اسپارا و تعیین استراتژی کلی امنیت سازمان

اسپارا و تعیین استراتژی کلی امنیت سازمان

استراتژی کلی امنیت به اهداف کلی و دامنه‌ فعالیت کسب‌وکار برای تأمین انتظارات امنیتی ذی‌نفعان می‌پردازد و نقشی حیاتی دارد؛ زیرا تحت تأثیر تصمیم‌های سرمایه‌گذاران به گرفتن تصمیم‌های استراتژیک کمک می‌کند. استراتژی امنیت معمولاً به‌طور آشکار در «بیانیه‌ مأموریت امنیت» بیان می‌شود. سیاست‌های امنیت یک سازمان، سندی است که برنامه‌های سازمان برای محافظت از سرمایه‌های فیزیکی و مرتبط با فناوری اطلاعات و ارتباطات را بیان می‌کند. هر سیاست امنیتی مشخص‌کننده اهداف امنیتی و تجاری سازمان است، اما درباره راهکارهای مهندسی و پیاده‌سازی این اهداف بحثی نمی‌کند. سند سیاست امنیتی سازمان باید قابل فهم، واقع‌بینانه و غیر متناقض باشد؛ علاوه بر این، از نظر اقتصادی امکان‌پذیر، از نظر عملی قابل انعطاف و متناسب با اهداف سازمان و نظرات مدیریت آن، سطح حفاظتی قابل قبولی ارائه کند. ارزیابی و مدیریت مخاطرات سایبری سازمان، شناسایی دارایی‌های حیاتی و پیامدهای تهدیدات سایبری برای فهم میزان مخاطره سازمان، امری حیاتی است. نتایج ارزیابی مخاطرات، ورودی کلیدی برای شناسایی و اولویت‌بندی فعالیت‌های محافظتی، تخصیص منابع و توسعه خط‌مشی‌ها و استراتژی‌های مدیریت مخاطرات سایبری به یک سطح قابل قبول است.

ساختار امنیت در سازمان، نگاه به موضوع امنیت اطلاعات به شکل یک واحد و بخش در ساختارها و جایگاه‌های سازمانی، به‌عنوان یکی از مهم‌ترین مسائل در ساختاردهی مسئولیت‌ها و وظایف در حوزه فناوری اطلاعات (سازماندهی امنیتی) و همین‌طور در کل سازمان مطرح است. سازمان‌ها و شرکت‌های مختلف با توجه به اندازه، نوع، گستره عملکرد و بلوغ سازمانی خود، ساختارها و سازوکارهایی گوناگون را در رابطه با ساختاردهی امنیت اطلاعات در نظر می‌گیرند. حسابرسی و ممیزی امنیت، بررسی و آزمایش روش‌ها و اقدامات امنیتی، همگی برای ارزیابی کفایت و همخوانی آنها با خط‌مشی امنیتی است. حسابرسی امنیت اطلاعات، فرایند بررسی حرفه‌ای سیستماتیک درباره کنترل‌های مدیریت اطلاعاتی سازمان در برابر مجموعه‌ای از معیارهای تعریف‌شده‌ در حوزه امنیت است که به‌منظور تعیین کفایت و اثربخشی امنیت داده‌ها، به‌صورت یکپارچه در دسترس قرار دارد.

سامانه مدیریت تداوم کسب‌وکار (BCMS)

در شرایط کسب‌وکار کنونی و با پیشرفت‌ها و تحولات جهانی، فرایند تداوم کسب‌وکار، به‌عنوان موضوعی مهم در تمامی سازمان‌ها مطرح شده و مدیریت این فرایند به‌عنوان بخشی ضروری در تمام قسمت‌های کسب‌وکار شناخته می‌شود. توانایی یک سازمان برای نگهداشت و استمرار فعالیت‌های محوری و حیاتی خود پس از بروز یک حادثه و همچنین سرعت بازیابی سازمان و بازگشت به حالت عادی، می‌توانند عامل‌های اساسی موفقیت یا شکست یک سازمان را تعیین کنند. GRC تعریف رویکرد امنیت با توجه به استراتژی‌های کسب‌وکار در حوزه فناوری، با توجه به ارزیابی مخاطرات در ساختارهای سازمان و تعریف سیاست‌های کلان امنیت جهت تحقق اهداف و سنجش میزان انطباق و روند اجرای برنامه‌های عملیات در حوزه امنیت است. در واقع، مجموعه خدمات فراهم‌شده در این حوزه، دربرگیرنده ساختارهای امنیت و سامانه‌های مدیریتی در این حوزه است.

مدیریت ریسک و دارایی

نتایج ارزیابی مخاطره امنیت می‌تواند به جهت‌گیری صحیح در انتخاب راه‌حل‌ها (که دفع تهدیدهای اصلی است) کمک کند و همچنین در تدوین و اصلاح خط‌مشی‌های امنیتی سازمان هم استفاده شود. مدیریت مخاطره امنیت، فرایندی جامع است که به‌منظور تعیین، شناسایی، کنترل و کمینه ساختن تأثیرات و پیامدهای رویدادهای احتمالی، مورد استفاده قرار می‌گیرد. این فرایند، میان هزینه‌های عملیاتی و هزینه‌های مالی اقدام‌های حفاظتی، تعادل و توازن مناسبی برقرار می‌کند و می‌تواند از طریق حفاظت از فرایندهای کسب‌وکار، که پشتیبان اهداف سازمان هستند، به منافع مربوط دست یابد. فرایند مدیریت مخاطرات می‌تواند تعداد و شدت حوادث امنیتی به‌وقوع پيوسته در سازمان را به‌شدت کاهش دهد. همچنین فرایند مدیریت دارایی‌های اطلاعاتی، وظیفه دارد تا از شناسایی و کنترل با دقت دارایی‌های مورد نیاز برای ارائه سرویس‌ها، اطمینان حاصل کند و اطلاعات دقیق و قابل اطمینان درباره آن دارایی‌ها نیز در مواقع نیاز، در دسترس باشند. این اطلاعات شامل جزئیات مربوط به نحوه پیکربندی دارایی و ارتباطات بین دارایی‌هاست. چنین کاری بسیار ضروری و مهم است و سراسر چرخه حیات سرویس را پوشش می‌دهد.

استفاده از این خدمت مزایایی از جمله شناسایی مخاطرات در حوزه امنیت و فناوری، اولویت‌بندی مخاطرات و شناسایی راهکاری مناسب جهت مدیریت آنها بر اساس زنجیره خدمات شناسایی‌شده و همچنین شناسایی زنجیره خدمت و دارایی‌های هر زنجیره به تفکیک و همچنین ارتباطات آنها و تعریف ساختار جهت شناسایی و نگهداری پیکره‌بندی و تنظیمات زنجیره خدمات را به همراه دارد.

سازمان امنیت

نگاه به موضوع امنیت اطلاعات به شکل یک واحد و بخش در ساختارها و جایگاه‌های سازمانی، به‌عنوان یکی از مهم‌ترین مسائل در ساختاردهی مسئولیت‌ها و وظایف در حوزه فناوری اطلاعات (سازماندهی امنیتی) و در سطحی بالاتر، در کل سازمان مطرح است. سازمان‌ها و شرکت‌های مختلف با توجه به اندازه، نوع، گستره عملکرد و بلوغ سازمانی خود، ساختارها و سازوکارهای مختلفی را در رابطه با ساختاردهی امنیت اطلاعات در نظر می‌گیرند. این سازوکارها و شکل‌های ساختاردهی، بسیار گوناگون‌اند. با توجه به استراتژی‌های کسب‌وکار و فرهنگ سازمانی در حوزه امنیت، ساختارهای لازم در این حوزه با در نظر گرفتن تحلیل‌های صورت‌گرفته و نیازهای شناسایی‌شده، تعریف می‌شوند. هدف اصلی از ایجاد ساختار و واحد امنیت اطلاعات، اختصاص یک متولی خاص برای مباحث امنیت فناوری اطلاعات، عملیات، خط‌مشی‌ها و رویه‌ها، انطباق با قوانین، مدیریت مخاطرات و ممیزی است. در این حوزه، استفاده از این خدمت دارای مزایایی از جمله تعریف ساختارهای سازمانی امنیت و همسو شدن ساختارهای امنیت با توجه به نیازهای کسب‌وکار است.

حسابرسی و تحلیل GAP

هدف از تحلیل انطباق با سامانه مدیریت امنیت اطلاعات، ارزیابی میزان انطباق عملکرد و فرایندهای سازمان بر اساس استانداردهای مرجع نظیر ISO 27001 و همچنین چهارچوب‌های امنیت فنی مانند CIS و NIST است. در فرایند ارزیابی امنیت سازمان، با توجه به چهارچوب مرجع در هر مورد، الزامات و کنترل‌های استاندارد و نیز کاربرگ‌های سنجش میزان بلوغ سازمان در پیاده‌سازی الزامات، سنجیده می‌شود. نحوه و روش انجام آن، بدین ترتیب است که مخاطبان و مسئولان مرتبط با هر حوزه از الزامات استاندارد، شناسایی و طی برگزاری جلسه‌های مصاحبه با هر یک، وضعیت جاری سازمان در برابر الزام و کنترل‌های مربوطه بررسی شوند. نتایج حاصل از بررسی کاربرگ‌های سنجش میزان بلوغ سازمان، در قالب گزارش و نمودارهایی که مبین میزان بلوغ سازمان در امنیت اطلاعات است، ارائه می‌شود. نوع خدمت عرضه‌شده، تجاری-سیستمی و فنی است که استفاده از آن مزیت‌هایی مانند آشنایی با سازمان و فرایندهای امنیتی سازمان، ایجاد دید شفاف و مستند از میزان انطباق شرکت در برابر الزامات استاندارد ISO 27001 و شمای امنیتی (Security Posture)، تعیین میزان آمادگی سازمان و فراهم کردن امکان درک دقیق وضع موجود امنیت اطلاعات سازمان، تعیین نقاط قوت و ضعف و موارد مورد تمرکز (Focus Points) جهت بهبود وضع موجود و نیل به وضع مطلوب، و همچنین تعیین محدوده اجرایی پیاده‌سازی سامانه مدیریت امنیت اطلاعات با توجه به میزان بلوغ امنیت اطلاعات در سازمان و ایجاد معیار و شاخص اولیه عملکرد (Key Performance Index) از وضعیت امنیت اطلاعات شرکت به‌منظور ایجاد پایه‌ای برای اندازه‌گیری و مشخص کردن روند بهبود در مطالعات دوره‌ای بعدی را دارد.

مدیریت تداوم کسب‌وکار

Business Continuity Management، شامل مديريت بازيابي و تداوم فعاليت‌ها و خدمات مورد نیاز کسب‌وکار هنگام وقوع حوادث و شرايط بحراني کسب‌وکار است. امروزه با توجه به حساسيت‌های ناشی از فضای رقابت و تعهدات سازمان‌ها، تحمل سازماني درخصوص از کار افتادن برخي از اين سرويس‌ها نزديک به صفر شده است. به‌عبارت دیگر، براي سازمان‌ها عدم عملکرد مناسب اين سرويس‌ها پذيرفتني نخواهد بود، چرا که مزيت رقابتي و درآمدزايي، بر بهره‌برداري مناسب و کارایی سازمان استوار است.

وابستگی کسب‌وکار سازمان‌ها و نیز ارائه خدمات نهادهای عمومی به‌صورت روزافزون به سرویس‌ها و خدمات فناوری گسترش می‌یابد؛ به‌گونه‌ای که خدمات فناوری در حال تغییر کارکرد از نقش تسهیل‌کننده و جانبی، به نقش اساسی و محوری در فرایندهای کسب‌وکار است.

با توجه به معماری جاری سرویس‌های فناوری، اجزای مختلف آن و موقعیت مکانی این اجزا و تحلیل تهدیدها و آسیب‌پذیری‌های وارد بر هر جزء، میزان آمادگی جاری سازمان و فاصله آن با اهداف مورد انتظار بررسی می‌شود. با توجه به اصل محافظت به‌عنوان اولین اقدام در ایجاد تداوم سرویس‌های فناوری، در این مرحله تلاش می‌شود تا حد امکان نقاط ضعف و آسیب‌پذیر سرویس‌ها (Single Point of Failure) شناسایی و برطرف شوند. سپس راهکارهای اضطراری موجود و میزان اثربخشی آنها با توجه به دامنه تعریف‌شده برای تداوم سرویس‌ها و حد RTO و RPO هر سرویس یا دارایی اطلاعاتی سنجیده و فاصله وضعیت موجود با توانمندی مورد نیاز کسب‌وکار درخصوص تداوم سرویس‌ها، مشخص شود. استراتژی‌های تداوم سرویس‌ها با پوشش سطح RTO و RPO مورد انتظار برای هر سرویس، راهکارهای ایجاد مقاومت در برابر شرایط بحرانی و نیز توانمندی بازیابی سرویس‌ها برای سازمان، تعریف و پیاده‌سازی می‌شود. با استفاده از این خدمت می‌توان به مزایایی ازجمله تحليل وضع موجود از خدمات سازمان و ميزان حساسيت و اثر عملکرد آنها بر روي کسب‌وکار (BIA)، ارزيابي مخاطرات، تدوین و تصمیم‌سازی درباره استراتژی‌های مدیریت تداوم کسب‌وکار، تدوين روش‌ها و دستورالعمل‌هاي بازيابي عواقب ناشي از حوادث (Response Plan) و همچنین تدوين برنامه‌هاي آموزشي جهت آمادگي مسئولان و ذي‌نفعان مربوط در صورت وقوع حوادث امنيتي و تدوين برنامه تست طرح تداوم کسب‌وکار و اطمينان از اجرايي بودن و اثربخشي آن دست یافت.

سامانه‌های مدیریت IT

در عصری که استفاده از فناوری اطلاعات، امری فراگیر در تمام سازمان‌ها بدون توجه به نوع و اندازه آنها شده است، همسویی آن با اهداف کسب‌وکار، چگونگی سرمایه‌گذاری پیرامون آن، و ارتقای میزان ارزش‌آفرینی فناوری اطلاعات، به یکی از چالش‌های مهم فناوری اطلاعات تبدیل شده است. این چالش‌ها تنها در محیطی کنترل‌شده از سوی مدیران ارشد سازمانی قابل رویارویی و تحقق خواهد بود. در همین خصوص، طراحی و استقرار نظام‌های مدیریت فناوری اطلاعات مبتنی بر ساختارهایی همچون ITSM، ISMS و CobIT به‌عنوان ابزار مدیریت فناوری اطلاعات، می‌تواند بسیار اثربخش باشد. این خدمت که از نوع تجاری-سیستمی و فنی است می‌تواند مزایایی از جمله ارائه نقشه راه و سند راهبردی مدیریت فناوری اطلاعات، پیاده‌سازی حاکمیت و مدیریت فناوری اطلاعات، ارزیابی بلوغ حاکمیت و مدیریت فناوری اطلاعات، سازماندهی و مدون‌سازی روال‌های امنیتی وضعیت موجود، تعریف ساختارهای امنیت با توجه به چهارچوب امنیت اطلاعاتISMS ، پیشگیری از حوادث و کم کردن ریسک‌ها و خسارت‌های امنیتی و همچنین ارتقای سطح آگاهی امنیتی کاربران و شبکه‌های رایانه‌ای و ایجاد راهکار‌های الزام کارکنان و مدیران نسبت به رعایت مسائل امنیتی، بهبود مدیریت خدمات فناوری اطلاعات با استفاده از چهارچوب ITIL، و در نهایت طراحی و تدوین کاتالوگ خدمات فنی و تجاری دپارتمان فناوری اطلاعات را در اختیار بگذارد.

دیدگاه ها

  • دیدگاهی موجود نیست

ثبت دیدگاه