سازمان‌دهی امنیت اطلاعات (چالش‌ها، اصول پایه‌ای و راهکارها)1394/10/20 يكشنبه
 
سازمان‌دهی امنیت اطلاعات (چالش‌ها، اصول پایه‌ای و راهکارها)

روندهای بین‌المللی نشان می‌دهند که مسائل سازماندهی  در حوزه امنیت به‌طور مستمر در حال تغییر و بهینه‌سازی است. "

چکیده  

" سازماندهی "  عامل اصلی، تعیین‌کننده و مؤثر بر توان سازمان در حفاظت از امنیت اطلاعات است و هراندازه این سازماندهی  قوی‌تر و منسجم‌تر باشد، قطعاً منجر به موفقیت بیشتر در اجرای اثربخش برنامه‌های امنیتی می‌گردد. " سازماندهی  امنیت اطلاعات "  یکی از مهم‌ترین توانمند سازها در مدیریت و هدایت اثربخش امنیت اطلاعات در سازمان است. . مقوله‌ی امنیت بیش  از آنکه از جنس سخت‌افزار یا نرم‌افزار باشد  از جنس فرهنگ و فرآیند است و ساختارهای سازمانی امنیت اطلاعات  یکی از مهم‌ترین ابزارهای فرهنگ‌سازی و اجرای مؤثر فرایندهای امنیتی معرفی می‌شوند.

سازماندهی  امنیت اطلاعات " در سازمان‌های حساس، سازمان‌های اطلاعات-محور و سازمان‌هایی که در حوزه امنیت اطلاعات به بلوغ نسبی رسیده‌اند، به کار گرفته می‌شود. در این مقاله اصول پایه‌ای، چالش‌ها و راهکارهای پیش روی سازماندهی  امنیت اطلاعات را موردبررسی قرار داده‌ایم.

مقدمه  

 

سازماندهی  عاملی اصلی و تأثیرگذار بر توان سازمان در حفاظت از امنیت اطلاعات سازمان است. درواقع سازماندهی  تأثیر مستقیمی در اجرای موفق و مؤثر برنامه‌های امنیتی سازمان دارد.  به این معنی که هرچقدر " سازماندهی امنیت اطلاعات " یک  سازمان منسجم‌تر باشد، قطعاً می‌توان به اجرای موفق برنامه‌های امنیت اطلاعات در سازمان امیدوارتر بود. تدوین برنامه و صرف‌کردن هزینه، شرط لازم برای رسیدن به اهداف است اما بدون وجود ساختاری مناسب برای اجرای برنامه‌ها، تحقق اهداف، دور از دسترس بوده یا با هزینه‌های بالایی صورت می‌پذیرد. بنابراین یکی از عوامل اصلی توفیق برنامه‌ها، علی‌الخصوص برنامه‌های امنیتی، سازماندهی  اثربخش امنیت اطلاعات است.

" سازماندهی  امنیت اطلاعات " علاوه بر اینکه عامل اصلی تأثیرگذار بر توان سازمان در حفاظت از امنیت اطلاعات است، یکی از مهم‌ترین توانمند سازها در هدایت و مدیریت اثربخش امنیت اطلاعات نیز هست. . در حوزه مدیریت و امنیت اطلاعات برای تحقق تعدادی از اهداف باید  ابزارهای لازم (توانمند سازها) را در اختیار داشت. ازاین‌رو، از سازماندهی  به‌عنوان ابزاری برای تحقق اهداف هدایت و مدیریت امنیت اطلاعات نام می‌برند.

سال‌هاست کارشناسان به این مسئله اذعان دارند که امنیت از جنس فرهنگ و فرآیند است  اما در واقع مهم‌ترین ابزار مورداستفاده برای فرهنگ‌سازی که همان سازماندهی  امنیت اطلاعات است، خود در بسیاری از مواقع یکی از اصلی‌ترین موانع جهت حصول فرهنگ امنیت اطلاعات گشته  است. یک سازماندهی  غیرمنسجم و غیر اثربخش باعث ایجاد تعارضاتی بین نقش‌های مختلف سازمان گشته ،  موجب مقاومت سازمان در برابر امنیت اطلاعات می‌شود و متعاقب آن پاسخگویی سازمان در قبال امنیت اطلاعات به‌واسطه ضعف سازماندهی رو به افول می‌گراید.

سازماندهی  همچنین باعث کاهش اتلاف منابع سازمان می‌ شود. با نگاهی گذرا به سازمان می‌توان به این موضوع پی بردکه به‌واسطه‌ی تصمیم‌گیری‌های اشتباه چقدر زمان، هزینه و تلاش سازمان صرف رفع تعارضات و تداخلات ناشی از ضعف سازماندهی  می‌شود، که این خود گویای اهمیت موضوع نزد صاحبان اندیشه است [5].

چالش‌های سازماندهی  امنیت اطلاعات

یک موضوع بسیار مهم در بحث سازماندهی  امنیت اطلاعات، بحث چالش‌های پیش رو در این حوزه است  که باید به‌درستی شناسایی شوند. در ادامه برخی از چالش‌های اساسی سازماندهی  امنیت اطلاعات ذکر می‌شود.

نبود  مدلی جامع و جهانی برای سازماندهی  امنیت اطلاعات

سازماندهی  امنیت اطلاعات شاخه‌ای از علم مدیریت است.  علم مدیریت هم ذاتاً ماهیت اقتضایی دارد. بنابراین در حوزه سازماندهی  هم این اقتضایی بودن محسوس است.  نمی‌توان در حوزه سازماندهی  امنیت اطلاعات نسخه‌ای را توصیه کرد که مشکلات تمام سازمان‌ها را به پایان برساند. مطالعات و تحقیقات نیز نشان می‌دهد که مدلی جامع و جهانی برای سازماندهی  امنیت اطلاعات وجود ندارد.

وجود مزایا و معایب ذاتی در تمامی ساختارهای مطرح

همه طرح‌های ساختاری حوزه امنیت اطلاعات، دارای گروهی از  مزایا و معایب هستند.  لازمه حرکت به سمت ایجاد یک ساختار امنیت اطلاعات مناسب، شناخت این مزایا و معایب در زمینه[1] سازمان است. . درنهایت باید  ساختاری انتخاب شود که برآیند مزایا و معایب آن برای سازمان  بهینه‌ترین باشد. به‌عنوان نمونه می‌توان به مسیرهای گزارش دهی مختلف در سازمان اشاره نمود که وجود همه مسیرها برای یک سازمان مطلوب نیستند.

تعدد عوامل تأثیرگذار و خاص هر سازمان بر طراحی ساختار امنیت اطلاعات

هر سازمان ویژگی‌ها و عواملی مختص به خود دارد که آن را از سازمان‌های حتی مشابه نیز مجزا می‌کند.  این ویژگی‌ها در روند سازماندهی  امنیت تأثیرگذار است.  سازماندهی می‌تواند  موفق قلمداد شود که به این ویژگی‌ها و عوامل خاص توجه کافی داشته باشد. به‌این‌ترتیب یکی دیگر از چالش‌های پیش روی سازماندهی  ویژگی‌ها و عوامل خاص هر سازمان است.

لزوم یکپارچگی مسئولیت‌های امنیتی با کسب‌وکار سازمان

سازماندهی  در رسیدن به اهداف هدایت امنیت یک توانمند ساز  است. از مهم‌ترین اهداف هدایت امنیت در سازمان  می‌توان به یکپارچه‌سازی و همسوسازی فعالیت‌های امنیتی با اهداف، مأموریت‌ها و استراتژی‌های کسب‌وکار اشاره کرد. درواقع، در سازماندهی  باید به این موضوع دقت شود که در رابطه با ریسک های امنیتی افرادی را مسئول تصمیم‌گیری نماییم   که از اختیارات لازم برخوردار هستند. آنگاه  آنان  را موظف به پاسخگویی نماییم.

عدم آگاهی تصمیم گیران سازمان از اصول پایه‌ای سازماندهی  امنیت اطلاعات

باید در هر زمینه‌ای متخصصان امر را به کار گرفت.  حوزه امنیت اطلاعات نیز از این امر مستثنا نیست اما،  هدایت و مدیریت امنیت اطلاعات  نیاز به ساختار و سازماندهی  حساب‌شده دارد.  بااین‌حال ممکن است که متولیان سازماندهی  ساختار امنیت اطلاعات در سازمان‌ها  از اصول پایه‌ای و اولیه طراحی ساختارهای امنیتی آگاهی کافی نداشته باشند و این موضوع موجب بروز نقایص فراوانی در زمینه‌های مرتبط شود.  برای مثال اتخاذ تصمیمات ناگهانی  و مطالعه نشده در سازمان‌ها یکی از این نقایص است.

رهنمودهای سازماندهی  امنیت اطلاعات

در بخش پیشین به چالش‌های پیش روی سازماندهی  امنیت اشاره شد.  در این بخش، رهنمودهایی ارائه می‌شوند که باید  به‌عنوان اصول پایه‌ یی  در سازماندهی  امنیت اطلاعات رعایت شوند.  این رهنمودها به شرح زیر هستند:

تمرکز بر ریسک‌های کسب‌وکار

سازمان‌ها اغلب مفاهیم " مدیریت ریسک‌های فناوری اطلاعات " و " مدیریت امنیت اطلاعات " را با هم اشتباه می‌گیرند  که این امر منجر به تمرکز بیشتر روی فناوری‌ها می‌شود و از مدیریتِ منطقی ریسک‌های پیش بینی شده  مغفول می‌مانند.

بی‌تردید ساختارهای سازمانی موجود در بانک‌ها و مؤسسات مالی و اعتباری عموماً به درجه‌یی از بلوغ و کارآمدی رسیده‌اند که بتوانند به‌خوبی از عهده نصب، راه‌اندازی و نگهداری ابزارهای امنیتی همچون IPS[2]، آنتی‌ویروس و فایروال برآیند  اما آنچه در سازماندهی  اثربخش و کارآمد امنیت اطلاعات نقش محوری دارد  " تمرکز " بر مدیریت ریسک‌های واقعی کسب‌وکار است. در این راستا ساختار سازمانی باید به‌گونه‌ یی  طراحی شود که  اختیار تصمیم‌گیری در خصوص ریسک‌های امنیتی به کسانی واگذار شود  که می‌توانند در قبال این تصمیمات پاسخگو باشند  و البته این افراد کسانی نیستندمگر:  " صاحبان فرایندهای کسب‌وکار " و " مالکان اطلاعات سازمان ". عدم اختصاص اختیار تصمیم‌گیری به افراد ذیصلاح باعث می‌شود در آینده هیچکس   در قبال مسائل امنیتی سازمان  پاسخگو نباشد.

در نظر گرفتن ویژگی‌های خاص هر سازمان

در نظر گرفتن ویژگی‌های خاص هر سازمان در تشکیل ساختار امنیت اطلاعات آن سازمان الزامی است.  برای در اختیار داشتن ساختار امنیت اطلاعاتِ منطقی، مؤثر و کارآمد باید اهداف کسب‌وکار، شرایط محیطی، اندازه سازمان، فرهنگ‌سازمانی حاکم، قوانین و مقررات، آستانه ریسک‌پذیری، منابع بودجه‌ای و نیز سطح بلوغ امنیتی سازمان را در نظر داشت تا با در نظر گرفتن  تمامی این مؤلفه‌ها  بتوان ساختار امنیت اطلاعاتِ کارآمدی را شکل داد.

در سازماندهی  امنیت، " اهداف کسب‌وکار " نقش مهمی ایفا می‌کنند.  در واقع فلسفه وجودی امنیت ایجاد بستری مطمئن برای کسب‌وکار است. اندازه سازمان و فرهنگ‌ سازمانی ازجمله عوامل تأثیرگذار بر ساختار سازمان هستند. عوامل فرهنگی، مانند: سطح تمرکز یا عدم تمرکز مناسب برای فرهنگ سازمان، سطح خودمختاری، استقلال، اینکه چه درجه‌ای از تمرکز و خودمختاری برای فرهنگ سازمان قابل‌پذیرش است، سازمان تا چه حد ریسک‌های امنیت اطلاعات را پذیرفته (آستانه ریسک‌پذیری) یا برای پوشش آن‌ها سرمایه‌گذاری می‌کند؟  سوالاتی از این ‌دست بر ساختار سازمان تأثیر می‌گذارند[6].

علاوه بر عوامل ذکرشده،  میزان بودجه‌ای که سازمان می‌تواند در راستای سازمان‌دهی و پیاده‌سازی امنیت صرف کند  از مؤلفه‌های مهمِ تشکیل سازمان و سازماندهی  آن به شمار می‌رود، برای مثال:  هر جلسه‌ یی  که یک کمیته عالی و راهبری تشکیل می‌دهد هزینه‌ای برای سازمان در بردارد.  تجهیز یک تیم امنیت اطلاعات، تأمین نیروهای متخصص که هم ‌کسب‌و‌کار را بشناسند و هم امنیت را درک کنند،  نیاز به منابع و بودجه‌های مناسب دارد.

وضعیت جاری امنیت در سازمان‌ها، پایه‌ یی  برای بنای سازماندهی  امنیت محسوب می‌شود.  هر چه امنیت در سازمان بلوغ‌یافته‌تر باشد، " سازماندهی  و استقرار امنیت " با سرعت بیشتر و ساختاری تکامل‌یافته‌تر صورت می‌پذیرد. برای درک بلوغ امنیت در سازمان می‌توان به راه‌حل‌های امنیتی موجود در سازمان توجه کرد زیرا  در روند ایجاد و استقرار امنیت، " راه‌حل‌ها " از مدل واکنشی به سمت پیشگیرانه حرکت می‌کنند:  هر چه راه‌حل‌ها پیشگیرانه‌تر باشند، " سازمان " از بلوغ امنیتی بیشتری برخوردار است. علاوه بر رصد راه حل ها، روش‌هایی که برای مدیریت ریسک‌های امنیت اطلاعات به کار می‌روند نیز از شاخص‌های مناسب برای دریافتن میزان بلوغ امنیت هستند:  هر چه این روش‌ها دقیق‌تر و جامع‌تر باشند، " سازمان " از بلوغ امنیتی بیشتری برخوردار است.

در بسیاری از موارد، قوانین بالادستی موجب ایجاد ساختارها یا تبیین چارچوب‌هایی برای سازمان‌دهی می‌شوند.  به‌این‌ترتیب، سازماندهی  امنیت اطلاعات نیز متأثر از این قوانین خواهد بود، برای مثال: بر اساس قوانین آمریکا تمام آژانس‌های فدرال موظف اند که نقش CISO را داشته باشند.

محیط کسب‌وکار سازمان نیز از عوامل مهم سازمان‌دهی امنیت است:  هر چه نرخ تغییر تهدیدات و فنّاوری‌های امنیتی، حجم تبادل اطلاعات با مشتریان و تأمین‌کنندگان  و چگالی اطلاعات در محصولات بیشتر باشد، " امنیت " جایگاه بالاتری داشته و باید  از انسجام و چابکی بیشتری برخوردار باشد.

در پایان این بحث، می‌توان به‌عنوان مثال  " ارتباط معنادار "  بین دو عاملِ اطلاعات-محور بودن و بلوغ امنیت سازمان را در گزارشی که گارتنر منتشر کرده است، نشان داد. هرچه  این دو عامل افزایش می‌یابد، " امنیت " بیشتر به دغدغه‌ی سطوح ارشدتر سازمان تبدیل می‌شود و به سطوح بالاتر سازمان گزارش داده می‌شود. اینجاست که امنیت علاوه بر بلوغ در عملیات و مدیریت، ماهیت راهبردی‌تری پیدا می‌کند.[6]

شکل1: فاکتورهای تصمیم گیری ساختار گزارش دهی ciso

به حداقل رساندن تضاد منافع

تضاد  منافع، ریشه در عدم درک تمایز بین مفاهیم " هدایت "، " مدیریت " و " عملیات"  امنیت دارد. معمولا بین سه مفهوم هدایت[3]، مدیریت[4] و عملیات[5] امنیت اطلاعات، تمایزی صورت نمی‌گیرد. رمز رفع تضاد منافع، درک تمایز بین این سه مفهوم از جانب کسانی است که در حال تصمیم‌گیری و طراحی ساختار هستند [4]. مدل‌های مختلفی برای نمایش تمایز میان این مفاهیم وجود دارد. یکی از این مدل‌ها، مدل سه لایه وظایف و مسئولیت‌های امنیتی است.  در این مدل، ‌بالاترین سطح به هدایت امنیت تعلق دارد.  در سطح میانی، مدیریت امنیت اطلاعات و در لایه زیرین عملیات امنیت گنجانده شده است.

 

شکل2: مدل سه لایه وظایف و مسئولیت‌های امنیتی [1]

 

در ادامه نگاهی اجمالی به این لایه‌ها داریم چراکه در نظر گرفتن این تمایزات می‌تواند به کم کردن تضاد منافع در سازمان‌ها کمک نماید.

اولین لایه، هدایت امنیت است. کسانی که در این گروه هستند باید از اینکه الزامات و اهداف راهبردی کسب‌وکار به‌خوبی تعریف ‌شده و برنامه امنیت اطلاعات سازمان با آن‌ها هم‌راستا شده است یا خیر؟، اطمینان حاصل نمایند. توجه به این نکته ضروری ست که اهداف باید از جنس کسب‌وکار باشند و نه از جنس فناوری اطلاعات. هدف نهایی هدایت امنیت حصول اطمینان از برآورده شدن الزامات راهبردی کسب‌وکار بر اساس برنامه امنیت سازمان است[4].

لایه دوم، مدیریت امنیت اطلاعات است. در این لایه هدف، حصول اطمینان از اجرای وظایف امنیتی برای برآورده نمودن نیازهای کسب‌وکار و مدیریت بهینه آن هاست.  یکی از مهم‌ترین فعالیت‌های این لایه تدوین برنامه امنیتی است که باید توسط لایه هدایت تائید گردد. در این لایه راهبرِ اصلی، مدیر ارشد امنیت اطلاعات و مدیران دیگری ازجمله مشاور امنیت، عملیات امنیت و ... حضور دارند.

لایه سوم، عملیات امنیت است. این لایه به دو قسمت زیر تقسیم‌شده است:

1-   عملیات امنیت

2-   عملیات فناوری اطلاعات

دلیل تفکیک این لایه به دو زیر لایه این است که بسیاری از فرآیندهایی که جنس عملیاتی روزمره داشته و قابلیت گنجانده شدن در فعالیت‌های روزانه فناوری اطلاعات رادارند، به بخش‌های عملیاتی IT انتقال پیدا کنند و  آن دسته از فرآیندها که ذاتا نظارت- محور هستند، در عملیات امنیت قرار گیرند. اصلی‌ترین دلیل این تفکیک، جدا نمودن اجرا از نظارت است.

توسعه همزمان انعطاف‌پذیری و هماهنگی

نیاز به تفکیک و توزیع وظایف امنیتی ازآنجا ناشی می‌شود که در محیط کسب‌وکارِ بانک‌ها و مؤسسات مالی و اعتباری نرخ تغییر تهدیدات و رشد فناوری‌های امنیتی به‌شدت بالاست و درنتیجه به ساختارهایی نیاز داریم که به‌قدر کافی چابک بوده و بتوانند به نیازهای ایجادشده توسط محیط به‌سرعت پاسخ دهند. از سوی دیگر، این موضوع نباید باعث ایجاد جزیره‌هایی شود که هماهنگی و تعاملی بین آن‌ها برقرار نباشد. به‌موازات تفکیک وظایف با هدف کاستن از تضاد منافع و افزایش انعطاف‌پذیری ساختار سازمانی، باید بین اجزای ساختار طراحی‌شده، هماهنگی‌های لازم را ایجاد نمود.

همان‌طور که اشاره شد، تفکیک وظایف به‌تنهایی منجر به  سازمان‌دهی نمی‌شود.  علاوه بر تفکیک وظایف باید بین نقش‌ها و وظایف تعریف‌شده هماهنگی وجود داشته باشد. به همین دلیل جزء دوم سازماندهی که ادغام نامیده می‌شود، باعث می‌شود جزیره‌های ساخته‌شده از نقش‌ها و وظایف با همدیگر هماهنگ شده و یک مجموعه کارآمد را تشکیل دهند.

 

 

 

معرفی مدل فدرالی امنیت

مدل‌های مختلفی که دارای ساختاری به‌اندازه کافی تفکیک‌شده و هماهنگ شده هستند نیز وجود دارند که یکی از این مدل‌ها، مدلِ مطرحِ فدرالی امنیت اطلاعات است.

در این مدل، کارکردهای امنیت اطلاعات در قالب همان مدل سه لایه تفکیک‌شده و با استفاده از موجودیتی به نام " هدایت " تمام این وظایف با یکدیگر هماهنگ شده‌اند و از تعاملات اثربخش میان آن‌ها اطمینان حاصل‌شده است.

 

 

شکل 3: مدل فدرالی امنیت اطلاعات [7]

رویکرد فدرالی در طراحی ساختار سازمانی امنیت اطلاعات می‌تواند انعطاف‌پذیری را از طریق توزیع اختیارات و مسئولیت‌های امنیتی با حداقل تضاد منافع برآورده نموده، همزمان سازوکارهای لازم برای هماهنگی و حصول اطمینان از وجود تعاملات و ارتباطات مؤثر بین وظایف تفکیک‌شده را ایجاد نماید.

مسئولیت اجرایی وظایف امنیتی از طریق 5 ساختار سازمانی اصلی زیر در حال توزیع شدن در سازمان‌هاست:

1) تیم امنیت اطلاعات سازمان[6]: تیم امنیت اطلاعات سازمان، مدیریت ریسک‌های امنیت اطلاعات، مدیریت تداوم کسب‌وکار، خط‌مشی‌ها و برنامه‌های امنیت اطلاعات، معماری امنیت اطلاعات، آموزش و آگاهی‌رسانی امنیتی را بر عهده دارد. بسیاری از این فرایندها ماهیت راهبردی و هماهنگی دارند.  درحالی‌که فرایندهایی، مانند: مدیریت ریسک و تدوین خط‌مشی‌ها ذاتاً مسئولیت‌های نظارتی یا تطبیقی هستند. همچنین وجود این تیم تأکیدی است بر این موضوع که «امنیت صرفاً موضوعی مرتبط با فناوری اطلاعات نیست».

2)  تیم امنیت فناوری اطلاعات[7]:  این مؤلفه مسئول فرایندهای امنیت فناوری اطلاعات سازمان ازجمله ارزیابی ریسک‌های امنیت فناوری اطلاعات، طرح معماری فنی، مدیریت آسیب‌پذیری‌ها و همچنین فرایندهای عملیاتی نظارت- محور ازجمله پایش، اصلاح و پاسخگویی به حوادث امنیتی به همراه پایش انطباق با خط‌مشی‌های امنیتی می‌باشد. در سازمان‌هایی که بخش امنیت اطلاعات شرکتی ندارند، فرایندهای راهبردی مرتبط با امنیت سازمان توسط بخش مدیریت امنیت فناوری اطلاعات، مدیریت می‌شوند.

3)  عملیات امنیت فناوری اطلاعات[8]: در این تیم فعالیت‌هایی از قبیل پیاده‌سازی فناوری‌ها و پیکربندی و راهبری آن‌ها صورت می‌پذیرد. هرچند می‌توان با مدل سه لایه‌ای که توضیح داده شد، این قسمت را به دو مؤلفه عملیات امنیت و عملیات امنیت فناوری اطلاعات تقسیم کرد. با این کار، فرایندهای نظارتی از فرایندهای اجرایی جدا شده و مسیرهای گزارش دهی متفاوتی خواهند داشت.

4) تیم امنیت اطلاعات واحدهای کسب‌وکار[9]:  در برخی از سازمان‌ها - به دلیل گستردگی و بزرگی سازمان - ممکن است هرکدام از واحدهای سازمانی، تیم فناوری اطلاعات جداگانه‌ای داشته باشند. در این صورت می‌توان تیم‌های امنیتی در آن واحدها تشکیل داد و قسمتی از مسئولیت‌های امنیت اطلاعات را به‌صورت محلی به آن‌ها واگذار کرد، ازجمله: برنامه‌ریزی تداوم کسب‌وکار، آموزش و آگاهی‌رسانی و مدیریت خط‌مشی‌ها. بدین ترتیب، تصمیمات و اقدامات امنیتی به اهداف واحدهای کسب‌وکار نزدیک‌تر خواهند شد.

5) هدایت: این مؤلفه با قرار گرفتن در لایه‌های بالای سازمان، هدایت امنیت را انجام می دهد و در این راستا، وظایفی از قبیل اختصاص منابع و بودجه، تائید برنامه‌های امنیتی، اعطای اختیارات و  تعیین مسئولیت‌های مدیران را بر عهده دارد.

مزایای رویکرد فدرالی امنیت اطلاعات

برخی از مزایای رویکرد فدرالی به شرح زیرند:

·         ایجاد و تقویت ماهیت راهبردی امنیت اطلاعات سازمان

·         برآورده شدن بهتر نیازمندی‌های مالکان اطلاعات در کسب‌وکار سازمان: درواقع با توجه به محوریت کسب‌وکار در سازمان‌ها، امنیت نیز هم‌راستا با کسب‌وکار تعریف و پیاده‌ سازی می شود تا ارزشی به سازمان اضافه کند. این هم‌راستایی موجب می‌شود که بودجه‌های صرف شده برای امنیت، سرمایه‌گذاری محسوب شده و جزء هزینه‌های سازمان قرار نگیرند.

·         پشتیبانی از ضروریات حاکمیت شرکتی : در مدیریت ریسک، باید"  اختیارات " و " پاسخگویی " متناسب و هم‌تراز باشند. به این معنی که اختیارات تصمیم‌گیری در خصوص ریسک‌های واقعی کسب‌وکار به کسانی داده شود که در قبال آن پاسخگو باشند. مدل فدرالی سعی دارد مسئولیت‌ها را توزیع نموده و به صاحبان واقعی اطلاعات اعطا کند.

·         هدایت اثربخش امنیت اطلاعات در سازمان:  مدل فدرالی با همسو کردن " کسب‌وکار "  و " امنیت " موجب اثربخش شدن امنیت اطلاعات در سازمان می‌شود.

·         ارتقاء سطح بلوغ مدیریت فرایندهای امنیتی سازمان

 

ظهور و بروز هدایت در ساختار سازمانی معمولاً به شکل چند کمیته است. که اینجا به برخی از آن‌ها اشاره می‌شود:

 

شکل 4: ظهور هدایت در ساختار سازمانی به شکل مجموعه‌ای از کمیته‌ها [7]

 

کمیته راهبری امنیت اطلاعات شرکتی

[10] :

این کمیته دو نقش اصلی تصمیم‌گیری در مورد تخصیص منابع و تعیین اختیارات، مسئولیت‌ها و پاسخگویی نقش‌ها را بر عهده دارد. اعضای این کمیته شامل مدیران اجرایی، منابع انسانی، بازرسی، حقوقی، مدیر ارشد امنیت اطلاعات و ...  می‌باشند.

شورای امنیت اطلاعات[11] :

تصمیم‌گیری در مورد تاکتیک‌های امنیت اطلاعات بر عهده این شورا است. درواقع پس از مشخص شدن راهبردهای امنیتی - که خارج از این شورا و در کمیته راهبری امنیت اطلاعات صورت می‌گیرد است که شورای امنیت اطلاعات در مورد تاکتیک‌هایی اجرایی تصمیم‌گیری می‌کند. افراد این شورا شامل CISO، CSO و کارشناسانی هستند که قرار است روی تاکتیک‌ها و بهروش‌ها مطالعه و تصمیم‌گیری نمایند.

فروم ارتباطات امنیت اطلاعات : [12]

فروم ارتباطات امنیت اطلاعات یک بستر ارتباطی - مانند ایمیلی گروهی است - و عمده کارکنانی که وظایف امنیتی دارند، عضو آن می‌باشند. هدف این فروم به اشتراک گذاردنِ تصمیمات راهبردی و تاکتیک‌ها بین تمام افرادی است که در حوزه امنیت اطلاعات نقش دارند.

برنامه امنیت اطلاعات : [13]

این برنامه حاوی چشم‌انداز، اهداف، مأموریت‌های امنیتی و استراتژی‌های امنیت سازمان است و از طریق آن، ‌همه فعالیت‌های امنیتی سازمان با‌هم هماهنگ می‌شوند.  برنامه امنیت اطلاعات باید به‌گونه‌ای طراحی شود که عملیاتی کردن آن در سازمان ارزش افزایی ایجاد نماید، به‌نحوی‌که روشن شود که امنیت تنها  فرآیندی هزینه‌ بر نیست بلکه یک سرمایه‌گذاری است.

در نظر گرفتن تمامی گزینه‌ها در منبع یابی برای کارکردهای امنیتی

استفاده از پیمانکاران و تأمین‌کنندگان در اکثر کارکردهای امنیتی، راهبردی ارزشمند و معتبر به شمار می‌رود اما درعین‌حال باید توجه داشت که برخی از کارکردها، مانند: تصمیم‌گیری‌های اساسی در خصوص توازن میان ریسک‌ها و کنترل‌ها و همچنین پاسخگویی در قبال حفاظت از دارایی‌های اطلاعاتی سازمان، قابلیت برون‌سپاری ندارند. امروزه روند تفکیک وظایف امنیتی به سمتی پیش می رود که کارکردهای عملیاتی امنیت - که نظارت محور نیستند - به بخش‌های عملیاتی فناوری اطلاعات سپرده می‌شوند. در رابطه با منبع یابی برای کارکردهای امنیتی باید در ابتدا از قابلیت‌های موجود در ساختار سازمانی فعلی استفاده کرد، برای مثال: همان‌طور که گفته شد می‌توان بسیاری از فعالیت‌های از جنس عملیات امنیت - که نظارت محور نیستند - را به بخش‌های عملیاتی واحد فناوری اطلاعات واگذار نمود[2].

نتیجه‌گیری

درنهایت مسئولیت تصمیمات بر عهده هیئت‌مدیره است اما بهتر است که جریان فرآیندها بر اساس قوانین و مقررات باشد و درواقع پیشران تحول در ساختار سازمانی، قوانین و مقررات باشند. این روند در بسیاری از کشورهای جهان در حال وقوع است  و ساختار سازمانی وجهه قانون و مقررات پیداکرده است، برای مثال: در قوانین فدرال امریکا آمده است که: " تمام آژانس‌های فدرال موظف‌اند نقشی تعریف‌شده به اسم CISO در سازمان داشته باشند. "

قبل از شروع به انجام تغییرات، مشخص شود که آن تغییرات، چگونه مشکلات موجود در سازمان را حل می‌کنند؟ درصورتی‌که تغییر به‌درستی و آگاهانه اعمال نشود، تبعات شدیدی بر وضعیت امنیتی سازمان خواهد داشت، ازجمله اینکه می‌تواند پاسخگویی سازمان را در برابر امنیت اطلاعات از بین ببرد. درنتیجه فقط به خاطر تغییر، تغییری ایجاد نشود.

 

 

 

منابع:

 

[1] هدایت، مدیریت و عملیات امنیت مفاهیمی مرتبط اما متفاوت، امنیت به توان کاشف ویژه‌نامه چهارمین همایش بانکداری الکترونیک و نظام‌های پرداخت، بهمن 1393

[2] Scholtz, Tom, Determining Whether the CISO Should Report Outside of IT, Gartner: 17 June 2014

[3] Scholtz, Tom, Information Security Organization Dynamics, Gartner, 4 August 2014

[4] Scholtz, Tom, McMillan, Rob, Security Governance, Management and Operations Are Not the Same, Gartner, 23 January 2013

[5] Wheatman,Jeffrey, Heiser, Jay, How to Decide Where Security Operational

Functions Should Report, Gartner,  15 March 2011

[6] Wheatman,Jeffrey, Best Practices for Designing an Effective Information Security Organization, Gartner, 27 January 2010

[7] Scholtz, Tom, Best Practices: The Information Security Organization, 2010, Gartner, 12 March 2010

 



[1] Context

[2] Intrusion Protection System

[3] Governance

[4] Management

[5] Operation

[6] Corporate information Security Team

[7] IT Security Team

[8] IT Security Operation Team

[9] BU Information Security Team

[10] Corporate Information Security Steering Committee

[11] Information Security Advisory Board

[12] Information Security Communications Forum

[13] Information Security Program

 


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)