نقش به کارگیری مدیریت امنیت اطلاعات در کاهش تقویت‌پذیری سفارشات در زنجیره‌های تأمين

مقدمه

      رقابت شرکت‌ها در بازارهای جهانی، از دهه 1990، روند رو به رشدی داشته است .شرکت‌ها برای دستیابی به توان رقابتی بیشتر، به دنبال افزایش رضایت مشتریان و بهبود کارایی کسب و کار خود هستند. تحویل به موقع محصولات به مشتریان با قیمت تمام شده کمتر، توان رقابتی شرکت‌ها را بالا می‌برد . شرکت‌ها تشخیص داده‌اند که بدون تمرکز بر زنجیره تأمين نمی‌توانند بهبود کارایی در سازمان و عملکرد کسب و کار خود داشته باشند. دستاورد‌های مدیریت زنجیره تأمين که شامل کلیه فعاليت‌هاي جابجایی مواد (مواد اولیه تا محصول نهايي)، جريان اطلاعات، و تبادلات مالي است ، موجب افزایش عملکرد کسب و کار و افزایش توان رقابتی شرکت‌ها در بازار‌های جهانی می‌گردد.

     با توجه به گسترش استفاده از اینترنت، تبادلات اطلاعاتی و هزینه‌های صرف شده برای یکپارچگی اطلاعاتی، امروزه مبحث مدیریت، کنترل و جابجایی اطلاعات و وجود یک سیستم جامع برای مدیریت امنیت اطلاعات، بیش از پیش، احساس می‌شود. از زمانی که مبحث امنیت سرمایه‌های فیزیکی مطرح گردید، موضوع امنیت اطلاعات به وجود آمد (زیرا خود اطلاعات، نوعی سرمایه به حساب می‌آید). این دو موضوع را می‌توان پشتوانه یکدیگر دانست که در کنار هم، استخوان بندی کنترل امنیت شرکت‌ها را به وجود می‌آورند.  با توجه به تغییرات به وجود آمده در فرایندها وکسب وکارهای سازمانی، شرکت‌ها برای بقاء و حفظ موقعیت رقابتی خود، نیازمند استفاده از فناوري اطلاعات در تبادل اطلاعات، تبادلات مالی و نظارت هستند. سازمان‌های کوچک و بزرگ، بیش از پیش، این فناوری را برای کنترل و تسریع در کسب و کارهای خود مورد استفاده قرار داده‌اند، خصوصاً در صنایع خودروسازی ـ به دلیل گسترده بودن از نظر فیزیکی و اطلاعاتی ـ نیاز به استفاده از این سیستم در فرایندهای مالی، مدیریت زنجیره تأمين و تبادل اطلاعات احساس می‌شود. یکی از مهمترین بخش‌هایی که در کارایی سازمانی نقش دارد، مدیریت زنجیره تأمين است. کارایی مدیریت زنجیره تأمين، اثر مستقیمی بر کارایی سازمانی دارد. از آنجا که مدیریت زنجیره تأمين، طیف وسیعی از فرایندهای سازمان‌ها از جمله تبادلات مالی، فیزیکی و اطلاعاتی از تأمين‌کنندگان تا مشتریان را در بر می‌گیرد، نیاز به یک سیستم دقیق کنترل صحت و دقت اطلاعات و همچنین کنترل تبادلات فیزیکی وجود دارد. در این راستا، مدیریت امنیت اطلاعات برای ایجاد امنیت در پیدایش و تبادل اطلاعات و همچنین تبادلات فیزیکی، بر اساس یک سیستم مدیریتی مبتنی بر استاندارد‌هایی ازقبیل BS7799، ISO/IEC 27001 و گزارش فنی ISO/IEC TR 13335، ـ که از برجسته‌ترين استانداردها و راهنماهاي فني در این زمینه محسوب مي‌گردند عمل می‌کند. از سوی دیگر یکی از مباحث مطرح در زنجیره تأمين، تقویت‌پذیری سفارش‌ها یا اثر شلاقی و بررسی عوامل آن است. تقویت‌پذیری سفارش‌ها، بازگوکننده تغییرات در مقدار تقاضا و سفارش در طول زنجیره از سمت مشتری به سمت بالای آن است. سیستم مدیریت امنیت اطلاعات (ISMS) مي‌تواند از طریق یکسان‌سازی، افزایش‌کنترل، و متمرکزکردن کنترل سیستم‌های اطلاعاتی، بر عوامل پدید آورنده تقویت‌پذیری سفارش‌ها از قبیل تعداد سطوح، زمان انتظار مواد و اطلاعات و غیره ـ تاثیرگذار باشد. لذا انتظار می‌رود ISMS ـ که تضمين‌کننده رسيدن اطلاعات صحيح و به موقع به صورت یک سیستم با کنترل مرکزی و دقیق است ـ بر کاهش تقویت‌پذیری سفارش‌ها تاثیر داشته باشد و موجب افزایش کارایی زنجیره تأمين گردد. لذا تحقیقی شکل گرفت که به این سوال پاسخ دهد: آیا رابطه‌ای میان به‌کارگیری ISMS و تقویت‌پذیری سفارش‌ها وجود دارد؟

    
سیستم مدیریت امنیت اطلاعات

    با پیدایش اولين استاندارد مديريت امنيت اطلاعات در 1995، نگرش سيستماتيك به مقوله ايمن‌سازي فضاي تبادل اطلاعات شكل گرفت. بر اساس اين نگرش، تأمين امنيت فضاي تبادل اطلاعات در سازمان‌ها، به یکباره مقدور نمي‌باشد و لازم است به صورت مداوم در يك چرخه ايمن‌سازي شامل مراحل طراحي، پیاده‌سازی،

بررسي امنيت در تجارت الكترونيكي

از آنجا كه اينترنت شبكه اي باز است، رسوخ گران مي توانند از راه هاي گوناگون بدان راه يابند. در تجارت الكترونيكي كه ميان دو سازمان، يا خريدار و سازمان انجام مي شود خطراتي بسيار، دو سوي بازرگاني را تهديد مي كند.
با به گارگيري كامپيوتر در كارهاي بازرگاني سازمان ها، افزون بر شيوه هاي فيزيكي كه در گذشته براي حفاظت از اطلاعات به كار مي رفت نياز به تامين امنيت اطلاعات به كمك ابزارهاي خودكار نيز به ميان آمد. هم گام با پيوند يافتن سيستم هاي كامپيوتري سازمان ها به كمك شبكه ها، امنيت اطلاعات يا حفاظت از داده ها در هنگام مخابره در شبكه هاي كامپيوتري نيز ابعاد تازه اي به خود گرفت.
در بيشتر جهان، كاربرد تبادل الكترونيكي داده ها براي مبادله اسناد بازرگاني ميان شركت ها، همواره رو به گسترش است. از اين دست مي توان اسناد معاملات بازرگاني، اسناد پرداخت، مدارك حمل و نقل را نام برد.
در سازمان هايي كه به امكانات مبادله الكترونيكي اطلاعات مجهز نيستند، كاربرد كامپيوتر در كارهاي بازرگاني با نرم افزارهاي مبادله الكترونيكي داده ها و رابط هاي ارتباطي آميخته شده اند، تا راه حل كارآمدي براي كارهاي بازرگاني ارايه شود. در تبديل شيوه هاي سنتي مبتني بر كاغذ، به شيوه هاي الكترونيكي تبادل اسناد، امنيت اهميتي ويژه دارد بايد بكوشيم تا مبادلات الكترونيكي اطلاعات به جايگزين سيستم هاي كاغذي مي شود، دست كم همان سطح ايمني شيوه هاي سنتي را داراست.

خطرات تهديد كننده تجارت الكترونيكي
 

گسترش تجارت الكترونيكي نيازمند بستري ايمن براي مخابره و دريافت اسناد بازرگاني و اطلاعات است. اين فناوري نوين، در همان حال كه دقت و سرعت پردازش را افزايش چشمگيري بخشيده است، بايد پاسخگوي مسايل و خطراتي باشد كه براي آن پيش مي آيد.

در تجارت الكترونيكي افزون بر دو سوي اصلي بازرگاني يعني خريدار و فروشنده بانك هاي اين دو و واسطه ها و حمل كنندگان كالا نيز با كار درگير هستند. به طور كلي خريد و فروش كالا در اينترنت، از هنگام ديدن كاتالوگ ها و گزينش كالا و فروشنده دلخواه تا دادن سفارش و فرستادن اطلاعات مالي خريدار و فروشنده، پذيرش و سرانجام تحويل كالا و پرداخت است.

در هر يك از گام هاي بالا، پيام هاي الكترونيكي ميان خريدار، فروشنده و بانكهاي آن دو با عنوان درخواست و پاسخ رد و بدل مي گردد. خطراتي بسيار اين كارها را تهديد مي كند، كه مي توان گم شدن، دزديده شدن و يا دگرگوني هر يك از پيام ها، را نام برد. البته دسته اي ديگر از خطرها مانند سيل و زمين لرزه نيز وجود دارد كه به امنيت سيستم ها و يا شبكه ها ربطي ندارد،‌ اما بر كارهاي سازماني اثر مي گذارد.

در تجارت الكترونيكي خطرها و تهديدها با اين روش دسته بندي مي شوند: برخي ارتباطات و انتقالات را تهديد مي كنند، برخي ديگر منابع و چندي هم تهديدهاي انساني هستند و خطراتي هم ممكن است از ناكارايي سيستم ريشه گيرد، يا به دست افراد غير مجاز و سود استفاده كننده رخ دهد.

مسايل مهم امنيتي در تجارت الكترونيكي
 

براي انجام داد و ستدهاي الكترونيكي، بايد به مسايل امنيتي توجه شود تا مشكلي براي خريدار و فروشنده پيش نيايد. پس بايد به سرويس هاي امنيتي كارآمد براي منابع و ارتباطات انديشيد. در اين بخش مهم ترين مسايل ايمني همراه با خطرات و تدابير رويارويي با آنها به طور خلاصه بيان شده است.

اما گفتني است كه با وجود اين سرويس ها و تدابير، هنوز هم امنيت صد در صد براي تجارت الكترونيكي به دست نيامده است.

تاييد هويت يا اصالت
 

كه به موجب آن، فرد يا سازمان بتواند هويت خود را اثبات كند، فرآيندي است كه تضمين مي كند يك هويت همان است ه ادعا مي شود. سرويس هاي تاييد هويت، درستي يا نادرستي هويت طرف هاي بازرگاني در معامله را هويدا مي كنند. واژگان رمز،‌گواهي ها روش هاي زيست سنجي از خطر جعل هويت مي كاهند.

مجوز
 

كه سيستم با آن مي تواند دسترسي به منابع را پس از تاييد هويت مبادله گران كنترل كند. تشخيص مجوز فرايندي است كه روشن مي كند يك سرويس گيرنده اجازه انجام چه كارهايي را دارد و يك هويت چه جايگاهي در دسترسي به منابع خواهد داشت.

رخداد خطرات دسترسي بدون مجوز به منابع سيستم با ايجاد محدوديت به كمك ليست هاي كنترل دستيابي براي تعيين اينكه چه كساني اجازه دستيابي به منابع را دارند كاهش مي يابد.

محرمانگي و خصوصي بودن
 

محرمانه نگه داشتن محتويات پيام هاي مبادله شده ميان طرف هاي مجاز را تضمين مي كند. سرويس هاي خصوصي بودن از آشكار شدن داده ها و اطلاعات شخصي كاربرا براي افراد و سازمانهاي غير مجاز، جلوگيري مي كند. اين سرويس ها تضمين مي كنند كه داده فرستاده شده روي شبكه تا زماني كه در راه است خوانده نشود. براي اينكار، اين گونه سرويس ها حفاظت پيام ها را در برابر سو استفاده، رهگيري و شنود تامين مي كنند.

به كمك رمز نگاري پيام ها، دسترسي غيرمجاز به پيام ها توسط افراد درون سازماني يا برون سازماني، با رهگيري هنگام مخابره دشوارتر مي شود.

تماميت يا درستي داده ها
 

براي جلوگيري از دستكاري، يا حذف ناخواسته پيام ها مي باشد. سرويس هاي تمين تماميت اطلاعات مي كوشند تا داده فرستاده شده در شبكه، در طول راه دچار دگرگوني يا گم نشود.

بدون اين سرويس ها، يك شخص غير مجاز ممكن است يك بسته يا پيام را از شبكه بگيرد، آنرا تغيير دهد و دوباره در جريان اندازد، بدون اينكه تغييرات براي گيرنده بسته يا پيام آشكار شود. با تاييد بسته به بسته و رمز نگاري پيام ها مي توان بروز اشتباه تصادفي يا متقلبانه در هنگام ورود داده ها ونيز تخريب و تغيير پيام ها را كاهش داد.

عدم انكار ارسال و دريافت پيام
 

توانايي تضمين اينكه، طرفين معامله نتوانند محتويات پيام مبادله شده را انكار كنند. با سرويس هاي انكار ناپذيري، فرستنده و گيرنده نمي توانند ارسال و دريافت پيام را انكار كنند.

تاييد اصالت پيام با آميزه اي از آنچه كه كاربر مي داند، آنچه كه كاربر در اختيار دارد و يا ويژگي هاي فيزيكي كاربر مانند روش هاي زيست سنجي در برابر جعل هويت و انكار پيام ها به بازرگانان ياري مي رساند.

در دسترس بودن
 

امكان دسترسي به داده ها در زمان و مكان مناسب همراه با ايمني از دسترسي غير مجاز به داده را تامين مي كند. از خطرهاي تهديد كننده اين ويژگي مي توان خطاي شبكه، قطع برق، اشتباهات عملياتي، اشتباهات كاربردي، خطاي سخت افزار، خطاي نرم افزار سيستم و ويروس ها را نام برد كه با گزينش راه هاي ارتباطي جايگزين، پيش گيري از قطع برق، آزمايش كيفيت نرم افزار و سخت افزارها، محدود ساختن دسترسي و تامين سيستم پشتياني داده ها از آنها كاسته مي شود.

منبع:ماهنامه تجارت الكترونيك

تجارت الکترونیک در گرو امنیت سیستم های بانکی است

سیستم های بانکداری الکترونیکی این امکان را برای کاربر فراهم می کند تا سریع و آسان کلیه کارهای بانکی خود را از طریق تلفن ثابت، تلفن همراه(WAP)، دستگاه های خود پرداز(ATM) و یا اینترنت انجام دهد. باگسترش فناوری انواع سیستم های بانکداری الکترونیکی نیز ایجاد شده است که هر یک از آنها ابعاد تازه ای را در زمینه تبادل اطلاعات میان کاربر و بانک ارایه کرده که از ATMها می توان به عنوان نخستین سیستم شناخته شده در بانکداری الکترونیک اشاره کرد. ۳۰۰ هزار پایانه کارت اعتباری سهم ایران از ۳۷ میلیون پایانه در جهان بسیاری از کارشناسان دستگاه های خودپرداز را سرآغازی در بانکداری الکترونیکی می دانند.
عبدالحمید منصوری، معاون فناوری اطلاعات شرکت تجارت الکترونیک پارسیان می گوید: طبق بررسی‌های صورت گرفته توسط بانک مرکزی، ۳۰۰ هزار دستگاه کارت خوان باید در سراسر کشور نصب شود تا پدیده کارت الکترونیکی در کشور به صورت عمومی درآید.
او می‌گوید: برای فراگیر شدن این تکنولوژی در کشور، باید ۱۰ میلیون کارت در اختیار کاربران قرار گیرد و علاوه بر تمرکز روی این فناوری به عنوان پول الکترونیکی باید با فرهنگسازی لازم، بستر رشد این تکنولوژی فراهم شود.وی با اشاره به نقاط ضعف و قوت پول الکترونیکی می‌گوید: نقاط ضعف موجود در پول الکترونیکی، بسیار پایینتر ار نقاط قوت آن است و برای فراگیر شدن این پدیده در کشور، سرمایه‌گذاری‌های سنگین و برنامه‌ریزی منسجم موردنیاز است.
منصوری می افزاید: در سراسر جهان، ۳۷ میلیون پایانه کارت اعتباری وجود دارد، ولی متاسفانه سهم ایران از این تعداد ۳۰۰ هزار پایانه است که آن هم در صورت نصب تمامی پایانه‌ها محقق خواهد شد. بانک مرکزی عهده دار تامین امنیت نرم افزاری است
مهمترین و شاید اصلی ترین موضوع در بانکداری الکترونیک بحث امنیت است و نخستین موضوع مهم در بحث امنیت، ایجاد یک کانال امن است تا داده ها یکپارچه و با اطمینان میان کاربر و بانک تبادل شود. مهندس رحیمی صفت، مدیر فناوری اطلاعات بانک اقتصاد نوین، پس از تقویت زیر ساخت های ارتباطی لازم ، امنیت را مهمترین اصل برای ایجاد بانکداری الکترونیکی می داند.
او معتقد است که سخت افزار و نرم افزاری که بتواند امنیت کامل را ایجاد کند در ایران وجود ندارد و می گوید: هر چه توان امنیتی در سیستم ها افزایش یابد به طبع آن قدرت هکرها نیز بالا میرود.
رحیمی صفت بر این باوراست که امنیت سخت افزاری بر عهده خود بانک ها است اما امنیت نرم افزاری را بانک مرکزی باید تامین کند.
نبود امنیت های لازم در سیستم بانکداری الکترونیکی ، مشتریان خدمات مالی و اعتباری را بر این باور رسانده است که استفاده از بانکداری الکترونیکی با شکست روبه رو خواهد شد.
بیمه یا امنیت؟ مسئله کدام است؟
حمیدرضا مختاریان، مدیر امنیت شبکه و سیستم های بانکداری الکترونیک، معتقد است امنیت زیر شاخه بانکداری الکترونیک است.
او می گوید: در هیج جای جهان امنیت صد درصد وجود ندارد و مهمترین دلیل آن هم مشکلات به وجود آمده در نرم افزارها و تغییرات روزافزون آنها است. به اعتقاد مختاریان امنیت در سیستم های بانکداری الکترونیکی در مدیریت ریسک به وجود می آید.
او با اشاره به بیمه کارت های اعتباری در سراسر جهان می گوید: مدیریت ریسک با بررسی سیستم های الکترونیکی تصمیم می گیرد که در کدام نقطه از شبکه هزینه بیشتری برای تامین امنیت باید صرف شود و در کدام قسمت نیز صرف هزینه برای ایجاد امنیت بی مورد است. مهمترین فاکتور در برقراری امنیت، نگهداری و بروز رسانی سیستم های امنیتی است. برای بالا بردن امنیت در سیستم های مالی الکترونیکی هزینه های بیشماری باید صرف شود به همین دلیل باید کلیه تراکنش های مالی بررسی شود تا مشخص گردد در چه مراحلی صرف هزینه برای بالا بردن امنیت مقرون به صرفه است. تامین امنیت بانکداری الکترونیک، متولی ندارد
یکی از بحث های مهمی که امروزه در بانکداری الکترونیکی به وفور به آن پرداخته می شود، فراگیر شدن بهره گیری از e-bankingدر بین مشتریان است. مشتریان تا چه اندازه به خدمات بانکداری الکترونیکی اعتماد دارند؟ چگونه باید این اعتماد در بین متقاضیان ایجاد شود؟ آیا در ایران امنیت به معنای بین المللی تعریف می شود؟ اینها سئوالاتی است که ذهن بسیاری از مشتاقان تجارت اینترنتی را به خود جلب کرده است. روش های گوناگونی در ایران برای برقراری امنیت در سیستم های مالی الکترونیکی به وجود آمده است که بسیاری از کارشناسان تعدد این راهکارها را مهمترین علل در سردرگمی مشتریان می دانند.مختاریان در این زمینه می گوید: برای بررسی و برقراری امنیت در سیستم های بانکداری الکترونیکی باید شورایی همانند شورایعالی امنیت فضای تبادل اطلاعات کشور، به وجود آید و راهکاری اصلی برای این مهم در نظر گرفته شود.
او به وظیفه بانک مرکزی در این میان اشاره می کند و می گوید: بانک مرکزی باید بر عملکرد بانک ها در زمینه ایجاد بانکداری الکترونیکی نظارت داشته باشد. هدف ما جلب اعتماد مشتریان است کارشناس امنیت شبکه ، در ادامه می گوید: برای اینکه بتوانیم مشتریان را به سمت بانکداری الکترونیکی جذب کنیم باید اعتماد آنها را نسبت به این مقوله جلب نماییم. او به روش های متفاوت القا امنیت اشاره می کند و می گوید: این روش ها در جهان متداول نیست چون حس اعتماد در بین مخاطبان حارجی ایجاد شده است. مختاریان با اشاره به استفاده از Device های سخت افزاری می گوید: در این فناوری هر بار فرد قصد اتصال به شبکه بانکی را داشته باشد باید دستگاه مورد نظر را به کامپیوتر متصل کرده که توسط آن یک کد امنیتی یک بار مصرف به مقصد ارسال می شود که صحت دارنده اصلی حساب را تایید می کند و قبل از خروج از سیستم نیز کد امنیتی دیگر به حافظه دستگاه برای استفاده مجدد ارسال می شود. وی به دریافت SMS در هنگام اتصال به شبکه بانکی به عنوان روشی دیگر اشاره می کند و می گوید در این روش نیز هنگامی که فرد وارد شبکه بانکی می شود به او SMS زده می شود که همین امر باعث می شود اعتماد فرد به امنیت موجود در شبکه افزایش یابد.
بانک مرکزی: پرداخت اینترنتی در گرو کد دوم
پس از آنکه یک سایت جعلی از طریق سیستم شتاب ، کلاهبرداری کرد،بانک مرکزی پرداخت های اینترنتی را برای بانک های عضو شتاب منوط به ارایه کد امنیتی دوم، موسوم به کد پرداخت اینترنتی دانست. این دستورالعمل در حالی صادر شده است که ۶ ماه پیش بانک مرکزی دستور پرداخت اینترنتی را برای تمامی بانکهای عضو شتاب صادر کرده بود. به زعم بسیاری از کارشناسان، مهمترین عامل برای ارایه چنین دستورالعملی بالابردن فضای امنیتی در پرداخت های اینترنتی است. صدور کد پرداخت اینترنتی بنا به مشکلات مالی و اعتباری میان بانک ها مقرون به صرفه نیست. این در حالی است که تنها راه رسیدن به پرداخت های اینترنتی از دید بانک مرکزی وجود کد دوم و تامین سخت افزارهای امنیتی مورد نیاز است. بی شک، امنیت مهمترین مسئله در ایجاد تجارت الکترونیک است. جا دارد مسوولان نظام بانکی کشور با در نظر گرفتن شرایط سخت افزاری و نرم افزاری موجود و نیز تاسیس بیمه های کارت های اعتباری، ریسک موجود در داد وستدهای دیجیتالی را پایین آورده و گام های سریع تری را در ارایه خدمات تجارت الکترونیکی بردارند.

WordNews

منبع : aftab.ir - aftab