همراستاسازی امنیت اطلاعات با کسب و کار1395/8/19 چهارشنبه
 
همراستاسازی امنیت اطلاعات با کسب و کار

چکیده 

همراستاسازی موثر روش های به کار گرفته شده در زمینۀ امنیت اطلاعات با راهبرد های کسب و کار منجر به بهینه شدن اقدامات و سرمایه گذاری در امنیت می شود. دستیابی به این هدف مهم، نیازمند راهبردی چند وجهی است و استفاده از مدل های معتبر در این مورد، می تواند به ما یاری برساند. از این رو، در این مقاله از مدلی که موسسه گارتنر ارائه کرده است برای همراستایی راهبردهای امنیت با کسب و کار بهره بردیم و در پی آن از مدل 4I گارتنر نیز برای تشریح ارزش آفرینی امنیت در کسب و کار استفاده کردیم.

 

واژگان راهگشا:

همراستاسازی - امنیت - کسب و کار - مدیران امنیت اطلاعات - برنامۀ امنیت اطلاعات - راهبرد های کسب و کار

1-      مقدمه

امروزه یکی از بزرگترین چالش های پیش روی سازمان ها، همانا همراستایی امنیت اطلاعات با کسب و کار است. شمار زیادی از سازمان ها، با کشمکش میان واحد امنیت اطلاعات، گروه های فناوری اطلاعات و واحدهای کسب و کاری همکار ایشان رویاروی هستند؛ چرا که انطباق میان نیازهای کسب و کار با سیاست ها و کنترل های امنیتی کمتر دیده می شود.

متأسفانه کارکنان بسیاری از سازمان ها، مدیران امنیت را « مخالف خوان[1]» می دانند؛ با این باور که هر گاه از ایشان دربارۀ انجام کاری بی سابقه و نوین در زمینۀ فناوری اطلاعات و کسب و کار چیزی پرسیده شود، بی درنگ در برابرش ایستادگی می کنند چرا که - به باور ایشان - آن کار یا پروژه، پرمخاطره است. مدیران امنیت تنها زمانی خواهند توانست به انتظارات پاسخ مثبت دهند که از دیدگاه همکارانشان نسبت به خویش آگاه شده باشند و  خود را با بدیهی های ناگزیر حوزۀ کسب و کارشان هماهنگ کرده باشند.

مدیران امنیت از آن روی "مخالف خوانی" می کردند که پیش از این نمی دانستند: « مخاطره » ذات هر کسب و کاری ست و هنر مدیران کسب و کار این است که تشخیص دهند بهتر است کدامین مخاطره را بپذیرند. اصولا کسب و کار از راه پذیرش مخاطره پیش می رود و تا زمانی که مدیران ارشد امنیتی[2] نتوانند این نکته را بپذیرند در حاشیه خواهند ماند؛ نیز اگر مدیران ارشد امنیتی نپذیرند که نبود درکی فنی از امنیت - نزد همکاران شان در واحد کسب و کار را باید خود جبران کنند،  وضعیتی باز هم بدتر پدیدار می شود و اتفاقی شدیدتر روی می دهد.

همراستایی امنیت با کسب و کار به همراستایی کسب و کار با فناوری اطلاعات سازمان بستگی دارد، یعنی: هر اندازه که بتوان همراستایی فناوری اطلاعات و کسب و کار را افزایش داد، به همان اندازه نیز می توان انتظار افزایش همراستایی امنیت با کسب و کار را داشت. مدیران امنیت باید - در این همراستا شدن -  نقش رهبری را به عهده بگیرند و برای موفق شدن در این راه باید به ایجاد اعتبار نزد اهالی کسب و کار بپردازند و اعتماد ایشان را به دست آورند.

بهروش های بسیاری هستند که با استفاده از آن ها می توان امنیت را با کسب و کار همراستا کرد و بیشتر این بهروش ها نیز با یکدیگر پیوند دارند. به عنوان مثال: توانایی ایجاد کردن سنجه های اثربخش گزارش دهی، وابستگی بسیاری به بلوغ و رشد فرایندهایی دارد که رابطه با کسب و کار را استواری بخشیده، پشتیبانی اش می کنند. با اینهمه، « همراستاسازی و هماهنگی » همچنان چالشی است در دنیای کسب­و­کار که نمی توان به سادگی بر آن چیره شد.

2-     ناهمراستایی برنامۀ امنیت اطلاعات با کسب و کار

برنامۀ امنیت اطلاعات ناهمراستا با کسب­و­کار سبب می شود که نیازهای واقعی امنیت اطلاعات سازمان نادیده بمانند و چنین چیزی - به خودی خود بدان می انجامد که  امنیت نتواند در جایگاهی سزاوار خود قرار بگیرد و ناگزیر، از آفرینش بهره وری و کارایی لازم برای سازمان ناتوان می شود و اگر این وضع ادامه یابد، ممکن است باز هم بیشتر به حاشیه رانده شود.

شماری از نشانه های ناهمراستایی برنامۀ امنیت اطلاعات با کسب و کار را در پی آورده ایم:

·         خط مشی های امنیتی به هیچ وجه بازتاب دهندۀ اهداف کسب و کار و همچنین مخاطره جویی[3] - مخاطره های قابل پذیرش سازمان نیستند و از همین روی، بسیاری این خط مشی ها را نادیده می انگارند،

·         هیچ روش معناداری برای ارزیابی میزان تطابق خط مشی های امنیتی با خط مشی های سازمان در دست نیست؛ نیز، هیچ ابزاری تا اهالی کسب و کار را وادار به پذیرش خط مشی های امنیتی کند،

·         کاربران آگاهی اندکی  از امنیت و مخاطره (های) آن دارند،

·         مدیریت ارشد  سازمان، امنیت اطلاعات را به هیچ می گیرد،

·         امنیت را هنگام توسعۀ پروژه های نرم افزاری یا ارائۀ خدمت ها  نادیده  می گیرند،

·         پروژه ها و اقدام های حوزۀ امنیت اطلاعات  در بیشتر زمان ها به  بیهوده کاری و کوشش بیش از اندازه، راه کار های پرشمار و فراتر از نیاز، خط مشی های متناقض می انجامند و سرانجام نیز در  سردرگمی به پایان می رسند،

·         توجه و تمرکز بیش از اندازۀ مدیران امنیت اطلاعات به مقولۀ امنیت و آگاه نبودن شان از نیازهای واقعی کسب و کار سبب ناتوانی ایشان از انجام برآوردی درست از هزینه های ضروری می شود و نتیجتا هزینه های نابجایی را روی دست کسب و کار می گذارد.

3-    مدل همراستاسازی راهبرد های امنیت با کسب و کار

توجه به این نکته ضروری است که راهکار (Tactic) و راهبرد (Strategy) یگانه ای وجود ندارد که موفقیت در همراستاسازی امنیت با کسب و کار را ضمانت کند. از سویی کارهایی گوناگون و البته به هم پیوسته باید انجام داد تا در گذر زمان، به بهبود در همراستا ساختن امنیت و کسب و کار بیانجامد. در واقع، در پیش گرفتن شیوه های گوناگون معمولا بیشتر به سازگاری محیط های کسب­و­کاری و فرهنگ های سازمانی گوناگون با یکدیگر می انجامد.

مؤسسه مشاوره ای- پژوهشی گارتنر، مدلی برای همراستاسازی راهبرد های امنیت با کسب و کار ارائه کرده است که دربرگیرندۀ « شش دامنه » است و همگی به موضوع « بهبود همراستایی با کسب و کار » مربوط هستند. شکل «1» مدل همراستاسازی راهبرد های امنیت با کسب و کار را به تصویر می کشد.


شکل1: مدل همراستاسازی راهبرد های امنیت با کسب و کار

3-1- فرهنگ

پدید آمدن دگرگونی در فرهنگ، نگرش و رفتار کارکنان و مدیران هر سازمانی کاری است بسیار زمانبر؛ بنابراین، واقع بینی و داشتن انتظار(های) واقع بینانه دربارۀ این موضوع، ضروری است. نگرش های فرهنگی دربخش های بالایی ساختار سازمانی پدید می آیند و از همین روی، باید لایه (های) مدیریتی سازمان خود چنین نگرش هایی را بازتاب دهند. بخش اصلی سازندۀ [4] یا دست کم یکی از بخش های بنیادین سازندۀ « فرهنگ آگاهی از مخاطره » همانا، ایجاد ساختارهای موثر حاکمیتی است در امنیت اطلاعات؛ این موضوع چندان اهمیت دارد که می توان گفت همین فرهنگ آگاهی از مخاطره است که سبب می شود تا فرایندها و انجمن های[5] حاکمیتی بتوانند سازمان را به ایجاد و حفظ مالکیت و پاسخگویی شفاف دربارۀ محافظت از دارایی های اطلاعاتی اش وادارند، اما از سوی دیگر متاسفانه سازمان های بسیاری را می توان یافت که در پی به دست آوردن « نوعی » مدل حاکمیتی هستند تا با به کارگیری چنین مدلی! - مدیران کسب­و­کار  بتوانند شانه از بار مسئولیت شان دربارۀ مخاطره های برآمده از شیوۀ استفاده شان از IT تهی کنند و بدیهی است که تا آنگاه که مسؤولیت مخاطره ها به مدیران کسب­و­کار بازنگردد، نمی توان چشم آن داشت که کنترل های مربوط به مخاطره بهینه سازی شوند. این نکته آشکارا اهمیت پاسخگو بودن صاحبان اطلاعات و فرایندهایی را که به ایشان اجازه می دهند تا مسؤولیت و اختیار خودشان را به متخصصان فناوری اطلاعات و امنیت اطلاعات واگذار می کنند، یادآوری می کند. از سوی دیگر، نیاز است در انجمن ها راجع به اقدامات ابتکاری و پروژه های امنیتی فردی یا مشترک و در همکاری با دیگران تصمیم گیری شود. 

3-2- طرح ریزی

طرح ریزی فعالیت های راهکاری و راهبردی امنیت اطلاعات سازمان، فرصت های فراوانی را برای همراستاسازی پروژه ها و اقدامات با نیازهای واقعی کسب­و­کار ارائه می کند. اینک آشکار شده است که شیوه­های معماری سازمان، هنگام شناسایی و تعریف نیازهای کسب­و­کار - در زمینۀ فناوری اطلاعات تأثیرگذارند و از همین روی، به کارگیری شیوه­های یادشده در طرح ریزی امنیت، راه موثری است برای افزایش توانمندی های مربوط به تعریف « مشکل » و طرح ریزی « راه حل ». یکی از راهبردهای مهم این است که در معماری امنیت و در قالب شیوه های عملی طرح ریزی، اصول معماری سازمان را به کار بگیریم و به این ترتیب افزون بر جامۀ عمل پوشاندن به هدف های کسب­و­کار امکان آن پدید می آید که تصمیم گیرندگان بتوانند با سطحی مشخصّ از کنترل های مخاطره و همچنین حمایت های مالی لازم موافقت کنند.

3-3- فرایندها

برگزیدن و به کار گرفتن یک رویکرد راهبردی فرایندی، مانند: سامانۀ مدیریت امنیت اطلاعات[6]، گروه امنیت را در بنیان نهادن، راه اندازی و بهره گیری از یک برنامۀ پیوسته و زایای مدیریت امنیت، توانمند می سازد. راهبرد یادشده، توانایی ارزیابی، توسعه و پیاده کردن راه حل های امنیتی را - هنگامی که مورد نیاز کسب و کار هستند - جایگزین « شیوۀ کنترلی همه منظوره » می کند. اینگونه راهبردها، بنیانی برای توسعه و برقراری مجموعه ای از فرایندهای مدیریت مخاطره و مدیریت امنیت به دست می دهند. فرایندهای شناخته شده و رسمی، امکان به انجام رسانیدن « سنجشی پیوسته » از اثربخشی و کارآیی فعالیت های امنیتی فراهم می کنند. این موضوع، به حصول اطمینان از اینکه نیازهای فعلی کسب و کار - با عنایت به صرفه جویی در هزینه دیده شده اند، کمک می­کند و در نتیجۀ چنین فعالیتی، می توان از هزینه­کرد بیش از اندازه و رخوت و سُستی حفاظتی پیشگیری کرد.

3-4- شایستگی ها

شمار زیادی از راهبردهایی که در این مقاله طرح شدند، بیانگر مهارت ها و توان و شایستگی هایی هستند که در میان متخصصان امنیت اطلاعات معمول نیستند (به عنوان مثال: آگاهی نسبت به معماری سازمان، بهره بری از ارتباطات فردی، مهارت های اثرگذار، دانش کسب­و­کار و مهارت های بازاریابی؛ نیز، شماری دیگر از شایستگی ها، مانند: مدیریت مخاطره که با شگفتی بسیار در یافته ایم که در برخی گروه های مدیریت امنیت اندک هستند. ضروری است کارکنان و مدیریت امنیت اطلاعات بدانند که کسب­و­کار چگونه پیش می رود و به چه شیوه ای انجام می شود؛ نیز، به گونه ای دوسویه مدیران و کسب و کار و مدیران ارشد اطلاعاتی باید اعتبار و توانمندی کارکنان و مدیران یادشده را درک کنند.

سرمایه گذاری در آموزش و آزمودگی در آموخته ها و شایستگی های برآمده از آن آموخته ها، همزمان با بهبود توانایی اعضای گروه امنیتی در دستیابی به برداشت و فهم بهتر منجر به افزایش و بهبود ارتباط و هم اندیشی با همکارانشان در واحد کسب و کار  می شود. دستیابی به دانش ضروری دربارۀ شناخت واژگان کاربردی پایه - در عرصۀ کسب و کار، به عنوان مثال: دورۀ بازپرداخت، ارزش خالص فعلی و پیش بینی های خوش بینانه دربارۀ ارزش خالص و آگاهی از مفهوم های ویژۀ سلسله مراتب عمودی بازار، به عنوان مثال: زنجیرۀ تأمین، خصیصه های بازار یا کالا - توانایی کارکنان ستادی امنیت را در هم اندیشی، چندان افزایش می دهد که همکاران شان از بخش کسب و کار نیز بتوانند به ایشان بپیوندند. این مهارت ها را می توان از راه برنامه های آموزشی رسمی یا از راه انتقال کارکنان به واحدهای کسب­و­کار به دست آورد.

3-5- فناوری

روش برگزیدن، آماده سازی، پیاده سازی و بهره گیری از فناوری امنیتی می تواند اثر بزرگی بر چگونگی برداشت کاربران فناوری از مقولۀ امنیت داشته باشد.کارکنان امنیتی زبردست اغلب در باتلاق سرپرستی و کارهای تکراری فرو می روند که این امر برای سازمان هزینه بر است. از این رو و از راه برون سپاری برخی فعالیت ها می توان وقت این کارکنان را برای ارتقای اثربخشی کسب و کار آزاد نمود.

3-6- ترویج ارزش

هدف اولیه، ارائۀ سنجه هایی ست در سطح خدمت و مرتبط با امنیت که بتوان آنها را در توافق نامه های رسمی  سطح خدمت (SLA) - میان تأمین کنندگان خدمت در حوزۀ فناوری اطلاعات و کاربران دریافت کننده خدمت[7] - به کار گرفت. یکی از نمونه های سنجۀ سطح خدمتی امنیت « میانگین زمان مورد نیاز برای پاسخگویی به رخدادهای امنیتی » است.

 سنجه های امنیت که در پیوند با راهبردهای ویژۀ کسب و کار هستند، مانند: « بهبود تجربه مشتری[8] » یا نشانگرهای اصلی مخاطره[9] که با نشانگرهای اصلی و ویژۀ عملکردی کسب و کار[10] ارتباط دارند، KPI هایی مانند: زمان تا دسترسی به بازار، ابزارهایی قدرتمند در همراستایی کسب و کار به شمار می روند که به مدیران کسب و کار برای درک بهتر مقصود و میزان یاریگری که کنترل های امنیت به آن ها می کند کنترل هایی که بابت به کارگیری شان هزینه شده است-  یاری می رسانند.

سازمان های امنیتی پرشماری هستند که زمان بسیار زیادی را صرف توسعۀ کارت های امتیاز یا پیشنماهای[11] (پیشانک ها) امنیت می کنند و از آنجایی که کارت امتیازی متوازن یک ابزار اثبات شده برای ارزیابی مدیریت کارایی، ارتباطات ارزش زا و  نیز همراستایی راهبردی در شمار است (= به حساب آمدن)، می تواند به رهبران مخاطره و امنیت کمک کند تا از اهداف کسب و کار سازمان بهتر پشتیبانی کنند و کارایی و اثربخشی را از راه مدیریت مخاطرۀ سازمان افزونی بخشند. نمایش همراستایی راهبردهای امنیت با راهبرد های کسب و کار از دیگر کاربردهای این ابزار است.

کسب و حفظ پشتیبانی فعالان کسب و کار برای انجام فعالیت های هزینه بر در حوزۀ امنیت اطلاعات به دلیل ماهیت نادرآمدزایی اینگونه فعالیت ها کاری سخت و دشوار است. از همین روی بهتر است منافع سرمایه گذاری در این حوزه را به زبان مورد استفاده و قابل فهم در میان اهالی کسب و کار بیان کرد و بدیهی است که منافع مزبور به محرّک هایی همچون: فرهنگ، راهبرد و محیط هر سازمان وابسته اند.

با وجود آشکار بودن منافع حاصل از اندیشیدن به موارد امنیتی برای مدیران امنیت، این موضوع برای مدیران کسب و کار همچنان ناشناخته است. از این روی، بهترین زمینۀ واژگانی برای بیان ارزش کسب و کار همانا اقتصاد است. در سطح پروژه ها - اجرا - بهترین رویکرد استفاده از تحلیل های مبتنی بر « تراز سود و زیان برپایۀ اثرات مورد انتظار و بازتولید آن به شکل کاهش مخاطره و سودهای مالی قابل سنجش و بهبودهای منتظرۀ دیگر » است که البته در سطح راهبردی زیاد قابل استفاده نیست؛ چرا که، آنچه گروه امنیتی در این سطح به آن نیاز دارد، رویکردی است که به بیان منافع راهبردی امنیت اطلاعات به زبان ارزش کسب و کاری می پردازد.

3-6-1- مدل چهار آی (4I) گارتنر

این مدل (شکل2) چهار بُعد: الف- سرمایه گذاری[12]، ب- درهم تنیدگی و یکپارچگی[13]، پ- تضمین و ضمانت[14] و ت- برآوردن زیان[15] را برای درک، خلاصه نویسی و اعلان بهینۀ ارزش تجاری سرمایه گذاری در حوزۀ امنیت اطلاعات مد نظر قرارداده است:


شکل 2: مدل چهار آی (
4I) گارتنر

سرمایه گذاری

بیان سودهای احتمالی افزایش اعتبار نشان تجاری ایجاد تمایز رقابتی چابکی آتی سازگاری پذیری سازمانی و ...  

 

ادغام و یکپارچگی

بر اثرگذاری، اتکاپذیری و دسترس پذیری عملیات های روزانۀ کسب و کار تاکید می کند. می توان منافع اندیشیده شده را به شکل بهبودهای پیوسته و بی وقفه در محرمانگی دسترس پذیری و دقیق بودن فرایندها و اطلاعات کسب و کار نشان داد.

 

 تضمین و ضمانت

به « مدیریت مخاطره ها » می پردازد و طی آن کوشش بر آن است تا درکی روشن تر از عوامل مخاطرۀ اطلاعاتی رویاروی سازمان و در نتیجه « فعالیت های مرتبط با ارزیابی، شناسایی و مدیریت مخاطره » ارائه شود. گزینه های مدیریت مخاطره در این ارتباط چنین هستند: پذیرش دوری جستن انتقال کاهش میزان مخاطره یا نادیده گرفتن مخاطرۀ ارزیابی شده.

 تضمین جبران زیان

عنوان بالا اشاره دارد به توافق سازمان و ذینفعان در بارۀ منافع مشترک هر دو که از کاهش تصادم میان منافع مقرراتی سازمان با منافع حقوقی ذینفعان به دست می آید و چنین وضعیتی برآمده از آگاهی بیشتر، پاسخگویی افزون تر، پشتیبانی ذی نفعان است و نتیجتا به اشتراک منافع سازمان و ذی نفعان می انجامد.

4-اولویت بندی اقدامات همراستاسازی

درک راهبرد های گوناگونی که می توانند همراستایی با کسب و کار را بهبود بخشند، تنها « آغازگاه (= نقطۀ شروع)» است و گام بعدی، توسعۀ راهبردی واقع بینانه است برای همراستایی که می تواند منجر به انباشتگی = تجمیع در « برنامۀ امنیت » موجود سازمان شود. اندک شمارند سازمان­هایی که منابع لازم را برای به کارگیری همۀ راهبرد­های یادشده دارند.

یکی از راه های توسعۀ راهبرد این است که « کارگاه طرح ریزی » با حضور سهامداران ذینفعان - عمده برگزار کنیم. راهبر چنین کارگاهی می تواند چارچوب راهبرد مشخص شدۀ بالا را با بهره بری از نشست « ذهن آشوبی »[16]  به طرزی سزاوار بیان کند. او راهبر یادشده همچنین باید آن بخش هایی را که به طور بالقوه نیاز به کار دارند، شناسایی کند و به مجموعه ای از اقدامات بالقوه نگاشت کند.

تشخیص میزان بالای وابستگی میان راهبرد های بالقوه گوناگون - در طول فرآیند برنامه ریزی - اهمیت دارد. این میزان وابستگی اهمیت مدیریت فرآیندهای اثربخش را نمایش می دهد، به عنوان مثال: اینکه برون سپاری، نیازمند فرآیندهای بلوغ یافتۀ عملیاتی  ست.

ضروری است که مدت زمان کافی به اولویت بندی اختصاص یافته باشد. اینکه توان انجام کاری را دارید نباید بهانۀ اولویت بخشیدن به آن کار شود. در مدت زمانی که به اولویت بندی می پردازید، ملاحظات زیر را نیز رعایت کنید:

·         پنهان توان (=پتانسیل) کاهش مخاطره: به میزانی که با انجام یک کار، میزان مخاطره انجام آن کاهش یابد،

·         الزامات منابع انسانی: به این معنی که هم اینک چه مهارت هایی در اختیار داریم،

·         تاثیر هزینه:  نگاهی واقع بینانه به بودجه در دسترس داشتن و تصمیم گیری کردن،

·         میانگین مدت زمان رسیدن یک پروژه به ارزش دهی (= تولید ارزش): مدت زمانی که سپری می شود تا پروژه ای به ارزش دهی برسد.

5-     نتیجه گیری

تا زمانیکه به سطح قابل قبولی از همراستایی امنیت و نیاز های آشکار کسب و کار نرسیده ایم، اقدامات انجام پذیرفته در حوزۀ امنیت اطلاعات بسیار پُرهزینه و / یا نابسنده خواهند بود؛ از این رو، بهبود این «  همراستایی » تابعی است از: 1- شیوه های عملی، 2- راهکار ها و 3- راهبرد ها که اگرچند جدا هستند، پیوندی نزدیک با یکدیگر دارند. پیآمد همسان و مشترک این سه همانا « توانایی ایجاد و حفظ روابط موثر با ذی نفعان مهم در سازمان » است.

همچنین استانداردسازی سطوح خدمات امنیت به گونۀ فزاینده ای، جزء مهمی از همراستایی کسب و کار و فناوری اطلاعات شمرده می شود. دستیابی به فرایندهای امنیتی بهینه و بلوغ یافته، به سطح همراستایی خدمات فناوری اطلاعات با نیازهای کسب و کار بستگی دارد. همزمان با بلوغ یافتگی برنامه های امنیتی، واحدهای امنیت زمان نسبتا بیشتری را صرف فعالیت هایی با هدف بهبود کسب و کار می کنند.

کسانی که در حوزۀ امنیت اطلاعات کار می کنند تا این لحظه به زبانی سزاوار گفتگوی با مدیران کسب و کار نرسیده اند. دریافت پشتیبانی اثربخش از مدیران اجرایی کسب و کار نیازمند بازسازی منافع مورد انتظار از حوزۀ امنیت به زبان کسب و کار است که این موضوع بستگی به اعتبار مدیران امنیت نزد مدیران کسب و کار دارد. ارائۀ پیش بینی های معقول و واقعی از " ارزش " بازرگانی حوزۀ امنیت و اعلان صادقانۀ منافع واقعی محقق شده در این حوزه، قطعا به افزایش اعتبار مدیریت امنیت نزد مدیران کسب و کار یاری می رساند.

پیشنهاد

پیشنهاد می کنیم - با استفاده از مدل همراستاسازی راهبرد های امنیت با کسب و کار معرفی شده در این مقاله - راهبردی روشن و آشکار تدوین کنید تا برنامۀ امنیت اطلاعات متبوع تان را - از راه اطمینان از همراستا بودن امنیت با نیازهای کسب و کار - بهینه کنید. چنین راهبردی، باید شامل: شش جنبۀ: ترویج ارزش، فرهنگ، فناوری، فرایند، طرح ریزی و شایستگی ها باشد.  با کمک این راهبردِ همراستاسازی، اقدامات و پروژه های مرتبط به آن را در راهبرد برنامه امنیت موجود یکپارچه کنید.

تدوین و ارائۀ مدل « ارزش » کسب­و­کار - مانند آنچه گارتنر در مدل 4I خود برای مطرح کردن ارزش های مورد انتظار کسب­و­کار در قالبی پیوسته و همخوان دارد - می تواند عاملی موثر در کمک به ایجاد اعتماد بین مدیران امنیت و کسب و کار است.

محرّک های واقعی حوزۀ کسب و کار را در سازمان نکات مشترک در حوزه کسب و کار که شما می توانید در ارتقای آن مؤثر باشید، شناسایی کنید. از این روی، اقدامات ضروری را برای پرداختن به آن محرک ها در قالب پروژه های کاری و اقدامات کاری پیش بینی کرده، ارائه کنید و سرانجام، آن محرّک ها را به شکل طرح و نقشه در بیاورید. بازخورد دادن به مجریان دربارۀ منافعی که محقق شده اند و / یا نشده اند - در نتیجۀ پولی که داده اند و کاری که کرده اید- ضروریست.

منابع

[1] Scholtz, Tom, Toolkit: Workshop for Aligning Information Security With the Business, Gartner, 3 October 2012

[2] Rob, McMillan, Toolkit: Developing a Balanced Scorecard for Security, Gartner, 15 May 2014

[3] Tom Scholtz, Articulating the Business Value of Information Security, Gartner, 4 May 2011

[4] Scholtz, Tom, Use a Price/Performance Approach to Justify Security Expenditure, Gartner, 8 May 2012



[1] Naysayers

[2] CISOs

[3] Risk Appetite

[4] Key Building Block

[5] Forums

[6] ISMS

[7] User Constituencies

[8] Customer experience

[9] Key Risk Indicators

[10] Key performance indicators

[11] Dashboard

[12] Investment

[13] Integrity

[14] Insurance and Assurance

[15] Indemnity

[16]  ] این ترکیب برابر پیشنهادی نویسندگان گزارش است برای واژه انگلیسی  Brainstorming که پیش از این از واژۀ مرکب « توفان فکری » برای آن استفاده می شده است.[


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)