امنیت در سیستم ها
رخدادهای امنیتی
می توانند حاصل یک رفتار نادرست، یک فرهنگ کاری غلط، دانش و آگاهی نازل، یک فرآیند
ناقص یا نادرست، یک ابزار ناکارآمد، دنبال نشدن صحیح یک رویه امنیتی، و مواردی از
این دست باشند. گستردگی مخاطرات و تهدیدها و همچنین به دلیل ضرورت وجود رویه
یکپارچه همکاری میان عوامل مختلف علیرغم تغییرات دائمی محیط باعث می شود که نتوان
دستیابی به سطح مطلوب امنیتی را یک «پروژه» دانست، بلکه برای افزایش ماندگاری سطح
مطلوب امنیتی باید فرآیندی به وجود آورد تا به طور مستمر ملاحظات امنیتی را بررسی و
بر اساس آخرین تغییرات محیط روزآمدسازی نماید.
نقص های فنی و یا خطاهای کاربران
هیچکدام تنها علت نقض امنیت فناوری اطلاعات نیستند؛ لذا تامین امنیت در فناوری
اطلاعات، آمیزه ای از فناوری، عامل انسانی، و ابزار است، بروز نقص در هر یک از حلقه
های این زنجیره می تواند منجر به نقض ملاحظات امنیتی گردد.
همچنین باید توجه
داشت که در شرایط نقض امنیت، بسیاری از قربانیان هیچگاه و یا دست کم تا مدت ها از
این مساله آگاه نمی شوند، چون مهاجمین جز در موارد خاص معمولا فعالیت خود را از چشم
قربانیان پنهان نگاه می دارند تا بدون مزاحمت بتوانند دسترسی غیرمجاز خود را حفظ
کنند. بنابراین پس از کشف یک حمله امنیتی، ممکن است متوجه شویم که مهاجم مدت ها است
که مشغول سوء استفاده از منابعی است که به آن ها دسترسی غیرمجاز پیدا کرده است. سوء
استفاده ای که مهاجم می تواند از یک نفوذ موفقیت آمیز انجام دهد فقط این نیست که با
دریافت شماره حساب و رمز اینترنتی، حساب بانکی قربانی خود را خالی کند، بلکه جذابیت
این کار برای او می تواند موارد مختلف دیگری، استفاده از منابع محاسباتی قربانیان
مختلف برای سازماندهی یک حمله بزرگ تر نظیر حمله منع سرویس گسترده و یا کسب سود از
طریق جمع آوری ایمیل های معتبر و ارسال هرزنامه برای آن ها باشد.