بایگانی ماهیانه: خرداد ۱۳۹۶

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

Crashoverride: بدافزاری برای اختلال در شبکه برق

Crashoverride، بدافزاری مخصوص شبکه برق، با قابلیت های درب پشتی، ماژول امحاء داده، ماژول DoS و چند ماژول مخصوص کار بر اساس پروتکل های IEC، که این بدافزار را کاملاً منطبق با شرایط شبکه های تولید، انتقال و توزیع برق کرده است. گزارش شرکت های ESET و Dragos و گزارش CERT ایالات متحده که این بدافزار را تحلیل کرده اند.

اشتراک گذاری

آیا واناکرای یک باج افزار است؟

یک گزارش تحلیلی از بدافزار واناکرای که فراتر از تحلیل های معمول، از طریق بررسی ویژگی های فنی آن سعی می کند به این سوال پاسخ دهد که آیا واناکرای واقعا یک باج افزار است؟

اشتراک گذاری

ابزار Shodan برای شکار سرورهای C2

ابزار Malware Hunter توسط موتور جستجوی Shodan برای شناسایی سرورهای فرماندهی و کنترل بدافزارها موسوم به C2 معرفی شده. ایده کلی اینه که سرور خودش رو به عنوان یک IP آلوده معرفی کنه و بر اساس پاسخی که از IPهای دیگه دریافت می کنه، تشخیص بده که اونها C2 هستند یا خیر. این شبیه یک هانی پات اما به صورت اکتیو هست.

اشتراک گذاری

دو یادداشت من در ماهنامه بانکداری الکترونیک

بدافزارهای بدون رد پا (شماره ۷۷، اسفند ۹۵)

سامانه  های همراه در خطر (شماره ۷۸، فروردین ۹۶)

اشتراک گذاری