بایگانی برچسب: s

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

دو یادداشت من در ماهنامه بانکداری الکترونیک

بدافزارهای بدون رد پا (شماره ۷۷، اسفند ۹۵)

سامانه  های همراه در خطر (شماره ۷۸، فروردین ۹۶)

اشتراک گذاری

گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)

همانطور که قبلاً در یادداشتهایی اشاره کرده بودم(۱و۲)، سمینار امنیت به عنوان یکی از سمینارهای رویداد تراکنش (ITE 2016) در آبان ۹۵ برگزار شد. فایل های مربوط به این سمینار که در ماهنامه بانکداری الکترونیک چاپ شده، شامل گفتگو با من و مهندس بخشایش (دبیران سمینار)، گزارش سخنرانی های انجام شده، گزارش میزگرد تخصصی و مروری بر رویدادهای مهم امنیت سایبری در دنیا رو برای دانلود قرار می دم.

گفتگو با دبیران سمینار امنیت

مروری بر برخی رویدادهای مهم امنیت سایبری

گزارش سخنرانی ها و میزگرد تخصصی سمینار امنیت

اشتراک گذاری

جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

رویداد بین المللی تراکنش: سمینار امنیت

دومین رویداد بین المللی تراکنش (ITE) در روزهای یازدهم تا سیزدهم آبان برگزار خواهد شد. در این رویداد، یک سمینار چهار ساعته با موضوع ” امنیت تراکنش در تعاملات بین‌المللی” در روز ۱۲ آبان ساعت ۸:۳۰ تا ۱۲:۳۰ برگزار می شود.

 

برنامههای سمینار امنیت :
تاریخ و ساعت برگزاری : روز چهارشنبه به مورخ ۹۵/۰۸/۱۲ ساعت ۰۸:۳۰ الی ۱۲:۳۰
 

ردیف

نام سخنران

موضوع

مدت زمان (دقیقه)

۱

تلاوت قرآن

————–

۰۸:۴۰-۰۸:۳۰

۲

سرود ملی جمهوری اسلامی ایران

—————

۰۸:۵۰-۰۸:۴۰

۳

دکتر رسول جلیلی

سیاست کلی شورای عالی فضای مجازی در خصوص شبکه بانکی کشور و اتصال به درگاه‌های بین‌المللی

۰۹:۱۰-۰۸:۵۰

۴

Louis Hur

اقدامات دولت کره جنوبی در حوزه امنیت سایبری بانکها

۰۹:۳۰-۰۹:۱۰

۵

سرهنگ علی نیک نفس

جرائم سایبری در شبکه های بانکی با نگاه به حوزه های داخلی و بین المللی

۰۹:۵۵-۰۹:۳۰

۶

آقای مهندس آزادی ابد

جایگاه و اهمیت استانداردهای PCI و EMV در اتصال به شبکه های پرداخت بین المللی

۱۰:۱۵-۰۹:۵۵

۷

پذیرایی

————

۱۰:۳۰-۱۰:۱۵

۸

آقای مهندس پیرحسینلو

امنیت ابری، شبکه بانکی و پرداخت

۱۰:۵۵-۱۰:۳۰

۹

میزگرد

سرهنگ رمضانی، دکتر پادگانه،خانم مهندس مومن واقفی، دکتر لامعی

۸۰ دقیقه

 

محور های سمینار :

  • روندهای آینده امنیت سایبری در موسسات مالی
  • الزامات و تمهیدات امنیتی اتصال به درگاه های بین المللی
  • تهدید های نوظهور امنیتی در تراکنش های مالی
 

اعضاء پنل سمینار امنیت
دکتر افشین لامعی  مدیر امنیت شرکت انتقال داده های آسیاتک مهندس سعید بخشایش  مدیر عامل شرکت فناوران توسعه امن ناجی دکتر رسول جلیلی عضو شورای عالی فضای مجازی

دکتر افشین لامعی

دبیر علمی سمینار

مدیر امنیت شرکت انتقال داده های آسیاتک

مهندس سعید بخشایش

دبیر علمی سمینار

مدیر عامل شرکت فناوران توسعه امن ناجی

دکتر رسول جلیلی

عضو شورای عالی فضای مجازی

مهندس سیامک آزادی ابد مدیر امنیت اطلاعات و مدیر نظارت بر عملکرد اعضاء، شبکه الکترونیکی پرداخت کارت دکتر یوسف پادگانه  بانکدار ارشد ، مدرس دانشگاه و سخنران بین المللی سرهنگ علی نیک نفس            معاونت تشخیص و پیشگیری پلیس فتا

مهندس سیامک آزادی ابد

مدیر امنیت اطلاعات، شرکت شاپرک

دکتر یوسف پادگانه

بانکدار ارشد ، مدرس دانشگاه

و سخنران بین المللی

سرهنگ علی نیک نفس

معاونت تشخیص و پیشگیری پلیس فتا
پویا پیرحسینلو مدیرعامل شرکت دانش بنیان نویان اَبر آروان خانم مهندس مومن واقفی  مدیر ریسک و امنیت اطلاعات شرکت خدمات انفورماتیک سرهنگ حسین رمضانی           معاون اموربین الملل وحقوقی پلیس فتا
مهندس پویا پیرحسینلو

مدیرعامل شرکت دانش بنیان نویان اَبر آروان

خانم مهندس مومن واقفی

مدیر ریسک و امنیت اطلاعات

شرکت خدمات انفورماتیک

 

سرهنگ حسین رمضانی

معاون اموربین الملل وحقوقی پلیس فتا

Ramzi Anwar Saliba Sunna    مسئول امنیت شبکه شرکت Scan Wave Louis Hur مؤسس و مدیرعامل شرکت NSHC  

Ramzi Anwar Saliba Sunna

  مسئول امنیت شبکه شرکت Scan Wave

Louis Hur

مؤسس و مدیرعامل شرکت NSHC

 

 

محل برگزاری : سالن بهارستان ، سالن آمفی تئاتر
تاریخ و ساعت برگزاری : روز چهارشنبه به مورخ ۹۵/۰۸/۱۲ ساعت ۰۸:۳۰ الی ۱۲:۳۰

 

اشتراک گذاری

فایل میزگرد مرکز فابا در باره مدیریت ریسک های بانکی

در تیرماه ۹۵ میزگردی با موضوع مدیریت ریسک در بانک ها در مرکز فابا با حضور دکتر بیات مدیر عامل فابا، دکتر علی آبادی مدیر ریسک بانک پارسیان، مهندس فرهادی مقدم مدیر ریسک بانک انصار، مهندس واقفی مدیر امنیت اطلاعات شرکت خدمات انفورماتیک و من برگزار شد.

فایل این میزگرد که در شماره ۷۰ ماهنامه بانکداری الکترونیک چاپ شده از اینجا قابل دانلود است.

اشتراک گذاری

ممیزی امنیت اطلاعات

این یادداشت در شماره ۶۷ (اسفند ۹۴) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

۱-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

۲-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

۳-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو ۲۷۰۰۰ (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو ۲۷۰۰۰ یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو ۲۷۰۰۱ یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو ۲۷۰۰۱، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند ۲۷۰۰۲ و ۲۷۰۰۵ قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو ۲۷۰۰۱

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو ۲۷۰۰۱ حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو ۲۷۰۰۱ را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو ۲۷۰۰۴ به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

۱-    درصد حملات مدیریت شده به کل حملات کشف شده

۲-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

۳-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

اشتراک گذاری

مدیریت تداوم کسب و کار خدمات ICT

این یادداشت در شماره ۶۷ (اسفند ۹۴) مجله بانکداری الکترونیک چاپ شده است.

فرض کنید بر اثر یک خطای انسانی، سرور پایگاه داده یکی از سرویس های حیاتی سازمان خاموش شود. با توجه به حجم پایگاه داده و بار پردازشی سرور، این خاموش شدن ناگهانی ممکن است به خطایی منجر شود که در عمل، روشن کردن بلافاصله سرور نتواند سرویس را به حالت اولیه بازگرداند. در اینجا تیم فنی اقدام به بازیابی آخرین نسخه پشتیبان پایگاه داده می­نماید. اما چه تضمینی هست که این نسخه در زمانی قابل قبول و با موفقیت بازیابی شود؟ بنابراین یک خطای انسانی ساده منجر به قطع شدن سرویس تا چندین ساعات شده است. این تنها یک سناریوی ساده برای سازمانی است که فرآیندهای اصلی کسب و کار خود را بر پایه سرویس های ICT بنا کرده است. پاسخ به این چالش­ها، بخشی از اهداف مدیریت  تداوم کسب و کار سازمان است. 

مدیریت تداوم کسب و کار (BCM) یک فرآیند مدیریتی کلان است که ضمن شناسایی تهدیدهای بالقوه تداوم فعالیت‌های کسب و کار، چارچوبی برای ایجاد مقاومت و قابلیت پاسخ موثر ایجاد می­نماید تا از منافع سازمان در برابر اختلال در فعالیت ها محافظت نماید. در سازمان­هایی مانند بانک­ها که فناوری اطلاعات و ارتباطات ابزار کلیدی فرآیندهای کسب و کار است، بخش مهمی از BCM مربوط به تدام کسب و کار فناوری اطلاعات می­شود. طبق استاندارد ایزو ۲۷۰۳۱، آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار (IRBC) یک سیستم مدیریتی است که از فرآیند کلی تداوم کسب و کار سازمان پشتیبانی و آن را تکمیل می­نماید. اهداف این سیستم عبارتند از:

۱-    پاسخ به ریسک های دائماً در حال تغییر

۲-    اطمینان از تداوم آن بخش از عملیات حیاتی کسب و کار که به خدمات فناوری اطلاعات وابسته است.

۳-    کسب آمادگی پیش از رخداد هر نوع اختلال در خدمات فناوری اطلاعات

۴-    پاسخ مناسب و بازیابی از حوادث و اختلالات

بنابراین فناوری اطلاعات ضمن ارائه پاسخ مناسب به حوادث و بازیابی وضعیت عادی، باید کنترل­های مناسب برای کاهش ریسک ها را ارائه و مقاومت کسب و کار را افزایش دهد.

اصول آمادگی ICT در جهت تداوم کسب و کار

ایجاد آمادگی در فناوری ارتباطات و اطلاعات در جهت تداوم کسب و کار مبتنی بر اصول زیر است:

۱-    پیشگیری از حادثه: حفاظت از خدمات ICT در برابر تهدیدهای محیطی، بدافزارها، خطاهای عملیات، حوادث طبیعی و غیره یکی از اصول حیاتی برای حفظ دسترس پذیری سیستم­ها در سطح قابل پذیرش است.

۲-    شناسایی حادثه: با توجه به اینکه پیشگیری از همه حوادث امکان پذیر نیست، لازم است توانایی شناسایی حادثه در کوتاه ترین زمان ایجاد شود تا ضمن کاهش اثر مخرب آن، هزینه بازیابی سرویس هم کمینه شود.

۳-    بازیابی: شناسایی و پیاده سازی استراتژی مناسب بازیابی سیستم ها بعد از حادثه تضمین می­کند که خدمات در زمان مناسب  به حالت عادی بازگشته و صحت اطلاعات نیز حفظ شود. اولویت بندی سیستم های برای بازیابی مشخص می­کند که کدام سیستم ها باید پیش از بقیه بازیابی شوند.

۴-    بهبود: حوادث رخداده قبلی باید در راستای بهبود سه مورد فوق مورد تحلیل و ارزیابی قرار بگیرند.

اجزای تشکیل دهنده آمادگی ICT برای تداوم کسب و کار

برنامه تداوم کسب و کار در حوزه ICT شامل اجزای کلیدی زیر است:

۱-    افراد متخصص و دارای دانش مناسب  به همراه افراد پشتیبان آنها

۲-    امکانات فیزیکی و محیطی که محل قرارگیری منابع ICT است.

۳-    فناوری شامل سخت افزار، شبکه و نرم­افزار.

۴-    داده ها

۵-    فرآیندها

۶-    پشتیبان ها

بنابر این یک برنامه تداوم کسب و کار ICT باید تمام اجزای فوق را در کنار یکدیگر در نظر گرفته و نقش هر کدام را مشخص نماید.

فواید آمادگی ICT برای تداوم کسب و کار

فواید مختلفی از طریق تداوم کسب و کار ICT نصیب سازمان می­شود.از مهم­ترین فواید این برنامه آن است که سازمان ریسک­ها و آسیب پذیری­های تداوم خدمات ICT را می­شناسد. برخی سازمان­ها تصویری واقعی از میزان آسیب پذیر بودن خود از ناحیه سرویس های ICT را در اختیار ندارند. در نتیجه هنگام مواجه شدن با حوادث ICT منجر به اختلال در کسب و کار متوجه گستره آسیب پذیری و اثرات مخرب اینگونه حوادث می­شوند. همچنین این برنامه می­تواند اطمینان لازم را به مدیران ارشد سازمان بدهد که در زمان رخداد حوادث ICT، پشتیبانی لازم را از خود فرآیند ICT دریافت خواهند کرد. به علاوه، این برنامه به سازمان کمک می­کند تا سرمایه گذاری فناوری اطلاعات را با اهداف استراتژیک سازمان همراستا کند. طبعاً ایجاد تداوم کسب و کار ICT به خصوص در بخش فناوری­ها مستلزم صرف هزینه است. راه حل­هایی مثل ایجاد افزونه در سطح پایگاه­های داده، سرورها، تجهیزات شبکه  و غیره می­تواند هزینه های هنگفتی در بر داشته باشد. به عنوان مثال، برای ایجاد افزونه در تجهیزات شبکه مثل فایروال و روتر از فناوری HA استفاده می­شود که مستلزم استفاده از یک تجهیز پشتیبان مشابه تجهیز اصلی و ضمناً دارای قابلیت HA می­باشد. به علاوه، پیکربندی و نگهداری این فناوری هم مستلزم صرف هزینه مناسب است.

 

نکات کلیدی در برنامه تداوم کسب و کار ICT

اگر در هنگام طراحی و راه اندازی سرویس، به الزامات تداوم کسب و کار نیز توجه شود، هزینه این برنامه کاهش خواهد یافت. چرا که سخت افزارها، نرم افزارها و فناوری های دیگر با توجه به الزامات این برنامه انتخاب خواهند شد. به علاوه، مشکلات ناشی از عملیاتی بودن و زیر بار بودن سرویس، در ابتدای راه اندازی وجود ندارند. به عنوان مثال، ایجاد افزونه برای تجهیزات شبکه یک سرویس حیاتی، در زمانی که این اجزا زیر بار هستند مستلزم اختلال موقت در عملکرد آنها برای پیکربندی اجزای افزونه است.

همانطور که ذکر شد، علاوه بر فناوری ها باید به مسئولیت های افراد در این برنامه نیز توجه ویژه شود. در الگوهای مختلف طرح تداوم کسب و کار، برای هر حادثه یک فرد یا گروهی از افراد به عنوان مسئول معرفی می­شوند که در زمان رخداد حادثه باید اقدامات از پیش تعیین شده ای را انجام دهند. توجیه بودن این افراد نسبت به اقدامات لازم، آماده بودن آنها و تمرین نمودن این اقدامات اهمیت ویژه ای دارد. به عنوان مثال، اگر قرار است نسخه پشتیبان پیکربندی یک نرم افزار، در هنگام رخداد حادثه بازیابی شود، چالش­های کوچک اما مهمی می­تواند در موفقیت این پروسه اخلال ایجاد کند. فرد مسئول این کار باید آمادگی برخورد با این چالش­ها را داشته باشد. برگزاری تمرین و مانور برای آشنایی با این چالش­ها موثر خواهد بود.

کارآیی تداوم کسب و کار سازمان در حوزه ICT را می­توان با برخی معیارهای کمی و کیفی سنجید. از جمله:

۱-    تعداد حوادثی که پس از ایجاد خرابی، شناسایی شده اند.

۲-    مدت زمان لازم برای شناسایی حادثه

۳-    مدت زمان واکنش و پاسخ به حادثه

 جمع بندی

مدیریت تداوم کسب و کار در حوزه ICT بخشی از برنامه جامع مدیریت تداوم کسب و کار سازمان است و هر قدر وابستگی کسب و کار سازمان به سرویس های ICT بیشتر باشد، اهمیت این برنامه برای سازمان بیشتر خواهد بود. طبق استاندارد ایزو ۲۷۰۰۱، سازمان­ها باید تداوم کسب و کار ICT را به عنوان یکی از کنترل های امنیتی در جهت مدیریت مخاطرات امنیتی اجرا نمایند. ایزو ۲۷۰۳۱   نیز به طور ویژه به آمادگی ICT برای تداوم کسب و کار سازمان می­ پردازد.

اشتراک گذاری

امنیت با چاشنی پسا تحریم

این یادداشت درباره بازار امنیت اطلاعات در دوران پساتحریم، در شماره ۶۲ نشریه بانکداری الکترونیک (مرکز فابا) منتشر شده است.(مشاهده فایل)

توافق احتمالی میان کشورمان و قدرت­های جهانی می­تواند فرصت­های متعددی را برای توسعه کسب و کارها ایجاد نماید. بازار امنیت سایبری نیز از این قاعده مستثنی نیست و می­ توان انتظار داشت که تأثیرات مثبت این رویداد به تدریج نمایانگر شود. از یک منظر می­توانیم این تأثیرات را به دو بخش مستقیم و غیر مستقیم تقسیم بندی نماییم. اثر غیرمستقیم احتمالی، همان است که در بسیاری از کسب و کارهای دیگر نیز شاهد خواهیم بود، یعنی رونق کسب و کار به واسطه باز شدن فضای اقتصادی و ایجاد فرصتهای جدید برای شرکت­های ارائه دهنده خدمات و محصولات امنیت چه در زمینه مشتریآن داخلی و چه ارتباطات بین المللی. فعالان این عرصه، سال­های فاجعه بار اواسط  و اواخر دهه ۸۰ را به خوبی به یاد دارند، جایی که پتانسیل عظیم شرکت های نوپای فعال در بازار امنیت، به واسطه فشار اقتصادی ناشی از تحریم­ها و کاهش شدید میانگین بودجه سازمان­های دولتی در زمینه امنیت، نتوانست تبدیل به شکل گیری بازیگران توانمند و پایدار در این عرصه شود. متأسفانه در دوران تنگنای اقتصادی، بازار امنیت اطلاعات یکی از اولین اولویت­ها برای صرفه جویی است و این به واسطه ماهیت موضوع امنیت، امری جهانشمول بوده و نوپا بودن این صنعت در کشور ما نیز مزید بر علت است.

اثر غیر مستقیم دیگر این توافق احتمالی، حفظ و گسترش توان نیروی انسانی در داخل کشور است. متأسفانه موج عظیمی از مهاجرت نخبگان این حوزه به خارج از کشور همانند بسیاری از حوزه های دیگر، در دهه اخیر ایجاد شده است. امروز یکی از معضلات این بازار، کمبود نیروی انسانی متخصص و با تجربه است، به طوری که جایگاه­های شغلی متعددی به ویژه در شرکت­های خصوصی خالی مانده است. مشاهدات نگارنده از روند مهاجرت فارغ التحصیلان رشته های مربوط به این بازار، و نیز همکاران و دوستانی که در چند سال اخیر در این بازار کوچک فعال بوده اند نشان از روند خروج بیش از پنجاه درصدی افراد تأثیرگذار این بازار از کشور را دارد. در صورت باز شدن فضا و گسترش کسب و کار امنیت، این معضل بیش از پیش نمایان خواهد شد.

اما در بخش اثرات مستقیم توافق احتمالی و باز شدن فضای کسب و کار، می­توان به موارد متعددی اشاره کرد. یکی از این اثرات، امکان حضور رسمی برندهای مطرح دنیا در داخل کشور است. این حضور باعث ارتقاء کیفیت همه بازیگران این عرصه خواهد شد. از یک طرف، شرکت­های امنیتی با یک فضای رقابتی مواجه می­شوند که ادامه حضور در این فضا نیازمند ارائه محصولات و خدماتی نزدیک به کلاس جهانی خواهد شد. البته این موضوع می­تواند زنگ خطر برای شرکت­هایی باشد که با استفاده از رانت ناشی از فضای تحریم در چند سال اخیر در این بازار یکه تازی کرده اند. علاوه بر این، فرصت مذکور می­تواند به تهدیدی برای بازیگرانی که نتوانند با شرایط کیفی جدید منطبق شوند نیز تبدیل شود. از طرف دیگر، سطح توقع مشتریان این بازار نیز متناسب با کیفیت محصولات و خدمات در کلاس بین المللی، به روز خواهد شد.

شاید یکی از مهم ترین مزایای رفع موانع ناشی از تحریم­ها، امکان پیوستن فعالان این عرصه به اجتماعات تخصصی جهانی و امکان ارتباط های علمی و پژوهشی بین کارشناسان و فعالان بازار با منابع شناخته شده و مطرح جهانی است. متأسفانه در حال حاضر، حتی مشاهده برخی وب سایت­های مرجع تخصصی برای افراد از داخل ایران فراهم نیست. همچنین بسیاری از ابزارها و پروژه­ های امنیت اطلاعات از داخل کشور در دسترس نیست. این موضوع در زمینه فعالیت­های پژوهشی دانشگاهی در بخش امنیت نیز مشکلات متعددی ایجاد کرده است. همچنین امکان شرکت کردن در دوره­ های تخصصی امنیت و آزمون­های بین المللی این دوره­ ها و دریافت گواهی با دشواری­ها و هزینه­های نامتعارفی رو به رو است. تصور اینکه مدرسان مشهور جهانی بتوانند برای ارائه دوره های تخصصی به ایران رفت و آمد کنند و نیز کارشناسان داخلی بتوانند با هزینه معقول و متعارف در کنفرانس­ها و نمایشگاه های معتبر امنیتی شرکت کنند، با ادامه شرایط فعلی به هیچ وجه با واقعیت منطبق نیست.

مزیت­های یک توافق احتمالی برای بازار امنیت کشور آنقدر هست که در برابر تهدیدهای احتمالی این موضوع به روشنی برتری داشته باشد. باید توجه داشت که وقتی از امنیت سایبری صحبت می­کنیم، همیشه یک حس عدم اعتماد کامل و حفظ جوانب احتیاط به خصوص در برابر بیگانگان باید وجود داشته باشد. به طور مثال، اینکه سازمان­های اطلاعاتی برخی کشورها از طریق رخنه در محصولات امنیتی به صورت هدفمند سعی در نفوذ به پشت مرزهای داخلی ما دارند، امری واضح است. اما منشأ گسترش این تهدید را نباید باز شدن فضای کسب و کار و ارتباطات بین المللی در بخش امنیت دانست، کمااینکه اینگونه محصولات در حال حاضر هم به وفور در بازار کشور به صورت غیررسمی و کنترل نشده در حال استفاده هستند. همچنین، راه حل این تهدید نیز از یک طرف به اعمال سیاست­ها و محدودیت­های حاکمیتی هدفمند و توجیه پذیر، و از طرف دیگر به توانمندسازی شرکت­های داخلی بازمی­گردد که این توانمند سازی نه با ایجاد رانت­های خاص، بلکه مستقیماً با تقویت نیروی انسانی متخصص و جلوگیری از مهاجرت این نیروها ایجاد می­ شود.

اشتراک گذاری