارت الکترونیک در موفقیت کلی اهداف و برنامه تجاری شرکت است.گام بعدی باید ارزیابی آسیب پذیری سیستم تجارت الکترونیک شرکت از هر دو جنبهٔ تهدیات داخلی و خطرات موجود خارجی است.شناخت آسیب پذیریهای خارجی بسیار ساده تر از دیدن آسیب پذیری های خارجی است.با این وجود تمام تلاش ها باید در راستای شناخت حوزههایی باشد که سیستم از داخل مورد سوءاستفاده قرار میگیرد.این کار را میتوان به خوبی با صحبت با کاربران سیستم و توسعه دهندگان انجام داد.علاوه بر این بستههای نرم افزاری بسیاری هم وجود دارند که میتوانند توانایی نظارت بر استفاده کلی از سیستم و دسترسی داخلی به آن را دارند و میتوانند تحلیل کاملی از فعالیت های مشکوک احتمالی کاربران داخلی ارائه دهند.
گام بعد ایجاد یک طرح مستمر تجارت الکترونیک است که بطور شفاف تمام نقاط ضعف احتمالی ، روشهای جلوگیری و مقابله با آنها و برنامههای محتمل برای ترمیم نفوذها و و تهدیدهای امنیتی است.بسیاری از شرکت ها تمایل دارند به خود بقبولانند که داشتن برنامه ضد ویروس و دیوارههای آتش ، برای حفاظت از سیستم هایشان کافی است.داشتن چنین نرم افزارهایی گام نخست خوبی است اما حتی با این وجود نیز سیستم های تجارت الکترونیک با نقاط ضعف زیر روبرو هستند:
1. آتش سوزی و انفجار،
2. خرابکاری عمدی در سخت افزار ، نرم افزار و یا دادهها و اطلاعات،
3. دزدیده شدن نرم افزار و سخت افزار،
4. فقدان پرسنل کلیدی امنیت تجارت الکترونیک
5. فقدان برنامههای کاربردی
6. فقدان فناوری
7. فقدان ارتباطات
8. فقدان فروشندگان.
تهدیدها در هر یک از این حوزهها باید به دقت ارزیابی و طرح های محتمل ترمیم باید با جزئیات کامل برای مقابله با هر کدام تهیه شود.علاوه بر این باید در طرح افراد مسئول مدیریت و تصحیح مشکلات بوجود آمده از این نقائص معین گردند. فناوری های تجارت الکترونیک :سپس ، سازمان باید نرم افزارها و سخت افزارهایی که حفاظت از سیستم تجارت الکترونیک را برعهده دارند را ، ارزیابی کند.درک اینکه فناوری های مورد استفاده باید مناسب نیازهای شرکت بوده و برای تمام تهدیدهای امنیتی احتمالی سطحی از محافظت را فراهم کنند از اهمیت بسزایی برخوردار است.
حوزههای بحرانی که با مورد توجه قرار گیرند عبارتند از : حساسیت دادهها و اطلاعات در دسترس ، حجم ترافیک دسترسی و روشهای دسترسی.امنیت تجارت SSL (Secure Socket Layer) یا SET (Secure Electronic Transaction)الکترونیک مبتنی بر تکنولوژی باید با استفاده از الگوی امنیت شامل لایههای مختلف امنیتی باشد.هدف نهایی امنیت مبتنی بر فناوری باید فراهم کردن صحت ، یکپارچگی ، پنهان کردن و غیر قابل رد بودن موثر باشد.بسیاری از شرکت ها ،
در طول این مرحله ایجاد برنامه جامع امنیت تجارت الکترونیک از تجربه شرکت های دیگری که در زمینه ارزیابی سیستم های امنیتی مبتنی بر فناوری تخصص دارند ، استفاده می کنند.
افراد
مهمترین مولفه هر برنامه امنیتی موثری افرادی هستند که آنرا اجرا و مدیریت میکنند.نقائص امنیتی بیش از آنگه ناشی از سیستم باشند ، به وسیلهٔ افرادی که مدیریت سیستم را برعهده دارند و کاربران سیستم رخ میدهند.بیشتر مطالعات گذشته نشان داده اند تهدیدهای داخلی سیستم های تجارت الکترونیک اغلب بسیار مهمتر از تهدیدهای خارجی بوده اند.در بسیاری از موارد مجرمانی که در نفوذ به سیستم بوده اند یا دانش قبلی از سیستم داشته اند و یا شریک جرمی در داخل شرکت.مهمترین ابزاری که مدیریت برای کاهش تهدید داخلی در اختیار دارد آموزش کاربران داخلی سیستم و پرسنل مدیریت آن در مورد نتیجه اخلال در یکپارچگی و امنیت سیستم است.بسیاری از کاربران از این واقعیت که نفوذ به سیستم های اطلاعاتی جرم است و اخلالگران تحت پیگرد قانونی قرار میگیرند ، اطلاع دارند.شرکت ، با آگاهی دادن به کاربران و ترساندن آنها از عواقب این اعمال میتواند تا حد زیادی مانع آنها گردد.
راهبرد
ایجاد یک برنامه راهبردی موثر و بی عیب اهمیت بسیاری در امنیت تجارت الکترونیک دارد.چنین راهبردی باید شامل هدف کلی برنامه جامعه امنیت تجارت الکترونیک ، اهداف جزئی و محدوده آن باشد.این راهبرد باید در راستای راهبرد تجاری کلی تجارت الکترونیک شرکت باشد.یکی از اهداف جزئی این راهبرد میتواند حفاظت کامل از تمامی منابع تجارت الکترونیک شرکت و فراهم کردن امکان ترمیم هر اخلال با حداکثر سرعت ممکن باشد.علاوه بر این این برنامه باید شامل منابع مورد نیاز برای پشتیبانی از اهداف جزئی و کلی در کنار قیود و محدودیت های برنامه راهبردی و همچنین حاوی منابع انسانی کلیدی ، اجرای برنامههای امنیتی متفاوت در غالب بخشی از برنامه راهبردی باشد. ساختارهای مدیریتی و تصمیم سازان
مدیریت
موفقیت برنامه جامع امنیت تجارت الکترونیک در گروی مدیریت موثر چنین برنامهای است.پشتیبانی مدیریت ، از مدیران رده بالا شروع و در تمام سطوح ادامه مییابد.چنین برنامهای در شرکت های بزرگ باید مستقیما بوسیله یک مدیر ارشد و در شرکت های متوسط و کوچکتر بوسیله رئیس یا صاحب آن شرکت اداره و نظارت گردد.مسئولیت اصلی مدیر برنامه به روز نگه داشتن کامل برنامه ، اجرای برنامههای آن و ارزیابی مجدد برنامههای موجود است.
بخشی از فعالیت های چنین فردی آموختن راهکارهای عملی موثر در برنامه امنیتی سایر سازمانهاست که میتواند آنرا با مطالعه مقالات ، کتب و مطالعات موردی منتشر شده بدست آورد.
با وجود تمام مزایایی که تجارت الکترونیک بهمراه دارد ، انجام تراکنش ها و ارتباطات آنلاین محملی بزرگتر برای سوء استفاده از فناوری و حتی اعمال مجرمانه فراهم میکند.این مشکلات تنها مختص تجارت الکترونیک نیست و بخشی از مشکلات گسترده ایست که در سراسر جهان گریبانگیر سیستم های اطلاعاتی و کامپیوتری هستند.هر ساله سازمان های بسیاری هدف جرائم مرتبط با امنیت ، از حملات ویروسی گرفته تا کلاه برداری های تجاری از قبیل سرقت اطلاعات حساس تجاری و اطلاعات محرمانه کارت های اعتباری ، قرار میگیرند.چنین حملات امنیتی موجب میلیون ها دلار ضرر و اخلال در فعالیت شرکت ها میشوند. بسیاری از گزارشگران و مشاوران هزینه خسارات مرتبط با نقائص امنیتی را تا میلیاردها دلار برآورد کرده اند.با اینحال آنچه مهمتر از صحت میزان این خسارات است ، این واقعیت است که با افزایش کاربران سیستم های اطلاعاتی ، دسترسی آسان به اطلاعات و رشد فزاینده کاربران مطلع (فنی) میتوان به راحتی فرض کرد که تعداد این سوء استفادهها از فناوری و تهدیدهای امنیتی نیز به همین نسبت افزایش یابد. متاسفانه ، از آنجا که بسیاری از شرکت ها دوست ندارند نفوذ به سیستمشان را تایید و اطلاعاتشان در مورد این نفوذها و وسعت آنها را با دیگران به اشتراک بگذارند ، میزان دقیق خساراتی که شرکت ها از جرائم مرتبط با امنیت متحمل شده اند ، را نمیتوان بدست آورد.بی میلی به ارائه اطلاعات مربوط به نقائص امنیتی ، از این ترس معمول ناشی می میشود که اطلاع عموم از چنین نقائصی باعث بی اعتمادی مشتریان نسبت به توانایی شرکت در حفظ داراییهای خود میشود و شرکت با این کار مشریان خود و در نتیجه سوددهی اش را از دست خواهد داد.از آنجایی که مصرف کنندگان امروزی نسبت به ارائه آن لاین اطلاعات مالی بی اعتماد اند ، شرکت ها با تایید داوطلبانه این واقعیت که قربانی جرائم مرتبط با امنیت شده اند ، چیزی بدست نمیآورند.با هیجانات رسانهای که امروزه دور و بر اینترنت و قابلیت های آن وجود دارد ، حفظ یک تصویر مثبت از امنیت تجارت الکترونیک در اذهان ، دغدغه شماره یک بسیاری از شرکت ها است و برای بقاء و باقی ماندن در رقابت کاملا ضروری است. نبود اطلاعات دست اول از موارد واقعی برنامه ریزی و مقابله با تهدیدهای امنیتی را بسیار مشکلتر کرده است اما با این وجود هم فناوری ها و روشهای امنیت اطلاعات و فنون کلی مدیریتی در برنامه ریزی و حفاظت از منابع فناوری اطلاعات سازمان ، در یک دهه گذشته پیشرفت قابل توجهی داشته اند.اکنون خبرگانی هستند که در حوزه امنیت سایبر تخصص پیدا کرده اند و راهکارهای زیادی برای حفاظت از فناوری های تجارت الکترونیک از مجرمین بالقوه فضای سایبر دارند.بسیاری از شرکت ها دریافته اند که برای موفقیت در تجارت الکترونیم ، علاوه بر روشهای امنیتی که برای حفاظت از منابع فناوری اطلاعات طراحی شده اند ، نیازمند سرمایه گذاری و برنامه ریزی برای ایجاد یک برنامه جامع امنیت هستند تا بدان طریق از داراییهایشان در اینترنت محافظت و از نفوذ مجرمین به سیستم هایشان که موجب خسارت دیدن فعالیت های تجارت الکترونیک آنها میشود جلوگیری کنند. برنامه جامع امنیت تجارت الکترونیک شامل برنامههای حفاظتی که از فناوری های موجود (نرم افزار و سخت افزار) ، افراد ، برنامه ریزی راهبردی استفاده میکنند و برنامههای مدیریتی که برای حفاظت از منابع و عملیات تجارت الکترونیک شرکت طراحی و اجرا میشوند ، است.چنین برنامهای برای بقاء کلی فعالیت های تجارت الکترونیک شرکت حیاتی است و سازمان باید آنرا به عنوان مولفهای اساسی در راهبرد تجارت الکترونیک موفق به حساب آورد.موفقیت چنین برنامههایی به حمایت کامل مدیران رده بالا و مشارکت کامل بخش فناوری اطلاعات و مدیریت در جهت درک تاثیر گذاری و محدودیت های برنامه است.علاوه بر این برای اطمینان از بروز بودن این برنامه و ابزارهای آن و هماهنگی با آخرین فناوری ها و فنون مدیریت ، باید آن را بطور مداوم مورد ارزیابی و سنجش قرار داد.
http://pasakgroup.com