معرفی گرایش امنیت اطلاعات یا رایانش امن در دوره کارشناسی ارشد و دکتری و ادامه تحصیل در آن

 

 

با توجه  به اینکه عزیزان زیادی چه به صورت حضوری و چه به صورتی مجازی سوالات زیادی در مورد گرایش امنیت اطلاعات ، ادامه تحصیل در آن و بازار کار آن می پرسند در این پست وبنوشتم به صورت اختصاصی به این مقوله می پردازم و سعی می کنم با جمع بندی مطالب موجود در وب و اضافه نمودن اطلاعات خودم اطلاعات جامعی را در اختیار دوستان و علاقه مندان به گرایش امنیت اطلاعات قرار دهم.

**(اگرچه این پست قدیمی است اما لطفا کلیه سوالات این پست را در همین صفحه بپرسید تا پاسخ دهم، از طریق سایر راههای ارتباطی نظیر شبکه های اجتماعی،ایمیل و .... قادر به پاسخگویی نیستنم )**

 

به طور کلی هدف از امنیت اطلاعات این است که  ذخیره،تبدیل، پردازش، انتقال و بازیابی اطلاعات به شکلی مطمئن و امن انجام پذیرد و از انجام فعالیتهای غیر مجاز ممانعت به عمل آید. منظور از فعالیت‌های غیر مجاز هرگونه عمب مغایر با خط مشی(Policy) امنیتی تعریف شده از قبیل دسترسی، استفاده، افشاء، خواندن، نسخه برداری یا ضبط، خراب کردن، تغییر و دستکاری و غیره اطلاعات است.

 

امنیت به یک تعبیر ،با استناد به سند ISO 27002، در واقع محافظت از دارایی­ها در برابر طیف وسیعی از تهدیدات است که با هدف تضمین استمرار فعالیت های کاری ، به حداقل رساندن ریسک ها و به حداکثر رساندن میزان بازده  صورت می پذیرد.به تعبیری دیگر امنیت فرایند کشف و شناسایی رخداد­هایی است که به نوعی می­توانند به طور بالقوه ضرر ایجاد نمایند و بیان روش­هایی دفاعی برای کاهش یا حذف این عوامل بالقوه است و به تعبیر سوم امنیت یک خصیصه از یک سیستم کامپیوتری است تا از دسترسی غیرمجاز ،تغییر غیرمجاز اطلاعات و داده­ها و دسترسی غیرمجاز به منابع خودداری کند.

 

متخصص گرایش امنیت اطلاعات باید دانش کافی در حوزه های مختلف امنیت اطلاعات از شبکه های کامپیوتری گرفته تا بدافزارها را داشته باشد. تهدیدات،آسیب پذیری ها و حملات امنیتی مطرح را بشناسد و  قادر باشد از حملات مجرمان سایبری، سارقان اینترنتی با ارائه راهکارهایی  درحد قابل قبولی جلوگیری نموده و یا در صورت بروز، سیستم‌ها را سریعاً  بازیابی نماید.

 

 

 در ادامه برای آشنایی بیشتر متقاضیان انتخاب رشته کنکور ارشد و دکتری تخصصی و  نیز افرادی که در بازار کار به دنبال آینده شغلی بهتری هستند، اطلاعات بیشتری شامل: برنامه درسی(سرفصل) و تعداد واحدها، دانشگاه های دارای گرایش امنیت اطلاعات(رایانش امن) در مقاطع تحصیلات تکمیلی و معرفی فرصت شغلی و بازارکار این گرایش ارایه می شود.

 

درآمدزا ترین موقعیت های شغلی امنیت اطلاعات

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای 2007 تا 2013 به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال 2022 با رشد سی و هفت درصدی نسبت به 2012روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از 10 شغل برتر از نظر میزان درآمد به شرح زیر شده است.

1-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال 2015 حدود 131 هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد 81 هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا 240 هزار دلار در سال نیز افزایش یابد.

امنیت وارداتی نیست؟

آری واقعا امنیت وارداتی نیست! شاید شما این جمله را بارها و بارها در محافل امنیت سایبری شنیده باشید اما به راستی  در کشور ما  این جمله بیشتر رنگ و بوی شعار می دهد یا  عمل ؟! از جزئی ترین مسائل تا بزرگترین مسائل امنیتی، از مکانیزم های امنیتی گرفته تا خط مشی ها و استاندارهای این حوزه لزوم توجه به بومی سازی مسائل درگیر در حوزه امنیت شاخصه ای کلیدی است که اهمیت آن امروز بر کمتر کارشناسی در این حوزه پوشیده باشد!حدود سه سال پیش می خواستم مقاله ای در زمینه اهمیت بومی سازی  در امنیت سایبری بنویسم اما هیچگاه موفق به انجام این کار نشدم تا اینکه امروز بالاخره دست به قلم شدم. چندی پیش  در سومین کنفرانس و نمایشگاه فناوری اطلاعات و ارتباطات در صنایع نفت، گاز، پالایش و پتروشیمی غرفه ای از نمایشگاه  توجه من را به خودش جلب کرد! یکی از شعار هایی که در بنرهای تبلیغاتی این شرکت به چشم می خورد همین جمله بود « امنیت وارداتی نیست!» برایم بسیار جالب بود، به سراغ مسئول غرفه که نماینده شرکت x بود رفتم و در مورد محصولات اصلی این شرکت سؤالاتی پرسیدم.در میان صحبت های غرفه دار مدام مضمون این جمله که امنیت وارداتی نیست و شرکت ماهم اساس کاری‌اش را بر همین سیاست استوار کرده است به گوش می خورد. بعدازاین که نماینده این شرکت محصولات شرکت را که بیشتر محصولات ضد بدافزار و تشخیص نفوذ تولید داخلی  بود معرفی کرد از ایشان پرسیدم محصولات ضد بدافزار شما  داخلی است و ایشان در جواب گفت: «خیر! اما زبان واسط کاربری آن فارسی می شود!»

مروری بر استاندارد ISO/IEC 27005

) هدف و دامنه کاربرد

هدف از تدوین استاندارد ISO/IEC 27005:2011، تعیین راهنمایی برای مدیریت مخاطرات امنیت اطلاعات است.

این استاندارد مفاهیم کلی مشخص شده در استاندارد  ISO/IEC 27001 را پوشش می‌دهد و برای کمک به پیاده‌سازی مطلوب امنیت اطلاعات بر‌اساس رویکرد مدیریت مخاطرات طراحی شده است.

مدیریت مخاطرات امنیت اطلاعات، شامل مراحل زیر است:

1. زمینه‌سازی
2. شناسایی مخاطره
3. تحلیل مخاطره
4. ارزیابی مخاطره
5. مقابله با مخاطره
6. پذیرش مخاطره
7. تبادل اطلاعات و رایزنی مخاطره
8. پایش و بازنگری مخاطره