مدیریت امن الکترونیکی کاشف

گزارش رخداد، آسیب پذیری و بدافزار

(021)22266217
فرم گزارش رخداد
 
باج افزار گریه با رایانامه های فیشینگ آغاز نمی شود
1396/3/2 سه شنبه
تحلیل هایی که پژوهشگران حوزۀ امنیت به تازگی بیرون داده اند، آشکار کرده­اند که باج افزار گریه با رایانامه های فیشینگ آلوده به بدافزار نمی­آغازد و روشن کرده اند که باج افزار گریه، برای آلوده کردن دستگاه ها و پخش روی اینترنت، درگاه های باز - در پیوند با پروتکل "SMB" - پویش می کند. پس از پویش درگاه های باز، مهاجم با استفاده از ابزار "EternalBlue" که از آن سازمان امنیت ملی آمریکا بوده است، به دستگاه قربانی رخنه می کند و در پی آن، ابزار "DoublePulsar" را به کار می گیرد تا «در پشتی» روی سامانه قربانی نصب کند تا ماندگاری باج افزار را حفظ کند و بدافزارهای دلخواهش، مانند: باج افزار گریه را روی دستگاه هدف نصب کند. همان­گونه که در گزارش های پیشین نیز آمده است، به روزرسانی منظم سامانه ها، مهاجرت به سیستم­های عامل تازه و برخوردار از پشتیبانی و از کار انداختن خدمت های غیرضروری، مانند: "SMB"، از راه های جلوگیری از آلوده شدن به باج افزار گریه هستند.

منبع: https://www.infosecurity-magazine.com/
وصله آسیب پذیری های افزایش سطح دسترسی و رد خدمت توسط شرکت Vmware
1396/3/2 سه شنبه
شرکت "Vmware" هفته گذشته مشتریان را از انتشار به روزرسانی هایی برای نسخه ویندوز و لینوکس در برنامه محیط کاری آگاه کرد تا آسیب پذیری های «افزایش سطح دسترسی» و «رد خدمت» را وصله کنند. یکی از این آسیب پذیری ها را پژوهشگر حوزۀ امنیت در گوگل یافته است و شناسه آن: "CVE-2017-4915" است و در ردۀ «اشکالات مهم» دسته­بندی شده است. این آسیب پذیری، اشکالی­ست در بارگذاری کتابخانه که به مهاجم غیرمجاز اجازه می دهد که با استفاده از پرونده های پیکربندی «راه انداز صوتی ALSA» سطح دسترسی خود را به سطح دسترسی ریشه ارتقاء دهد. شناسه آسیب پذیری دوم: "CVE-2017-4916" است و اشکالی­ست در «ارجاع به اشاره گر تهی» که در راه انداز vstor"" هم هست و هر مهاجمی - با دسترسی های معمولی - هم می تواند از این آسیب پذیری بهره جویی کند و وضعیت «رد خدمت» روی سامانه هدف بوجود آورد. این آسیب پذیری ها در نسخه ۱۲.۵.۶ وصله شده­اند.

منبع: http://www.securityweek.com
مشاهده اخبار بیشتر ...
 
  • چگونه رمزهای عبور بد را بهتر، و امید بیشتر برای آیندۀ احراز هویت ایجاد کنیم
    1395/2/20 دوشنبه

    ما می دانیم رمزهای عبور یک دردسر هستند. ما انتظار معجزه نداریم. اما میتوانیم به شما چند راهنمایی ارائه دهیم.
    آیا شما باید رمز عبور خود را به من بگویید؟ احتمالا نه، اما ممکن است فرصت خوبی وجود داشته باشد که بتوانم آن را حدس بزنم. در لیست "SplashData" از بدترین رمزهای عبور سال 2015، جمع آوری شده از میان داده‌های نقض و نفوذ‌های مختلف، "123456" و "password" همچنان در صدر قرار دارند.
    شما همچنین احتمالا متعجب خواهید شد که شکستن رمز های عبور چقدر برای اشرار سایبری راحت است.  جای تعجب نیست که همه ما بطور جدی به یک  جایگزین نیاز داریم. به هر حال، در حال حاضردو راه وجود دارد که می‌توانید انجام دهید: رمزهای عبور خود را حداقل کمی بهتر کنید، و برخی از جایگزین های رمز عبور که در حال آنلاین شدن هستند را بررسی کنید.

    به عبارات فکر کنید ، نه کلمات
    اولین اصل برای کلمه عبور بهتر خودداری از کلمات ساده و جفت های عددی است. حتی "Edward Snowden" سال گذشته در مصاحبه با "John Oliver" به این امر اشاره کرد.
    شما به جای فکر کردن به کلمات- عبور نیاز به عبارات دارید، و کلمات ساده موجود در لغت‌نامه را فراموش کنید. بطور مثال رمز “admiralalonzoghostpenis420YOLO” متعلق به Oliver احمقانه است ، اما کسی که به آن فکر کند می تواند براحتی آن را به خاطر بسپارد، و از به خاطر سپردن کلمه ای مانند “admiral1” دشوارتر است. بدیهی است که استفاده از هیچ کدام از این راه‌ها نیز توصیه نمی‌شود؛ فقط به آنها به عنوان الهام بخش برای آینده فکر کنید.
    شما همچنین باید بدانید که در رمز عبور خود نیاز به بیش از هشت کاراکتر دارید، و هرگز هیچ مرجعی نداشته باشید که برای خودتان مبهم باشد. متاسفم، اما نام خانوادگی قبلی مادر شما دیگر کافی نیست.
    همه ی ما برای استفاده مجدد از رمز عبور یکسان مقصر هستیم. با سایت‌ها و رسانه‌های اجتماعی بیشتر از قبل، کمی از خود راضی شدن - حتی به طور تصادفی- آسان است. اگر یک رمز عبور وجود دارد که باید مجدداً استفاده کنید، به هر حال، این ایمیل های شماست. هنگامی که به خطر بیافتد، می توان آن را برای انتقام ویرانگر مورد استفاده قرار داد.
    در نهایت ، شما نیاز دارید به طور منظم رمزهای عبور را تغییر دهید. همانطور که اگر یک سایت هک شده است شما باید مشخصات کاربری خود را تغییر دهید، شما واقعا نیاز دارید تا تغییر رمزهای عبور را ادامه دهید تا داده‌های شما یک هدف آسان و بی دفاع نباشند.
    در حالت ایده آل، کسی یا چیزی باید همه این‌ها را برای شما انجام دهد، و این جایی است که مدیریت کننده‌های رمز عبور می‌آیند. "Mark Hocking" مدیر "True Key" متعلق به «اینتل» گفت، « امروزه بهترین گزینه برای کاربران یک مدیریت کننده رمز عبور است که می‌تواند رمزهای عبور پیچیده را ایجاد و به یاد داشته باشد بنابراین نیازی نیست شما آن را انجام دهید. اکثر آن ها برای تأیید و امن سازی همه حساب‌های شما به یک رمزعبور اصلی تکیه می کنند»
    با این حال، مانند هر نرم افزاری، مدیریت کننده‌های رمز عبور کامل نیستند. برنامه آنتی ویروس «ترندمیکرو» دارای یک برنامه مدیریت کننده رمز عبور پیش ساخته است. به تازگی یک محقق امنیتی گوگل کشف کرد که این برنامه می تواند کد از راه دوری را بپذیرد که می‌تواند برای سرقت کلمات عبور ذخیره شده در نرم افزار مورد استفاده قرار گیرد. برنامه " LastPass" ، دیگر برنامه مدیریت رمز عبور محبوب، طعمۀ یک حمله فیشینگ شده است که می‌تواند کاربران را به افشای رمز عبور اصلی خود برای دسترسی به رمزهای عبور ذخیره شده فریب دهد.

    آینده: احراز هویت چند عاملی، زیست سنجی‌ها
    احراز هویت دو مرحله‌ای در میان بسیاری از متخصصان امنیتی که با آن‌ها صحبت کرده‌ام به یک توصیه استاندارد تبدیل شده است. این روش، شامل یک فرایند دو مرحله‌ای برای ورود به سیستم- معمولاً با استفاده از یک دستگاه دیگر مانند تلفن همراه همگام سازی شده با حساب کاربری آنلاین شماست. بصورت تئوری، اطمینان حاصل می‌کند که این شما هستید که به حساب کاربری دسترسی پیدا می‌کنید.
    ورود از طریق زیست سنجی به آرامی در حال فراگیر شدن است و می‌تواند یک سطح جدید از تایید را معرفی کند. "Touch ID" شرکت «اپل»  و اسکنر اثر انگشت «سامسونگ» به تازگی شروع به کار کرده‌اند. مایکروسافت فن آوری تشخیص چهره در ویندوز 10 را با " Windows Hello" معرفی کرد  که " Dropbox‌‌" نیز آن را به گزینه های ورود خودش اضافه کرده است.
    بانک ها و شرکت های پرداخت نیز به حیطه زیست سنجی وارد شده اند. "JPMorgan"سامانه " TouchID‌" را در برنامه آیفون خودش بکار برده است، در حالی که مستر کارت از یک ویژگی "pay by selfie" برای تایید خریدهای آنلاین استفاده می‌کند. آخرین نسخه "Authenticate" شرکت اینتل نیاز به تایید اثر انگشت و در برخی موارد، تشخیص از طریق بلوتوث دارد که در گوشی هوشمند شما بصورت فیزیکی حضور دارد.

    این اشتباه شما نیست
    "Marc Boroditsky" رئیس «استارآپ »Authy گفت، این اشتباه مصرف کنندگان نیست که تلاش می‌کنند زندگی دیجیتال خود را امن کنند. در عوض، او مسئولیت را به برنامه‌ها، وب سایت‌ها، و شرکت‌هایی می‌سپارد که در توسعه و پرورش واقعی و امن، جایگزین ها ناموفق بوده‌اند.
    «برنامه ها و سرویس‌ها در حال حاضر مسئول هر بخش دیگر از تجربه آنلاین کاربر هستند. چرا باید احراز هویت کاربر متفاوت باشد؟ » او توضیح داد. «ما نیاز به متوقف کردن سرزنش کاربران برای ایجاد یک رمز عبور ضعیف داریم، چرا که سایت خود می‌تواند امنیت قوی‌تری داشته باشد و یک رمز عبور شکسته شده را برای یک مهاجم عملاً بی فایده سازد."

     

     

  • اف‌بی‌آی می‌گوید: قربانیان باج ‌افزارها بهتر است باج خواسته شده را پرداخت کنند
    1394/10/19 شنبه

    به گزارش وبسایت خبری "SCMagzine": "جوزف بوناولونتا" در کنفرانس "Cyber Security 2015" در بوستون گفت: اف بی آی به شرکت‌هایی که قربانی حملات باج‌افزارهایی مانند "Cryptolocker" ، "Cryptowall" یا دیگر انواع باج‌افزارها شده‌اند، توصیه می‌کند که باج خواسته شده توسط این بدافزارها را پرداخت کنند.

    "جوزف بوناولونتا"، مامور ویژه پلیس اف بی آی درحوزه امنیت سایبر و ضد جاسوسی، در واکنش به رواج بدافزارهایی که باعث قفل شدن و ازکار افتادن کامپیوتر قربانبان این دام‌ها درآمریکا می‌شود با ارایه راهکاری جنجالی که از سوی یک مقام رسمی انتظار آن نمی‌رفت، گفت؛ هکرها باج افزارهای بسیار خوبی ساخته‌اند، راستش را بخواهید ما معمولا به مردم پیشنهاد می‌کنیم، باج بدهند.

    وی دراین کنفرانس اذعان کرد، به هرحال موارد بدافزارهای باجگیر می­بایست به منظور تحقیقات بیشتر درمورد نحوه کار هکرها به پلیس اف بی آی گزارش شود واضافه کرد: ولی به دلیل پیچیده بودن بدافزارها شکستن آنها توسط مقامات پلیس بسیار دشوار است.

    مامور ویژه پلیس اف بی آی و دستیار حوزه امنیت سایبری و ضد جاسوسی در بخش دیگری از سخنان خود گفت: ساده‌ترین راه پرداخت باج است، وافزود، هکرها و مجرمان سایبری از این طریق به مبالغ قابل توجهی دست پیدا می‌کنند و این به دلیل پرداخت باج توسط بخش اعظم نهادها و موسسات به دام افتاده دراین بدافزارها می باشد.

    به گفته این مقام اف بی آی، باج افزارهای یاد شده با کد گذاری کردن اطلاعات هارد درایو کامپیوتر قربانی، عملکرد سیستم را مختل می کنند وممکن است به دایرکتوری های دیگر سیستم عامل نیز نفوذ کنند.

    باج افزارها که درغالب بدافزار و ازطریق پیوست­ها درایمیل، دانلود از وب سایت­های آسیب­پذیر وحتی تبلیغات به سیستم عامل نفوذ می کنند سالها درگستره اینترنت وجود داشته است ولی درسه چهار سال اخیر، شکل جدی تری به خود گرفته است.

    طبق آمار پلیس اف بی آی، تنها درفاصله ماه آپریل 2014 تا ژوئن 2015، 992 مورد شکایت که میزان 18 میلیون دلار خسارت برای قربانیان دربر داشته است، به این اداره ارجاع شده است.

  • کلمه عبورهای پیچیده، کلید ایمنی اطلاعات نیستند
    1394/10/19 شنبه

    با توجه به گزارش IBM Security Intelligence: شرکت‌هایی که کارمندان خودشان را مجبور به انتخاب کلمه‌های عبور پیچیده می‌کنند، رویکرد اشتباهی به منظور ایمن سازی اطلاعات و حریم خصوصی کارمندان خود برداشته‌اند.

    دکتر Anja Lehmann؛ متخصص علوم رمزنگاری در شرکت IBM، در گزارش اخیر خود گفته است؛ یک کلمه عبور ساده و کوتاه می‌تواند موجب ایمنی حریم خصوصی کاربران شود. زیرا در دنیای مدرن امروزی حتی کلمه عبورهای پیچیده  در کسری از ثانیه می‌توانند شکسته شوند.

    دکتر Lehmann در ادامه گفت؛ با توجه به گزارش NIST، یک کلمه عبور 16  حرفی در حدود 30 بیت انتروپی می‌تواند داشته باشد که به 1 میلیارد احتمال برای شکستن آن نیاز خواهد بود. از همین روی، با دستگاه‌های جدید کرک کلمه‌های عبور که 300 میلیارد احتمال را آزمایش می‌کنند، کرک یک کلمه عبور 16 حرفی به کسری از زمان نیاز دارد.

    دکتر Lehmann همچنین در گزارش خود ذکر کرده است، شرکت‌ها باید اطلاعات حیاتی به منظور ایجاد کلمه‌های عبور خود را بر روی چندین سرور مختلف نگهداری کنند. زیرا این مورد موجب می‌شود، مجرمان سایبری به منظور کرک کلمه‌های عبور و یا سرقت اطلاعات حیاتی کارمندان و کاربران به سناریو پیچیدهای برای هک سرورها نیازمند باشند. علاوه بر این، این سناریو را حتی می‌توان برای مجرمان سایبری با انتخاب سیستم‌عامل‌های مختلف بر روی سرورها دشوارتر کرد.

     

  • عدم آموزش امنیتی کارکنان کسب و کارهای ایالات متحده را به ستوه آورده است
    1394/10/19 شنبه

    آگاهی های امنیتی کارمند همچنان به صورت یک موضوع چشمگیر ادامه دارد: تحقیقات نشان می­دهد که 73 درصد از کارکنان در ایالات متحده معتقدند شرکت آن­ها آموزش کافی در مورد چگونگی محافظت از اطلاعات حساس را فراهم می­کند، در حالی که درصد مشابهی از کارکنان IT (72%) می گویند که کارفرمایان به اندازه کافی برای آموزش کارکنان تلاش نمی­کنند.

    این پژوهش، از شرکت "Clearswift"، با توجه به این  موضوع که کارکنان با آموزش نادرست در معرض خطر کلیک کردن روی پیوندهای فیشینگ که مهاجمین را به ورود دعوت می­کند و یا ارسال سهوی اطلاعات پنهان در درون سند و فراداده قرار دارند بر نیاز به همکاری بیشتر بین تیم اجرایی، IT، منابع انسانی و سایر کارکنان در یک سازمان برای اطمینان از ایمنی اطلاعات حساس و مالکیت معنوی (IP) تاکید می­کند.

    این بسیار جالب توجه است که  10% از کارکنان، یک دستگاه حاوی اطلاعات حساس کسب و کار را از دست داده اند، 12% بصورت مخفی از زیر ساخت های فناوری اطلاعات بدون احراز هویت استفاده کرده اند و 37% از پاسخ دهندگان می گویند که به اطلاعاتی دسترسی دارند که بالاتر از سلسه مراتب آن­ها در شرکت قرار دارد. با یک چشم انداز مثبت در استفاده از برنامه­های کاربردی ابری مانند "Dropbox" ، یا "Google Drive"، به علاوه گسترش ابزار­های ارتباطی جدید در قالب شبکه­های اجتماعی و دستگاه­های شخصی که برای کار استفاده می­شود ،خطر تشدید شده است.

    علاوه بر این، 56 % از کارکنان در ایالات متحده هنگام کار به مالکیت معنوی دسترسی دارند - اما کمتر از نیمی (45٪) تشخیص دادند که اگر مالکیت معنوی به بیرون درز کند می­تواند به شرکت آسیب برساند. این می تواند شامل کد جدید برای محصولات نرم افزاری، اسرار تجاری، طرح و یا برنامه­های استراتژیک باشد و اگر هنوز توسط ثبت اختراع محافظت نشده باشد، از دست دادن آن می­تواند بسیار پر هزینه گردد.

    "Heath Davies" مدیر عامل شرکت "Clearswift" گفت: "ارزش مالکیت معنوی یک شرکت اغلب به درستی درک نمی­شود. اول از همه، مالکیت معنوی در بسیاری از چهره­های گوناگون ظاهر می­شود و تشخیص آن برای سازمان­ها به این که مالکیت معنوی آن­ها چیست، کجا وجود دارد و به چه کسی به آن دسترسی دارد، امری ضروری است. مالکیت معنوی با ارزش­ترین مالکیت یک شرکت است، اگر به دست رقیب بیفتد، یا در دست فردی غیرمجاز قرار بگیرد، می تواند خسارت مالی بسیار زیادی را به یک شرکت وارد کند، یا مانند تلاش اخیر برای جاسوسی از نیروی دریایی ایالات متحده، به طور بالقوه باعث اتفاقات وخیمی می­شود. این باور نکردنی است که بسیاری از پاسخ­دهندگان به نظرسنجی می­گویند که به چنین اطلاعاتی دسترسی دارند. به نظر می­رسد هنوز ارزش آن بدرستی درک نشده باشد."

    این مطالعه همچنین نشان داد که 62٪ از کسب و کارها در سراسر جهان فکر می­کنند کارکنان آن­ها به اندازه کافی در مورد پیامدهای یک نقض امنیتی برای تغییر رفتارشان اهمیتی نمی­دهند و 57 % پذیرفته­اند که نیاز دارند تا کارکنانشان در مورد پیامدهای یک نقض، توضیح خطرات و بحث درباره موارد در رسانه­ها اهمیت بیشتری بدهند.

    "Davies" گفت: "اکثر کارکنان کار مخربی انجام نمی­دهند، اما بی­اهمیتی آن­ها می­تواند به اندازه صدمه زدن باشد. شرکت­ها باید به این باور برسند که کارمندان آن­ها این پتانسیل را دارند که از طریق اقدامات خود باعث آسیب شدید به شرکت شوند و اطمینان حاصل شود که آموزش، سیاست­ها و فن­آوری برای به حداقل رساندن خطر استفاده می­شوند. آن­هایی که در هیئت مدیره هستند نیاز دارند تا توجه کنند، اطلاعات حیاتی باید در بالاترین سطوح اداره شوند واگرنه می­تواند آینده یک شرکت را به خطر بیاندازد."

     

  • فایروال ها - سرمایه گزاری های استراتژیک امنیتی
    1394/8/4 دوشنبه

    هرچند فایروال فناوری بسیار قدیمی ای در دنیای امنیت است ، اما همچنان نقشی بنیادین در ساختار امنیت شبکه دارد.

    این ارزیابی از گزارش سال 2014 سازمان FireMan و بر اساس یک نظر سنجی از بین بیش از 700 متخصص امنیت شبکه تهیه شده است . مطالعه ی صورت گرفته نشان میدهد که فایروال ها برای استراتژی های امنیتیِ فعلی و آینده ی سازمان ها مناسب باقی مانده اند. آمارها نشان میدهد که قریب به اتفاق 92 درصد از پاسخ دهندگان معتقدند ، فایروال ها بعنوان یک جز حیاتی از زیر ساخت های امنیتیِ آن ها در پنج سال آینده باقی خواهند ماند .

    جودی برازیل مدیر عامل FireMon در بیانیه ای اظهار داشت : مشاهدات قبلی که میگفتند " فایروال مرده است " صراحتا ناقص یا اغراق آمیز بودند.

    امروزه متخصصان نه تنها فایروال را به عنوان یک عنصر حیاتی از استراتژی امنیت شبکه خود در نظر میگیرند ، بلکه آن ها یک نقش حیاتی برای فایروال به همراه مدل های در حال تحول شامل cloud و sdn ، در نظر میگیرند که ممکن است برخی از ناظران صنعتی را متعجب سازد.

    نظرسنجی از اکثریت پاسخ دهندگان (88%) ، نشان میدهد که آن ها در حال حاضر نسل بعدی فایروال ها (NGFWs) را مستقر کرده اند ، و 12 % از آنها در حال حاضر در نیمی از سیستم هایشان از نسل بعدی فایروال ها استفاده میکنند .

    همچنین 87 درصد از پاسخ دهندگان اظهار داشته اند که دستگاه های سنتی و یا نسل جدید، نقش ارزشمندی در تامین امنیت محیط های مجازی و سیستم عامل های مبتنی بر محاسبات ابری(طبق نظر 58%) ، بازی میکنند .

    نکته جالب توجه این است که در آمار کلی ، پاسخ دهندگان قابلیت یکپارچه سازی API را در زمان مواجهه با دستگاه های فایروال جدید مهم تر از عامل های قیمت و یا عملکرد ارزیابی کردند.

    در هر صورت اجرای رو به جلوی فایروال ها بدون چالش نیست ، چنان که این تحقیق نشان میدهد ، مسائل مهم ، مداوم و گسترده مدیریتی ، بیشتر مربوط به سیاست های پیچیده ی فایروال است .

    به گفته Brazil در یک سازمان بزرگ ، بین 35 تا 40 درصد از قوانین فایروال، ناکارآمد ، پنهان و یا فاقد ارزش تجاری و دو سوم از سیاست ها نیز کاملا غیر ضروری هستند . هنگامی که شما این شرایط را با تحقیقاتی مثل گزارش Verizon در سال 2015 ( که مشخص کرد مدیریت فایروال بعنوان یکی از بزرگترین تهدیدات برای امنیت شبکه باقی میماند ) کنار هم میگذارید ، بدیهی است که این وضعیت به توجه زیادی نیاز دارد . در گزارش ماه ژانویه سال 2015 PCI ، Verizon نشان داد که یکی از شایع ترین علل عدم انطباق استاندراد های PCI و حوادث مربوط به نفوذ در داده ها ، مربوط به سیاست های مدیریت شبکه ی فایروال است.

    این گزارش همچنین نشان داد که بسیاری از کمپانی ها پس از یکبار دستیابی به استاندارد ، از آن خارج میشوند و کمتر از یک سوم آن ها نیز در زمانی کوتاه تر از یک سال پس از تایید ، کاملا با استانداردهای PCI منطبق بوده اند. Verizon با مطالعه ی داده های مربوط به نفوذ های غیر مجاز ، به وضوح نشان میدهد که در زمان نفوذ، حتی یک شرکت نیز بطور کامل با استانداردهای PCI منطبق نبوده است.

 
مشاهده توصیه های امنیتی ...
توسعه سنجه‌های امنیتیِ مؤثر بر تصمیم‌گیری‌های کسب‌وکار

چالش­ها

-       متخصصان مخاطره (Risk) و امنیت در تلاش برای ایجاد سنجه­هایی (Metrics) هستند که با به‌کارگیری آن­ها بتوانند تصمیم گیران کسب‌وکار را - بیرون از حوزه فناوری اطلاعات سازمان – تحت تأثیر قرار دهند و توجه آن­ها را به امنیت اطلاعات جلب کنند.

-       برقراری ارتباط ناکارآمد با تصمیم گیران کسب‌وکار - به دلیل بهره­گیری از سنجه­های ضعیف- متخصصان مخاطره و امنیت را به چالش کشیده است.

-       تصمیم گیران کسب‌وکار – بیرون از بخش فناوری اطلاعات- اغلب نسبت به آنچه باید از متخصصان مخاطره و امنیت انتظار داشته باشند، آگاه نیستند.

توصیه­ها

-       ایجاد سنجه­های پیش­رو (Leading Metrics) که از پیوندی قابل دفاع با نتایج کسب‌وکار برخوردارند.

-       یکپارچه­سازی مخاطره ها و عملکرد شرکت در سنجه­های ایجادشده، باهدف پشتیبانی از تصمیم گیران کسب‌وکار.

-       همکاری مستقیم با مدیران اجرایی – بیرون از بخش فناوری اطلاعات - برای درک بهتر تصمیم‌هایی که ایشان هرروزه می‌گیرند.

مقدمه

معمولاً یکی از وظایفی که در سازمان‌ها بر عهدۀ متخصصان مخاطره[1] و امنیت گذاشته می­شود، ایجاد سنجه­هایی[2] است که بتوان با استفاده از آن‌ها مدیران اجرایی[3] بیرون از بخش فناوری اطلاعات - و اعضای هیئت‌مدیره را برای توجه به امنیت بر سر شوق آورد. در این‌ میان، پژوهش‌ها نشان می­دهند بیشتر سنجه­هایی که هم‌اینک سازمان‌ها از آن‌ها بهره می‌برند، ناکارآمدند.

شکاف موجود میان متخصصان امنیت و مخاطره و تصمیم گیران بیرون از بخش فناوری اطلاعات - موجب شده است که سنجه­های بهره‌برداری شده از سوی سازمان‌ها برای مخاطبین هدف، غیرقابل‌درک باشند و درنتیجه تأثیر چندانی بر تصمیم­گیری در سطح اجرایی نگذارند. این وضعیت، جدایی بیشتر مدیران اجرایی از حوزه امنیت اطلاعات را رقم می­زند.

بررسی که موسسه گارتنر در سال­های 2013 و 2014 - با مشارکت 100 مشتری خود - انجام داده است، نشان می‌دهد که در این سال­ها متخصصان امنیت برای برقراری ارتباط میان سنجه‌های عملیاتی و تصمیم گیران سازمان بیرون از بخش فناوری اطلاعات -، مانند: مدیران واحدهای کسب‌وکار، مدیران اجرایی و اعضای هیئت‌مدیره به‌سختی کوشیده‌اند و در چنین شرایطی پیمایش غیررسمی که در حاشیه یکی از نشست­های سال 2015 گارتنر انجام شد، نشان داد که تنها نزدیک 3 درصد از پاسخ­دهندگان با بیانیۀ مأموریت سازمان خود آشنا بوده‌اند. همچنین در 70 درصد سازمان­ها سنجه­های مرتبط با مخاطرات فناوری اطلاعات به هیئت‌مدیره گزارش داده می‌شوند.


 اگرچه این دسته از سنجه­ها به مخاطبان یادشده گزارش می‌دهند اما هنوز برقراری ارتباطی مؤثر با ایشان یکی از مهم‌ترین چالش‌هایی است که بسیاری از این سازمان‌ها با آن دست‌به‌گریبان هستند. نتیجۀ پژوهش دیگری که در سال­های 15-2014 انجام شد، نشان می­دهد 91 درصد سازمان­ها در حال نگاشت نشانگرهای کلیدی مخاطره[4] به نشانگرهای کلیدی عملکرد[5] هستند.

باوجود چنین توصیف‌هایی اما همچنان این پرسش مطرح است که « چرا توسعه سنجه‌های امنیت اطلاعات کار سختی است؟» پاسخ را می‌توان در موردهای زیر جُست:

-         امنیت و مخاطره، رشته‌هایی نامتعارف[6] هستند زیرا عموماً پس از وارد شدن زیان موردتوجه قرار می‌گیرند.

-         بیشتر مدیران ارشد امنیت بیان شفافی از هدف­هایشان ندارند و معمولاً بسنده می‌کنند به بیان عبارت‌هایی، مانند: « می‌دانم چه چیزی را برای انجام چه‌کاری نیاز دارم ». درصورتی‌که مدیر ارشد امنیت باید بر اساس اصول بازاریابی[7] درکی قوی از محیط مخاطبان، پیام‌ها و رسانه‌های این محیط داشته باشد.

-         هر سازمانی هدف، مخاطره و فرهنگ ویژۀ خود را دارد و درنتیجه، نمی‌توان نسخه‌ای یکتا و یگانه در همۀ سازمان‌ها تجویز کرد.

-         در گزارش‌های مؤثری که با به‌کارگیری سنجه‌ها داده می‌شوند لازم است ویژگی‌های مخاطب مدنظر قرار گیرد. توجه به برداشت‌ها، زبان، دغدغه‌ها و اولویت‌های مخاطبان ازجمله ملاحظه‌های مهم این حوزه هستند.

سنجه مؤثر و کارآمد چه ویژگی‌هایی دارد؟

 سنجه­های خوب - نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد که ارزش واقعی برای سازمان می‌آفرینند- ویژگی­های زیر رادارند:

1. وجود پیوند و رابطه علّی و قابل دفاع[8] با دستاوردهای کسب‌وکار
بیشتر متخصصان مخاطره و امنیت، پیوندهای کلی با تأثیرات کسب‌وکار [9] ایجاد می¬کنند تأثیراتی، مانند: از دست دادن کسب‌وکار، مزیت رقابتی یا حسن شهرت. درحالی‌که ناکارآمدی این تأثیرات کلی برای ایجاد انگیزه و به سر شوق آوردن تصمیم‌گیرندگان – بیرون از بخش فناوری اطلاعات – به اثبات رسیده است. دستاوردهای کسب‌وکار باید با استفاده از تأثیرات قابل‌اندازه‌گیری و به‌صورت خاص، مشخص شوند. به‌طور مثال: از دست دادن 40 خودرو از موجودی به ازای هر ساعت قطع برق برنامه‌ریزی‌نشده، 20درصد افزایش هزینه¬های یکپارچه‌سازی برای ادغام شبکه¬های غیر امن، 10درصد کاهش رضایتمندی مشتریان و به پیروی از آن از دست دادن 5 درصد آن‌ها به دنبال اعلام خبر هر یک از رخنه‌های امنیتی. لازم است میان متخصصان امنیت و مخاطره و تصمیم‌گیرندگان – بیرون از بخش فناوری اطلاعات – بر سر این‌گونه تأثیرات کسب‌وکار توافق حاصل شود.

2.عمل کردن[10] به‌عنوان یک نشانگر پیش­روی مخاطره

بسیاری از سنجه¬های مرسوم امنیت و مخاطره، نشانگرهای پس¬رو  هستند که هیچ رابطه¬ و پیوندی با دستاوردهای آیندۀ سازمان ندارند. به‌عنوان نمونه « شمار حمله‌ها در 3 ماهه گذشته »، نشانگری پس¬روست که هیچ‌گونه تأثیری بر شمار حمله‌ها در 3 ماهه آینده ندارد و نیز هیچ پیوندی با دستاوردی مشخص از کسب‌وکار. نشانگرهای پیش¬رو  پیش از آنکه زیانی به بار آید، هشدار می‌دهند و به‌این‌ترتیب، سازمان می‌تواند اقدامات پیشگیرانه لازم را برای جلوگیری از زیان‌های احتمالی به انجام رساند. برای مثال، « شمار روزهای لازم برای نصب وصله¬های امنیتی ضروری در سامانه¬های حساس» نشانگری پیش¬¬روست که افزایش آن، افزایش گستره حمله‌ها را در پی دارد و به‌این‌ترتیب، می‌توان اقدامات پیشگیرانه لازم را برای جلوگیری از حوادث آینده به انجام رساند.

3. مخاطب محوری

بکار بردن فهرستی واحد از سنجه­ها برای همۀ مخاطبان و ذی­نفعان، مانند: مدیران اجرایی، ممیزان، تنظیم‌کنندگان مقررات و اعضای هیئت‌مدیره اشتباهی رایج در ایجاد سنجه‌های امنیتی و مخاطره است. واقعیت این است که هر یک از مخاطبان، نگرانی­ها و ملاحظه‌های ویژۀ خود را - در پرداختن به امنیت و مخاطره - دارند و هر گزارشی باید مخاطبی مشخص و تعریف‌شده داشته باشد. بررسی‌ها نشان می­دهند که هریک از مخاطبان تنها به 5 تا 9 سنجه نیاز دارد؛ اگرچه، برخی سازوکارهای ارائۀ این سنجه­ها، مانند: کارت امتیازی متوازن - به دلیل پشتیبانی از دسته‌های گوناگون مخاطبان - شمار سنجه‌های بیشتری را در برمی‌گیرند. درواقع، مدیر ارشد امنیت اطلاعات جایگاهی همچون بازاریاب‌ها دارد. برای ایجاد و توسعه راهبردهای بازاریابی سه عنصر پایه‌ای به چشم می‌آیند:

- چه کسانی بازار شما را تشکیل می‌دهند؟

- پیام تان برای آن‌ها چیست؟

- باید از چه رسانه‌ای برای انتقال پیام تان به آن‌ها استفاده کنید؟

پل ارتباطی میان مخاطبان و « مخاطرات و امنیت »، ارائۀ اطلاعاتی است که بر تصمیم‌های آن‌ها تأثیر می‌گذارد. آنان در پی همین « اطلاعات » هستند تا از آن‌ها استفاده کنند و این « قانون طلایی » برقراری پیوند و ارتباط با ایشان است. بسیاری از مخاطبان/ذی­نفعان، متخصص فناوری اطلاعات نیستند؛ بنابراین، ایجاد اطلاعاتی برآمده و برگرفته از داده­های فنی و ارائه چنین اطلاعاتی - به‌نحوی‌که به درک آن‌ها از موضوع کمک کند - بسیار ضروری است. ارائۀ سنجه­های مربوط به عملیات فناوری اطلاعات به مخاطبان غیر فنی، روشی تضمین‌شده برای شکست در برقراری ارتباط با آن‌هاست.

4. نوسان سنجه­ها منجر به اقدام شود

یکی از کاستی‌های رایج و شناخته‌شده در تعریف سنجه­های امنیت و مخاطره، نبود توجه کافی به اقداماتی است که باید بر اساس تغییرات سنجه‌ها، انجام پذیرد. زرد، نارنجی و قرمز شدن سنجه‌های یادشده، سرانجام تنها بدان خواهد انجامید که ذی­نفعان سری تکان داده، از افراد امنیت یا مخاطره خود بخواهند که کارشان را بهتر انجام دهند. سنجه­هایی را می‌توان دارای استاندارد طلایی اثربخشی دانست که نوسان‌هایشان منجر به انجام اقدامی ویژه از سوی دیگران شود یا به اثرپذیری تصمیم‌های اخذشده بیانجامد. به‌طورکلی لازم است هر سنجه‌ای برای مقاصد ذیل گزارش گردد:

 1) اطلاع‌رسانی دربارۀ موضوعی که باید توجه مخاطب موردنظر را به خود جلب کند،

 2) اتخاذ تصمیمی که مسئولیت مستقیم آن بر عهده فرد یا گروه مخاطب است و

 3) تغییر رفتار آن مخاطب، گروه یا زیردست‌هایش.

5. گزارش آنچه که قابل‌کنترل یا تغییر است

اکنون مدتی است ارائۀ گزارش از آنچه امنیت و مخاطره‌اش - به‌طور واقعی - برای سازمان قابل‌کنترل نیست، رایج و مرسوم شده است؛ درحالی­که سنجه­ها باید دربارۀ متغیرهای سنجش پذیری گزارش دهند تا بتوان با اقدام‌های مقتضی بر آن‌ها اثرگذار بود و سرانجام از این راه از میزان مخاطره‌ها کاست. در غیر این صورت، سنجه‌ها نابسامانی‌هایی را که از کنترل فعالیت‌های امنیتی بیرون هستند به نمایش خواهند گذاشت. به‌طور مثال: « درصد سرورهای منطبق با خطوط پایۀ پیکربندی امنیتی »، « درصد درخواست‌های بازگشت خوردۀ تغییر - به دلیل مخاطره امنیتی غیرقابل‌پذیرش - » و « درصد یافته‌های ممیزیِ مشخص‌شده در SLA های تعریف‌شده » و ... ازجمله سنجه‌هایی به شمار می‌آیند که موارد « قابل‌کنترل » را گزارش می‌دهند.

6. داده‌های باکیفیت

« کیفیت »، ترکیبی ست از صحت، دقت، قابلیت اطمینان، مرتبط بودن[13] و بی‌طرفی[14]. اگرچه استفاده از سنجه‌هایی، مانند: زیاد، متوسط و کم، آسان است اما بدون ارائه تعریفی دقیق از آن‌ها، معمولاً موجب خطا می‌شوند؛ زیرا موارد کیفی برای همگان معناهای یکسانی ندارند و درنهایت مانع تصمیم‌گیری - هنگام مدیریت مخاطره - می‌شوند. برای چیرگی بر این مشکل، باید تعریف دقیقی از واژگان کاربردی و عبارت‌ها، اجزایی که می‌خواهند اندازه‌گیری شوند، روش کمی مورداستفاده و روشی که نتایج کیفی را تفسیر می‌کنند، ارائه داد. به‌طور مثال: سنجه‌های زیر کیفیت بالای داده را نشان می‌دهند: در 90 روز گذشته، بیست درصد از کاربرانِ دارای مجوز ویژه وارد سامانه‌ها نشده‌اند یا واحد امنیت 75 درصد از پروژه‌های خود را طی چهارماهۀ اول به‌موقع به پایان رسانده است.

7. سربار[15] اندک گردآوری داده

سنجه‌های ارزش‌آفرین باید به‌سادگی گردآوری شوند و تحلیل آسانی داشته باشند. بر اساس قانون کاهش بازده[16]، اگر گردآوری داده‌های مرتبط با سنجه‌ها، به تلاش و زمان زیادی نیاز داشته باشد، آنگاه ارزش سنجه‌ها کم می‌شود. برای مثال اگر گردآوری، تحلیل و گزارش سنجه‌ای که باید ماهانه گزارش شود، چهار هفته طول بکشد، آنگاه باید در فرآیند یا زمان‌بندی گزارش دهی این سنجه بازنگری شود. به‌طورمعمول سنجه‌های مناسب، نیاز چندانی به مصاحبه‌های متعدد با افراد مختلف ندارند و می‌توان در بازۀ زمانی کوتاهی گردآوری‌شان کرد.

8. روندگرا بودن

مدیران مخاطره و امنیت باید نشان دهند که برنامه‌های امنیتی به‌طور مؤثر و کارآمدی از منابع تحصیل شده بهره می‌برند. به همین منظور، نیاز به سنجه‌های عینی، به هنگام و در دسترس ( گردآوری‌شان آسان باشد) دارند تا بتوانند از آن‌ها روندی معنادار، استخراج کنند. بسته به این‌که سنجه چه چیزی را اندازه‌گیری می‌کند، فاصله زمانی ارائه آن نیز تغییر می‌کند. برای مثال: بلوغ فرآیندها به‌کندی تغییر می‌کند و از همین روی قرار دادن آن در گزارش‌های هفتگی و ماهانه سودی ندارد. مثال‌هایی ازجمله: درصد سامانه‌های حیاتی منطبق با خطوط پایه[17] پیکربندی یا تعداد یافته‌های مهم کشف‌شده در ممیزی‌ها، می‌توانند نشان‌دهندۀ روند رو به بهبود یا بالعکس روند رو به افول باشند.

بسیاری از ویژگی­های مورداشاره دربارۀ سنجه­ها، برای متخصصان مخاطره و امنیت قابل‌درک هستند اما مشاهدات بیانگر این موضوع‌اند که این ویژگی­ها در سنجه­های فعلی بسیار کم­رنگ هستند. لازم است تا متخصصان امنیت و مخاطره رویکرد خود را به این موضوع مهم بهبود دهند و سنجه­هایی را که دربرگیرنده این ویژگی­ها هستند، ارائه کنند.

 

باید سنجه‌های فعلی را بهبود بخشید

آیا دانستن ویژگی‌های یک سنجۀ خوب - به‌تنهایی - کفایت می‌کند؟ این پرسش زمانی پاسخ داده می‌شود که تعریف دقیق و مفصلی از سنجه‌ها وجود داشته باشد تا بتوان به‌واسطۀ آن تعریف به جستجوی ویژگی‌ها در سنجۀ موردنظر پرداخت. پس در نخستین اقدام باید مشخصه‌های سنجه را تشریح کرد و به این منظور، می‌توان مشخصه‌های زیر را در نظر گرفت:

-          هدف سنجه چیست؟

-         سنجه چه معنایی دارد یا چگونه با یک دستاورد کسب‌وکار ارتباط برقرار می‌کند؟

-         «خوب» بودن سنجه چه معنایی دارد؟

-         درصورتی‌که سنجه بر اساس محاسبه تولید می‌شود، چه فرمولی برای محاسبه آن به کار می‌رود؟

-         چه روشی برای ایجاد سنجه به کار می‌رود؟

-         چه کسی سنجه را ایجاد می‌کند؟

-         منابع داده‌های خام سنجه کدم‌اند؟

-         چه کسی بر اساس این سنجه باید اقدامی انجام دهد؟

-         چه اقدامی باید بر اساس این سنجه صورت پذیرد؟

در جدول شماره 1 می‌توانید مشخصه‌های تعریف‌شده برای یک نمونه سنجه را مشاهده کنید.

جدول 1 مشخصات سنجه «فرصت مواجهه با تهدید»

جنبه‌های مختلف سنجه

توضیحات

نام سنجه

فرصت مواجهه با تهدید.

هدف

حصول اطمینان از برطرف شدن آسیب‌پذیری‌های با شدت زیاد در یک بازه زمانی معقول که روی میزبان‌های بیرونی[18] پشتیبانی‌کننده فرآیندهای حیاتی کسب‌وکار مشاهده‌شده‌اند.

ارتباطات

پیش‌بینی کننده حملات خارجی قریب‌الوقوع و به مخاطره افتادن فرآیندهای حیاتی کسب‌وکار. فرض بر این است که هر آسیب‌پذیری قابل‌دسترس توسط عموم تقریباً 60 روز بعد از انتشار، موجب بروز مخاطره می‌گردد. مقدار 60 روز شاخصی برای شکست‌های قریب‌الوقوع است.                 

هدف

30 روز یا کمتر

نحوۀ محاسبه

شمار روزهای طی شده از زمان اعلامی از سوی منبع داده[19]

روش

برای هرکدام از میزبان‌هایی که فرآیندهای اصلی کسب‌وکار را پشتیبانی می‌کنند، آسیب‌پذیری‌های تشخیص داده‌شده توسط ابزارهای پویش[20] آسیب‌پذیری بازبینی می‌شوند. ابزارها، زمان و تاریخی را که برای اولین بار آسیب‌پذیری تشخیص داده‌شده است، نشان می‌دهند. آن‌ها همچنین نشان می‌دهند که آیا وصله‌ای برای این آسیب‌پذیری وجود دارد یا نه؟ و اگر هست، زمان در دسترس بودن آن‌ها را نیز نشان می‌دهند.

چه کسی اندازه‌گیری می‌کند؟

 امنیت فناوری اطلاعات

منبع داده

گزارش ماهانۀ پویش آسیب‌پذیری

چه کسی اقدامات لازم را انجام می‌دهد؟

فرآیند رسمی مدیریت آسیب‌پذیری را ببینید.

چه‌کاری باید صورت پذیرد؟

فرآیند رسمی مدیریت آسیب‌پذیری را ببینید.

 

برای پشتیبانی از تصمیم‌گیرندگان حوزۀ کسب‌وکار، « مخاطره » و « عملکرد » شرکت را یکپارچه کنید.

به خطی که در تصویر شمارۀ یک کشیده شده است، بنگرید: بالای این خط « تصمیم‌گیرندگان اجرایی » سازمان و پایین آن « عملیات فناوری اطلاعات » قرارگرفته‌اند. همچنین، پایین خط کشیده شده، برخی از سنجه­­های عملیاتی - که برای تصمیم‌گیری‌های عملیاتی مفید هستند- به نمایش درآمده‌اند. عموماً در سازمان‌ها برای گزارش دهی به تصمیم‌گیرندگان اجرایی که در بالای خط قرار دارند، به‌اشتباه تلاش می‌شود تا بهترین سنجه­های عملیاتی –که زیر خط آورده شده­اند - انتخاب شوند و گزارش‌هایی بر اساس آن‌ها تولید شوند؛ اما درواقع رویکرد درست، « منتزع کردن[21]» سنجه­های عملیاتی و فناورانه است تا جایی که تنها سنجه­های دارای رابطه علّی با تصمیم­گیری مدیران اجرایی باقی بماند و گزارش‌ها نیز بر اساس آن سنجه‌ها ارائه شوند.


شکل
1 - سنجه‌های عملیاتی مدیران ارشد را تحت تأثیر قرار نمی‌دهند

در سطور زیر، تکامل یکی از سنجه‌های مربوط به مدیریت آسیب‌پذیری را مرحله‌به‌مرحله و بیشتر می‌شکافیم تا موضوع هر چه روشن‌تر شود؛ اگر دقت کنید می‌توانید ببینید که با هر تکرار، توان سنجۀ فرضی برای برقراری پیوند و ارتباطی سزاوارتر با مخاطب‌های ناآشنا با مباحث فنی افزایش‌یافته است.

تکرار شماره 1: « شمار حمله‌ها در ماه گذشته »

 سنجۀ بالا، سنجه‌ای است بسیار معمولی و بی‌ارزش؛ چراکه، سنجۀ پیش­رو نیست و هیچ رابطه و پیوند علت و معلولیِ آشکاری با دستاوردهای کسب‌وکار ندارد. سازمان نمی­تواند آن را مهار و کنترل کند و هیچ‌یک از مشخصه‌های یادشده را نیز ندارد.

تکرار شماره 2: « شمار آسیب‌پذیری‌های اصلاح‌نشده »

این نیز سنجه­ای بسیار رایج است اما تعریفی به‌اندازۀ کافی روشن ندارد تا دست‌کم - بتواند تصمیم­گیری­های عملیاتی فناوری اطلاعات را هدایت کند. حتی اگر متخصصان امنیت و مخاطره بتوانند این سنجه را در وضعیتی مطلوب گزارش دهند، در چنین وضعی، فقط اثبات کرده‌اند که در حال انجام وظایفشان (کارشان) هستند.

تکرار شماره 3: « شمار آسیب­پذیری­های بسیار مهم اصلاح‌نشده روی سامانه­های حیاتی »

استفاده از این سنجه آن‌قدر که انتظار می­رود رایج نیست. چراکه مدیریت دارائی­ها در بسیاری از سازمان­ها آن‌چنان موردتوجه نبوده تا امکان تمایز قائل شدن بین سامانه‌های حیاتی و غیرحیاتی را برای آن‌ها فراهم سازد. اگرچه تغییرات این سنجه
می‌تواند برای اتخاذ تصمیمات لازم مفید واقع شود اما با توجه به اینکه تعداد وصله­های بسیار مهم و حتی سامانه­های حیاتی دائماً در حال تغییر هستند بنابراین شمار آسیب‌پذیری‌ها به‌تنهایی، برای مخاطبین بی‌معنا است.

تکرار شماره 4: "درصد آسیب­پذیری­های بسیار مهم اصلاح‌نشده در سامانه­های حیاتی"

با نرمال­سازی مقادیر به‌دست‌آمده از این سنجه می‌توان این مقادیر را ماه‌ به‌ ماه با یکدیگر مقایسه نمود. اگرچه این سنجه برای تصمیم­گیری عملیاتی در خصوص هدایت منابع، مفید است اما هنوز برای تصمیم ­گیرندگان اجرایی غیر فنی، نسبتاً
بی­ارزش است.

تکرار شماره 5: « شمار روزهایی که اصلاح آسیب­پذیرهای بسیار مهم در سامانه­های حیاتی به درازا می‌کشد »

این سنجه از سایر سنجه‌ها سودمندتر است چراکه بیشتر از دیگر سنجه‌ها از زبان فناوری فاصله گرفته است و بنابراین برای یک تصمیم­گیرندۀ غیر فنی قابل‌فهم است. البته هنوز سنجۀ یادشده به‌طور کامل برای تصمیم‌گیری‌های غیر فنی سودمند نیست چراکه زمینۀ کسب‌وکار به‌هیچ‌وجه آشکار نیست.

تکرار شماره 6: « شمار روزهایی که اصلاح آسیب­پذیری­های بسیار مهم در سامانه­هایی که از خدمت بانکداری اینترنتی پشتیبانی می­کنند، به درازا می‌کشد »

برای اینکه در مورد این سنجه بتوان به‌خوبی اظهارنظر کرد دانستن این موضوع ضروری است که خدمت بانکداری اینترنتی در سال جاری « 3 بار » قطع برنامه­ریزی نشدۀ را - به دلیل نقص در سامانه‌های مبتنی بر فناوری اطلاعات از سر گذرانده است. همچنین باید بدانید که 40 درصد از درآمدهای بانک به ارائۀ این خدمت مربوط است. گزارش این سنجه به مدیر ارشد اطلاعات و واحدهای کسب‌وکار اجرایی مسئول، کمک خواهد کرد تا به مسائل مرتبط با قطعی برنامه­ریزی نشده در این خدمت بپردازند و بتوانند پاسخی شایسته برای مدیرعامل بانک فراهم کنند؛ آن‌هم مدیرعاملی که می­خواهد بداند: چرا خروجی حیاتی‌ترین خدمت این بانک در سه‌ماهه گذشته 3 درصد کاهش‌یافته است؟ این سنجه، سنجۀ بالای خط محسوب می‌شود و برای مدیران کسب‌وکار بسیار مفید است، چراکه از مضامین فناوری اطلاعات دور شده، بیشتر درزمینۀ کسب‌وکار قرارگرفته است و می‌تواند پشتیبان تصمیم­گیری­های آتی - در تمامی سطوح سازمان تا مدیرعامل باشد.

بسیاری از سازمان‌ها در پیوند زدن وظایف سنتی امنیت با دستاوردهای کسب‌وکار به‌دشواری برمی‌خورند. سنجه­های خوب لزوماً سنجه‌های پیچیده نیستند؛ همین‌که از مشکلات واقعی کسب‌وکار پشتیبانی کنند، کافی است تا آن‌ها را از سنجه‌های خوب بدانیم. نباید فراموش کرد که سازمان‌ها هنوز و همچنان به سنجه­های عملیاتی نیاز دارند اما از سویی باید صرفاً در سطحی که به آن تعلق دارند به کار گرفته شوند، یعنی: سطح عملیاتی سازمان.

 نمونه‌ای کاربردی از ارتقاء سنجه‌های امنیتی

پس از توصیف‌ها و توضیحاتی که تاکنون برابر دیدگان شما خوانندگان گرامی نهاده شد اینک با ارائۀ مثالی، مراحل تکامل سنجه­های عملیاتی را به سنجه­های قابل‌درک و بهره‌برداری برای تصمیم گیران کسب‌وکار بیرون از بخش فناوری اطلاعات موشکافانه واکاوی می‌کنیم.

جدول شمارۀ « 2 » وضعیتی را که معمولاً بسیاری از سازمان‌ها در آغاز راه از سر می‌گذرانند به نمایش درمی‌آورد و آن‌گونه که می‌بینید داده‌های لازم برای اندازه‌گیری سنجه‌ها را صرفاً از ابزارهای ارزیابی آسیب‌پذیری به دست آورده‌ایم.

جدول 2- نقطه شروع برای ایجاد سنجه‌های عملیاتی

فرایند

منبع داده

خط پایه[22]

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  شمار سرورهای پویش شده یا پویش نشده

-  شمار وصله‌های مهم

 

-  درصد وصله‌های حیاتی و مهم

 

نقاط قوت:

به‌خوبی از داده‌های پایه برای ایجاد نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد - به‌نحوی‌که بتوانند از تصمیم‌گیری‌های کسب‌وکار پشتیبانی کنند - استفاده‌شده است. به‌کارگیری درصدها (شاخص‌ها) که وظیفۀ نرمال­سازی داده­ها را بر عهده دارند، امکان دستیابی به روند سنجه‌ها را در طول زمان به همراه تغییر شمار دارایی‌ها و آسیب‌پذیری‌ها فراهم می‌کند. همچنین تمرکز بر واژگان حیاتی و مهم به معنای اعمال نوعی اولویت‌بندی است.

نقاط ضعف:

استفاده از خطوط پایه در تعیین سنجه‌ها موجب شده است تمایز چندانی میان نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد پدیدار نباشد. تقریباً تمامی سنجه‌ها در دستۀ مشابهی قرارگرفته‌اند و ذاتاً بسیار فنی و عملیاتی هستند. نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد، واژگانی هستند که در بسیاری از سازمان‌ها به طرز نسنجیده‌ای از آن‌ها استفاده‌شده است و به‌این‌ترتیب، برچسب‌ها و دسته‌بندی‌های مورداستفاده‌شان، ارزش کمتری هنگام پشتیبانی از تصمیم‌گیری‌ها دارند.

در جدول شمارۀ « 3 » - پس از دریافت بازخوردهای گارتنر - نسخۀ بهبودیافته‌ای از نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد نمایش داده‌شده است.

جدول 3- تکامل سنجه‌های عملیاتی

فرایند

منبع داده

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

توصیف ارزش

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  درصد وصله‌های حیاتی و مهم اعمال نشده.

-  درصد پویش ناموفق سرورها.

-  درصد کاهش وصله‌های مهم و حیاتی اعمال نشده.

-  درصد کاهش پویش‌های ناموفق.

-  درصد سرورها و پایگاه‌های داده حیاتی برای کسب‌وکار که تمامی وصله‌ها روی آن‌ها اعمال‌شده است.

اعمال منظم وصله‌ها، محرمانگی داده‌ها و پایایی فرایندهای کسب‌وکار را از طریق اصلاح ضعف‌ها و نقایص سامانه‌ها، پیش از آنکه مورد سو استفاده قرار گیرند، بهبود می‌بخشند.

 

نقاط قوت:

همۀ سنجه‌های عملیاتی در عنوان‌های: نشانگر کلیدی مخاطره و نشانگر کلیدی عملکرد دسته‌بندی‌شده‌اند. نشانگرهای کلیدی عملکرد - با داشتن زمینۀ کسب‌وکار بیشتر به‌روشنی از نشانگرهای کلیدی مخاطره جداشده‌اند. همچنین توضیحاتی با عنوان « توصیف ارزش » - باهدف دور ساختن محتوای فنی از سنجه‌ها و پررنگ‌تر کردن زمینۀ کسب‌وکاری‌شان اضافه‌شده است.

نقاط ضعف:

« توصیف ارزش »، بسیار کلی و سطح بالا است. مدیران اجرایی با هشدارهای عمومی (کلی) دربارۀ اتفاقات ناگواری که رخ خواهند داد، برانگیخته نخواهند شد. نشانگرهای کلیدی عملکرد نیز بسیار کلی هستند. نشانگرهای کلیدی عملکرد باید بازتاب‌دهندۀ تأثیری باشند بر دستاورد مشخصی از کسب‌وکار، به‌گونه‌ای که برای تصمیم‌گیرندگان کسب‌وکار قابل‌تشخیص و حساسیت‌برانگیز باشد.

جدول « 4 » نشان‌دهندۀ نتایج تکرار پایانی است. شمار نشانگرهای کلیدی مخاطره کاهش‌یافته است و بر فرایند مشخصی از کسب‌وکار صدور صورت‌حساب که تأثیر مستقیم و قابل‌درکی بر کسب‌وکار دارد، تمرکز یافته‌اند. نشانگر کلیدی عملکرد تأثیر مشخصی را که بر فرایند صدور صورت‌حساب واردشده است، اندازه می‌گیرد: تأثیری که بیشتر دربارۀ از دست رفتن کسب‌وکار است تا کاستی در کنترل‌ها. توصیف ارزش، نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد را در بستر ملاحظه‌ها و نگرانی‌های خاصی از کسب‌وکار قرار می‌دهد. نشانگر کلیدی مخاطره، نشانگر پیش­رویی از نشانگر کلیدی عملکرد و نشانگر کلیدی عملکرد، نشانگر پیش­رویی از شکست در دستیابی به دستاوردهای کسب‌وکار است.

جدول 4- تکرار پایانی از یک سنجه امنیتی اثربخش

فرایند

منبع داده

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

توصیف ارزش

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  درصد وصله‌های حیاتی اعمال نشده روی سامانه صدور صورت‌حساب.

-  درصد افزایش پویش‌های ناموفق سامانه صدور صورتحساب.

-  درصد صورتحساب‌هایی که به دلیل قطعی‌های برنامه‌ریزی نشده با تأخیر صادرشده‌اند.

صدور با تأخیر صورتحساب به علت قطعی‌های برنامه‌ریزی نشده، عملیات کسب‌وکار را با مخاطره روبرو می‌کند. نقص در اعمال وصله‌ها، ناپایداری سامانه‌های پشتیبانی‌کننده صدور صورتحساب و متعاقباً خطر قطعی‌های برنامه‌ریزی نشده را افزایش می‌دهد.

 

برای درک بهتر تصمیم‌گیری‌های هرروزۀ مدیران اجرایی به ایشان نزدیک شوید

زمانی که متخصصان فناوری اطلاعات سنجه‌های هم‌راستا شده با کسب‌وکار را بدون درگیر کردن نمایندگانی از کسب‌وکار-بیرون از بخش فناوری اطلاعات - توسعه می‌دهند، ارزش نتیجۀ به‌دست‌آمده برای سازمان بسیار اندک است. مشاهده‌های انجام پذیرفته از سوی گارتنر بر مشتریانش، حاکی از آن است که کارکنان فناوری اطلاعات در تلاش برای درک کسب‌وکار سازمان خود و دستاوردهای آن هستند و این امری است ضروری برای توسعۀ انواع سنجه‌های هم‌راستا شده با کسب‌وکاری که در این پژوهش به آن پرداخته شد. کار کردن با مدیران اجرایی غیر فنی نه‌تنها این شکاف را می‌پوشاند بلکه پذیرش سنجه‌ها توسط مدیران ارشد را ساده‌تر می‌کند.

پیشنهاد می‌کنیم که مدیران فناوری اطلاعات و مدیران اجرایی بیرون از بخش فناوری اطلاعات - را برای تمرینی مشترک و رسیدن به اهداف زیر گرد هم آورید:

1-      تعیین مخاطبان بیرون از حوزه فناوری اطلاعات،

2-     شناسایی دستاوردهای حیاتی کسب‌وکار که برای این مخاطبان اهمیت داشته باشند،

3-     شناسایی فرآیندهای پشتیبان کسب‌وکاری که این دستاوردها را ایجاد می‌کنند،

4-     شناسایی وابستگی‌های این فرایندها به فناوری اطلاعات،

5-     ایجاد توافق دوجانبه بر سر سنجه‌های مرتبط با مدیران اجراییِ بیرون از حوزه فناوری اطلاعات،

در نشستی ازینگونه است که افراد فناوری اطلاعات می‌آموزند که چه چیزهایی برای تصمیم‌گیرندگان کسب‌وکار واقعاً اهمیت دارند و تصمیم‌گیرندگان کسب‌وکار نیز می‌آموزند که به‌راستی در مسیر دستیابی به دستاوردهای کسب‌وکار چه وابستگی‌ها و مخاطره‌های فناورانه ای وجود دارند. بدین ترتیب درکی مشترک میان گروه‌هایی که باید به پرسش زیر پاسخ دهند، پدید خواهد آمد: چه سنجه‌هایی از امنیت و مخاطره، مخاطبان بیرون از بخش فناوری اطلاعات را - در همۀ سطوح سازمان تا هیئت‌مدیره - بر سر شوق خواهد آورد؟

 

منابع

 

[1] Paul E. Proctor, Jeffrey Wheatman, Rob McMillan, Develop Key Risk Indicators and Security Metrics That Influence Business Decision Making, Gartner, 31 July 2015

[2] Rob McMillan, Five Required Characteristics of Security Metrics, Gartner, 5 December 2012

[3] Rob McMillan, Sharpen Your Security Metrics to Make Them Relevant and Effective, Gartner, 13 May 2014

[4] John A. Wheeler, Survey Analysis: IT Risk Influences the Digital Business, 2014, Gartner, 28 October 2014

[5] Rob McMillan, Survey Analysis: Risk and Security Management in Midsize Organizations, 2014-15, Gartner, 2 March 2015



[1]  Risk

[2] Metrics

[3] Executive Leaders

[4]  Key Risk Indicators

[5]  Key Performance Indicators

[6]  Unusual

[7]  Marketing

[8]  Causal and Defendible

[9] Business Impacts

[10]  Work

[11] Lagging Indicators

[12] Leading Indicators

[13]  Relevance

[14]  Objectivity

[15]  Overhead

[16]  The law of diminishing returns

[17]  Baselines

[18]  External Hosts

[19]  Data Source

[20]  Scan

[21]  Abstraction

[22]  Baseline

برنامۀ امنیت اطلاعات

چکیده  
برنامۀ امنیت اطلاعات یکی از ارکان مهم امنیت اطلاعات است که تمامی تلاش ها و فعالیتهای مرتبط با امنیت اطلاعات را در برگرفته، موجب می­شود سازمان در مسیری همراستا با اهداف کسب و کار قرار گیرد و اهداف امنیتی مورد نیاز خود را - با وجود محدودیت منابعی که برایش متصور است - برآورده سازد. ضرورت وجودی، تعریف، ساختار، دامنه و نحوۀ شروع اجرای برنامۀ امنیت اطلاعات مباحث مطرح شده در این مقاله هستند و برای چالش­های پیش روی آن ها، راه حل­هایی ارایه شده­ است. برنامۀ امنیت اطلاعات نیز - مانند تمامی هستارها - اجزایی دارد که مهمترین جزء آن فرایندهای امنیت اطلاعات هستند که به طور مختصر معرفی شده­اند. ایجاد و اجرای برنامۀ امنیت اطلاعات مسیری طولانی در پیش دارد تا در نهایت به سطحی از بلوغ مورد نیاز سازمان برسد و بدیهی است قسمت اعظمی از بلوغ امنیت سازمان، وابسته به بلوغ فرآیندهای امنیت اطلاعات است. در پایان نیز راهکارهای سنجش بلوغ فرآیندهای مذکور بر اساس مدل بلوغ CMMI  تبیین گردیده­اند.

واژگان کلیدی:

 برنامۀ امنیت اطلاعات،فرآیندهای امنیت اطلاعات، شروع برنامۀ امنیت اطلاعات، بلوغ فرآیندهای امنیت اطلاعات

1.       مقدمه

چنانچه امنیت اطلاعات را به شکل موردی، بدون یکپارچگی و اینجا و آنجا به کار بگیریم، حتما تأثیری اندک در سازمان خواهد داشت و چه بسا مخاطرات مربوط به امنیت اطلاعات را نیز افزایش بدهد.  به همین دلیل راهبران[1] اطلاعات باید امنیت را با تمامی ابعاد کسب و کار، شامل: فناوری، فرآیندها و رفتار سازمانی ادغام کنند تا ضمن همراستایی با اهداف کسب و کار، نیازمندی­های امنیتی سازمان را برآورده سازند. اولین گام برای تحقق این اهداف، استقرار برنامه­ای رسمی است که مشخص کننده اصول، منابع و فعالیت های مهم امنیت اطلاعات سازمان باشد. این برنامه، «برنامۀ امنیت اطلاعات[2]» نام دارد.

«برنامه مدیریت امنیت اطلاعات» برنامه­ای است مستمر برای یافتن عدم تعادل میان امنیت و عملیات روزمره سازمان و متعاقباً بهبود مستمر اثربخشی و بهره­وری امنیت اطلاعات و منابع سازمان. مهمترین ابزار مدیریت امنیت اطلاعات برای رسیدن به این هدف،  برنامۀ امنیت اطلاعات است که نیازمند تایید مدیریت ارشد -در بالاترین سطح- و سرمایه گذاری سازمان است. به همین دلیل، تدوین­گران و مجریان این برنامه باید در تمامی مسیر ایجاد و استقرار برنامه، شواهد لازم را برای اثربخشی و ارزش آفرینی این برنامه در اختیار مدیران ارشد قرار دهند.

در ادامۀ این مقاله و در بخش دوم آن به رویکرد برنامۀ امنیت اطلاعات، دامنه و ساختار آن پرداخته، اجزای برنامۀ امنیت اطلاعات را مشخص نموده، تعریفی مختصر از این اجزا ارائه داده ایم. در بخش سوم مهمترین جزء برنامه را که فرایندهای امنیت اطلاعات هستند معرفی نموده، در چهار دستۀ حاکمیتی، طرح ریزی، ساخت و اجرا دسته­بندی کرده ایم. در بخش چهارم، چالش های پیش روی شروع برنامۀ امنیت اطلاعات تبیین می­شوند و برای عبور از این مرحله، راه حل­هایی ارائه نموده­ایم. در بخش پنجم نیز نشان داده­ایم که ایجاد و استقرار برنامۀ امنیت - جدا از ساختار و معرفی اجزاء - نیاز به نقشۀ راهی برای اجرا دارد که در قالب بلوغ برنامۀ امنیت متبلور می شود. در پایان نیز، نتیجه گیری و توصیه های لازم ارایه شده­اند.

2.      ساختار و دامنه برنامۀ امنیت اطلاعات

نقطۀ شروع تدوین برنامۀ امنیت اطلاعات، تعیین نوع نگرش سازمان به امنیت اطلاعات و به تبع آن برنامۀ امنیت اطلاعات است. با توجه به این امر که چارچوب­های مدیریتی کسب و کار، رویکردی فرآیند محور[3] و مبتنی بر مخاطره  را دنبال می­کنند، لازمۀ همراستایی با کسب وکار، اتخاذ رویکردی مشابه است، به این ترتیب مناسب­ترین رویکرد برای امنیت اطلاعات نیز رویکرد فرآیند محور است. پس از مشخص شدن رویکرد امنیت اطلاعات، برنامۀ امنیت اطلاعات تدوین می گردد و با استقرار چارچوبی از منابع و مجموعه ای از اصول شروع می شود. همان­طور که در شکل 1 می بینید، این برنامه از اجزای گوناگونی  تشکیل شده است تا به برپایی نظامی  مستمر و تکرار شونده، شامل: طرح ریزی، ساخت و اجرای راه حل های امنیتی موردنیاز کسب و کار منجر شود[1].


شکل
1 اجزای برنامۀ امنیت اطلاعات

 

به طور معمول برنامۀ امنیت اطلاعات دارای اجزای ذیل است: 

-         مؤلفه های رهبری و تاییدات مدیریتی؛ پیاده سازی موفق یک برنامه منوط به اجماع در سطح حاکمیت سازمان است تا تمامی مدیران تعهد خود را نسبت به اجرای آن برنامه اعلام نمایند؛

-         منشور امنیت اطلاعات[4] شامل: اصول امنیت اطلاعات سازمان و پاسخگو نمودن مدیران ارشد سازمان در قبال امنیت اطلاعات است[5]؛

-         طرح راهبردی امنیت شامل: چشم انداز، وضعیت جاری، فهرست پروژه های طرح ریزی شده و اهداف سالانه و کوتاه مدت است؛

-         ساختار سازمانی و فرآیندهای مرتبط با امنیت اطلاعات، عناصر اصلی سازندۀ امنیت و برنامۀ  امنیت را تشکیل می دهند. در بخش بعدی مقاله، فرآیندها به طور مفصل بیان شده اند؛

-         راهکارهایی برای دنبال کردن[5] و اشاعۀ کارآمدی و پیشرفت برنامۀ امنیت اطلاعات در سازمان و میزان همراستایی آن با کسب وکار؛

-         راهبرد مدیریت مخاطرات،  شامل: فرآیندهای ارزیابی و مدیریت مخاطرات امنیت اطلاعات[6] سازمان؛

-         مجموعه ای از اصول مشترک امنیت اطلاعات در سازمان که در معماری امنیت اطلاعات جای می­گیرند؛

-         چارچوب خط مشی ها و کنترل ها، شامل: منشور امنیت اطلاعات و مجموعه ای جامع و کامل از خط مشی های مورد نیاز سازمان؛

-         ارتباطات داخلی موثر بر مبنای جستجو برای یافتن نیازهای امنیتی و معرفی راه حل های امنیتی. این امر موجب ایجاد و حفظ آگاهی کارکنان می شود و از سوی دیگر ارتباط امنیت با کسب و کار را پشتیبانی می کند؛

-         مدیریت فرآیندها، شامل: شناسایی و اختصاص منابع برای تعریف، تصحیح، بهبود و بهینه سازی فرآیندهای امنیت اطلاعات؛

-         ایجاد، تکمیل، نگهداری و بهره­برداری از زیرساخت امنیت اطلاعات بر اساس معماری امنیتی؛

-         کنترل های امنیت اطلاعات[7]، شامل: تعیین کنترل ها، طراحی و پیاده سازی آن ها می شود؛

-         عملیات مرتبط با فرآیندهای حفاظتی روزانه، مانند: مدیریت آسیب پذیری، مدیریت کنترل دسترسی، پایش و مدیریت رخدادهای امنیتی و ....

به طور معمول استقرار برنامۀ امنیت اطلاعاتی با کیفیت مطلوب و استاندارد، 3 تا 5 سال طول می کشد. علاوه بر این، انتخاب آگاهانۀ ترکیبی از پروژه­های کوتاه مدت که بر خلق ارزش تاکید دارند به همراه پروژه های میان مدتِ زیرساختی که فرهنگ سازمانی را تغییر می دهند موجب افزایش کیفیت برنامۀ امنیت اطلاعات می شود.

3.     فرآیندهای امنیت اطلاعات

تعریف و اجرای درست فرآیندها موجب ارتقای مهارت­ها، پاسخگویی شفاف، سازگاری همه جانبه، مشارکت در اجرا، ایجاد قابلیت سنجش عملکرد و نتایج و مبنایی برای بهبود مستمر می شود. مهم ترین دلیل ایجاد و تدوین « سبد فرآیندها» رسمی سازی[8] فرآیندهای امنیتی است. در گذشته، مدلی چهاروجهی برای توصیف فرآیندهای امنیتی به کار می رفت که شامل ابعاد ذیل بود:

 1- دسترسی به شبکه؛

 2- نفوذ؛

 3- مدیریت هویت و

 4- مدیریت آسیب پذیری.

اما این مدل توان مقیاس پذیری و ظرفیت های سنجش بلوغ اندکی داشت و  به همین دلیل مدیران امنیت به سمت مدلی گسترده تر و رسمی تر گرایش پیدا کردند. مدل « سبد فرآیند امنیت اطلاعات گارتنر »[2] مجموعه­ای از فرآیندهاست که مفصل­تر از فرآیند­های کلی مدیریت امنیت مانند  ISMS- است. این مدل برای سازمان­ های بزرگ با برنامه­های امنیت نسبتا بالغ­تر مناسب است و تمرکز آن بر بهبود مستمر، حاکمیت موثر، مدیریت خدمات و همراستایی مدیریت مخاطرات و شیوه­های اجرایی امنیت اطلاعات با نیازهای کسب و کار است.  این مدل شامل چهار گروه فرآیندی است که در ادامه به توضیح آن ها می­پردازیم:

فرآیندهای حاکمیتی: این فرآیندها تضمین کننده اتخاذ اقدامات منطقی و مناسب برای حفاظت از منابع اطلاعاتی سازمان -  به موثرترین و مناسب ترین شکل - در راستای اهداف کسب و کار هستند. فرآیندهای اصلی این گروه شامل:

 1- نظارت بر برنامه امنیت اطلاعات و انعکاس دستور هیئت مدیره درخصوص برنامه؛

 2- تنظیم و مدیریت اختیارات تصمیم گیری  و پاسخگویی در قبال آن­ها؛

 3- تخصیص منابع؛

 4- قضاوت میان الزامات و مخاطرات امنیتی متناقض

 5- فراهم سازی تضمین درخصوص مدیریت مناسب مخاطرات امنیت اطلاعات برای هیئت مدیره و ذی نفعان،

است.

فرآیندهای طرح ریزی: این فرآیندها شامل: فعالیت­های راهبردی مرتبط با مدیریت برنامه امنیت سازمان هستند و اغلب متناوب هستند تا مداوم. زیرفرآیندهای آن ها متشکل از:

 1- راهبردی سازی[9] (طرح ریزی متناوب با هدف ایجاد راهبرد بلندمدت)؛

 2- طرح ریزی[10] سالانه؛

 3- سازماندهی[11]، و

 4- معماری امنیتی (فعالیت های مرتبط با توسعه، نگهداری و پیاده سازی دستاوردهای معماری امنیت اطلاعات سازمانی) هستند.

فرآیندهای ساخت: این فرآیندها، با ایجاد زیست بوم[12] امنیت اطلاعات در ارتباط هستند. یکی از زیرفرآیندهای آن مدیریت خط مشی ها و کنترل هاست که متشکل از:

 1- مدیریت چارچوب خط مشی؛

 2- تعریف، تایید، ترویج و نگهداری خط مشی­ها و کنترل ها؛

 3- دسته بندی داده/ منبع و

 4- مدیریت سطح خدمات امنیت

 است.

دیگر زیرفرآیندهای آن، شامل: مدیریت فرآیند (فعالیت­هایی که  روی تعریف، سنجش، یکپارچه سازی و بلوغ تمام فرآیندهای امنیتی متمرکز هستند) و یکپارچگی سامانه (فعالیت­های مربوط به پیاده­سازی راهکارهای امنیتی) هستند.

فرآیندهای اجرا: این فرآیندها، ارتباطی میان تیم امنیت و سایر بخش­های  سازمان  پی ریزی می کنند و  مدیریت روزانه امنیت را برعهده دارند. این فرآیندها، خود به دو دسته تقسیم می­شوند: فرآیندهای تعاملی و فرآیندهای حفاظتی.

فرآیندهای تعاملی از دو دسته ارزیابی مخاطره و کنترلِ فعالیت­هایی که به تعیین پذیرش/ تحمل مخاطره کسب و کار - در سطحی مناسب از ریزدانگی - کمک می­کنند و مدیریت ارتباطات و وابستگی­ها تشکیل می شود. فرآیندهای مدیریت ارتباطات و وابستگی ها تضمین می کنند که هر کسی می­داند چه چیزی؟ و چرا؟ تحت خط مشی­های امنیتی فعلی، مجاز و ممنوع است.

فرآیندهای حفاظتی نیز شامل:

 1- مدیریت هویت و دسترسی­؛

 2- مدیریت تهدید و آسیب پذیری؛

 3- مدیریت تداوم کسب و کار و بازیابی از فاجعه؛

 4- مدیریت اطلاعات و رویداد و

 5- مهندسی و سرپرستی امنیت هستند.

4.     شروع  اجرای برنامۀ امنیت اطلاعات

 اولین چالش پیش روی مدیران - بعد از تدوین برنامۀ امنیت اطلاعات -  نحوۀ پیاده سازی آن است. در این مرحله، متولیان امنیت اطلاعات سعی دارند که فعالیت های موردی و مبتنی بر کنترل­های امنیتی را به سمت برنامه­های کنشگرای[13] توام با بهبود مستمر سوق دهند[3]. نرخ سریع تغییرات در کسب وکار، فناوری­ها و تهدیدات، باعث میشود، سازمان­ها در برابر تهدیدات و مخاطرات امنیتی حالتی واکنشی داشته باشند و شروع  اجرای برنامۀ امنیت اطلاعات را با مشکل روبرو کنند. برای غلبه بر این مشکلات، ابتدا باید وضعیت موجود طرح های امنیتی ارزیابی شود، سپس پروژه­ای برای شروع برنامه انتخاب و در ادامه پیاده سازی گردد. لازم به ذکر است برنامۀ امنیت اطلاعات جدید تا حد امکان نباید موجب نفی تلاش های قبلی شود و پروژه های جاری را متوقف کند یا سرمایه گذاری های فعلی را نادیده بگیرد.

 وضعیت فعلی امنیت را می توان با فهرست نمودن کنترل های امنیتی فعال، خط مشی ها، نقش ها، منابع، رویه­های اجرایی و پروژه های امنیتی، بررسی و ارزیابی کرد؛  برای این کار، بهتر است از یک مدل ارزیابی استاندارد استفاده شود  تا بتوان در گام­های بعدی پشتیبانی مناسبی از طرف مدیریت اجرایی به دست آورد.

پس از انتخاب پروژه مناسب برای اجرا، در اولین گام باید دستورات اجرایی لازم از بالاترین مقام­ها را به دست آورد و سپس فردی مناسب برای مدیریت پروژه انتخاب کرد و پروژه را به سرانجام رساند.

مناسب­ترین پروژه ها برای شروع معمولاً روی همراستایی امنیت با کسب و کار و حاکمیت تاکید دارند، پروژه هایی مانند: همراستا سازی امنیت با کسب و کار، صلاحیت­ها و شایستگی­های مورد نیاز برای بهبود اقدامات مرتبط با امنیت، رسمی سازی فرآیندها، بلوغ فرآیندها و ترویج آگاهی.

5.     بلوغ برنامۀ امنیت اطلاعات

بلوغ برنامۀ امنیت اطلاعات در ابعاد مختلفی تحقق می یابد و پرداختن به همه ابعاد مزبور در نوشتار حاضر نمی­گنجد. با این حال، پس از معرفی ابعاد مذکور در فهرست ذیل، مهمترین آن­ها یعنی بلوغ « فرآیند و عملیات»" را شرح داده­ایم زیرا بلوغ فرآیندها عنصری مهم و موثر در بلوغ دیگر ابعاد است[4]:

1-     حاکمیت امنیت؛

 2- طرح ریزی و بودجه بندی؛

 3- سازماندهی؛

 4- چارچوب کنترل ها؛

 5- مهندسی و معماری؛

 6- فرآیند و عملیات؛

 7- ترویج و آگاهی رسانی؛

 8- تشخیص و پاسخ دهی به رخدادها؛

 9- مدیریت تهدیدات و آسیب پذیری؛ و

 10- ارزیابی مخاطرات و کنترل ها.

ارزیابی بلوغ فرآیندها، پیش نیازهایی دارد از جمله: شناسایی فرآیندهایی که باید ارزیابی گردند و مجموعه­ای از معیارها برای سنجش بلوغ فرآیندها. این معیارها و شاخص ها باید سازگار باشند و قابلیت قرار گرفتن تحت یک مدل را داشته باشند. در حال حاضر یکی از مدل هایی که به طور وسیع برای ارزیابی بلوغ فرآیندها به کار می رود، مدل [14]CMMI است.

این مدل شش سطح بلوغ به شرح دارد:

-         سطح صفر، نبود : بلوغ فرآیندی وجود ندارد یا بسیار اندک است. وظایف به صورت غیررسمی و ناهماهنگ انجام می شوند، فرآیندها تعریف نشده­اند و تغییر کارکنان موجب اختلال در فرآیندها می شود.  

-         سطح یکم- شروع: فرآیندها موردی­اند، سازمان یافته و به هم پیوسته  نیستند، مدافعان و پایبندان اندکی دارند با این حال برنامۀ رسمی در جریان نیست و آگاهی یا پذیرش محدودی در سازمان نسبت به آن­ها وجود دارد.

-         سطح دوم- در حال توسعه: چشم انداز مشخص شده است، مدیریت خود را در امنیت درگیر کرده است، نیازمندی­ها و الزامات ارزیابی شده­اند، مسئولیت­ها اختصاص یافته­اند، یک طرح پیاده­سازی در دست است، شکاف ها و فاصله­ها شناسایی شده­اند و برنامه­های ترویجی و آموزشی در سازمان جاری هستند.

-         سطح سوم- تعریف شده: اهداف و روش­های اجرایی و سنجه­های عملکردی به طور کامل تعریف شده­اند، فرآیندها استاندارد، یکپارچه و پیاده سازی شده­اند و مدلی رسمی از حاکمیت و انطباق وجود دارد.

-         سطح چهارم-مدیریت شده: فرآیند قسمتی از فرهنگ سازمان شده است، جزیی جدایی ناپذیر از عملیات و تصمیم گیری مستمر محسوب می­شود و عملکرد به میزان زیادی قابل پیش بینی است.

-         سطح پنجم-بهینه شده: فرآیندها کاملاً به بلوغ رسیده­ اند، تمامی تصمیمات و سرمایه­گذاری ها به هم پیوند خورده اند و بازخوردهای ذی نفعان برای تنظیم و بهبود مستمر فرآیندها بکار گرفته می شوند.

 

 

در ادامه همان­طور که در جدول 1 می بینید ، معیارهای بلوغ  «فرآیند و عملیات» در سطوح مختلف مدل CMMI مشخص شده اند.

 

جدول 1 معیارهای مد نظر برای سطوح مختلف بلوغ فرآیند

نام معیار 

سطوح بلوغ

سطح یکم

شروع

سطح دوم

در حال توسعه

سطح سوم

تعریف شده

سطح چهارم مدیریت شده

سطح پنجم

بهینه شده

رسمی سازی

تعریف نشده است.

برخی مستندات وجود دارند.

تعاریف رسمی وجود دارند.

تعریف فرآیندها بهبود یافته است.

تعریف فرآیندها بهینه شده است.

یکپارچه سازی

بدون یکپارچگی یا به صورت موردی انجام می گیرد.

یکپارچگی محدودی وجود دارد.

یکپارچگی بین فرآیندهای امنیت و عملیات وجود دارد.

یکپارچگی بین فرآیندهای عملیاتی وجود دارد.

یکپارچگی کامل حاصل شده است و بهینه سازی های دوره ای انجام می گیرد.

همراستاسازی با سازمان

همراستا نیست.

فرآیندها سازمان را دنبال می کنند.

سازمان فرآیندها را دنبال می کند.

همراستا شده و بهبودی مستمر در جریان است.

بهینه سازی های دوره ای انجام می گیرد.

خودکارسازی

به صورت دستی انجام می گیرد.

گزینه های خودکارسازی مورد بررسی قرار گرفته اند.

خودکارسازی های پایه انجام شده اند.

یکپارچگی محدودی میان ابزارها ایجاد شده است.

یکپارچگی کاملی بین ابزارها وجود دارد.

پایدارسازی

موردی و بدون ردگیری تغییرات انجام می گیرد.

تغییرات شناسایی شده و ثبت می­شوند.

کنترل تغییرات رسمی شده است.

بهبودهایی صورت گرفته و تغییرات به حداقل می رسند.

تنها، تغییرات بهینه سازی انجام می شوند.

تعریف سنجه ها و سنجش

سنجه ای تعریف نشده است.

سنجه های اولیۀ کارآمدی تعریف شده اند.

سنجه های سطح خدمات و کارایی تعریف شده اند.

سنجه ها برای بهبود مستمر به کار می روند.

سنجه ها برای پایش تغییرات تاثیرات به کار می روند.

عملکرد

تعریف نشده است.

عملکرد ضعیفی تعریف شده است.

اهداف عملکردی تعریف شده و به دست آمده اند.

عملکرد ردگیری شده، اهداف بهبود یافته اند.

عملکرد بهینه شده است.

پاسخگویی و مسئولیت پذیری

پاسخگویی و مسئولیت پذیری وجود ندارد یا غیر رسمی است.

پاسخگویی و مسئولیت پذیری ساختارهای حاکمیتی، توسعه یافته اند.

پاسخگویی و مسئولیت پذیری تعریف شده و پذیرفته شده اند.

پاسخگویی و مسئولیت پذیری تحقق و بهبود یافته اند.

پاسخگویی و مسئولیت پذیری بهینه شده اند.

 

6.      نتیجه گیری و پیشنهادات

مدیران امنیت اطلاعات برای جلوگیری از افزایش مخاطرات امنیت اطلاعات، باید امنیت را با اهداف کسب و کار همراستا و نیازمندی­های امنیتی سازمان را برآورده سازند. نقطه آغازین این امر، تدوین برنامۀ امنیت اطلاعات است. در این مقاله ابتدا رویکرد، دامنه، ساختار و اجزای  برنامۀ امنیت اطلاعات را مشخص کردیم که به منظور همراستایی با کسب وکار، رویکردی فرآیندمحور انتخاب شد، سپس به شرح فرآیندهای این برنامه پرداختیم. همچنین چالش­های مربوط به شروع اجرای این برنامه و راه حل­های هر یک را مشخص کردیم. در ادامه بهترین گزینه برای شروع برنامه را، فعالیت­های مرتبط با همراستاسازی کسب و کار و حاکمیت در نظر گرفتیم و برای نمونه یکی از پروژه­های مناسب برای این امر - پروژه بلوغ فرآیندهای امنیت اطلاعات – را شرح دادیم.

طبق گفته­های فوق، راهبران مدیریت امنیت و مخاطرات باید وضعیت فعلی امنیت را با شناسایی تمامی کارکردها، فعالیت ها و اقدامات امنیتی نوآورانه در سازمان ارزیابی کنند، فهرستی از فرآیندهای امنیتی که نشان­دهندۀ  محیط « حالت مطلوب » باشد را توسعه دهند. سپس آن ها را برای ارزیابی و رسمی سازی اولویت بندی کنند و از طریق تخصیص مالکیت، ارزیابی، تعریف ماتریس های نقش و مسئولیت، رویه ها و فعالیت­ها، تعریف رسمی و تخصیص منبع، رسمی سازی کنند. برای شروع اجرای  برنامۀ امنیت اطلاعات پروژۀ مناسبی انتخاب و اجرا کنند. همچنین میزان بلوغ فرآیندهای امنیت و مخاطره را با استفاده از مجموعه­ای از معیارهای با هم سازگار برای مثال سطوح بلوغ CMMI - بیان کنند.

منابع

 

[1] Scholtz, Tom, Define the Structure and Scope for an Effective Information Security Program, Gartner, 18 September 2012

[2] Scholtz, Tom, Creating a Security Process Catalog, Gartner, 23 January 2013

[3] Scholtz, Tom, Kick-Start the Information Security Program, Gartner, 16 January 2013

[4] Scholtz, Tom, Assess the Maturity of Security and Risk Management Processes for a More Effective Program, Gartner, 26 October 2012

[5] Scholtz, Tom, Best Practices for Creating an Enterprise Information Security Charter, Gartner, 17 September 2014



[1] Leaders

[2] Information Security Program

[3] Process Based

[4] Information security charter

[5] Tracking

[6] Information Security Risk Management

[7] Information Security Control

[8] Formalize

[9]  Strategizing

[10] Planning

[11] Organizing

[12] Ecosystem

[13] Proactive

[14] Capability Maturity Model Integration

مروری بر نقش مدیر ارشد امنیت اطلاعات

چکیده

 

کسب‌وکارهای بلوغ‌یافته‌ نیازمند نقشی هستند که قادر باشد برنامه امنیت اطلاعات را تهیه و مدیریت ‌کرده و میان دو نیازمندی‌ «محافظت از کسب‌وکار» و «گرداندن کسب‌وکار» توازن ایجاد کند. ایفای این نقش که با عنوان «مدیریت ارشد امنیت اطلاعات» در سازمان شناخته می­شود، باید توسط راهبری معتبر، مقبول و سرشناس که از کسب‌وکار سازمان به‌خوبی آگاه است، صورت پذیرد. مدیر ارشد امنیت اطلاعات برای برقراری ارتباط مؤثر با مدیران ارشد سازمان و راهبران کسب‌وکار نیازمند مهارت­های ارتباطی، ارائه مطلب و تسهیلگری بسیار قوی است. تصمیم­گیری دربارۀ جایگاه سازمانی این نقش، نیازمند درک انتظارات سازمان از تعاملات مدیر ارشد امنیت اطلاعات با سایر بخش­های سازمانی و درک مسئولیت‌ها و اختیارات وی در سازمان است و به‌شدت به میزان بلوغ فرآیندهای اساسی امنیت اطلاعات در سازمان وابسته است.

واژه‌های کلیدی:

مدیر ارشد امنیت اطلاعات، راهبر امنیت، سازمان‌دهی امنیت اطلاعات، برنامه امنیت اطلاعات، نقش، مسئولیت، پاسخگویی

1-       چرا کسب­وکارها به مدیر ارشد امنیت اطلاعات نیازمند هستند؟

امروزه می­توان گفت سازمانی که در آن نقشی با عنوان مدیر ارشد امنیت اطلاعات[1] یا نقشی معادل آن وجود ندارد، از استانداردهای محافظتی حوزه امنیت اطلاعات خارج بوده، در برابر تهدیدها، جرائم و انطباق[2] با الزامات مقرراتی و قراردادی آسیب­پذیرتر است. این مسئله ،آسیب­پذیری، تنها به دلیل نبود جایگاه سازمانی با عنوان مدیر ارشد امنیت اطلاعات نیست؛ بلکه - فارغ از اینکه این نقش با چه عنوانی در سازمان خطاب می­شود یا به چه جایگاهی گزارش می­دهد - نیاز است تا مدیری، برنامه امنیت اطلاعات سازمان را مدیریت کرده، میان نیازمندی‌های محافظت از کسب‌وکار و گرداندن کسب‌وکار توازن ایجاد کند.

در حقیقت، در سازمان­هایی که شمار کارکنان بخش فناوری اطلاعات آن بیش از 150 نفر است، وجود فردی تمام‌وقت با عنوان شغلی مدیر ارشد امنیت اطلاعات توجیه اقتصادی یافته و ضروری به نظر می­رسد. از دیگر ضرورت­ها برای وجود نقش مذکور می­توان به موارد زیر اشاره نمود:

  • حصول اطمینان از استقرار مناسب امنیت در سازمان و توازن بهینه میان هزینه و عملکرد؛
  •  مطرح شدن امنیت فناوری اطلاعات به عنوان یکی از مسائل و مفاهیم ذاتی کسب­وکار؛
  •  نقش مدیر ارشد امنیت اطلاعات به‌منزله پلی میان کسب‌وکار و امنیت فناوری اطلاعات است.

2-      مدیر ارشد امنیت اطلاعات در دستیابی به اهداف کسب­وکار چه نقشی دارد؟

نقش مدیر ارشد امنیت اطلاعات را می‌توان با استفاده از ارتباطاتش با مدیریت متمرکز برنامه امنیت اطلاعات سازمانی[3] و جامع، تعریف نمود. مدیر ارشد امنیت اطلاعات یا نقشی معادل آن، مسئولیت تمام‌وقت مدیریت برنامه امنیت اطلاعات، اخذ تصمیم­های مرتبط و هم­راستاسازی فعالیت­های امنیت با نیازمندی­های کسب‌وکار را بر عهده دارد. مدیر ارشد امنیت اطلاعات به‌طور فعال با واحدهای کسب‌وکار در به‌کارگیری و اجرای خط­مشی­ها و استانداردهای تعریف‌شدۀ امنیت اطلاعات همکاری می­کند.

مخاطرات اطلاعات

مخاطرات  کسب و کار

درواقع، مدیر ارشد امنیت اطلاعات در بهترین جایگاه سازمانی برای ایجاد ارتباطی قوی میان مخاطره[4] اطلاعات و مخاطره  کسب‌وکار قرار دارد. وی، راهبران کسب‌وکار را از باقی ماندن سطح مخاطره‌های فناوری اطلاعات در میزان قابل‌پذیرش سازمان مطمئن ساخته و بدین ترتیب، در محوریت قرار گرفتن فناوری اطلاعات در کسب‌وکار سازمان نقش مهمی ایفا می­کند. مدیر ارشد امنیت اطلاعات باید با هوشیاری از فرصت­هایی نظیر تغییر نگرش به مخاطره انتقال نگرش از مخاطره عملکرد سامانه­های اطلاعاتی به‌سوی مخاطره عملکرد کسب‌وکار - در سازمان بهره­برداری کند.

مدیر ارشد امنیت اطلاعات می­تواند باهدف ایجاد پیوندهایی قدرتمند میان اهداف امنیت اطلاعات و کسب‌وکار و یاری‌رساندن به مدیران ارشد اجرایی در نظارت مؤثر بر مخاطرات، اقداماتی را در سازمان به انجام رساند. نخستین اقدام، شناسایی مزایای تجاری سرمایه­گذاری در حاکمیت امنیت و مخاطرات اطلاعات و معرفی آن به مالکان کسب‌وکار است. اقدام دوم، تعامل با مدیران ارشد و برگزاری نشست­هایی با ایشان به‌منظور مقابله با منشأ مخاطرات اطلاعاتی است. بدین ترتیب، واحدهای اجرایی که در صورت توقف عملیات سامانه‌های فناوری اطلاعات تأثیر می­پذیرند، شناسایی‌شده، روش­های توصیف مخاطره به­گونه­ای قابل‌فهم برای ایشان جمع­بندی و تعیین می­شود. در این صورت، چنانچه توافقی دربارۀ مخاطره‌های باقیمانده وجود نداشته باشد با به‌کارگیری زبان مشترک راحت‌تر حل‌وفصل خواهد شد. اقدام سوم، گزارش دهی مخاطره­های اطلاعاتی با زبانی قابل‌فهم برای راهبران کسب‌وکار است. بطوریکه، مدیر ارشد امنیت اطلاعات باید مخاطره‌های اطلاعات را در قالب تأثیرات آن‌ها بر دستاوردها [5] و اهداف[6] کسب‌وکار بیان کند.

به‌طورکلی، برخی مسئولیت­های مهم مدیران ارشد امنیت اطلاعات شامل و نه محدود به- موارد زیر است:

  •         تهیه و نگهداری راهبردهای امنیت اطلاعات[7] سازمان
  •         تهیه، نگهداری و مدیریت برنامۀ سازمانی امنیت اطلاعات
  •         ایجاد و به‌کارگیری چارچوبی برای پایش[8] اثربخشی و بهره­وری برنامه امنیت اطلاعات
  •         تعریف و پیاده‌سازی راهبردهای مدیریت مخاطرات اطلاعات در مشورت و همکاری با گروه­های مخاطره سازمان
  •         پایش فرآیند مدیریت مخاطرات اطلاعات
  •         تهیه و نگهداری خط‌مشی‌های سازمانی امنیت اطلاعات
  •         شناسایی و تحلیل عوامل داخلی و خارجیِ تأثیرگذار بر امنیت اطلاعات
  •         ایجاد چارچوبی برای نقش­ها و مسئولیت­های امنیت اطلاعات
  •         تهیه و نگهداری بودجه­بندی امنیت اطلاعات
  •         تهیه، نگهداری و مدیریت برنامه­های آموزشی و آگاهی‌رسانی امنیت اطلاعات در سطح سازمان
  •         حصول اطمینان از هم­راستایی معماری امنیت اطلاعات با معماری سازمانی
  •         حصول اطمینان از یکپارچگی طرح‌های‌ پاسخگویی به حادثه، بازیابی از فاجعه و تداوم کسب‌وکار
  •         فراهم ساختن گزارش‌های منظم از وضعیت کنونی برنامه و مخاطرات امنیت اطلاعات برای کمیتۀ راهبری امنیت اطلاعات[9]، گروه­های مخاطره سازمان، راهبران کسب‌وکار یا هیئت‌مدیره در صورت نیاز

3-     چه کسی برای نقش مدیر ارشد امنیت اطلاعات مناسب است؟

مدیر ارشد امنیت اطلاعات باید راهبری معتبر، مقبول و سرشناس در سازمان بوده و از دانش کارآمدی در حوزه مدیریت کسب‌وکار برخوردار باشد. شخصی که قرار است این نقش را در سازمان بر عهده گیرد باید در درجه اول درک مناسبی از کسب‌وکار سازمان داشته باشد. دانش وی دربارۀ فناور­ی­های امنیت اطلاعات در جایگاه بعدی قرار دارد. بر این اساس، توصیه می­شود سازمان­ها، فردی را از میان آنان که زمینه کسب‌وکار قوی دارند و دارای تجربیاتی در این حوزه هستند، برای چنین نقشی انتخاب کنند و نه صرفاً از میان متخصصان و کارشناسان فنی. همچنین، کسی که این نقش را بر عهده می­گیرد نیازمند مهارت­های ارتباطی، ارائۀ مطلب و تسهیلگری بسیار قوی است. نامزد مناسب برای چنین نقشی باید مهارت­های لازم برای ایجاد همدلی میان مدیران ارشد سازمان و پیوند میان کارکنان و فرآیندها را دارا باشد.

مدیر ارشد امنیت اطلاعات باید از قوانین و مقررات بالادستی در حوزۀ امنیت اطلاعات و استانداردها، چارچوب­ها و بهروش‌های شناخته‌شده در این حوزه، آگاهی مناسبی داشته باشد. همچنین، باید توانایی اندیشیدن و اخذ تصمیم­های مهم در شرایط حساس و بحرانی را داشته، از مهارت­های مدیریت پروژه، مدیریت بودجه، مدیریت زمان‌بندی و منابع نیز برخوردار باشد. ازاین‌رو، مدیر ارشد امنیت اطلاعات بهتر است از میان افرادی که حداقل 8 تا 10 سال پیشینۀ کاری در ترکیبی از حوزه­های مدیریت مخاطرات، امنیت اطلاعات و فناوری اطلاعات دارند، انتخاب شود.

4-     مدیران ارشد امنیت اطلاعات موفق از چه اصولی پیروی می­کنند؟

مدیر ارشد امنیت اطلاعات باید با حفظ بی‌طرفی و درک این واقعیت که «امنیت تنها یکی از فعالیت­ها در میان فعالیت­های کسب‌وکار است» پیشران­ها[10]، محدودیت­ها و روحیات مختلف و گوناگون را با یکدیگر هماهنگ کند. درواقع، مدیر ارشد امنیت اطلاعات باید بداند که برنامۀ امنیت اطلاعات سازمان نمی­تواند به بهای هدر رفت توان سازمان در نیل به اهداف و مقاصد کسب‌وکار اجرا شود. در ادامه، شش مورد از اصولی که هر مدیر ارشد امنیت اطلاعاتی می­تواند با رعایت آن‌ها تنش میان امنیت اطلاعات و کسب‌وکار را کاهش داده و تاب­آوری[11] سازمان را ارتقاء بخشد، شرح داده شده است:

اصل 1: تلاش برای کنترل با استفاده از چک‌لیست[12] را متوقف کرده و تصمیم‌هایی بر پایۀ مخاطره اتخاذ کنید

پیروی از مقررات و چارچوب‌ها و عمل به آنچه ممیزان می‌گویند، به‌تنهایی، حفاظت مناسب و کافی را از سازمان فراهم نمی­کند. در حقیقت، راهبر موفق امنیت اطلاعات، سازمان را در تصمیم‌گیری بر پایۀ مخاطره[13] یاری می­کند. داشتن اندیشۀ مخاطره محور یعنی درک خطرات مهمی که کسب‌وکار با آن‌ها مواجه است یا خواهد بود و اولویت‌بندی کنترل­ها و سرمایه­گذاری­ها با هدف رسیدن به دستاوردهای مطلوب کسب‌وکار. بدین ترتیب، اندیشۀ مبتنی بر مخاطره به سازمان اجازه می­دهد تا به مخاطرات از منظر کسب‌وکار -و نه صرفاً از منظر فناوری اطلاعات- بپردازد و سرمایه­گذاری­ها را به‌سوی کنترل آن مخاطرات هدایت کند.

 اصل 2: صرفاً از زیرساخت‌ها محافظت نکنید، بلکه از دستاوردهای کسب‌وکار پشتیبانی نمایید

در دو دهۀ گذشته، سازمان­ها بر سرمایه­گذاری و محافظت از زیرساخت­های فناوری اطلاعات متمرکز بوده‌اند؛ با این رویکرد که اگر زیرساخت فناوری امن باشد، سازمان نیز امن خواهد بود. امروزه، این رویکرد نیازهای سازمان­ها در محافظت از کسب‌وکارشان را برآورده نمی‌کند. بنابراین، مدیر ارشد امنیت اطلاعات باید راهبردهای امنیت و مخاطرات اطلاعات را برای محافظت از دستاوردهای مطلوب کسب‌وکار، در سازمان توسعه دهد. در سازمان­های کسب‌وکار محور، دستاوردهای مطلوب به معنی عملکرد سازمانی بهتر و سوددهی بیشتر است.

اصل 3: بازدارنده نباشید، بلکه تسهیلگر باشید

مدیر ارشد امنیت اطلاعات باید از نقش بازدارندۀ صالح[14] سازمان به‌سوی نقشی تسهیلگر برای ایجاد توازن میان نیاز به حفاظت از سازمان و نیاز به رسیدن به دستاوردهای مطلوب کسب‌وکار حرکت کند. تفکر یک انسان بازدارنده، تنها بر از دست ندادن کنترل متمرکز است و این می­تواند برای کسب‌وکار سازمان محدودیت ایجاد کند. همچنین، مدیر ارشد امنیت اطلاعات نباید محافظت را با کنترل اشتباه گیرد. محافظت به معنای همراهی با سازمان در رسیدن به دستاوردها و اهداف کسب‌وکار است. در حقیقت، راهبران امنیت اطلاعات نباید به کسب‌وکار بگویند که چه باید انجام دهد یا در خصوص میزان مخاطره قابل‌پذیرش برای سازمان تصمیم­گیری کنند. تسهیلگری به معنی تغییر در شیوۀ اندیشیدن است، به‌گونه‌ای که با ایجاد پیشران­های مناسب، کسب‌وکار را در تصمیم‌گیری­های امنیتی سهیم خواهد کرد.

اصل 4: تلاش برای کنترل اطلاعات را متوقف کرده و به­جای آن، شیوه جریان اطلاعات[15] را تعیین کنید

ازآنجاکه امروزه اطلاعات دیجیتال، غالباً در زیرساخت‌هایی بیرون از سازمان نیز جریان دارند، کنترل کامل آن‌ها غیرممکن است. بنابراین، مدیران ارشد امنیت اطلاعات باید به‌جای تلاش برای کنترل جریان اطلاعات، به‌سوی دستیابی فهمی از  شیوه­ جریان اطلاعات حرکت کنند.

 اصل 5: محدودیت‌های فناوری را بپذیرید و انسان‌ محور [16]باشید

مدیران ارشد امنیت اطلاعات باید محدودیت‌های فناوری­ و راه‌حل‌های امنیتی اطلاعات را به‌درستی درک کرده و آگاه باشند که کارکنانی که از انگیزش قوی برخوردارند، می‌توانند استوار­ترین پیوند­ها دریک رشته زنجیر به‌حساب آیند؛ اما، ضروری است که انگیزۀ لازم را در افراد ایجاد کنید و رفتار آن‌ها را برای انجام صحیح امور به‌خوبی شکل دهید. به‌طورکلی «امنیت اطلاعات با رویکرد انسان ‌محور» بر پایۀ پاسخگویی و اعتماد به اشخاص استوار است.

اصل 6: تلاش برای محافظت کامل از سازمان را متوقف کرده و در تشخیص و پاسخ سرمایه‌گذاری نمایید

 با توجه به رشد روزافزون فضای دیجیتال، مدیران ارشد امنیت اطلاعات به این درک رسیده­اند که تلاش برای جلوگیری از به خطر افتادن دارایی­های اطلاعاتی سازمان همیشه کارساز نبوده و محافظت کامل از آن‌ها نیز دست‌یافتنی نیست. به همین دلیل، سازمان نیازمند است تا دارایی­های به خطر افتاده را شناسایی کرده و به‌سرعت اقدامات واکنشی مناسب را به­کارگیرد. بنابراین، بهتر است مدیران ارشد امنیت اطلاعات در راهبردهای سازمان به‌جای تمرکز محض بر جلوگیری از تهدیدها و اطمینان از پیشگیری کامل از آن‌ها، بر شناسایی رخدادهای امنیت اطلاعات و پاسخگویی سریع‌تر تمرکز کنند. تغییر این رویکرد و تحقق توانمندی­های تشخیص و پاسخگویی در سازمان، نیازمند بازتعریف راهبردهای سرمایه­گذاری و راهبردهای اولویت­بندی در امنیت اطلاعات است.

5-     مدیران ارشد امنیت اطلاعات چگونه می­توانند حمایت ذینفعان را کسب کنند؟

حتی زمانی که مدیران ارشد امنیت اطلاعات تعاملات خود را با کسب‌وکار بهبود بخشیده باشند، میان آنچه ایشان می­گویند و آنچه راهبران کسب‌وکار شنیده و درک می­کنند، اختلاف وجود دارد. بر این اساس، چنانچه مدیران ارشد امنیت اطلاعات از مهارت­های تعاملی مناسبی برخوردار نباشند، در برنامه­ریزی­های راهبردی سازمان مجالی برای سخن گفتن نخواهند یافت و این خود سبب می­شود امنیت اطلاعات به حاشیه رانده شود و عملکرد مناسبی در سازمان نداشته باشد. به‌کارگیری توصیه­های زیر می­تواند تعاملات و ارتباطات مدیر ارشد امنیت اطلاعات را با راهبران کسب‌وکار تا حد مناسبی بهبود بخشد.

توصیه 1: بیاموزید که با زبان کسب­وکار صحبت کنید؛ انتظار نداشته باشید که صاحبان کسب­وکار زبان پیچیدۀ امنیت را بدانند

متخصصان امنیت، عموماً افرادی با پس‌زمینۀ فنی هستند و همین موضوع باعث می­شود که مطالب را به زبان تخصصی بیان کنند. مناسب است مدیران ارشد امنیت اطلاعات در گفتارشان از اصطلاحات و عبارات به­کار گرفته‌ شده در راهبرد و ارتباطات کسب­وکار استفاده کنند. بدین ترتیب راهبران کسب­وکار اطمینان می­یابند که به آنچه برایشان مهم است، اهمیت داده می­شود.

توصیه 2: مهارت­های ارتباطی و کسب­و­کار خود را بهبود دهید

برای این منظور مدیران ارشد امنیت اطلاعات می­توانند تحصیلات تکمیلی در حوزه مدیریت کسب‌وکار یا دوره­های مرتبط را مورد توجه قرار دهند. همچنین استفاده از ابزارهای ارتباطی و الگوهای موجود و مورد استفاده در سازمان، برقراری ارتباط با راهبران کسب‌وکار را آسان‌تر می­سازد.

توصیه 3: راهبران کسب­وکار به‌شدت مشغله دارند، با مختصر و شفاف بودن به زمان آن‌ها احترام بگذارید

واقعیت این است که راهبران کسب­وکار، مشغله­ی زیادی در سایر امور به‌غیراز امنیت اطلاعات دارند. ازاین‌رو، مدیران ارشد امنیت اطلاعات باید پیام­های خود را با اهداف شناخته‌شدۀ کسب­وکار یا پروژه­های موجود در سازمان مرتبط ساخته و مطمئن شوند که چشم­انداز و مأموریت‌های سازمان را درک کرده­اند. همچنین، مدیران ارشد امنیت اطلاعات باید توجه داشته باشند که راهبران کسب­وکار را درگیر حجم زیادی از مطالب تخصصی و جزئیات نکنند. با استفاده از گزارش‌ها و توجیهات اقتصادی ساختاریافته، انتقال اطلاعات مهم و نکات کلیدی سریع­تر و آسان‌تر انجام می­شود.

توصیه 4: آگاه باشید که ذینفعان کسب­وکار ممکن است ملاحظات خود را با زبان امنیت و مخاطره بیان نکنند

تنها رهبران امنیت نیستند که با برقراری ارتباط مؤثر مشکل دارند، بلکه رهبران کسب­وکار نیز، از بیان ملاحظات خود به زبان قابل‌فهم متخصصان عاجزند. این وظیفۀ راهبران و متخصصان امنیت است تا بر این مشکل فائق آیند. برای این منظور راهبران امنیت باید زبان مخاطبان خود و اهداف و مأموریت‌های کسب‌وکار سازمان را به‌خوبی بشناسند.

توصیه 5: در همکاری با کسب­وکار میزان مخاطره­جویی[17] آن‌ها را شناسایی نمایید؛ با مدیر ارشد مخاطره[18] به‌منظور درک یا تعریف سطح تحمل‌پذیری مخاطره[19] در سازمان همکاری نمایید

راهبران کسب‌وکار معمولاً با مفاهیم مرتبط با مخاطرات اطلاعات ناآشنا هستند و نمی­توانند به‌خوبی میزان مخاطره­جویی خود را بیان کنند؛ بدین ترتیب، متخصصان امنیت نمی­توانند کنترل­های متناسب و مؤثری را برای محافظت از کسب‌وکار ایشان فراهم کنند. برای حل این مشکل، مناسب است مدیران ارشد امنیت اطلاعات از مدل­ها یا روش­های موجود و مورداستفاده در سازمان برای برقراری ارتباطات، ارزیابی و مدیریت مخاطرات استفاده کنند. ایجاد و معرفی واژه­نامه­ای از اصطلاحات حوزه مدیریت مخاطرات و امنیت اطلاعات به این امر کمک شایانی می­کند. همچنین مدیران ارشد امنیت اطلاعات باید از ارائه نتایج ارزیابی­های مخاطرات به‌صورت کمّی دوری گزینند و به‌جای آن از سناریوهای[20] قابل‌فهم برای بیان اتفاقات محتمل، استفاده کنند.

6-      مسیر گزارش­دهی[21] مؤثر برای مدیر ارشد امنیت اطلاعات چیست؟

درگذشته، کارکردهای امنیت اطلاعات به‌عنوان بخشی از کارکردهای فناوری محور، همانند عملیات فناوری اطلاعات، تحت نظر مدیریت ارشد فناوری، سرپرستی و مدیریت می­شده­اند. هم­اکنون در بسیاری از سازمان­ها به مدل گزارش­دهی متفاوتی برای افزایش اثربخشی کارکردهای امنیت اطلاعات و در رأس آن مدیر ارشد امنیت اطلاعات نیاز هست؛ هرچند تصمیم­گیری دربارۀ انتخاب مدل مؤثرتر، نیازمند درک انتظارات سازمان از تعاملات مدیر ارشد امنیت اطلاعات با سایر واحدهای سازمانی و مسئولیت‌ها و اختیارات وی در سازمان است.

در پیمایشی که از سوی مؤسسۀ گارتنر در سال 2015 میلادی انجام شده است، در 35 درصد از سازمان­ها مقام ارشد امنیت اطلاعات به جایی بیرون از بخش[22] فناوری اطلاعات گزارش می­دهد (شکل 1) و در اغلب آنها، همچنان کارکردهای امنیتی قابل‌توجهی، درون بخش فناوری اطلاعات باقی مانده است. این بدان معنی است که انتقال کارکردهای راهبردی امنیت اطلاعات به بیرون از بخش فناوری اطلاعات، نیازمند انتقال تمامی عملیات امنیت به خارج از بخش فناوری اطلاعات نیست.

 


شکل 1- مسیر گزارش دهی مقام ارشد امنیت اطلاعات، 2015، تعداد پاسخ‌دهندگان 307

این در حالی است که در پیمایشی مشابه در سال 2013، در 42 درصد از سازمان­ها مقام ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات گزارش می­داده است (شکل 2). بر اساس نمودار شکل­های 1 و 2، کاهش تعداد سازمان­هایی که در آن‌ها مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات گزارش می­دهد، می­تواند به دلیل وجود مشکلاتی در اجرای کارکردهای توزیع‌شدۀ امنیت اطلاعات میان گروه­های متعدد باشد. همچنین، این کاهش می­تواند به دلیل نبود تجربیات کافی در راهبری و مدیریت ساختار گروهی ماتریسی[23] در سازمان­ها باشد. این‌گونه سازمان­ها تصمیم می‌گیرند تا ساختار امنیت اطلاعات را در بخش فناوری اطلاعات ادغام کنند. علاوه بر آن، پیچیدگی و تکرار فزاینده تهدیدات و حملات امنیتی سبب شده است تا برخی سازمان­ها به‌منظور رسیدگی سریع­تر به امور در موقعیت­های خاص، گروه­های امنیت اطلاعات خود را متمرکز کنند.


شکل 2- مسیر گزارش دهی مقام ارشد امنیت اطلاعات، 2013

6-1- تحلیل­

پژوهش­ها نشان می­دهند که طیف وسیعی از رویکردها در سازماندهی امنیت اطلاعات وجود دارد. بنابراین، غیرممکن است مزایا و معایب همۀ آن‌ها بررسی و تحلیل شود؛ اما در کل، می­توان مزایا و چالش­هایی را که گزارش دهی مدیر ارشد امنیت اطلاعات به درون یا بیرون از بخش فناوری اطلاعات دارد، برشمرد.

گزارش دهی امنیت اطلاعات به بیرون از بخش فناوری اطلاعات به‌شدت وابسته به بلوغ فرآیندهای اساسی امنیت اطلاعات در سازمان است؛ بطوریکه، هرچه سطح بلوغ سازمان در این حوزه بالاتر باشد، توسعه جداول کاربردی مسئولیت-پاسخگویی[24] موردنیاز این مدل نیز آسان­تر خواهد بود. از مزایای گزارش دهی مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          افزایش اختیارات نقش مدیر ارشد امنیت اطلاعات و درنتیجه ارتقاء توانمندی وی در هماهنگ‌سازی و استانداردسازی فرآیندهای اساسی؛
  •          کمک به تغییر نگرش سازمان از «امنیت، مشکل فناوری اطلاعات است» به «امنیت صرفاً یکی از فعالیت­های روزمره کسب‌وکار است»؛
  •          بهبود روابط میان مدیر ارشد امنیت اطلاعات، راهبران مخاطره و کسب‌وکار سازمان.

از معایب گزارش دهی مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          افزایش تضاد و کشمکش‌ها میان راهبران امنیت اطلاعات و فناوری اطلاعات؛
  •          دشواری در همسوسازی فعالیت­های فناوری اطلاعات و امنیت اطلاعات؛
  •          کارکردهای امنیتی تعریف‌شده در بیرون از بخش فناوری اطلاعات ممکن است اختیارات موردنیاز و تأثیرات خود را در درون بخش فناوری اطلاعات از دست بدهند.

از مزایای گزارش دهی مدیر ارشد امنیت اطلاعات در درون بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          نزدیکی به زیرساخت فناوری اطلاعات (فناوری اطلاعات جایی است که اغلب اطلاعات در مرحله­ای از چرخۀ حیات خود در آنجا ظهور می­یابند) و دورنمای تهدیدات که همیشه در حال تغییر هستند؛
  •          هم‌راستایی بیشتر و روابط کاری نزدیک­تر میان کارکردهای راهبردی، تاکتیکی و عملیاتی امنیت اطلاعات.

از معایب گزارش دهی مدیر ارشد امنیت اطلاعات در درون بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          کاهش اختیارات و اثرگذاری در بیرون از بخش فناوری اطلاعات و عدم دستیابی مدیر ارشد امنیت اطلاعات به درک صحیحی از فرآیندهای کسب‌وکار و بازماندن وی از تمرکز روی پروژه­های امنیتی کسب‌وکار محور؛
  •          دیدگاه و نگرش کارکنان امنیت اطلاعات، فناوری­ محور باقی می­ماند؛ درنتیجه، ارتباطات و مناسبات آن‌ها با سایر واحدهای کسب‌وکار ناکارآمد خواهد شد و نگرش ناصحیح به امنیت اطلاعات (امنیت صرفاً کارکردی پشتیبان برای سازمان است) در سازمان تقویت می­شود؛
  •          احتمال ایجاد تضاد منافع و تنش میان مدیر ارشد امنیت اطلاعات و مدیر ارشد اطلاعات.

 

 

مراجع

[1]           Jeffrey Wheatman, Five Tips for Security and Risk Leaders When Communicating With Business Stakeholders, Gartner, 29 June 2015

[2]           Paul E. Proctor, The Business Case for a Chief Information Security Officer, Gartner, 17 August 2012

[3]           Tom Scholtz, Carsten Casper, Job Descriptions for Risk and Security Leaders, Gartner, 18 July 2014

[4]           Tom Scholtz, Survey Analysis: Information Security Governance 2013-14, Gartner, 14 October 2013

[5]           Tom Scholtz, Survey Analysis: Information Security Governance 2014-15, Gartner, 30 September 2014

[6]           Paul E. Proctor, Avivah Litan, Ant Allan, Peter Firstbrook, Andrew Walls, Use Six Principles of Resilience to Address Digital Business Risk and Security, Gartner, 31 July 2015

[7]           Tom Scholtz, Determining Whether the CISO Should Report Outside of IT, Gartner, 17 June 2014

[8]           Tom Scholtz, Information Security Organization Dynamics, Gartner, 4 August 2014

[9]           ISACA, COBIT 5 for Information Security, http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx

 



[1] CISO: Chief Information Security Officer

[2] Compliance

[3] Enterprise Information Security Program

[4] Risk

[5] Outcome

[6] Goal

[7] Information Security Strategies

[8] Monitor

[9] Information Security Steering Committee

[10] Drivers

[11] Resilience

[12] Checklist

[13] Risk Base Decision Making

[14] Righteous Defender

[15] Information Flow

[16] People Centric

[17] Risk Appetite

[18] CRO: Chief Risk Officer

[19] Risk Tolerance

[20] scenario

[21] Reporting Path

[22] Department

[23] Matrixed Team Structure

[24] RACI Chart

دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما) 1000527433
Guest (kashefguest)


مجری سایت : شرکت سیگما