هدایت، مدیریت و عملیات امنیت (مفاهیمی مرتبط اما متفاوت)1394/10/20 يكشنبه
 
هدایت، مدیریت و عملیات امنیت (مفاهیمی مرتبط اما متفاوت)

چکیده  

گاهی سازمان‌ها «هدایت امنیت فناوری اطلاعات»، «مدیریت امنیت فناوری اطلاعات» و «عملیات امنیت فناوری اطلاعات»  را با یکدیگر اشتباه می‌گیرند؛ امری که به کاهش کارایی،« تضاد منافع» و اختلال عملکرد سازمان می‌انجامد. در این نوشتار سعی شده است که تمایز میان این سه مفهوم روشن گردد تا سازمان‌ها را در تشخیص هر یک از مفاهیم و همسوسازی آنها با یکدیگر، یاری رساند.

واژه‌های کلیدی:

 مدیریت امنیت فناوری اطلاعات، هدایت امنیت فناوری اطلاعات، مدیر ارشد امنیت اطلاعات، ریسک های امنیتی

توصیه‌ها

با ایجاد گروهی برای هدایت امنیت در سازمان، بر نتایج کسب‌وکار متمرکز شوید. گروهی که هرگز خود را درگیر مسائل عملیاتی ننموده و در مقابل به تعیین جهت‌گیری‌های اصلی و نظارت بر حسن انجام امور می‌پردازد. به توصیفاتی شفاف و مستند از کارکردهای لایه‌های عملیات، مدیریت و هدایت امنیت سازمان دست‌یابید. بهمنظور اجتناب از تضاد منافع در سازمان، اطمینان حاصل نمایید که گروه هدایت امنیت، از تمایز کافی نسبت به مدیریت امنیت و عملیات امنیت برخوردار می‌باشد

 

هدایت، مدیریت و عملیات امنیت، عملکردهای بسیار متفاوتی دارند. در نبود  یک مدل کاملاً علمی و پذیرفته‌شده، مرزبندی میان این سه مفهوم همیشه روشن و آشکار نیست. بااین‌حال، شفافیت و وضوح، پایه و اساس کارایی هر یک از این مفاهیم است. یکی از مسئولیت‌های گروه هدایت امنیت در سازمان، حصول اطمینان از کفایت تفکیک وظایف داخلی در فرآیندهای کسب‌وکار و امنیت سازمان، باهدف اجتناب از تضاد منافع است.

گروه‌های مدیریت و عملیات امنیت سازمان ممکن است بتوانند به‌خوبی آنچه را که باور به‌درستی آن دارند به انجام رسانند اما این احتمال نیز وجود دارد که آنچه انجام‌شده، صرفاً اتلاف منابع و حرکت به‌سوی اهداف اشتباه بوده باشد.

مقدمه

به طور کلی، «هدایت امنیت»[1]، «مدیریت امنیت»[2] و «عملیات امنیت»[3] مفاهیم گسترده ای می باشند که کارکردها و عملکردهای مرتبط به یکدیگر را توصیف می کنند. به منظور اجتناب از اختلال در عملکرد سازمان و برآورده شدن اهداف کسب و کار و اهداف فناوری اطلاعات، اعضای کمیته های هدایت امنیت، باید تفاوت های اساسی هدایت، مدیریت و عملیات امنیت را درک نمایند.

در این نوشتار قصد داریم، راهنمایی های لازم برای شفاف نمودن تمایز میان لایه های سه گانه مذکور را ارایه نماییم. بدیهی است که در این مجال، ارائه شرح کاملی از تمامی ابعاد هر یک از این لایه ها، امکان پذیر نخواهد بود.

هیچ مدل جهانی واحدی برای ساختار سازمانی وجود ندارد که بتوان از طریق آن، از برآورده شدن الزامات امنیت اطلاعات و فناوری اطلاعات («امنیت»)، به قدر کفایت در یک سازمان مفروض اطمینان حاصل نمود.

به‌طورکلی مرزبندی بین مفاهیم هدایت، مدیریت و عملیات امنیت به شرح ذیل می‌باشد:

§         هدف نهایی از هدایت امنیت، حصول اطمینان از آن است که الزامات راهبردی کسب‌وکار، تعریف شده و «برنامه امنیت»[4] سازمان به‌طور مؤثر آنها را برآورده نماید. این امر در شرایط پیچیده، بحث و داوری درخصوص نیازهای کسب‌وکار را نیز ایجاب می‌کند.

§         مدیریت امنیت، برنامه امنیتی سازمان را ایجاد و اجرا می‌کند تا بتواند الزامات راهبردی کسب‌وکار را برآورده نماید. این برنامه کارکردها، فرایندها و راهکارهای امنیتی گوناگون را هماهنگ نموده و به یکدیگر مرتبط می‌سازد.

§         عملیات امنیت، فرآیندهای امنیت-محورِ[5] روزمره و مرتبط با زیرساخت‌های موجود در سازمان را اجرا می‌کند.

توجه به این نکته ضروری است که ضمن مرزبندی لایه‌های هدایت، مدیریت و عملیات امنیت، لازم است تا این لایه‌ها در سراسر سازمان با یکدیگر در ارتباط بوده و تعامل داشته باشند.

اگرچه آگاهی نیروی انسانی لایه‌های عملیات و مدیریت امنیت، از اهداف کسب‌وکار، امری ضروری است، علاوه بر آن، ایشان می‌بایست در به انجام رساندن فرایندهای امنیتی پشتیبان آن اهداف نیز، متخصص باشند؛ فارغ از آنکه کارکردهای امنیتی ازجمله کارکردهای عملیاتی، به‌صورت برون‌سپاری، درون‌سپاری و یا ترکیبی از این سازوکارها، در سازمان اجرا می‌شوند.

در مقابل، نمایندگان کسب‌وکار نیز بدون آنکه ضرورتاً آگاهی گسترده­ای از فنّاوری‌ها و فرایندهای امنیتی داشته باشند، باید بتوانند انتظارات خود را از مدیریت و عملیات امنیت به‌طور واضح و شفاف بیان نمایند. همچنین مسئولیت تبیین این الزامات و اطمینان از همسویی آنها با اهداف و راهبردهای کسب‌وکار نیز فارغ از ترتیبات و تنظیمات عملیاتی- بر عهده این نمایندگان است.

برای آنکه هر یک از این دو گروه نمایندگان کسب‌وکار و نیروی انسانی فعال در مدیریت و عملیات امنیت بتوانند گروه دیگر را درک کنند، باید گروه سومی نیز به وجود آید و آن «گروه هدایت امنیت»[6] است. در گروه هدایت امنیت موضوعاتی چون: «تضمین میزان کارایی، مدیریت ریسک و حل‌وفصل مسائل» مطرح‌شده و رفع می­گردند.

 برای پرهیز از شکل‌گیری یک گروه هدایت ناکارآمد، لازم است درکی شفاف و واضح از تمایزات میان هدایت امنیت، مدیریت امنیت و عملیات امنیت و چگونگی تعاملات آنها ایجاد شود.

روشن و شفاف بودن اساسنامه[7] (منشور) گروه هدایت امنیت بسیار حائز اهمیت است؛ خواه محدوده‌ای که توسط این گروه هدایت می‌شود صرفاً امنیت فناوری اطلاعات (شامل پلتفرم‌ها و فرآیندهای عملیاتی) بوده یا در محدوده گسترده‌تری دربرگیرنده امنیت اطلاعات (شامل تمامی انواع اطلاعات اعم از فیزیکی (کاغذها)، الکترونیکی و در قالب‌های مختلف مانند فایل‌های صوتی و تصویری) باشد.

عموماً توصیه می‌شود گروه هدایت امنیت سازمان با رویکردی گسترده و جامع ایجاد شود. این نوشتار نیز با بهره‌گیری از چنین رویکردی، امنیت فناوری اطلاعات را در لایه‌های مدیریت و عملیات مدنظر قرار خواهد داد.

شکل 1 تمایز میان هدایت، مدیریت و عملیات امنیت اطلاعات را به تصویر می‌کشد.

 

 

 

شکل 1- تمایز سازمانی مابین لایه‌های مختلف امنیت اطلاعات سازمان

هدایت امنیت اطلاعات

هدایت امنیت اطلاعات را می‌توان اینگونه تعریف نمود:

«فرایندهایی باهدف حصول اطمینان از انجام اقدامات منطقی و مناسب در راستای اهداف کسب‌وکار سازمان و حفاظت از منابع اطلاعاتی سازمان، با استفاده از مؤثرترین و کاراترین روش ممکن»

برخی اصول نهفته در این تعریف عبارتند از:

·         فرایندهای هدایت امنیت اطلاعات، از نوع فرآیندهای حوزه‌ی تصمیم‌گیری و نظارت هستند (اطمینان دهنده) و نه فرایندهایی از نوع اجرایی.

·         مهم‌ترین هدف هدایت امنیت اطلاعات، دستیابی به اهداف کسب‌وکار سازمان است، نه اهداف فناوری اطلاعات.

در فرآیندهای هدایت امنیت اطلاعات نقش «مدیر ارشد امنیت اطلاعات»[8] - البته در همکاری نزدیک با مدیران ارشد اجرایی، مدیران کسب‌وکار، سازمان فناوری اطلاعات و سایرین عبارت است از:

-       تهیه و تدوین چارچوبی کارآمد برای هدایت امنیت اطلاعات

-       ارزیابی معنادار و منطقی ریسک

-       پشتیبانی از تفویض اختیارات کارکردهای مختلف امنیتی از طریق یک برنامه‌ی مدون

-       پشتیبانی از مدیریت کارآمد ریسک در سازمان

-       پشتیبانی از استقرار کنترل‌های قابل‌اندازه‌گیری به‌منظور پوشش تمامی مقررات و استانداردها

ضروری است تا انتخاب نمایندگان گروه هدایت امنیت اطلاعات از بین مدیران سطوح متوسط به بالا (ارشد) و از بخشهای کسب‌وکار، ممیزی، ریسک، فناوری اطلاعات و امنیت شرکتی (مانند مدیریت بحران، مدیریت تقلب و حفاظت) انجام پذیرد. دریک سازمان بزرگ، چنین گروهی اگر شامل حدود 10 نفر شود، معقول می‌نماید.

گروه هدایت امنیت اطلاعات، در جهت‌دهی کلی برنامه امنیتی سازمان که توسط مدیر ارشد امنیت اطلاعات سازمان پیاده‌سازی می‌شود، نقش برجسته‌ای دارد. در این راستا، این گروه، نیازمندی‌های راهبردی کسب‌وکار سازمان، میزان ریسک‌پذیری سازمان، سایر مسائل امنیتی که خارج از حوزه اطلاعات و فناوری اطلاعات (مانند امنیت فیزیکی و امنیت منابع انسانی) بوده و طرح‌های اطلاعات و فناوری اطلاعات خارج از حوزه امنیت را نیز مدنظر قرار می‌دهد.

مسئولیت‌های گروه هدایت امنیت اطلاعات عبارتند از:

  • ایجاد و نگهداری مسیرهای کارآمد پاسخگویی، تفویض مسئولیت‌ها و اختیارات برای محافظت از دارایی‌های اطلاعاتی.
  •  به‌عنوان کمیته راهبری برای برنامه‌ی امنیت اطلاعات ایفای نقش کرده و در برنامه‌های راهبردی سالانه تصمیمات نهایی مرتبط با تخصیص منابع را اخذ یا تائید نماید.
  •  به‌عنوان کمیته راهبری در پروژه‌هایی که نیازمند مشارکت چشمگیر واحدهای کسب‌وکار سازمان هستند، حضور یابد (به‌عنوان مثال، پروژه جلوگیری از نشت اطلاعات)
  • پیگیری روند کاهش ریسک­ها (مانند، مرور یافته‌های گزارشات ممیزی)
  • بازنگری گزارش‌های برآمده از سنجش‌ها و اندازه‌گیری‌های انجام‌شده و در صورت نیاز درخواست انجام سنجش‌ها و اندازه‌گیری‌های دیگر.
  • پایش عملکرد عملیاتی
  • تشکیل گروهی که مدیر ارشد امنیت اطلاعات بتواند از طریق آن تلاش‌های امنیتی درون واحدهای کوچکتر کسب‌وکار را با یاری‌گرفتن از اعضای کمیته‌ی هدایت امنیت اطلاعات راهبری و هدایت نماید.
  •  داوری و میانجیگری جهت برطرف نمودن ناسازگاری میان نیازمندی‌های امنیتیِ بخش‌های مختلف سازمان. 

مدیریت امنیت فناوری اطلاعات

مدیریت امنیت فناوری اطلاعات، مجری برنامه امنیتی است که توسط کمیته هدایت امنیت اطلاعات راهبری و تائید شده است. مدیریت امنیت فناوری اطلاعات تحت رهبری «مدیر ارشد امنیت اطلاعات» (یا هر نقش معادل با آن)، مجموعه‌ای شامل و نه محدود به فعالیت‌های امنیتی ذیل را به انجام می‌رساند:

  • مدیریت برنامه امنیت و برنامه‌ریزی راهبردی مرتبط با آن
  • ایجاد، توسعه و به‌کارگیری سیاست امنیتی
  • معماری امنیت اطلاعات در هر دو سطح سازمان و راه‌حل‌ها
  • آگاهی‌رسانی و برنامه‌های آموزشی امنیت اطلاعات
  • پروژه‌های پیاده‌سازی زیرساخت‌های امنیتی نوین
  • ارائه راهنمایی‌های امنیتی برای پروژه‌هایی خارج از حوزه امنیت اطلاعات
  • عملیات امنیت (برای اطلاعات بیشتر به بخش بعدی: عملیات امنیت فناوری اطلاعات، مراجعه نمایید)
  • آزمون و تضمین امنیت اطلاعات

بسیار محتمل است که تمامی این فعالیت‌ها در ارتباط و همکاری با سایر تیم‌ها در سازمان انجام شوند.

برای مثال ایفای نقش «مدیریت امنیت فناوری اطلاعات» در خصوص معماری امنیت اطلاعات ممکن است 1) در قالب عضویت در یک گروه مجازی معماری و در ارتباط با گروه معماری سازمانی بوده که در این حالت نتایج به‌دست‌آمده مستقیماً به مدیر ارشد امنیت اطلاعات گزارش خواهد شد  یا 2) در قالب عضویت در گروه معماری سازمانی بوده که به‌صورت غیرمستقیم به مدیر ارشد امنیت اطلاعات گزارش می‌دهد. این نوع نگرش، منجر به ایجاد رویکرد ماتریسی به مسئله امنیت اطلاعات در سازمان‌های امروزی شده است.

ضروری است، «مدیر ارشد امنیت اطلاعات» و درواقع سایر لایه‌های درون تیم مدیریت امنیت، علاوه بر متخصص بودن درزمینه شغلی خود، سایر مهارت‌ها ازجمله کسب‌وکار، ریسک، مهارت‌های ارتباطی و مذاکراتی را نیز کسب نمایند. این موضوع با نیازمندی‌هایی که امروزه برای نقش‌های مرتبط با ریسک (مانند مدیر ارشد ریسک) مطرح می‌شوند نیز سازگار است.

توجه به این نکته نیز ضروری است که اگرچه برخی از تصمیمات امنیتی را می‌توان با به‌کارگیری رویکردی دستوری اتخاذ کرد اما در بیشتر موارد این تصمیم‌ها باید از راه گفتگو و هم‌اندیشی و همراهی میان چندین گروه مرتبط در سازمان اتخاذ شوند.

 

عملیات امنیت فناوری اطلاعات

عملیات امنیت به مجموعه‌ای از عملیات روزمره اطلاق می‌شود که باهدف بهبود و کاهش ریسک‌های امنیت اطلاعات سازمان، در سطوح عملیاتی سازمان، انجام می‌شوند. اگرچه اهداف عملیات امنیت فناوری اطلاعات معمولاً در انواع سازمان‌ها با یکدیگر سازگاری دارند، ولیکن انواع فعالیت‌هایی که می‌تواند در این حوزه انجام شود، ممکن است متفاوت باشند. نمونه‌هایی از وظایف تیم عملیات امنیت فناوری اطلاعات عبارتند از:

  • پایش[9]- ازجمله به‌کارگیری ابزارهای مدیریت و همبسته سازی رخدادها و اطلاعات امنیتی و دیگر ابزارهای تحلیلی که برای نظارت بر تهدیدات، آسیب‌پذیری‌ها یا سایر تغییرات محیطیِ تأثیرگذار بر ریسک‌های سازمان، مورداستفاده می‌باشند.
  • ایجاد تغییرات پیکربندی در برخی از پلتفرم‌ها، جهت انطباق با فرآیند مدیریت و کنترل تغییرات.
  • به‌روزرسانی محصولات امنیتی.
  • آماده‌سازی و تدارک پیش‌نیازهای لازم برای اعمال وصله‌ها در محصولات غیرامنیتی و ارائه پیشنهاد در خصوص وصله‌هایی که در خارج از دوره‌های زمانی برنامه‌ریزی‌شده برای اعمال وصله‌ها، مورد نیاز هستند.
  • پیاده‌سازی و پایش فرآیندها و فناوری‌های مرتبط با مدیریت آسیب‌پذیری‌ها و ارزیابی وضعیت آسیب‌پذیری سازمان.
  • برقراری ارتباط با بخش فناوری اطلاعات سازمان جهت ارزیابی و پیاده‌سازی فناوری‌های و معماری امنیتی اثربخش.
  • پایش محیط به‌منظور شناسایی تهدیدات و آسیب‌پذیری‌ها
  • بروز بودن در خصوص آخرین تغییرات تهدیدات و آسیب‌پذیری‌ها
  •  فراهم آوری ورودی‌های لازم برای تدوین سیاست‌های امنیتی سازمان و ایجاد یا توسعه «رویه‌های عملیاتی امنیتی»[10].
  • توسعه، نگهداری، پایش و پیاده‌سازی معماری فنی امنیت.
  • انطباق و سازگاری با «توافقنامه‌های سطح خدمات»[11].
  • نقطه تماس سازمان با «تأمین‌کنندگان خدمات امنیتی مدیریت‌شده»[12]، پایش عملکرد این تأمین‌کنندگان، کنترل انطباق کیفیت خدمات دریافت شده از آنها با توافقنامه‌های سطح خدمات و همچنین پایش پورتال این شرکت‌ها.
  • برنامه‌ریزی و مشارکت در فرآیندهای پاسخگویی به حوادث.
  • برقراری ارتباط و ایجاد یکپارچگی با سایر فرآیندهای مدیریت خدمات فناوری اطلاعات (ازجمله، مدیریت پیکربندی و مدیریت مشکلات)
  • اعطا یا بازپس‌گیری شناسه‌های دیجیتالی و حقوق دسترسی

فعالیت‌های فوق‌الذکر، زیرمجموعه‌ای از فعالیت‌ها و مسئولیت‌های «مدیریت امنیت فناوری اطلاعات» بوده که در بخش قبل معرفی شد.

 یکی از موضوعات اصلی که لازم است گروه هدایت امنیت اطلاعات سازمان بر آن تمرکز نماید، برقراری تعادل بین نقش‌هایی است که عملیات امنیت و عملیات فناوری اطلاعات را اجرا می‌کنند. این نکته قابل‌توجه است که برخی از وظایف امنیتی، ممکن است درگذر زمان از امنیت فناوری اطلاعات به عملیات فناوری اطلاعات، منتقل شوند.

برخی از وظایفی که تشریح گردید، ممکن است توسط تیم عملیات فناوری اطلاعات و تحت کنترل فرایند مدیریت تغییرات انجام شوند. در این صورت نقش‌های مرتبط با عملیات امنیت، به‌عنوان اعضای کمیته کنترل تغییرات و به‌نوعی، تائید کنندگان تغییرات، عمل خواهند کرد. افزون بر این، نقش‌های مرتبط با عملیات امنیت می‌توانند از جایگاه تائید کنندگی وارد شده و به‌عنوان‌مثال اعمال موفقیت‌آمیز وصله‌ها و بروز رسانی‌ها یا برطرف شدن ریسک‌های امنیتی شناسایی‌شده را با استفاده از ابزارهای پویش آسیب‌پذیری، تائید و تصدیق کنند.

بااین‌حال اصولی مانند «تفکیک وظایف»[13]، چنین ایجاب می‌نماید که تمامی وظایف امنیتی قابلیت انتقال به سایر نقش‌های سازمانی را نداشته باشند. ازجمله آن وظایف می‌توان به «پایش دسترسی‌های دارای حقوق ویژه»[14] اشاره نمود. این مورد به ایجاد تعادل ظریفی اشاره دارد که تحقق آن، مستلزم وجود فرایندهای بلوغ‌یافته و درکی شفاف از موارد بالقوه بروز «تضاد منافع»[15]، در سازمان می‌باشد.

 به‌منظور اجتناب از تضاد منافع در سازمان، اطمینان حاصل نمایید که گروه هدایت امنیت، از تمایز کافی نسبت به مدیریت امنیت و عملیات امنیت برخوردار می‌باشد.

یکپارچگی برنامه امنیت سازمان به میزان اجتناب از تضاد منافع در سازمان وابسته بوده و این مهم نیز از طریق تفکیک و جداسازی وظایف امکان‌پذیر می‌باشد. اگرچه تفکیک و جداسازی مناسب وظایف، امری دشوار است، ولیکن انجام این امر به‌منظور حصول اطمینان از یکپارچگی اجرای سیاست‌ها ضروری بوده و موضوعی است که می‌تواند موردبررسی موشکافانه ممیزان قرار گیرد.

همانطور که پیش‌تر تشریح شد، یکی از روش‌های معمول برای تفکیک وظایف در سازمان‌ها، به‌کارگیری مدل گزارش دهی ماتریسی می‌باشد. از این طریق می‌توان اطمینان حاصل نمود که نقش‌های حساس و کلیدی در چندین مسیر گزارش دهی، قرار خواهند داشت.

ابزار مهم دیگر در تفکیک وظایف، به‌کارگیری رویکردی فرایند محور و نظام‌مند در مدیریت امنیت و عملیات امنیت (که خود بخشی از مدیریت امنیت به‌حساب می‌آید) می‌باشد. در این رویکرد برای تبیین نقش‌ها، مسئولیت‌ها و اختیارات تصمیم‌گیری، از «ماتریس واگذاری مسئولیت‌ها»[16] استفاده شده و همچنین به‌منظور مدل‌سازی جریان داده‌ها در فرایندهای تصمیم‌گیری، از «فلوچارت‌های بین کارکردی»[17]، استفاده می‌شود. در این راستا، تخصیص نقش‌هایی که به‌صورت رسمی تعریف‌شده‌اند، به فرد فرد کارکنان سازمان، می‌تواند مؤید تداوم حرکت به‌سوی رویکردی فرایند محور باشد.

گروه هدایت امنیت اطلاعات به‌درستی و در جایگاه مناسبی قرارگرفته است تا بتواند از کفایت تفکیک وظایف امنیتی در سازمان، اطمینان حاصل نماید. با مشارکت نمایندگان هر یک از این لایه‌های سه‌گانه، در کمیته هدایت امنیت اطلاعات، این گروه می‌تواند از انسجام کاری هر لایه اطمینان حاصل نموده و به حل‌وفصل مسائل آنها بپر



[1] Security Governance

[2] Security Management

[3] Security Operations

[4] Security Program

[5] Security-related

[6] Security governance forum

[7] Charter

[8]Chief Information Security Officer (CISO)

[9] Monitoring

[10] Security Operations Procedures (SOP)

[11] Service0-level agreements (SLA)

[12] Managed security service providers (MSSP)

[13] segregation of duties

[14] privileged access

[15] conflict of interest

[16] RACI Chart

[17] Cross-Functional Flowcharts

چالش های اساسی

دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)