اگر مدیر یک سازمان بزرگ هستید و قصد طراحی پورتال سازمانی برای مجموعۀ تحت مدیریتی خود دارید میبایست قبل از اقدام به انتخاب پیمانکاری پروژه، نسبت به معیارهای متنوعی که در ارزیابی پورتالها مطرح هستند، آگاهی مناسبی بدست آورید. شاید قالبی وبسایتی اصلیی سازمان بعنوانی ویترینی اصلیی پورتال، از نظر شما اهمیت بالایی داشته باشد که صد البته بسیار مهم است ولیکن امکانات و قابلیتهای نرمافزار مدیریت پورتال سازمانی، بخشی عمدۀ معیارهای ارزیابیی پورتال را تشکیل میدهد و در موفقیت پروژه تأثیر بسزایی دارد. یکی از قابلیتهای چنین سامانههایی، نفوذناپذیری و امکاناتی حفاظتی است که اغلب با برچسبی "امنیت پورتال سازمانی" شناخته میشود.
اطلاعات، محصولات و خدماتی قابل ارائه توسط سازمانهای بزرگ و پیشرو از طریقی پورتال آنها در اختیاری مخاطبان و مشتریانشان قرار میگیرد بنابراین مجموعۀ وبسایتها و صفحاتی یک پورتال، باید در کیفیت و کمیتی توسعه یابند که متناسب با ماهیت سازمان بوده و تواناییی پاسخگویی به نیازهای سازمان و کاربرانش را داشتهباشد. فراهم نمودنی چنین کیفیتی نیاز به بستری دارد که در حقیقت، موتوری قدرتدهندۀ پورتال محسوب میشود. چنین بستری در قالبی نرمافزارهای پورتال سازمانی مهیا میشود.
شرکتهای متعددی در ایران به تولید و توسعۀ این سیستمها مشغول هستند ولیکن نرمافزار پورتال سازمانیی اسپریت پورتال که تولید شرکت دانش بنیان نیافام است، در سالیان اخیر توجه زیادی را به خودش جلب کردهاست. این سیستم علاوه بر امکاناتی گستردهای که در قالبی ماژولهای متنوع ارائه میکند، رابط کاربریی منحصربفرد و قابلیتهای ویژه و فناورانهای را برای کاربرانش در نظر گرفتهاست. برنامهریزی و فرایند توسعۀ محصولی شرکت نیافام از مراحل ابتدایی بر اساس رعایت معیارها و استانداردهای امنیتیی تعریفشده توسطی مرکز مدیریت راهبردیی افتا بودهاست. مدیران و کارشناسانی شرکت نیافام، از بدو شروع توسعه نرمافزار، با در اختیار داشتن معیارهای مورد نیاز برای دریافت گواهی امنیتیی محصولی خود، نسبت به رعایت استاندارد امنیتیی تبیینشده توسط سازمانهای رسمیی دولتی اقدام کردهاند و در نتیجۀ این رویکرد، نرمافزاری "اسپریت پورتال" با مجموعۀ کامل و قابل توجهی از اقدامات و تنظیمات امنیتی توسعه یافتهاست.
نرمافزارهای مدیریت پورتال، در رستۀ نرمافزارهای کاربردیی تحت وب قرار میگیرند. اینگونه سیستمها بعضاً به دلیلی ماهیتی فعالیتی آنها و اطلاعاتی که در بانک اطلاعاتیی آنها وجود دارد، بواسطۀ حملات سایبری و اقداماتی خرابکارانه مورد تهدید قرار میگیرند و در صورتی نفوذی هکرها به پورتال، احتمالی رویدادهای ناخوشایندی بسیاری را میتوان متصور شد. جدا از نفوذی عواملی خارج از سازمان، مخاطراتی ناشی از اشتباهاتی کاربرانی سازمان در استفاده از نرمافزار نیز میتواند مسیری نفوذ و تخریبی سیستم را برای اقداماتی شرورانه هموار کند بنابراین برای جلوگیری از این احتمال، باید تمهیداتی ویژهای حین فرایند توسعۀ سیستم اندیشیده شود. اگر سازمان، نیز یک سازمانی دولتی بزرگ یا یک کسب و کاری تجاریی آنلاین باشد که خدماتی خود را از طریقی اینترنت ارائه میکند، نفوذ به چنین پورتالی میتواند یک فاجعه سیاسی و اقتصادی قلمداد شود.
حال، باید دید که آیا معیار و سنجهای برای اندازهگیریی امنیتی نرمافزار پورتال سازمانی وجود دارد یا خیر و اینکه آیا سازمانی در ایران رسماً در زمینۀ ارزیابی امنیتی محصولات و ارائۀ گواهی در این زمینه فعالیت دارد؟. یکی از مطرحترین گواهیها در زمینۀ امنیت اپلیکیشنهای تحت وب، گواهی امنیتیی OWASP است که لازمۀ دستیابی به آن، رعایتی مجموعهای از معیارها برای حفظ امنیت و مقابله با نفوذ را شامل میشود.
با توجه به این مهم که در تمامی زیرساختهای حیاتی، حساس و مهم کشور بصورت کاملا گسترده از این پورتالهای سازمانی استفاده میشود، وجود تهدیدات در فضای تولید و تبادل اطلاعات، ارزیابی امنیتی محصولات مورد استفاده در این حوزه را امری ضروری و اجتنابناپذیر میکند. در این راستا تایید صحت عملکرد سیستمهایی همانندی پورتالهای سازمانی توسط مراجع بالادستی که همان مرکز مدیریت راهبردی افتا و سازمان فناوری اطلاعات هستند صورت میگیرد. تستهای مورد نیاز برای ارزیابی امنیتیی محصولاتی نرمافزاری در آزمایشگاههای معتبری معرفیشده توسطی سازمان فناوری اطلاعات انجام میشود و در صورتی گذراندنی موفقی تمامی تستها، برای محصول، گواهیی ISO15408 صادر میگردد. با توجه به ماهیتی متغیری نرمافزارهای کاربردی و مخاطراتی نوپدید در فضای سایبری، این گواهی با اعتباری زمانیی محدود ارائه میشوند و شرکتهای توسعهدهندۀ این سیستمها باید همواره محصولاتی خود را با معیارهای مرکز افتا تطبیق دهند و اعتباری گواهیی محصولی خود را تمدید نمایند.
سازمانی فناوری اطلاعات، اهدافی خود را از ارزیابیی محصولات نرمافزاری چنین بیان نمودهاست:
- حصول اطمینان از امنیت محصولات مورد استفاده در دستگاههای اجرایی موضوع ماده (5) قانون مدیریت خدمات کشوری
- حمایت از طراحی و توسعه محصولات افتا و ضدبدافزار بومی
- شناسایی شرکتهای بومی تولیدکننده محصولات
- شناسایی محصولات بومی و مشخصه فنی آن ها
- برقراری امکان ارتباط با تولیدکنندگان بومی، اطلاع یافتن سازمان از فعالیت و مشکلات ایشان
- رونق کسب و کار در حوزه محصولات و شرکت ها
آزمایشگاههای ارزیابی در فرایند ارزیابی امنیتی محصولات نقش بسیار مهمی دارند. همچنین آزمایشگاههایی در این فرایند شرکت میکنند که توسط مرکز افتاو سازمانی فناوری اطلاعات ایران اعتبارسنجی و اعتباربخشی شده و گواهی انجام فعالیت دریافت کرده باشند.