توسعه سنجه‌های امنیتیِ مؤثر بر تصمیم‌گیری‌های کسب‌وکار 1395/8/19 چهارشنبه
 
توسعه سنجه‌های امنیتیِ مؤثر بر تصمیم‌گیری‌های کسب‌وکار

چالش­ها

-       متخصصان مخاطره (Risk) و امنیت در تلاش برای ایجاد سنجه­هایی (Metrics) هستند که با به‌کارگیری آن­ها بتوانند تصمیم گیران کسب‌وکار را - بیرون از حوزه فناوری اطلاعات سازمان – تحت تأثیر قرار دهند و توجه آن­ها را به امنیت اطلاعات جلب کنند.

-       برقراری ارتباط ناکارآمد با تصمیم گیران کسب‌وکار - به دلیل بهره­گیری از سنجه­های ضعیف- متخصصان مخاطره و امنیت را به چالش کشیده است.

-       تصمیم گیران کسب‌وکار – بیرون از بخش فناوری اطلاعات- اغلب نسبت به آنچه باید از متخصصان مخاطره و امنیت انتظار داشته باشند، آگاه نیستند.

توصیه­ها

-       ایجاد سنجه­های پیش­رو (Leading Metrics) که از پیوندی قابل دفاع با نتایج کسب‌وکار برخوردارند.

-       یکپارچه­سازی مخاطره ها و عملکرد شرکت در سنجه­های ایجادشده، باهدف پشتیبانی از تصمیم گیران کسب‌وکار.

-       همکاری مستقیم با مدیران اجرایی – بیرون از بخش فناوری اطلاعات - برای درک بهتر تصمیم‌هایی که ایشان هرروزه می‌گیرند.

مقدمه

معمولاً یکی از وظایفی که در سازمان‌ها بر عهدۀ متخصصان مخاطره[1] و امنیت گذاشته می­شود، ایجاد سنجه­هایی[2] است که بتوان با استفاده از آن‌ها مدیران اجرایی[3] بیرون از بخش فناوری اطلاعات - و اعضای هیئت‌مدیره را برای توجه به امنیت بر سر شوق آورد. در این‌ میان، پژوهش‌ها نشان می­دهند بیشتر سنجه­هایی که هم‌اینک سازمان‌ها از آن‌ها بهره می‌برند، ناکارآمدند.

شکاف موجود میان متخصصان امنیت و مخاطره و تصمیم گیران بیرون از بخش فناوری اطلاعات - موجب شده است که سنجه­های بهره‌برداری شده از سوی سازمان‌ها برای مخاطبین هدف، غیرقابل‌درک باشند و درنتیجه تأثیر چندانی بر تصمیم­گیری در سطح اجرایی نگذارند. این وضعیت، جدایی بیشتر مدیران اجرایی از حوزه امنیت اطلاعات را رقم می­زند.

بررسی که موسسه گارتنر در سال­های 2013 و 2014 - با مشارکت 100 مشتری خود - انجام داده است، نشان می‌دهد که در این سال­ها متخصصان امنیت برای برقراری ارتباط میان سنجه‌های عملیاتی و تصمیم گیران سازمان بیرون از بخش فناوری اطلاعات -، مانند: مدیران واحدهای کسب‌وکار، مدیران اجرایی و اعضای هیئت‌مدیره به‌سختی کوشیده‌اند و در چنین شرایطی پیمایش غیررسمی که در حاشیه یکی از نشست­های سال 2015 گارتنر انجام شد، نشان داد که تنها نزدیک 3 درصد از پاسخ­دهندگان با بیانیۀ مأموریت سازمان خود آشنا بوده‌اند. همچنین در 70 درصد سازمان­ها سنجه­های مرتبط با مخاطرات فناوری اطلاعات به هیئت‌مدیره گزارش داده می‌شوند.


 اگرچه این دسته از سنجه­ها به مخاطبان یادشده گزارش می‌دهند اما هنوز برقراری ارتباطی مؤثر با ایشان یکی از مهم‌ترین چالش‌هایی است که بسیاری از این سازمان‌ها با آن دست‌به‌گریبان هستند. نتیجۀ پژوهش دیگری که در سال­های 15-2014 انجام شد، نشان می­دهد 91 درصد سازمان­ها در حال نگاشت نشانگرهای کلیدی مخاطره[4] به نشانگرهای کلیدی عملکرد[5] هستند.

باوجود چنین توصیف‌هایی اما همچنان این پرسش مطرح است که « چرا توسعه سنجه‌های امنیت اطلاعات کار سختی است؟» پاسخ را می‌توان در موردهای زیر جُست:

-         امنیت و مخاطره، رشته‌هایی نامتعارف[6] هستند زیرا عموماً پس از وارد شدن زیان موردتوجه قرار می‌گیرند.

-         بیشتر مدیران ارشد امنیت بیان شفافی از هدف­هایشان ندارند و معمولاً بسنده می‌کنند به بیان عبارت‌هایی، مانند: « می‌دانم چه چیزی را برای انجام چه‌کاری نیاز دارم ». درصورتی‌که مدیر ارشد امنیت باید بر اساس اصول بازاریابی[7] درکی قوی از محیط مخاطبان، پیام‌ها و رسانه‌های این محیط داشته باشد.

-         هر سازمانی هدف، مخاطره و فرهنگ ویژۀ خود را دارد و درنتیجه، نمی‌توان نسخه‌ای یکتا و یگانه در همۀ سازمان‌ها تجویز کرد.

-         در گزارش‌های مؤثری که با به‌کارگیری سنجه‌ها داده می‌شوند لازم است ویژگی‌های مخاطب مدنظر قرار گیرد. توجه به برداشت‌ها، زبان، دغدغه‌ها و اولویت‌های مخاطبان ازجمله ملاحظه‌های مهم این حوزه هستند.

سنجه مؤثر و کارآمد چه ویژگی‌هایی دارد؟

 سنجه­های خوب - نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد که ارزش واقعی برای سازمان می‌آفرینند- ویژگی­های زیر رادارند:

1. وجود پیوند و رابطه علّی و قابل دفاع[8] با دستاوردهای کسب‌وکار
بیشتر متخصصان مخاطره و امنیت، پیوندهای کلی با تأثیرات کسب‌وکار [9] ایجاد می¬کنند تأثیراتی، مانند: از دست دادن کسب‌وکار، مزیت رقابتی یا حسن شهرت. درحالی‌که ناکارآمدی این تأثیرات کلی برای ایجاد انگیزه و به سر شوق آوردن تصمیم‌گیرندگان – بیرون از بخش فناوری اطلاعات – به اثبات رسیده است. دستاوردهای کسب‌وکار باید با استفاده از تأثیرات قابل‌اندازه‌گیری و به‌صورت خاص، مشخص شوند. به‌طور مثال: از دست دادن 40 خودرو از موجودی به ازای هر ساعت قطع برق برنامه‌ریزی‌نشده، 20درصد افزایش هزینه¬های یکپارچه‌سازی برای ادغام شبکه¬های غیر امن، 10درصد کاهش رضایتمندی مشتریان و به پیروی از آن از دست دادن 5 درصد آن‌ها به دنبال اعلام خبر هر یک از رخنه‌های امنیتی. لازم است میان متخصصان امنیت و مخاطره و تصمیم‌گیرندگان – بیرون از بخش فناوری اطلاعات – بر سر این‌گونه تأثیرات کسب‌وکار توافق حاصل شود.

2.عمل کردن[10] به‌عنوان یک نشانگر پیش­روی مخاطره

بسیاری از سنجه¬های مرسوم امنیت و مخاطره، نشانگرهای پس¬رو  هستند که هیچ رابطه¬ و پیوندی با دستاوردهای آیندۀ سازمان ندارند. به‌عنوان نمونه « شمار حمله‌ها در 3 ماهه گذشته »، نشانگری پس¬روست که هیچ‌گونه تأثیری بر شمار حمله‌ها در 3 ماهه آینده ندارد و نیز هیچ پیوندی با دستاوردی مشخص از کسب‌وکار. نشانگرهای پیش¬رو  پیش از آنکه زیانی به بار آید، هشدار می‌دهند و به‌این‌ترتیب، سازمان می‌تواند اقدامات پیشگیرانه لازم را برای جلوگیری از زیان‌های احتمالی به انجام رساند. برای مثال، « شمار روزهای لازم برای نصب وصله¬های امنیتی ضروری در سامانه¬های حساس» نشانگری پیش¬¬روست که افزایش آن، افزایش گستره حمله‌ها را در پی دارد و به‌این‌ترتیب، می‌توان اقدامات پیشگیرانه لازم را برای جلوگیری از حوادث آینده به انجام رساند.

3. مخاطب محوری

بکار بردن فهرستی واحد از سنجه­ها برای همۀ مخاطبان و ذی­نفعان، مانند: مدیران اجرایی، ممیزان، تنظیم‌کنندگان مقررات و اعضای هیئت‌مدیره اشتباهی رایج در ایجاد سنجه‌های امنیتی و مخاطره است. واقعیت این است که هر یک از مخاطبان، نگرانی­ها و ملاحظه‌های ویژۀ خود را - در پرداختن به امنیت و مخاطره - دارند و هر گزارشی باید مخاطبی مشخص و تعریف‌شده داشته باشد. بررسی‌ها نشان می­دهند که هریک از مخاطبان تنها به 5 تا 9 سنجه نیاز دارد؛ اگرچه، برخی سازوکارهای ارائۀ این سنجه­ها، مانند: کارت امتیازی متوازن - به دلیل پشتیبانی از دسته‌های گوناگون مخاطبان - شمار سنجه‌های بیشتری را در برمی‌گیرند. درواقع، مدیر ارشد امنیت اطلاعات جایگاهی همچون بازاریاب‌ها دارد. برای ایجاد و توسعه راهبردهای بازاریابی سه عنصر پایه‌ای به چشم می‌آیند:

- چه کسانی بازار شما را تشکیل می‌دهند؟

- پیام تان برای آن‌ها چیست؟

- باید از چه رسانه‌ای برای انتقال پیام تان به آن‌ها استفاده کنید؟

پل ارتباطی میان مخاطبان و « مخاطرات و امنیت »، ارائۀ اطلاعاتی است که بر تصمیم‌های آن‌ها تأثیر می‌گذارد. آنان در پی همین « اطلاعات » هستند تا از آن‌ها استفاده کنند و این « قانون طلایی » برقراری پیوند و ارتباط با ایشان است. بسیاری از مخاطبان/ذی­نفعان، متخصص فناوری اطلاعات نیستند؛ بنابراین، ایجاد اطلاعاتی برآمده و برگرفته از داده­های فنی و ارائه چنین اطلاعاتی - به‌نحوی‌که به درک آن‌ها از موضوع کمک کند - بسیار ضروری است. ارائۀ سنجه­های مربوط به عملیات فناوری اطلاعات به مخاطبان غیر فنی، روشی تضمین‌شده برای شکست در برقراری ارتباط با آن‌هاست.

4. نوسان سنجه­ها منجر به اقدام شود

یکی از کاستی‌های رایج و شناخته‌شده در تعریف سنجه­های امنیت و مخاطره، نبود توجه کافی به اقداماتی است که باید بر اساس تغییرات سنجه‌ها، انجام پذیرد. زرد، نارنجی و قرمز شدن سنجه‌های یادشده، سرانجام تنها بدان خواهد انجامید که ذی­نفعان سری تکان داده، از افراد امنیت یا مخاطره خود بخواهند که کارشان را بهتر انجام دهند. سنجه­هایی را می‌توان دارای استاندارد طلایی اثربخشی دانست که نوسان‌هایشان منجر به انجام اقدامی ویژه از سوی دیگران شود یا به اثرپذیری تصمیم‌های اخذشده بیانجامد. به‌طورکلی لازم است هر سنجه‌ای برای مقاصد ذیل گزارش گردد:

 1) اطلاع‌رسانی دربارۀ موضوعی که باید توجه مخاطب موردنظر را به خود جلب کند،

 2) اتخاذ تصمیمی که مسئولیت مستقیم آن بر عهده فرد یا گروه مخاطب است و

 3) تغییر رفتار آن مخاطب، گروه یا زیردست‌هایش.

5. گزارش آنچه که قابل‌کنترل یا تغییر است

اکنون مدتی است ارائۀ گزارش از آنچه امنیت و مخاطره‌اش - به‌طور واقعی - برای سازمان قابل‌کنترل نیست، رایج و مرسوم شده است؛ درحالی­که سنجه­ها باید دربارۀ متغیرهای سنجش پذیری گزارش دهند تا بتوان با اقدام‌های مقتضی بر آن‌ها اثرگذار بود و سرانجام از این راه از میزان مخاطره‌ها کاست. در غیر این صورت، سنجه‌ها نابسامانی‌هایی را که از کنترل فعالیت‌های امنیتی بیرون هستند به نمایش خواهند گذاشت. به‌طور مثال: « درصد سرورهای منطبق با خطوط پایۀ پیکربندی امنیتی »، « درصد درخواست‌های بازگشت خوردۀ تغییر - به دلیل مخاطره امنیتی غیرقابل‌پذیرش - » و « درصد یافته‌های ممیزیِ مشخص‌شده در SLA های تعریف‌شده » و ... ازجمله سنجه‌هایی به شمار می‌آیند که موارد « قابل‌کنترل » را گزارش می‌دهند.

6. داده‌های باکیفیت

« کیفیت »، ترکیبی ست از صحت، دقت، قابلیت اطمینان، مرتبط بودن[13] و بی‌طرفی[14]. اگرچه استفاده از سنجه‌هایی، مانند: زیاد، متوسط و کم، آسان است اما بدون ارائه تعریفی دقیق از آن‌ها، معمولاً موجب خطا می‌شوند؛ زیرا موارد کیفی برای همگان معناهای یکسانی ندارند و درنهایت مانع تصمیم‌گیری - هنگام مدیریت مخاطره - می‌شوند. برای چیرگی بر این مشکل، باید تعریف دقیقی از واژگان کاربردی و عبارت‌ها، اجزایی که می‌خواهند اندازه‌گیری شوند، روش کمی مورداستفاده و روشی که نتایج کیفی را تفسیر می‌کنند، ارائه داد. به‌طور مثال: سنجه‌های زیر کیفیت بالای داده را نشان می‌دهند: در 90 روز گذشته، بیست درصد از کاربرانِ دارای مجوز ویژه وارد سامانه‌ها نشده‌اند یا واحد امنیت 75 درصد از پروژه‌های خود را طی چهارماهۀ اول به‌موقع به پایان رسانده است.

7. سربار[15] اندک گردآوری داده

سنجه‌های ارزش‌آفرین باید به‌سادگی گردآوری شوند و تحلیل آسانی داشته باشند. بر اساس قانون کاهش بازده[16]، اگر گردآوری داده‌های مرتبط با سنجه‌ها، به تلاش و زمان زیادی نیاز داشته باشد، آنگاه ارزش سنجه‌ها کم می‌شود. برای مثال اگر گردآوری، تحلیل و گزارش سنجه‌ای که باید ماهانه گزارش شود، چهار هفته طول بکشد، آنگاه باید در فرآیند یا زمان‌بندی گزارش دهی این سنجه بازنگری شود. به‌طورمعمول سنجه‌های مناسب، نیاز چندانی به مصاحبه‌های متعدد با افراد مختلف ندارند و می‌توان در بازۀ زمانی کوتاهی گردآوری‌شان کرد.

8. روندگرا بودن

مدیران مخاطره و امنیت باید نشان دهند که برنامه‌های امنیتی به‌طور مؤثر و کارآمدی از منابع تحصیل شده بهره می‌برند. به همین منظور، نیاز به سنجه‌های عینی، به هنگام و در دسترس ( گردآوری‌شان آسان باشد) دارند تا بتوانند از آن‌ها روندی معنادار، استخراج کنند. بسته به این‌که سنجه چه چیزی را اندازه‌گیری می‌کند، فاصله زمانی ارائه آن نیز تغییر می‌کند. برای مثال: بلوغ فرآیندها به‌کندی تغییر می‌کند و از همین روی قرار دادن آن در گزارش‌های هفتگی و ماهانه سودی ندارد. مثال‌هایی ازجمله: درصد سامانه‌های حیاتی منطبق با خطوط پایه[17] پیکربندی یا تعداد یافته‌های مهم کشف‌شده در ممیزی‌ها، می‌توانند نشان‌دهندۀ روند رو به بهبود یا بالعکس روند رو به افول باشند.

بسیاری از ویژگی­های مورداشاره دربارۀ سنجه­ها، برای متخصصان مخاطره و امنیت قابل‌درک هستند اما مشاهدات بیانگر این موضوع‌اند که این ویژگی­ها در سنجه­های فعلی بسیار کم­رنگ هستند. لازم است تا متخصصان امنیت و مخاطره رویکرد خود را به این موضوع مهم بهبود دهند و سنجه­هایی را که دربرگیرنده این ویژگی­ها هستند، ارائه کنند.

 

باید سنجه‌های فعلی را بهبود بخشید

آیا دانستن ویژگی‌های یک سنجۀ خوب - به‌تنهایی - کفایت می‌کند؟ این پرسش زمانی پاسخ داده می‌شود که تعریف دقیق و مفصلی از سنجه‌ها وجود داشته باشد تا بتوان به‌واسطۀ آن تعریف به جستجوی ویژگی‌ها در سنجۀ موردنظر پرداخت. پس در نخستین اقدام باید مشخصه‌های سنجه را تشریح کرد و به این منظور، می‌توان مشخصه‌های زیر را در نظر گرفت:

-          هدف سنجه چیست؟

-         سنجه چه معنایی دارد یا چگونه با یک دستاورد کسب‌وکار ارتباط برقرار می‌کند؟

-         «خوب» بودن سنجه چه معنایی دارد؟

-         درصورتی‌که سنجه بر اساس محاسبه تولید می‌شود، چه فرمولی برای محاسبه آن به کار می‌رود؟

-         چه روشی برای ایجاد سنجه به کار می‌رود؟

-         چه کسی سنجه را ایجاد می‌کند؟

-         منابع داده‌های خام سنجه کدم‌اند؟

-         چه کسی بر اساس این سنجه باید اقدامی انجام دهد؟

-         چه اقدامی باید بر اساس این سنجه صورت پذیرد؟

در جدول شماره 1 می‌توانید مشخصه‌های تعریف‌شده برای یک نمونه سنجه را مشاهده کنید.

جدول 1 مشخصات سنجه «فرصت مواجهه با تهدید»

جنبه‌های مختلف سنجه

توضیحات

نام سنجه

فرصت مواجهه با تهدید.

هدف

حصول اطمینان از برطرف شدن آسیب‌پذیری‌های با شدت زیاد در یک بازه زمانی معقول که روی میزبان‌های بیرونی[18] پشتیبانی‌کننده فرآیندهای حیاتی کسب‌وکار مشاهده‌شده‌اند.

ارتباطات

پیش‌بینی کننده حملات خارجی قریب‌الوقوع و به مخاطره افتادن فرآیندهای حیاتی کسب‌وکار. فرض بر این است که هر آسیب‌پذیری قابل‌دسترس توسط عموم تقریباً 60 روز بعد از انتشار، موجب بروز مخاطره می‌گردد. مقدار 60 روز شاخصی برای شکست‌های قریب‌الوقوع است.                 

هدف

30 روز یا کمتر

نحوۀ محاسبه

شمار روزهای طی شده از زمان اعلامی از سوی منبع داده[19]

روش

برای هرکدام از میزبان‌هایی که فرآیندهای اصلی کسب‌وکار را پشتیبانی می‌کنند، آسیب‌پذیری‌های تشخیص داده‌شده توسط ابزارهای پویش[20] آسیب‌پذیری بازبینی می‌شوند. ابزارها، زمان و تاریخی را که برای اولین بار آسیب‌پذیری تشخیص داده‌شده است، نشان می‌دهند. آن‌ها همچنین نشان می‌دهند که آیا وصله‌ای برای این آسیب‌پذیری وجود دارد یا نه؟ و اگر هست، زمان در دسترس بودن آن‌ها را نیز نشان می‌دهند.

چه کسی اندازه‌گیری می‌کند؟

 امنیت فناوری اطلاعات

منبع داده

گزارش ماهانۀ پویش آسیب‌پذیری

چه کسی اقدامات لازم را انجام می‌دهد؟

فرآیند رسمی مدیریت آسیب‌پذیری را ببینید.

چه‌کاری باید صورت پذیرد؟

فرآیند رسمی مدیریت آسیب‌پذیری را ببینید.

 

برای پشتیبانی از تصمیم‌گیرندگان حوزۀ کسب‌وکار، « مخاطره » و « عملکرد » شرکت را یکپارچه کنید.

به خطی که در تصویر شمارۀ یک کشیده شده است، بنگرید: بالای این خط « تصمیم‌گیرندگان اجرایی » سازمان و پایین آن « عملیات فناوری اطلاعات » قرارگرفته‌اند. همچنین، پایین خط کشیده شده، برخی از سنجه­­های عملیاتی - که برای تصمیم‌گیری‌های عملیاتی مفید هستند- به نمایش درآمده‌اند. عموماً در سازمان‌ها برای گزارش دهی به تصمیم‌گیرندگان اجرایی که در بالای خط قرار دارند، به‌اشتباه تلاش می‌شود تا بهترین سنجه­های عملیاتی –که زیر خط آورده شده­اند - انتخاب شوند و گزارش‌هایی بر اساس آن‌ها تولید شوند؛ اما درواقع رویکرد درست، « منتزع کردن[21]» سنجه­های عملیاتی و فناورانه است تا جایی که تنها سنجه­های دارای رابطه علّی با تصمیم­گیری مدیران اجرایی باقی بماند و گزارش‌ها نیز بر اساس آن سنجه‌ها ارائه شوند.


شکل
1 - سنجه‌های عملیاتی مدیران ارشد را تحت تأثیر قرار نمی‌دهند

در سطور زیر، تکامل یکی از سنجه‌های مربوط به مدیریت آسیب‌پذیری را مرحله‌به‌مرحله و بیشتر می‌شکافیم تا موضوع هر چه روشن‌تر شود؛ اگر دقت کنید می‌توانید ببینید که با هر تکرار، توان سنجۀ فرضی برای برقراری پیوند و ارتباطی سزاوارتر با مخاطب‌های ناآشنا با مباحث فنی افزایش‌یافته است.

تکرار شماره 1: « شمار حمله‌ها در ماه گذشته »

 سنجۀ بالا، سنجه‌ای است بسیار معمولی و بی‌ارزش؛ چراکه، سنجۀ پیش­رو نیست و هیچ رابطه و پیوند علت و معلولیِ آشکاری با دستاوردهای کسب‌وکار ندارد. سازمان نمی­تواند آن را مهار و کنترل کند و هیچ‌یک از مشخصه‌های یادشده را نیز ندارد.

تکرار شماره 2: « شمار آسیب‌پذیری‌های اصلاح‌نشده »

این نیز سنجه­ای بسیار رایج است اما تعریفی به‌اندازۀ کافی روشن ندارد تا دست‌کم - بتواند تصمیم­گیری­های عملیاتی فناوری اطلاعات را هدایت کند. حتی اگر متخصصان امنیت و مخاطره بتوانند این سنجه را در وضعیتی مطلوب گزارش دهند، در چنین وضعی، فقط اثبات کرده‌اند که در حال انجام وظایفشان (کارشان) هستند.

تکرار شماره 3: « شمار آسیب­پذیری­های بسیار مهم اصلاح‌نشده روی سامانه­های حیاتی »

استفاده از این سنجه آن‌قدر که انتظار می­رود رایج نیست. چراکه مدیریت دارائی­ها در بسیاری از سازمان­ها آن‌چنان موردتوجه نبوده تا امکان تمایز قائل شدن بین سامانه‌های حیاتی و غیرحیاتی را برای آن‌ها فراهم سازد. اگرچه تغییرات این سنجه
می‌تواند برای اتخاذ تصمیمات لازم مفید واقع شود اما با توجه به اینکه تعداد وصله­های بسیار مهم و حتی سامانه­های حیاتی دائماً در حال تغییر هستند بنابراین شمار آسیب‌پذیری‌ها به‌تنهایی، برای مخاطبین بی‌معنا است.

تکرار شماره 4: "درصد آسیب­پذیری­های بسیار مهم اصلاح‌نشده در سامانه­های حیاتی"

با نرمال­سازی مقادیر به‌دست‌آمده از این سنجه می‌توان این مقادیر را ماه‌ به‌ ماه با یکدیگر مقایسه نمود. اگرچه این سنجه برای تصمیم­گیری عملیاتی در خصوص هدایت منابع، مفید است اما هنوز برای تصمیم ­گیرندگان اجرایی غیر فنی، نسبتاً
بی­ارزش است.

تکرار شماره 5: « شمار روزهایی که اصلاح آسیب­پذیرهای بسیار مهم در سامانه­های حیاتی به درازا می‌کشد »

این سنجه از سایر سنجه‌ها سودمندتر است چراکه بیشتر از دیگر سنجه‌ها از زبان فناوری فاصله گرفته است و بنابراین برای یک تصمیم­گیرندۀ غیر فنی قابل‌فهم است. البته هنوز سنجۀ یادشده به‌طور کامل برای تصمیم‌گیری‌های غیر فنی سودمند نیست چراکه زمینۀ کسب‌وکار به‌هیچ‌وجه آشکار نیست.

تکرار شماره 6: « شمار روزهایی که اصلاح آسیب­پذیری­های بسیار مهم در سامانه­هایی که از خدمت بانکداری اینترنتی پشتیبانی می­کنند، به درازا می‌کشد »

برای اینکه در مورد این سنجه بتوان به‌خوبی اظهارنظر کرد دانستن این موضوع ضروری است که خدمت بانکداری اینترنتی در سال جاری « 3 بار » قطع برنامه­ریزی نشدۀ را - به دلیل نقص در سامانه‌های مبتنی بر فناوری اطلاعات از سر گذرانده است. همچنین باید بدانید که 40 درصد از درآمدهای بانک به ارائۀ این خدمت مربوط است. گزارش این سنجه به مدیر ارشد اطلاعات و واحدهای کسب‌وکار اجرایی مسئول، کمک خواهد کرد تا به مسائل مرتبط با قطعی برنامه­ریزی نشده در این خدمت بپردازند و بتوانند پاسخی شایسته برای مدیرعامل بانک فراهم کنند؛ آن‌هم مدیرعاملی که می­خواهد بداند: چرا خروجی حیاتی‌ترین خدمت این بانک در سه‌ماهه گذشته 3 درصد کاهش‌یافته است؟ این سنجه، سنجۀ بالای خط محسوب می‌شود و برای مدیران کسب‌وکار بسیار مفید است، چراکه از مضامین فناوری اطلاعات دور شده، بیشتر درزمینۀ کسب‌وکار قرارگرفته است و می‌تواند پشتیبان تصمیم­گیری­های آتی - در تمامی سطوح سازمان تا مدیرعامل باشد.

بسیاری از سازمان‌ها در پیوند زدن وظایف سنتی امنیت با دستاوردهای کسب‌وکار به‌دشواری برمی‌خورند. سنجه­های خوب لزوماً سنجه‌های پیچیده نیستند؛ همین‌که از مشکلات واقعی کسب‌وکار پشتیبانی کنند، کافی است تا آن‌ها را از سنجه‌های خوب بدانیم. نباید فراموش کرد که سازمان‌ها هنوز و همچنان به سنجه­های عملیاتی نیاز دارند اما از سویی باید صرفاً در سطحی که به آن تعلق دارند به کار گرفته شوند، یعنی: سطح عملیاتی سازمان.

 نمونه‌ای کاربردی از ارتقاء سنجه‌های امنیتی

پس از توصیف‌ها و توضیحاتی که تاکنون برابر دیدگان شما خوانندگان گرامی نهاده شد اینک با ارائۀ مثالی، مراحل تکامل سنجه­های عملیاتی را به سنجه­های قابل‌درک و بهره‌برداری برای تصمیم گیران کسب‌وکار بیرون از بخش فناوری اطلاعات موشکافانه واکاوی می‌کنیم.

جدول شمارۀ « 2 » وضعیتی را که معمولاً بسیاری از سازمان‌ها در آغاز راه از سر می‌گذرانند به نمایش درمی‌آورد و آن‌گونه که می‌بینید داده‌های لازم برای اندازه‌گیری سنجه‌ها را صرفاً از ابزارهای ارزیابی آسیب‌پذیری به دست آورده‌ایم.

جدول 2- نقطه شروع برای ایجاد سنجه‌های عملیاتی

فرایند

منبع داده

خط پایه[22]

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  شمار سرورهای پویش شده یا پویش نشده

-  شمار وصله‌های مهم

 

-  درصد وصله‌های حیاتی و مهم

 

نقاط قوت:

به‌خوبی از داده‌های پایه برای ایجاد نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد - به‌نحوی‌که بتوانند از تصمیم‌گیری‌های کسب‌وکار پشتیبانی کنند - استفاده‌شده است. به‌کارگیری درصدها (شاخص‌ها) که وظیفۀ نرمال­سازی داده­ها را بر عهده دارند، امکان دستیابی به روند سنجه‌ها را در طول زمان به همراه تغییر شمار دارایی‌ها و آسیب‌پذیری‌ها فراهم می‌کند. همچنین تمرکز بر واژگان حیاتی و مهم به معنای اعمال نوعی اولویت‌بندی است.

نقاط ضعف:

استفاده از خطوط پایه در تعیین سنجه‌ها موجب شده است تمایز چندانی میان نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد پدیدار نباشد. تقریباً تمامی سنجه‌ها در دستۀ مشابهی قرارگرفته‌اند و ذاتاً بسیار فنی و عملیاتی هستند. نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد، واژگانی هستند که در بسیاری از سازمان‌ها به طرز نسنجیده‌ای از آن‌ها استفاده‌شده است و به‌این‌ترتیب، برچسب‌ها و دسته‌بندی‌های مورداستفاده‌شان، ارزش کمتری هنگام پشتیبانی از تصمیم‌گیری‌ها دارند.

در جدول شمارۀ « 3 » - پس از دریافت بازخوردهای گارتنر - نسخۀ بهبودیافته‌ای از نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد نمایش داده‌شده است.

جدول 3- تکامل سنجه‌های عملیاتی

فرایند

منبع داده

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

توصیف ارزش

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  درصد وصله‌های حیاتی و مهم اعمال نشده.

-  درصد پویش ناموفق سرورها.

-  درصد کاهش وصله‌های مهم و حیاتی اعمال نشده.

-  درصد کاهش پویش‌های ناموفق.

-  درصد سرورها و پایگاه‌های داده حیاتی برای کسب‌وکار که تمامی وصله‌ها روی آن‌ها اعمال‌شده است.

اعمال منظم وصله‌ها، محرمانگی داده‌ها و پایایی فرایندهای کسب‌وکار را از طریق اصلاح ضعف‌ها و نقایص سامانه‌ها، پیش از آنکه مورد سو استفاده قرار گیرند، بهبود می‌بخشند.

 

نقاط قوت:

همۀ سنجه‌های عملیاتی در عنوان‌های: نشانگر کلیدی مخاطره و نشانگر کلیدی عملکرد دسته‌بندی‌شده‌اند. نشانگرهای کلیدی عملکرد - با داشتن زمینۀ کسب‌وکار بیشتر به‌روشنی از نشانگرهای کلیدی مخاطره جداشده‌اند. همچنین توضیحاتی با عنوان « توصیف ارزش » - باهدف دور ساختن محتوای فنی از سنجه‌ها و پررنگ‌تر کردن زمینۀ کسب‌وکاری‌شان اضافه‌شده است.

نقاط ضعف:

« توصیف ارزش »، بسیار کلی و سطح بالا است. مدیران اجرایی با هشدارهای عمومی (کلی) دربارۀ اتفاقات ناگواری که رخ خواهند داد، برانگیخته نخواهند شد. نشانگرهای کلیدی عملکرد نیز بسیار کلی هستند. نشانگرهای کلیدی عملکرد باید بازتاب‌دهندۀ تأثیری باشند بر دستاورد مشخصی از کسب‌وکار، به‌گونه‌ای که برای تصمیم‌گیرندگان کسب‌وکار قابل‌تشخیص و حساسیت‌برانگیز باشد.

جدول « 4 » نشان‌دهندۀ نتایج تکرار پایانی است. شمار نشانگرهای کلیدی مخاطره کاهش‌یافته است و بر فرایند مشخصی از کسب‌وکار صدور صورت‌حساب که تأثیر مستقیم و قابل‌درکی بر کسب‌وکار دارد، تمرکز یافته‌اند. نشانگر کلیدی عملکرد تأثیر مشخصی را که بر فرایند صدور صورت‌حساب واردشده است، اندازه می‌گیرد: تأثیری که بیشتر دربارۀ از دست رفتن کسب‌وکار است تا کاستی در کنترل‌ها. توصیف ارزش، نشانگرهای کلیدی مخاطره و نشانگرهای کلیدی عملکرد را در بستر ملاحظه‌ها و نگرانی‌های خاصی از کسب‌وکار قرار می‌دهد. نشانگر کلیدی مخاطره، نشانگر پیش­رویی از نشانگر کلیدی عملکرد و نشانگر کلیدی عملکرد، نشانگر پیش­رویی از شکست در دستیابی به دستاوردهای کسب‌وکار است.

جدول 4- تکرار پایانی از یک سنجه امنیتی اثربخش

فرایند

منبع داده

نشانگر کلیدی مخاطره

نشانگر کلیدی عملکرد

توصیف ارزش

مدیریت وصله‌های امنیتی روی سرورها

ابزارهای ارزیابی آسیب‌پذیری

-  درصد وصله‌های حیاتی اعمال نشده روی سامانه صدور صورت‌حساب.

-  درصد افزایش پویش‌های ناموفق سامانه صدور صورتحساب.

-  درصد صورتحساب‌هایی که به دلیل قطعی‌های برنامه‌ریزی نشده با تأخیر صادرشده‌اند.

صدور با تأخیر صورتحساب به علت قطعی‌های برنامه‌ریزی نشده، عملیات کسب‌وکار را با مخاطره روبرو می‌کند. نقص در اعمال وصله‌ها، ناپایداری سامانه‌های پشتیبانی‌کننده صدور صورتحساب و متعاقباً خطر قطعی‌های برنامه‌ریزی نشده را افزایش می‌دهد.

 

برای درک بهتر تصمیم‌گیری‌های هرروزۀ مدیران اجرایی به ایشان نزدیک شوید

زمانی که متخصصان فناوری اطلاعات سنجه‌های هم‌راستا شده با کسب‌وکار را بدون درگیر کردن نمایندگانی از کسب‌وکار-بیرون از بخش فناوری اطلاعات - توسعه می‌دهند، ارزش نتیجۀ به‌دست‌آمده برای سازمان بسیار اندک است. مشاهده‌های انجام پذیرفته از سوی گارتنر بر مشتریانش، حاکی از آن است که کارکنان فناوری اطلاعات در تلاش برای درک کسب‌وکار سازمان خود و دستاوردهای آن هستند و این امری است ضروری برای توسعۀ انواع سنجه‌های هم‌راستا شده با کسب‌وکاری که در این پژوهش به آن پرداخته شد. کار کردن با مدیران اجرایی غیر فنی نه‌تنها این شکاف را می‌پوشاند بلکه پذیرش سنجه‌ها توسط مدیران ارشد را ساده‌تر می‌کند.

پیشنهاد می‌کنیم که مدیران فناوری اطلاعات و مدیران اجرایی بیرون از بخش فناوری اطلاعات - را برای تمرینی مشترک و رسیدن به اهداف زیر گرد هم آورید:

1-      تعیین مخاطبان بیرون از حوزه فناوری اطلاعات،

2-     شناسایی دستاوردهای حیاتی کسب‌وکار که برای این مخاطبان اهمیت داشته باشند،

3-     شناسایی فرآیندهای پشتیبان کسب‌وکاری که این دستاوردها را ایجاد می‌کنند،

4-     شناسایی وابستگی‌های این فرایندها به فناوری اطلاعات،

5-     ایجاد توافق دوجانبه بر سر سنجه‌های مرتبط با مدیران اجراییِ بیرون از حوزه فناوری اطلاعات،

در نشستی ازینگونه است که افراد فناوری اطلاعات می‌آموزند که چه چیزهایی برای تصمیم‌گیرندگان کسب‌وکار واقعاً اهمیت دارند و تصمیم‌گیرندگان کسب‌وکار نیز می‌آموزند که به‌راستی در مسیر دستیابی به دستاوردهای کسب‌وکار چه وابستگی‌ها و مخاطره‌های فناورانه ای وجود دارند. بدین ترتیب درکی مشترک میان گروه‌هایی که باید به پرسش زیر پاسخ دهند، پدید خواهد آمد: چه سنجه‌هایی از امنیت و مخاطره، مخاطبان بیرون از بخش فناوری اطلاعات را - در همۀ سطوح سازمان تا هیئت‌مدیره - بر سر شوق خواهد آورد؟

 

منابع

 

[1] Paul E. Proctor, Jeffrey Wheatman, Rob McMillan, Develop Key Risk Indicators and Security Metrics That Influence Business Decision Making, Gartner, 31 July 2015

[2] Rob McMillan, Five Required Characteristics of Security Metrics, Gartner, 5 December 2012

[3] Rob McMillan, Sharpen Your Security Metrics to Make Them Relevant and Effective, Gartner, 13 May 2014

[4] John A. Wheeler, Survey Analysis: IT Risk Influences the Digital Business, 2014, Gartner, 28 October 2014

[5] Rob McMillan, Survey Analysis: Risk and Security Management in Midsize Organizations, 2014-15, Gartner, 2 March 2015



[1]  Risk

[2] Metrics

[3] Executive Leaders

[4]  Key Risk Indicators

[5]  Key Performance Indicators

[6]  Unusual

[7]  Marketing

[8]  Causal and Defendible

[9] Business Impacts

[10]  Work

[11] Lagging Indicators

[12] Leading Indicators

[13]  Relevance

[14]  Objectivity

[15]  Overhead

[16]  The law of diminishing returns

[17]  Baselines

[18]  External Hosts

[19]  Data Source

[20]  Scan

[21]  Abstraction

[22]  Baseline


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)