ضرورت راهبردی مدیریت امنیت اطلاعات در دانشگاه
تهدیدات سایبری، آسیبپذیریهای انسانی و فنی، و وقوع بحرانهایی چون پاندمیها، ضرورت توجه راهبردی به امنیت اطلاعات را دوچندان کردهاند.
چکیده در عصر دیجیتال، دانشگاههای علوم پزشکی در نقشهای چندگانه آموزشی، پژوهشی، بهداشتی و درمانی، بهطور فزایندهای وابسته به دادههای الکترونیکی و زیرساختهای اطلاعاتی هستند. تهدیدات سایبری، آسیبپذیریهای انسانی و فنی، و وقوع بحرانهایی چون پاندمیها، ضرورت توجه راهبردی به امنیت اطلاعات را دوچندان کردهاند. این مقاله با مرور تحلیلی بر چالشها، الزامات، فناوریها، و راهکارهای ارتقای امنیت اطلاعات در دانشگاههای علوم پزشکی، بر توسعه تابآوری سازمانی تاکید دارد. کلیدواژهها: امنیت اطلاعات، تابآوری سایبری، دانشگاه علوم پزشکی، مدیریت بحران، زیرساخت دیجیتال ۱. مقدمه امروزه اطلاعات در سازما نها، موسسات پیشرفته و جوامع علمی به عنوان شاهرگ حیاتی محسوب می گردد. به طور کلی ارزش اطلاعات به منابع اطلاعات، مکان اطلاعات و زمان اطلاعات بستگی دارد .در هر سازمان روزانه، اطلاعات زیادی تولید می شود و ضروری است نظام های اطلاعاتی قدرتمندی به وجود آید که بتواند این گونه اطلاعات را به طور صحیح و فوری پردازش کند و برای پیشبرد اهداف مدیریت سازمان، اطلاعات مفیدی فراهم سازد. سازمان های آموزشی و دانشگاه ها نیز از این امر مستثنی نیستند و به اطلاعاتی صحیح، دقیق و روزآمد نیاز دارند تا بر مبنای آن بتوانند تصمیماتی بخردانه و درست بگیرند. [8] تحول دیجیتال در نظام سلامت، منجر به وابستگی گسترده دانشگاههای علوم پزشکی به زیرساختهای اطلاعاتی شده است. اطلاعات بیماران، پژوهشهای پزشکی، پروندههای آموزشی و سامانههای اداری، همگی در معرض تهدیداتی مانند حملات سایبری، نشت داده و اختلال عملکرد قرار دارند. بروز بحرانهایی مانند همهگیری کووید-۱۹، این ضرورت را دوچندان کرده که زیرساختها نهتنها ایمن بلکه تابآور باشند. امنیت اطلاعات در این فضا به عنوان ستون فقرات خدمات سلامت مدرن، به عنوان یکی از اولویتهای سیاستگذاران و مدیران دانشگاهی مطرح خواهد بود. [1] ۲. تعریف مدیریت امنیت اطلاعات و پیشینه تاریخی مدیریت امنیت اطلاعات (Information Security Management) به مجموعهای از سیاستها، فرآیندها، ابزارها و رویهها اطلاق میشود که با هدف محافظت از محرمانگی (Confidentiality)، صحت (Integrity) و دسترسیپذیری (Availability) اطلاعات طراحی شدهاند. این سه اصل بهعنوان "مثلث CIA"شناخته میشوند. [1] در نظام سلامت جهانی، نخستین توجه جدی به امنیت اطلاعات با قانون [1]HIPAA در ایالات متحده (1996) آغاز شد که الزامات سختگیرانهای برای حفاظت از اطلاعات سلامت بیماران اعمال کرد. [9] در اروپا نیز با اجرای [2]GDPR، تمرکز بیشتری بر رضایت بیمار و حفاظت فنی اطلاعات اعمال شده است. در ایران، آییننامههای متعددی از سوی وزارت بهداشت منتشر شدهاند، اما همچنان نیاز به یکپارچگی و الزام اجرایی احساس میشود. ۳. مطالعه تطبیقی بینالمللی بسیاری از کشورها در پیادهسازی سیاستهای جامع امنیت سلامت دیجیتال، گامهای مهمی برداشتهاند. جدول ا خلاصه ای از بررسی شرایط کلی ساختار امنیت اطلاعات در سه کشور فنلاند، استونی و بریتانیا را نشان می دهد. با مطالعه و بررسی بیشتر و مقایسه با شرایط فعلی ایران می توان از این تجربیات و نقاط ضعف و قوت آنها استفاده کرد. جدول 1- مطالعه تطبیقی مدیریت امنیت اطلاعات سلامت در برخی کشورهای جهان
|
|
4. تحلیل سیاستگذاری و حکمرانی
در سطح حکمرانی، امنیت اطلاعات در دانشگاههای علوم پزشکی جزئی از استراتژی تحول دیجیتال سلامت در نظر گرفته می شود. این حکمرانی شامل چهار عنصر کلیدی می تواند مدنظر گیرد:
چارچوب قانونی الزامآور برای همه دانشگاهها
تدوین استانداردهای بومیشده امنیت اطلاعات سلامت
پایش و ارزیابی مستمر امنیت دیجیتال در مراکز دانشگاهی
تقویت نقش نهادهای تنظیمگر مستقل در حوزه سلامت دیجیتال
۵. تهدیدات رایج
به طور کلی تهدیدات را می توان در سه دسته تقسیم بندی کرد:
فنی: حملات باجافزار، آسیبپذیریهای نرمافزار، نفوذ از راه دور
انسانی: مهندسی اجتماعی، فیشینگ، ناآگاهی کاربران
سازمانی: عدم تدوین خطمشی امنیتی، پاسخدهی ناکارآمد به رخدادها
6. سامانهها و فناوریهای امنیت اطلاعات
استفاده از سامانههای فناورانه در دانشگاههای علوم پزشکی شامل طیف متنوعی از زیرساختها و نرمافزارهای حیاتی است که باید با ملاحظات امنیتی ویژه طراحی و مدیریت شوند:
Security Information and Event Management (SIEM):
Next Generation Firewall (NGFW):
سامانه مدیریت اطلاعات و رویدادهای امنیتی با هدف جمعآوری، همبستهسازی و تحلیل بلادرنگ دادههای امنیتی از منابع گوناگون مانند سرورها، نرمافزارها و شبکهها. SIEM کمک میکند تهدیدات پیچیده سریعتر شناسایی و گزارشدهی شوند. [14]
فایروال نسل جدید با قابلیت شناسایی تهدید در لایههای بالاتر شبکه (برنامهها و محتوا) و کنترل دقیق بر کاربران و دادهها. این فناوری نسبت به فایروالهای سنتی، عملکرد هوشمندتر و انعطافپذیرتری دارد.[15]
Endpoint Detection and Response (EDR):
سامانههای شناسایی و پاسخ به تهدیدات در سطح نقاط پایانی (مانند رایانههای کاربران). این ابزارها قابلیت تحلیل رفتار مشکوک، جلوگیری از نفوذ و پاسخ سریع به رخدادهای امنیتی را دارند. [16]
Mobile Device Management (MDM):
مدیریت امنیتی تجهیزات همراه مانند گوشیها و تبلتهای مورد استفاده در بیمارستان یا توسط اعضای هیئتعلمی. با MDM میتوان سیاستهای امنیتی مانند رمزگذاری، حذف از راه دور و کنترل دسترسی را پیادهسازی کرد.[17]
Data Loss Prevention (DLP):
سامانههای جلوگیری از نشت اطلاعات که با پایش محتوا و فعالیت کاربران مانع خروج دادههای حساس از سازمان از طریق چاپ، کپی، ایمیل و USB میشوند. [18]
End-to-End Encryption:
رمزنگاری سراسری برای حفاظت از اطلاعات در زمان ارسال یا ذخیرهسازی. برای تبادل ایمن اطلاعات بیماران، پژوهشها یا مکاتبات رسمی حیاتی است. [19]
Multi-Factor Authentication (MFA):
استفاده از چند عامل (مثلاً رمز عبور + کد پیامکی یا اثر انگشت) برای احراز هویت ایمن در سامانههای اطلاعاتی مانند HIS یا سامانههای آموزشی.[20]
Backup & Disaster Recovery:
سامانههای پشتیبانگیری و بازیابی اطلاعات در شرایط بحران یا حمله سایبری برای جلوگیری از از بینرفتن دادههای حیاتی. [21]
7. راهبردهای امنیتی
راهبردها باید از حالت سنتی دفاعی صرف فراتر رفته و به سمت رویکردهای هوشمند، پیشدستانه و چندلایه حرکت کنند:
پیشگیرانه: سیاست امنیتی، رمزگذاری، محدودسازی دسترسی
شناسایی: مانیتورینگ مستمر، سیستمهای هشداردهنده خودکار
واکنشی: برنامههای بازیابی، مراکز واکنش سریع، تمرین بحران
8. چارچوبهای مرجع امنیت اطلاعات
چارچوبهای مرجع امنیت اطلاعات، مجموعهای از استانداردها، دستورالعملها و بهترین روشها هستند که سازمانها میتوانند برای مدیریت و حفاظت از اطلاعات خود از آنها استفاده کنند. این چارچوبها به سازمانها کمک میکنند تا یک سیستم مدیریت امنیت اطلاعات موثر ایجاد کنند و ریسکهای امنیتی را به حداقل برسانند.
در دنیای امروز که جرایم سایبری و تهدیدات امنیتی رو به افزایش است، استفاده از چارچوبهای مرجع امنیت اطلاعات برای سازمانها امری ضروری است. این چارچوبها به سازمانها کمک میکنند تا از اطلاعات حساس خود محافظت کنند و از آسیبها و خسارات ناشی از حوادث امنیتی جلوگیری کنند.
به طور خلاصه، چارچوبهای مرجع امنیت اطلاعات یک ابزار حیاتی برای سازمانها هستند تا بتوانند امنیت اطلاعات خود را به طور موثر مدیریت کنند و از تهدیدات سایبری محافظت کنند. انتخاب چارچوب مناسب و پیادهسازی آن با توجه به نیازها و الزامات سازمان، کلید موفقیت در این زمینه است.
برخی از استانداردها و چارچوبهای مرجع مهم امنیت اطلاعات عبارتند از:
Information Security Management System (ISMS - ISO/IEC 27001):
سیستم مدیریت امنیت اطلاعات بر پایه استاندارد بینالمللی که شامل ارزیابی ریسک، پیادهسازی کنترلها، و بهبود مستمر است. [1]
ISO 27799:
مکمل ISO 27001 برای محیط سلامت، تمرکز بر محافظت از اطلاعات سلامت بیماران و تضمین امنیت سامانههای اطلاعات سلامت دارد.[22]
Control Objectives for Information and Related Technologies (COBIT):
چارچوب راهبری فناوری اطلاعات که تمرکز آن بر همراستاسازی اهداف IT با اهداف سازمانی و ارزیابی عملکرد و ارزشافزایی IT است.[23]
NIST Cybersecurity Framework (CSF):
چارچوبی شامل پنج حوزه اصلی (شناسایی، حفاظت، شناسایی، واکنش، بازیابی) که بهطور گسترده برای مدیریت امنیت سایبری در سازمانهای درمانی و دانشگاهی قابل پیادهسازی است.[24]
9. تابآوری سایبری
تابآوری یعنی ظرفیت سیستم برای حفظ کارکرد در زمان بحران و بازیابی سریع پس از اختلال. ابعاد آن شامل:
تابآوری فنی: بکاپگیری، Redundancy، زیرساخت مقاوم
تابآوری انسانی: آموزش، آمادگی ذهنی، تمرین شبیهسازی
تابآوری سازمانی: هماهنگی بین واحدی، سیاست بحران، واکنش سریع
10. نتیجهگیری
دانشگاههای علوم پزشکی به عنوان نهادهای پیشران سلامت عمومی و تولید علم، باید نگاهی همه جانبه و کلنگر به امنیت اطلاعات داشته باشند. این امر مستلزم همراستایی حکمرانی دیجیتال، فناوری هوشمند، تربیت منابع انسانی متخصص و بهکارگیری چارچوبهای جهانی بومیشده است
.
منبع:
ISO/IEC 27001:2013 - Information security management systems.
ISO/IEC 27001:2022 - Information security management systems
Brotby, K. (2009). Information security governance: a practical development and implementation approach. John Wiley & Sons.
Rahim, M. J., Rahim, M. I. I., Afroz, A., & Akinola, O. (2024). Cybersecurity threats in healthcare it: Challenges, risks, and mitigation strategies. Journal of Artificial Intelligence General science (JAIGS) ISSN: 3006-4023, 6(1), 438-462.
Vaishnav, R., Panditi, M. D. D., Dhiman, V., Aarthy, C. C. J., Kumari, Y. S., & Mohiddin, M. K. (2022). Data security in healthcare management analysis and future prospects. Materials Today: Proceedings, 51, 2202-2206.
National Institute of Standards and Technology (NIST). Cybersecurity Framework. Cybersecurity Framework | NIST
ISACA. COBIT 2019 Framework COBIT | Control Objectives for Information Technologies | ISACA
OWASP Foundation. (2023). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
شیخ ابومسعودی، روح اله، کوهی حبیبی، سحر، عطایی، مریم، و اسماعیلی، نازیلا. (1394). ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001. مجله دانشگاه علوم پزشکی کرمان، 12(3 (پیاپی 43) )، 306-316. SID. https://sid.ir/paper/519363/fa
HIPAA Home | HHS.gov
General Data Protection Regulation (GDPR) – Legal Text
Kanta.fi - Kanta.fi
EHR Blockchain - Blockchain-based Electronic Health Records
NHS England » Cyber security
What Is SIEM? | Microsoft Security
What Is a Next-Generation Firewall (NGFW)? - Cisco
What Is EDR? Endpoint Detection and Response | Microsoft Security
https://www.ibm.com/think/topics/mobile-device-management
What is data loss prevention (DLP)? | Microsoft Security
https://www.ibm.com/think/topics/end-to-end-encryption
What is: Multifactor Authentication - Microsoft Support
https://www.ibm.com/think/topics/backup-disaster-recovey
ISO 27799:2016 - Information security management in health using ISO/IEC 27002
What is COBIT 5? Definition & Explanation
Cybersecurity Framework | NIST
نویسنده: نویده خدائی سمت، محل کار: کارشناس فناوری اطلاعات مرکز آموزش هوشمند