بایگانی برچسب: s

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

دو یادداشت من در ماهنامه بانکداری الکترونیک

بدافزارهای بدون رد پا (شماره ۷۷، اسفند ۹۵)

سامانه  های همراه در خطر (شماره ۷۸، فروردین ۹۶)

اشتراک گذاری

گزارش سمینار امنیت در تراکنش های بین المللی (رویداد ITE 2016)

همانطور که قبلاً در یادداشتهایی اشاره کرده بودم(۱و۲)، سمینار امنیت به عنوان یکی از سمینارهای رویداد تراکنش (ITE 2016) در آبان ۹۵ برگزار شد. فایل های مربوط به این سمینار که در ماهنامه بانکداری الکترونیک چاپ شده، شامل گفتگو با من و مهندس بخشایش (دبیران سمینار)، گزارش سخنرانی های انجام شده، گزارش میزگرد تخصصی و مروری بر رویدادهای مهم امنیت سایبری در دنیا رو برای دانلود قرار می دم.

گفتگو با دبیران سمینار امنیت

مروری بر برخی رویدادهای مهم امنیت سایبری

گزارش سخنرانی ها و میزگرد تخصصی سمینار امنیت

اشتراک گذاری

جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

فایل میزگرد مرکز فابا در باره مدیریت ریسک های بانکی

در تیرماه ۹۵ میزگردی با موضوع مدیریت ریسک در بانک ها در مرکز فابا با حضور دکتر بیات مدیر عامل فابا، دکتر علی آبادی مدیر ریسک بانک پارسیان، مهندس فرهادی مقدم مدیر ریسک بانک انصار، مهندس واقفی مدیر امنیت اطلاعات شرکت خدمات انفورماتیک و من برگزار شد.

فایل این میزگرد که در شماره ۷۰ ماهنامه بانکداری الکترونیک چاپ شده از اینجا قابل دانلود است.

اشتراک گذاری

ممیزی امنیت اطلاعات

این یادداشت در شماره ۶۷ (اسفند ۹۴) ماهنامه بانکداری الکترونیک چاپ شده است.

مقدمه

انجام ممیزی در حوزه امنیت اطلاعات به دلایل مختلفی مورد توجه و استفاده سازمان­ها قرار می­گیرد. اولاً، یک ممیزی مناسب می­تواند تصویری کلی از وضعیت امنیت اطلاعات سازمان ارائه کند. از این طریق، سازمان می­تواند نتایج ممیزی را در راستای بهبود فرآیند امنیت خود مورد استفاده قرار دهد. ثانیاً، ممیزی­ها می­توانند مبنایی برای ارزیابی و مقایسه سازمان­ها و احراز صلاحیت آنها باشند. ممیزی عبارت است از فرآیند نظام مند، مستقل و مستند دریافت شواهد و ارزشیابی هدفمند آنها به منظور تشخیص میزان برآورده شدن معیار ممیزی. آنچه به عنوان معیار ممیزی مورد استفاده قرار می­گیرد، می­تواند برگرفته از استانداردهای بین المللی، استانداردهای کشوری یا استانداردهای یک کسب و کار خاص در یک سازمان خاص باشد. از دیگر معیارهای ممیزی می­توان به خط­مشی­ها، روش­های اجرایی و نیازمندی­هایی اشاره کرد که توسط ممیزی شونده و ممیز مورد توافق قرار می­گیرد.

ممیزی می­تواند با به دست آوردن شواهد با استفاده از نمونه برداری انجام می­شود. منظور از نمونه برداری، انتخاب بخش کوچکی از داده­ها و انجام قضاوت کلی بر اساس این داده­ها است. از روش­های دیگر به دست آوردن شواهد ممیزی می­توان به موارد زیر اشاره کرد:

  • انجام مصاحبه با افراد مطلع
  • مشاهده
  • مرور مستندات
  • مرور رکوردهای ثبت شده
  • تحلیل و جمع بندی

ممیزی باید تا حد امکان به عنوان یک فرآیند مستقل (نسبت به ممیزی شونده) اجرا شود. این بدان معنی است که ممیز نباید خواست ­ها، نیت­ها و منافع خود را در فرآیند ممیزی دخالت دهد. از این طریق می­توان اطمینان حاصل کرد که نتایج ممیزی تا حد امکان به واقعیت موجود سازمان نزدیک بوده و قضاوت پیشین ممیز در جهت مثبت یا منفی در نتایج حاصل شده تأثیر نداشته باشد. با این حال سه نوع ممیزی بر اساس نسبت ممیز با ممیزی شونده قابل انجام است:

۱-    ممیزی شخص اول، که ممیز عضوی از تیم ممیزی شونده است.

۲-    ممیزی شخص دوم، که معمولاً طبق توافق یا قراردادی بین دو طرف انجام می­شود.

۳-    ممیزی شخص سوم، که به صورت کاملاً مستقل و برای دریافت یک گواهی رسمی انجام می­شود. 

استانداردهای امنیت اطلاعات

از مهم­ترین وشناخته شده ترین استانداردهای امنیت اطلاعات می­توان به مجموعه استانداردهای امنیتی ایزو ۲۷۰۰۰ (استقرار سیستم مدیریت امنیت اطلاعات) و استانداردهای امنیتی صنعت پرداخت کارت (PCI) اشاره کرد. خانواده استانداردهای ایزو ۲۷۰۰۰ یکی از معتبرترین استانداردها در حوزه امنیت اطلاعات هستند و سازمان­های مختلف صرفنظر از نوع کسب و کار، سایز و دیگر ویژگی­ها می­توانند از آنها استفاده کنند. ایزو ۲۷۰۰۱ یک استاندارد قابل ممیزی است، به این معنی که سازمان می­تواند با پیاده سازی الزامات ایزو ۲۷۰۰۱، وارد فرآیند ممیزی شده و در صورت موفقیت در این فرآیند، گواهی مربوطه را دریافت نماید. بقیه استانداردهای شناخته شده این خانواده مانند ۲۷۰۰۲ و ۲۷۰۰۵ قابل ممیزی نیستند و صرفاً به عنوان راهنما استفاده شده و سازمان ملزم به رعایت همه مفاد آنها نیست. استاندارد PCI DSS که به طور مشخص برای امنیت اطلاعات بنگاه­های مالی که با اطلاعات کارت­های پرداخت سر و کار دارند تدوین شده است، از دیگر استانداردهای بین المللی امنیت اطلاعات است. در کشور ما، الزامات امنیت اطلاعات شاپرک به صورت بومی در همین حوزه تدوین شده و ممیزی شرکت­های پرداخت بر اساس آن صورت می­گیرد.

مراحل ممیزی ایزو ۲۷۰۰۱

ممیزی امنیت اطلاعات بر اساس الزامات استاندارد ایزو ۲۷۰۰۱ حداقل شامل دو مرحله است. مرحله اول ممیزی، به مرور مستندات اختصاص دارد که ممکن است در محل شرکت تحت ممیزی یا بیرون از آن انجام شود و هدف آن، اطمینان از وجود عناصر اصلی استاندارد در سازمان است. همچنین مستندات الزامی سیستم مدیریت امنیت اطلاعات در این مرحله بررسی می­شوند. مرور مستندات به ممیز امکان تمرکز بر زمینه کاری سازمان و وضعیت فعلی پیاده سازی ایزو ۲۷۰۰۱ را می­دهد. فعالیت­های اصلی مرحله اول ممیزی عبارتند از:

  • مرور چارچوب سیستم مدیریت امنیت اطلاعات
  • بررسی محدوده پیاده سازی سیستم
  • بررسی روش، خروجی و دیگر مستندات مربوط به مدیریت مخاطرات امنیت

مرحله دوم ممیزی شامل بررسی نحوه پیاده سازی سیستم مدیریت امنیت اطلاعات است. هدف ممیزی در این مرحله اطمینان از تطابق سازمان با خط­­­­ مشی­های خود، الزامات استاندارد و نیز اثربخشی سیستم مدیریت امنیت اطلاعات است. فعالیت­های مرحله دوم ممیزی عبارتند از:

  • مصاحبه با مالکین و کاربران سیستم مدیریت امنیت اطلاعات
  • مرور مخاطرات امنیتی شناسایی شده توسط سازمان
  • بررسی اهداف امنیت اطلاعات
  • بررسی بازبینی­های مدیریتی انجام شده

اندازه گیری امنیت اطلاعات

اهداف امنیت اطلاعات باید قابل اندازه گیری باشند. ایزو ۲۷۰۰۴ به طور مفصل به مبحث اندازه گیری در سیستم مدیریت امنیت اطلاعات پرداخته است. هر هدف امنیت اطلاعات باید به یک یا چند شاخص امنیتی متصل باشد تا بتوان از طریق اندازه گیری آن شاخص­ها، وضعیت هدف را ارزیابی نمود. بحث اندازه گیری امنیت اصولاً چالش برانگیز است چرا که امنیت اطلاعات ذاتاً مقوله ای کمّی نیست. هر شاخص در موضوع امنیت اطلاعات باید نشان دهنده عملکرد یا وضعیت سازمان در حوزه امنیت اطلاعات باشد. این در حالی است که بسیاری از شاخص­هایی که در وهله اول به ذهن خطور می­کنند، ویژگی فوق را ندارند. به عنوان مثال، تعداد حملات جلوگیری شده توسط سیستم پیشگیری از نفوذ شبکه (NIPS) نمی­تواند یک شاخص مناسب باشد، چرا که بالا رفتن یا پایین آمدن مقدار آن لزوماً نشان دهنده عملکرد سازمان یا کیفیت امنیت آن نیست. به همین ترتیب، شاخص­هایی مثل تعداد آسیب پذیری­های کشف شده و شدت آسیب پذیری­های کشف شده نیز مناسب نیستند. در مقابل، به عنوان چند شاخص مناسب می­توانیم به موارد زیر اشاره کنیم:

۱-    درصد حملات مدیریت شده به کل حملات کشف شده

۲-    درصد آسیب پذیری­های رفع شده به کل آسیب پذیری­های کشف شده

۳-    عدد میانگین ریسک­های شناسایی شده

شاخص­های امنیت اطلاعات یکی از موارد مورد توجه در ممیزی­های امنیت هستند. در صورتی که سازمان بتواند شاخص­های مناسب برای حوزه امنیت اطلاعات انتخاب و آنها را به درستی اندازه گیری نماید، برای اثبات اثربخشی امنیت کار ساده تری در پیش خواهد داشت.

   ­

 

اشتراک گذاری

مدیریت تداوم کسب و کار خدمات ICT

این یادداشت در شماره ۶۷ (اسفند ۹۴) مجله بانکداری الکترونیک چاپ شده است.

فرض کنید بر اثر یک خطای انسانی، سرور پایگاه داده یکی از سرویس های حیاتی سازمان خاموش شود. با توجه به حجم پایگاه داده و بار پردازشی سرور، این خاموش شدن ناگهانی ممکن است به خطایی منجر شود که در عمل، روشن کردن بلافاصله سرور نتواند سرویس را به حالت اولیه بازگرداند. در اینجا تیم فنی اقدام به بازیابی آخرین نسخه پشتیبان پایگاه داده می­نماید. اما چه تضمینی هست که این نسخه در زمانی قابل قبول و با موفقیت بازیابی شود؟ بنابراین یک خطای انسانی ساده منجر به قطع شدن سرویس تا چندین ساعات شده است. این تنها یک سناریوی ساده برای سازمانی است که فرآیندهای اصلی کسب و کار خود را بر پایه سرویس های ICT بنا کرده است. پاسخ به این چالش­ها، بخشی از اهداف مدیریت  تداوم کسب و کار سازمان است. 

مدیریت تداوم کسب و کار (BCM) یک فرآیند مدیریتی کلان است که ضمن شناسایی تهدیدهای بالقوه تداوم فعالیت‌های کسب و کار، چارچوبی برای ایجاد مقاومت و قابلیت پاسخ موثر ایجاد می­نماید تا از منافع سازمان در برابر اختلال در فعالیت ها محافظت نماید. در سازمان­هایی مانند بانک­ها که فناوری اطلاعات و ارتباطات ابزار کلیدی فرآیندهای کسب و کار است، بخش مهمی از BCM مربوط به تدام کسب و کار فناوری اطلاعات می­شود. طبق استاندارد ایزو ۲۷۰۳۱، آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار (IRBC) یک سیستم مدیریتی است که از فرآیند کلی تداوم کسب و کار سازمان پشتیبانی و آن را تکمیل می­نماید. اهداف این سیستم عبارتند از:

۱-    پاسخ به ریسک های دائماً در حال تغییر

۲-    اطمینان از تداوم آن بخش از عملیات حیاتی کسب و کار که به خدمات فناوری اطلاعات وابسته است.

۳-    کسب آمادگی پیش از رخداد هر نوع اختلال در خدمات فناوری اطلاعات

۴-    پاسخ مناسب و بازیابی از حوادث و اختلالات

بنابراین فناوری اطلاعات ضمن ارائه پاسخ مناسب به حوادث و بازیابی وضعیت عادی، باید کنترل­های مناسب برای کاهش ریسک ها را ارائه و مقاومت کسب و کار را افزایش دهد.

اصول آمادگی ICT در جهت تداوم کسب و کار

ایجاد آمادگی در فناوری ارتباطات و اطلاعات در جهت تداوم کسب و کار مبتنی بر اصول زیر است:

۱-    پیشگیری از حادثه: حفاظت از خدمات ICT در برابر تهدیدهای محیطی، بدافزارها، خطاهای عملیات، حوادث طبیعی و غیره یکی از اصول حیاتی برای حفظ دسترس پذیری سیستم­ها در سطح قابل پذیرش است.

۲-    شناسایی حادثه: با توجه به اینکه پیشگیری از همه حوادث امکان پذیر نیست، لازم است توانایی شناسایی حادثه در کوتاه ترین زمان ایجاد شود تا ضمن کاهش اثر مخرب آن، هزینه بازیابی سرویس هم کمینه شود.

۳-    بازیابی: شناسایی و پیاده سازی استراتژی مناسب بازیابی سیستم ها بعد از حادثه تضمین می­کند که خدمات در زمان مناسب  به حالت عادی بازگشته و صحت اطلاعات نیز حفظ شود. اولویت بندی سیستم های برای بازیابی مشخص می­کند که کدام سیستم ها باید پیش از بقیه بازیابی شوند.

۴-    بهبود: حوادث رخداده قبلی باید در راستای بهبود سه مورد فوق مورد تحلیل و ارزیابی قرار بگیرند.

اجزای تشکیل دهنده آمادگی ICT برای تداوم کسب و کار

برنامه تداوم کسب و کار در حوزه ICT شامل اجزای کلیدی زیر است:

۱-    افراد متخصص و دارای دانش مناسب  به همراه افراد پشتیبان آنها

۲-    امکانات فیزیکی و محیطی که محل قرارگیری منابع ICT است.

۳-    فناوری شامل سخت افزار، شبکه و نرم­افزار.

۴-    داده ها

۵-    فرآیندها

۶-    پشتیبان ها

بنابر این یک برنامه تداوم کسب و کار ICT باید تمام اجزای فوق را در کنار یکدیگر در نظر گرفته و نقش هر کدام را مشخص نماید.

فواید آمادگی ICT برای تداوم کسب و کار

فواید مختلفی از طریق تداوم کسب و کار ICT نصیب سازمان می­شود.از مهم­ترین فواید این برنامه آن است که سازمان ریسک­ها و آسیب پذیری­های تداوم خدمات ICT را می­شناسد. برخی سازمان­ها تصویری واقعی از میزان آسیب پذیر بودن خود از ناحیه سرویس های ICT را در اختیار ندارند. در نتیجه هنگام مواجه شدن با حوادث ICT منجر به اختلال در کسب و کار متوجه گستره آسیب پذیری و اثرات مخرب اینگونه حوادث می­شوند. همچنین این برنامه می­تواند اطمینان لازم را به مدیران ارشد سازمان بدهد که در زمان رخداد حوادث ICT، پشتیبانی لازم را از خود فرآیند ICT دریافت خواهند کرد. به علاوه، این برنامه به سازمان کمک می­کند تا سرمایه گذاری فناوری اطلاعات را با اهداف استراتژیک سازمان همراستا کند. طبعاً ایجاد تداوم کسب و کار ICT به خصوص در بخش فناوری­ها مستلزم صرف هزینه است. راه حل­هایی مثل ایجاد افزونه در سطح پایگاه­های داده، سرورها، تجهیزات شبکه  و غیره می­تواند هزینه های هنگفتی در بر داشته باشد. به عنوان مثال، برای ایجاد افزونه در تجهیزات شبکه مثل فایروال و روتر از فناوری HA استفاده می­شود که مستلزم استفاده از یک تجهیز پشتیبان مشابه تجهیز اصلی و ضمناً دارای قابلیت HA می­باشد. به علاوه، پیکربندی و نگهداری این فناوری هم مستلزم صرف هزینه مناسب است.

 

نکات کلیدی در برنامه تداوم کسب و کار ICT

اگر در هنگام طراحی و راه اندازی سرویس، به الزامات تداوم کسب و کار نیز توجه شود، هزینه این برنامه کاهش خواهد یافت. چرا که سخت افزارها، نرم افزارها و فناوری های دیگر با توجه به الزامات این برنامه انتخاب خواهند شد. به علاوه، مشکلات ناشی از عملیاتی بودن و زیر بار بودن سرویس، در ابتدای راه اندازی وجود ندارند. به عنوان مثال، ایجاد افزونه برای تجهیزات شبکه یک سرویس حیاتی، در زمانی که این اجزا زیر بار هستند مستلزم اختلال موقت در عملکرد آنها برای پیکربندی اجزای افزونه است.

همانطور که ذکر شد، علاوه بر فناوری ها باید به مسئولیت های افراد در این برنامه نیز توجه ویژه شود. در الگوهای مختلف طرح تداوم کسب و کار، برای هر حادثه یک فرد یا گروهی از افراد به عنوان مسئول معرفی می­شوند که در زمان رخداد حادثه باید اقدامات از پیش تعیین شده ای را انجام دهند. توجیه بودن این افراد نسبت به اقدامات لازم، آماده بودن آنها و تمرین نمودن این اقدامات اهمیت ویژه ای دارد. به عنوان مثال، اگر قرار است نسخه پشتیبان پیکربندی یک نرم افزار، در هنگام رخداد حادثه بازیابی شود، چالش­های کوچک اما مهمی می­تواند در موفقیت این پروسه اخلال ایجاد کند. فرد مسئول این کار باید آمادگی برخورد با این چالش­ها را داشته باشد. برگزاری تمرین و مانور برای آشنایی با این چالش­ها موثر خواهد بود.

کارآیی تداوم کسب و کار سازمان در حوزه ICT را می­توان با برخی معیارهای کمی و کیفی سنجید. از جمله:

۱-    تعداد حوادثی که پس از ایجاد خرابی، شناسایی شده اند.

۲-    مدت زمان لازم برای شناسایی حادثه

۳-    مدت زمان واکنش و پاسخ به حادثه

 جمع بندی

مدیریت تداوم کسب و کار در حوزه ICT بخشی از برنامه جامع مدیریت تداوم کسب و کار سازمان است و هر قدر وابستگی کسب و کار سازمان به سرویس های ICT بیشتر باشد، اهمیت این برنامه برای سازمان بیشتر خواهد بود. طبق استاندارد ایزو ۲۷۰۰۱، سازمان­ها باید تداوم کسب و کار ICT را به عنوان یکی از کنترل های امنیتی در جهت مدیریت مخاطرات امنیتی اجرا نمایند. ایزو ۲۷۰۳۱   نیز به طور ویژه به آمادگی ICT برای تداوم کسب و کار سازمان می­ پردازد.

اشتراک گذاری

امنیت با چاشنی پسا تحریم

این یادداشت درباره بازار امنیت اطلاعات در دوران پساتحریم، در شماره ۶۲ نشریه بانکداری الکترونیک (مرکز فابا) منتشر شده است.(مشاهده فایل)

توافق احتمالی میان کشورمان و قدرت­های جهانی می­تواند فرصت­های متعددی را برای توسعه کسب و کارها ایجاد نماید. بازار امنیت سایبری نیز از این قاعده مستثنی نیست و می­ توان انتظار داشت که تأثیرات مثبت این رویداد به تدریج نمایانگر شود. از یک منظر می­توانیم این تأثیرات را به دو بخش مستقیم و غیر مستقیم تقسیم بندی نماییم. اثر غیرمستقیم احتمالی، همان است که در بسیاری از کسب و کارهای دیگر نیز شاهد خواهیم بود، یعنی رونق کسب و کار به واسطه باز شدن فضای اقتصادی و ایجاد فرصتهای جدید برای شرکت­های ارائه دهنده خدمات و محصولات امنیت چه در زمینه مشتریآن داخلی و چه ارتباطات بین المللی. فعالان این عرصه، سال­های فاجعه بار اواسط  و اواخر دهه ۸۰ را به خوبی به یاد دارند، جایی که پتانسیل عظیم شرکت های نوپای فعال در بازار امنیت، به واسطه فشار اقتصادی ناشی از تحریم­ها و کاهش شدید میانگین بودجه سازمان­های دولتی در زمینه امنیت، نتوانست تبدیل به شکل گیری بازیگران توانمند و پایدار در این عرصه شود. متأسفانه در دوران تنگنای اقتصادی، بازار امنیت اطلاعات یکی از اولین اولویت­ها برای صرفه جویی است و این به واسطه ماهیت موضوع امنیت، امری جهانشمول بوده و نوپا بودن این صنعت در کشور ما نیز مزید بر علت است.

اثر غیر مستقیم دیگر این توافق احتمالی، حفظ و گسترش توان نیروی انسانی در داخل کشور است. متأسفانه موج عظیمی از مهاجرت نخبگان این حوزه به خارج از کشور همانند بسیاری از حوزه های دیگر، در دهه اخیر ایجاد شده است. امروز یکی از معضلات این بازار، کمبود نیروی انسانی متخصص و با تجربه است، به طوری که جایگاه­های شغلی متعددی به ویژه در شرکت­های خصوصی خالی مانده است. مشاهدات نگارنده از روند مهاجرت فارغ التحصیلان رشته های مربوط به این بازار، و نیز همکاران و دوستانی که در چند سال اخیر در این بازار کوچک فعال بوده اند نشان از روند خروج بیش از پنجاه درصدی افراد تأثیرگذار این بازار از کشور را دارد. در صورت باز شدن فضا و گسترش کسب و کار امنیت، این معضل بیش از پیش نمایان خواهد شد.

اما در بخش اثرات مستقیم توافق احتمالی و باز شدن فضای کسب و کار، می­توان به موارد متعددی اشاره کرد. یکی از این اثرات، امکان حضور رسمی برندهای مطرح دنیا در داخل کشور است. این حضور باعث ارتقاء کیفیت همه بازیگران این عرصه خواهد شد. از یک طرف، شرکت­های امنیتی با یک فضای رقابتی مواجه می­شوند که ادامه حضور در این فضا نیازمند ارائه محصولات و خدماتی نزدیک به کلاس جهانی خواهد شد. البته این موضوع می­تواند زنگ خطر برای شرکت­هایی باشد که با استفاده از رانت ناشی از فضای تحریم در چند سال اخیر در این بازار یکه تازی کرده اند. علاوه بر این، فرصت مذکور می­تواند به تهدیدی برای بازیگرانی که نتوانند با شرایط کیفی جدید منطبق شوند نیز تبدیل شود. از طرف دیگر، سطح توقع مشتریان این بازار نیز متناسب با کیفیت محصولات و خدمات در کلاس بین المللی، به روز خواهد شد.

شاید یکی از مهم ترین مزایای رفع موانع ناشی از تحریم­ها، امکان پیوستن فعالان این عرصه به اجتماعات تخصصی جهانی و امکان ارتباط های علمی و پژوهشی بین کارشناسان و فعالان بازار با منابع شناخته شده و مطرح جهانی است. متأسفانه در حال حاضر، حتی مشاهده برخی وب سایت­های مرجع تخصصی برای افراد از داخل ایران فراهم نیست. همچنین بسیاری از ابزارها و پروژه­ های امنیت اطلاعات از داخل کشور در دسترس نیست. این موضوع در زمینه فعالیت­های پژوهشی دانشگاهی در بخش امنیت نیز مشکلات متعددی ایجاد کرده است. همچنین امکان شرکت کردن در دوره­ های تخصصی امنیت و آزمون­های بین المللی این دوره­ ها و دریافت گواهی با دشواری­ها و هزینه­های نامتعارفی رو به رو است. تصور اینکه مدرسان مشهور جهانی بتوانند برای ارائه دوره های تخصصی به ایران رفت و آمد کنند و نیز کارشناسان داخلی بتوانند با هزینه معقول و متعارف در کنفرانس­ها و نمایشگاه های معتبر امنیتی شرکت کنند، با ادامه شرایط فعلی به هیچ وجه با واقعیت منطبق نیست.

مزیت­های یک توافق احتمالی برای بازار امنیت کشور آنقدر هست که در برابر تهدیدهای احتمالی این موضوع به روشنی برتری داشته باشد. باید توجه داشت که وقتی از امنیت سایبری صحبت می­کنیم، همیشه یک حس عدم اعتماد کامل و حفظ جوانب احتیاط به خصوص در برابر بیگانگان باید وجود داشته باشد. به طور مثال، اینکه سازمان­های اطلاعاتی برخی کشورها از طریق رخنه در محصولات امنیتی به صورت هدفمند سعی در نفوذ به پشت مرزهای داخلی ما دارند، امری واضح است. اما منشأ گسترش این تهدید را نباید باز شدن فضای کسب و کار و ارتباطات بین المللی در بخش امنیت دانست، کمااینکه اینگونه محصولات در حال حاضر هم به وفور در بازار کشور به صورت غیررسمی و کنترل نشده در حال استفاده هستند. همچنین، راه حل این تهدید نیز از یک طرف به اعمال سیاست­ها و محدودیت­های حاکمیتی هدفمند و توجیه پذیر، و از طرف دیگر به توانمندسازی شرکت­های داخلی بازمی­گردد که این توانمند سازی نه با ایجاد رانت­های خاص، بلکه مستقیماً با تقویت نیروی انسانی متخصص و جلوگیری از مهاجرت این نیروها ایجاد می­ شود.

اشتراک گذاری

اثربخشی امنیت: بایدها و نبایدها

این یادداشت، برگرفته از ارائه من در دومین سمینار سالانه امنیت در مرکز فابا است که خرداد ۹۴ برگزار شد و در شماره ۶۱ مجله بانکداری الکترونیک هم چاپ شده است. (دانلود فایل مقاله)

اثربخشی امنیت: باید­ها و نبایدها

مقدمه

با وجود اینکه بسیاری از سازمان­ها برای مقابله با تهدیدها و دور ماندن از خطرات موجود در فضای سایبر تلاش می­کنند، اما تعداد کمی می­توانند ادعا کنند که اقداماتشان به اندازه کافی اثربخش است. منظور از اثر بخشی، برآورده ساختن هدف مورد نظر از طریق اجرای اقدامات برنامه ریزی شده است. حوادث متعددی که اخبار آنها هر روز به گوش می­رسد و هر بار نام سازمانی را در فهرست قربانیان حملات هدفمند سایبری قرار می­دهند نشان می­دهد که اثربخشی امنیت یک چالش عمده در حال حاضر است. به عنوان مثال، اخیراً اداره مدیریت پرسنل (OPM) دولت ایالات متحده مورد نفوذ هکرها  قرار گرفت و بیش از بیست میلیون رکورد حاوی پرونده اطلاعات شخصی و اداری پرسنل دولتی به سرقت رفت. دولت ایالات متحده مدعی است که این حمله توسط چین انجام شده، هر چند چین این موضوع را رد می­کند. رئیس این اداره در پی این رسوایی مجبور به استعفا شد. یکی دیگر از موارد قابل توجه، حمله موسوم به Carbanak به بیش از ۱۰۰ بانک در کشورهای مختلف اروپایی و امریکای شمالی است که در فوریه ۲۰۱۵ افشا شد. ویژگی متمایزکننده این حمله نسبت به بسیاری از نفوذهای دیگر در شبکه­ های بانکی، نفوذ به شبکه داخلی بانک­ها است. در حالی که حملات مشابه معمولاً به شرکت­های وابسته به بانک­ها انجام می­شد. در Carbanak ما با طیف وسیعی از روش­های سوء استفاده بر اساس نفوذ به شبکه داخلی و تسخیر کلاینت­های کنترل­ کننده سیستم­های بانکی مواجه هستیم. در این حمله مانند بسیاری از حملات امروزی، از ارسال ایمیل حاوی فایل آلوده برای کارمندان بانک­ها استفاده شده است که در اصطلاح به آن Spear Phishing گفته می شود. علاوه بر حوادث فوق، می­توان به نفوذ به شرکت Target در سال ۲۰۱۳، یکی از بزرگترین فروشگاه­های زنجیره­ای در آمریکا و کانادا نیز اشاره کرد. در این نفوذ، اطلاعات بیش از ۴۰ میلیون کارت مشتریان فروشگاه به علاوه بیش از ۷۰ میلیون رکورد اطلاعات شخصی مشتریان به سرقت رفت. طبق آمارهای اعلام شده سهام این شرکت با افت ۴۶ درصدی روبرو شد و حدود ۲۰۰ میلیون دلار برای ابطال کارت­های به سرقت رفته و صدور کارت­های جدید هزینه گردید. گفته می­شود که حدود ۱۱۰ میلیون نفر از شهروندان ایالات متحده به نوعی در این حادثه درگیر شده­ اند. نکته جالب توجه آن است که مرحله اول این حادثه با نفوذ به شبکه یک شرکت پیمانکار تهویه این فروشگاه­ها و سرقت مجوزهای دسترسی راه دور این شرکت به شبکه داخلی فروشگاه انجام شده است. به نمونه­ های متعدد دیگری مانند بدافزار Backoff مربوط به پایانه­های فروش، بدافزارهای استاکس‌نت و فِلِیم، حملات اکتبر سرخ (Red October) و APT1 نیز می­توان اشاره کرد.

با توجه به مقدمه فوق، و با در نظر داشتن اینکه مشاهدات نگارنده از میانگین وضعیت امنیت در فضای سایبری کشور نشان دهنده امکان رخداد مشابه این حوادث البته در مقیاس بسیار کوچک­تر در داخل کشور است، نگاهی به عوامل اثربخش نبودن اقدامات امنیتی سازمان­ها در ادامه خواهیم داشت.

برخی دلایل موفقیت حملات

“امنیت یک فرآیند است، نه یک محصول” جمله­ ای است که بارها در سال­های گذشته آن را شنیده­ ایم. این جمله توسط Bruce Schneier یکی از صاحبنظران برجسته امنیت اطلاعات در اواخر دهه ۹۰ میلادی به منظور آسیب­شناسی وضعیت امنیت سایبری در آن سال­ها مطرح شد و به شدت مورد توجه نیز قرار گرفت. عدم توجه به فرآیند امنیت و تکیه بر محصولات و فناوری­ها معضلی بود که در ابتدای فراگیر شدن شبکه­ و اینترنت در میان سازمان­ها به شدت احساس می­شد، اما امروزه در دنیای پیشرفته نمی­توان به سادگی چنین ادعایی داشت. تأکید فراوان انواع استانداردهای امنیتی بر موضوع فرآیند امنیت باعث بدیهی شدن آن برای بسیاری از سازمان­ها شده است. اما در کشور ما به نظر میرسد که هنوز در این حوزه ضعف وجود دارد و بسیاری از سازمان­ها عملاً نتوانسته­ اند به درک درستی از این جمله کلیدی دست پیدا کنند.

 

همانگونه که در شکل مشخص است، اگر هدف اقدامات را به سه دسته پیشگیری از حملات، شناسایی نفوذ­ها و حملات و نیز پاسخ به حملات دسته بندی کنیم، آنگاه سه رکن اساسی در موثر بودن این اقدامات ایفای نقش می­کنند:

– فناوری

– نیروی انسانی

– فرآیند

در صورتی که به این سه رکن به صورت متوازن و به اندازه کافی توجه نشود، سازمان نمی­تواند انتظار اثربخشی امنیت را داشته باشد.

یکی از معضلات فعلی در بازار امنیت کشور، توجه بی­رویه به رکن فناوری است که از دو دهه قبل تا امروز همچنان ادامه دارد. روندهایی که در حدود دو دهه گذشته در فناوری­های امنیتی مورد توجه بازار داخلی مشاهده می­شود را می­توان به صورت زیر بیان نمود:

– اواخر دهه ۷۰: آنتی ویروس

– سال ۸۰ تا ۸۵: فایروال و PKI

– سال ۸۴ تا ۸۹: ISMS (سیستم مدیریت امنیت اطلاعات)

– سال ۸۸ تا امروز: SOC (مرکز عملیات امنیت)

نکته جالب توجه اینجا است که در خصوص ISMS و SOC اساساً ما با راه حل­هایی چند لایه شامل انواع فناوری­ها و فرآیندها و نیز نیروی انسانی مواجه هستیم، اما متأسفانه حتی در این دو مورد هم نگاه مبتنی بر محصول به وضوح در بسیاری از سازمان­ها دیده می­شود. بررسی اینکه بازیگران داخلی هر کدام چه نقشی در تغییر این نگاه یا دامن زدن به آن داشته و می­توانند داشته باشند نیاز به فرصتی جداگانه دارد.

در نقطه مقابل، روندهایی که امروزه در دنیای پیشرفته در حال رشد است و شرکت­ها و افراد در تلاش برای توسعه راه­ حل­های مربوط به این روندها هستند، عبارتند از:

– Big Data + Security

– Data Driven Security

– Threat Intelligence

– Next-generation Security Products

در ادامه به برخی نکات کلیدی در سه بخش فناوری، فرآیند و نیروی انسانی امنیت اشاره می­کنیم.

ایجاد شبکه قابل دفاع

بسیاری از سازمان­هایی که مورد نفوذ هکرها قرار می­گیرند بودجه مناسبی را صرف خرید و نصب تجهیزات و نرم­ افزارهای امنیتی کرده­ اند. با این حال، خرید و نصب این فناوری­ها پایان کار نیست. در واقع، شبکه سازمان باید با استفاده از این فناوری­ها به درجه ای برسد که به آن شبکه قابل دفاع (Defensible) گفته می­شود. این اصطلاح اولین بار توسط Richard Bejlitch ، از صاحبنظران برجسته در زمینه امنیت شبکه در سال ۲۰۰۷ به کار گرفته شد و مورد توجه زیادی قرار گرفت. خصوصیات یک شبکه قابل دفاع عبارتند از:

– پایش شده: شبکه­ای قابل دفاع است که رخدادهای آن به طور مداوم تحث پایش امنیتی (Security Monitoring) با استفاده از فناوری­ها و روال­های مربوطه است.

– فهرست شده: شبکه­ای قابل دفاع است که لیست دارایی­های موجود در آن، حتی کوچکترین و کم اهمیت ترین دارایی­ های آن اعم از نرم­ افزارها، سخت افزارها، تجهیزات جانبی و غیره شناخته شده و دائماً به روز شوند.

– تحت کنترل: شبکه قابل دفاع، شبکه­ای به شدت کنترل شده است که عملکرد کلیه اجزای شبکه، دسترسی­ ها، جریان اطلاعات و غیره در آن به طور کامل تحت کنترل، نظارت و مدیریت است.

– کوچک شده: شبکه­ ای قابل دفاع است که ابعاد آن از هر نظر در کوچکترین اندازه مورد نیاز باشد. به عبارت دیگر، تعداد و تنوع اجزا، نرم افزارها، پورت­ها و به طور کلی سطح حمله (Attack Surface) این تا حد امکان کوچک است.

– ارزیابی شده: در یک شبکه قابل دفاع، ارزیابی امنیتی به طور مداوم در کلیه لایه­ها انجام می­شود.

– به روز: در یک شبکه قابل دفاع، به روز رسانی به صورتی یک فرآیند مداوم با اولویت بالا در تمام لایه­ ها شامل برنامه­ های کاربردی، سیستم عامل­ها و غیره چه در سرورها و چه در کلاینت­ ها و تجهیزات انجام می­شود.

تمرکز بر معماری امنیت

معماری امنیت به بیان ساده توصیف کننده اجزای امنیتی و نحوه ارتباط آنها در راستای دستیابی به اهداف امنیت در سطح شبکه (یا کل سازمان) است. یکی از معضلات دیده شده در بسیاری از سازمان­ها، عدم رعایت توازن در چیدمان ابزارهای امنیتی است. به عنوان مثال، توجه صرف بر ایمن­سازی دروازه­های ورودی شبکه (Gateways) و غفلت از ارتباطات داخلی بین سرورها یا عدم توجه به امنیت کلاینت­ها یکی از این خطاها است. اصول الزامی در طراحی و اجرای معماری امنیت عبارتند از:

– ایجاد دفاع چند لایه

– اجرای اصل حداقل دسترسی مورد نیاز

– ایجاد دید جامع (Total Visibility) نسبت به کل شبکه

– بهبود تصویر کلی (Big Picture) امنیت به جای اقدامات پراکنده

اگر بخواهیم به معماری امنیت اطلاعات از جنبه فنی نگاه کنیم، لازم است به ۲۰ کنترل امنیتی پیشنهادی موسسه SANS اشاره کنیم. این ۲۰ کنترل را می­توان فصل مشترکی برای اکثر سازمان­ها در نظر گرفت. بنابراین سازمان می­تواند وضعیت اجرای این کنترل­ها را بررسی نموده و تصویری از معماری امنیت خود به دست آورد.

فرآیند ونیروی انسانی

همانطور که اشاره شد، جنبه­ های فرآیند و نیروی انسانی نیز در جای خود اهمیت ویژه دارند. چند اصل عمومی در این دو جنبه وجود دارند که باید به آنها توجه کرد:

– لازم است اولویت امنیت اطلاعات را در مقایسه با اهداف دیگر کسب و کار افزایش دهیم.

– تلاش کنیم که تقابل میان وظایف اصلی افراد و وظایف امنیتی آنها کاهش یابد.

– امنیت نیاز به برنامه و بودجه مستقل دارد.

– امنیت یک کار تخصصی بوده و نیاز به نیروی تمام­ وقت دارد.

 

 راهکارهایی برای مدیر ارشد امنیت اطلاعات (CISO)

اگر شما مدیر یا مسئول امنیت سازمان خود هستید، احتمالاً با این تجربه روبرو شده­اید که در بسیاری از سناریوها، نقش شما بیشتر مشاوره­ای است تا اجرایی. به طور کلی مدیران امنیت نسبت به دیگر مدیران از جهان­بینی متفاوتی برخوردارند، گفتمان متفاوتی را استفاده کرده و در نتیجه معمولاً قدرت اجرایی کمتری نسبت به دیگر مدیران دارند.

 تعامل با مدیران: شما نیاز دارید که حمایت و نظر مثبت بدنه مدیریتی سازمان را جلب کنید. لذا باید توانایی ایجاد تعامل و گفتمان با همه رده­ های مدیریتی را داشته باشید. همچنین به یاد داشته باشید که باید جزئیات فنی را در حد لازم نگاه داشته و بیشتر با زبان مخاطرات امنیت با آنها صحبت کنید.

توجیه بودجه: برای توجیه هزینه­ های امنیت، بهترین روش آن است که این هزینه­ ها را در قالب هزینه پروژه­ های جاری سازمان بسته­ بندی کنید. در نتیجه، اثر منفی این هزینه­ ها در دیدگاه مدیران کاهش می­یاید. همچنین سازمان­ها و شرکت­های رقیب را در نظر داشته باشید و بدانید که بودجه درخواستی شما منطقاً نباید فاصله خیلی زیادی با سازمان­های مشابه شما داشته باشد.

ثبت و گزارش موفقیت­ها: شما باید دائماً اثر مثبت هزینه­ های انجام شده تا کنون را به مدیران خود یادآوری کنید، البته با ارائه اسناد و خروجی­های مناسب. این کار باعث می­شود که این نتایج به تدریج به عنوان ملاک سنجش عملکرد عادی سازمان پذیرفته شوند.

رابطه مناسب با همه مدیران و بدنه فنی سازمان: این را به یاد داشته باید که این شما هستید که به حمایت دیگر مدیران سازمان نیاز دارید. در صورت بروز اختلاف، معمولاً امنیت جزو اولین گزینه­ های متضرر خواهد بود.

حرکت به صورت آهسته و پیوسته: برنامه­ های امنیتی را به صورت قدم به قدم و آهسته اجرا کنید. به عنوان مثال، پیش از پیشنهاد خرید تجهیزات، اطمینان حاصل کنید که از همه قابلیت­ها تجهیزات موجود استفاده می­کنید. همچنین نمونه­ های رایگان ابزارها را تست کنید.

ایجاد خط­ مشی­ های قابل توجیه: سعی کنید که از یک الگوی ساده، واضح و بومی که مناسب سازمان شما باشد برای تدوین خط مشی­های امنیتی استفاده کنید. همچنین به فرهنگ سازمان و توانایی­ های فنی مخاطب خط­مشی توجه کمنید. در صورتی که خط مشی شما از این ویژگی­ها تبعیت نکند به سرعت با صداهای مخالف مواجه خواهید شد. حتماً سعی کنید که خط­ مشی­ ها را با مشارکت ذینفعان، به خصوص بدنه فنی سازمان، تدوین کنید. سعی کنید نظرات آنها را بشنوید، منطق راه­ حل پیشنهادی خود را توضیح دهید و ابهام­ ها را برطرف کنید، در عین حال شفاف و بدون تعارف عمل کنید.

(دانلود فایل مقاله)

اشتراک گذاری

مدیر ارشد امنیت اطلاعات (CISO): نیازها و مهارت ها *

همانگونه که در شماره های پیشین اشاره کردیم، حاکمیت امنیت اطلاعات مستلزم استقرار سازمان امنیت در سطح بانک است. این سازمان در لایه مدیریت ارشد شامل یک کمیته راهبردی است که نقش سیاست‏گذاری و مدیریت کلان امنیت را برعهده دارد. اما امور اجرایی و نظارت فنی امنیت باید بر عهده یک واحد مستقل، ترجیحاً در زیرمجموعه مدیریت فناوری اطلاعات سازمان باشد. این واحد به موازات دیگر واحدهای اجرایی فناوری اطلاعات مانند سخت افزار، شبکه و نرم‏ افزار قرار می­گیرد تا منحصراً به ایفای نقش طراحی، اجرا و نظارت در حوزه امنیت اطلاعات بپردازد. مدیریت واحد امنیت اطلاعات بر عهده مسئول ارشد امنیت اطلاعات است که بسته به ساختار سازمانی موجود می­ تواند به عنوان معاون یا مدیر امنیت اطلاعات نیز شناخته شود. این نقش سازمانی را در اصطلاح Chief Information Security Officer یا CISO می­ نامند. CISO مدیر واحد امنیت و مسئول هماهنگی و راهبری امور فنی امنیت به نمایندگی از مدیریت ارشد سازمان و کمیته راهبردی امنیت است. امروزه CISO یکی از مهم­ترین مشاغل مورد نیاز در بازار فناوری اطلاعات دنیا است و در حوزه امنیت نیز یکی از جذاب­ترین و پردرآمدترین مشاغل به حساب می­آید، البته گزارش­های نشان می­دهند که یافتن افراد مناسب برای این جایگاه دشوار بوده و نگهداشتن آنها برای سازمان­ها دشوارتر است.

توجه به جایگاه موضوع امنیت در لایه­ های  فناوری اطلاعات و فراتر از آن در لایه­ های سازمان تا حدودی به درک اهمیت و تفاوت جایگاه CISO کمک می­کند.  فرد مورد نظر در این شغل باید دارای پیش زمینه مناسب و توانایی­ های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط برقرار نماید. همچنین باید قابلیت پیشبرد اهداف و برنامه های امنیتی در ارتباط با مدیریت ارشد سازمان را هم داشته باشد.

مهم ترین مهارت­های مورد نیاز برای جایگاه CISOبانک عبارتند از:

  • توانایی تعامل با همه رده ­های سازمان: اجرای وظایف واحد امنیت می­ تواند منجر به ایجاد اصطکاک بین این واحد و بقیه بخش­های بانک به خصوص در زیرمجموعه فناوری اطلاعات شود. در نتیجه مدیر امنیت برای کاهش این مشکلات باید توانایی تفاهم و تعامل با همه سطوح سازمان را داشته باشد. CISO باید بتواند با ایجاد ارتباط مثبت با مدیران دیگر بخش­ها اثر دیدگاه منفی رایج در مورد امنیت را کاهش دهد. قابلیت گفتگو از پایین ترین سطح کارشناسی تا بالاترین سطح مدیریتی از امتیازات ویژه یک CISO موفق است.
  • شناخت کسب و کار: CISO بانک باید با کسب و کار بانک آشنایی داشته باشد تا بتواند مخاطرات خاص این کسب و کار را درک کرده و متناسب با آنها ارائه راه حل نماید. انواع سرویس­هایی که توسط بانک ارائه می­شود، ویژگی­ های برنامه های کاربردی خاص بانک­ها، نیازمندی­های امنیتی مشتریان، انواع نفوذگران و نفوذهای معمول به سیستم­های بانکی از جمله این موارد هستند.
  • عدم تقابل با کسب و کار: واقعیت این است که امنیت می­تواند به راحتی در تقابل با کسب و کار قرار گیرد. امنیت را نباید در خلأ و بدون در نظر گرفتن زمینه کسب و کار در نظر بگیریم. این نقطه ضعف به وضوح در بدنه کارشناسی تیم­های امنیت وجود دارد و تعدیل این نگاه بر عهده CISO است. در واقع CISO بانک باید به جای تمرکز صرف بر ممنوعیت و محدود سازی، امنیت را به فاکتوری برای توانمند سازی کسب و کار تبدیل کند.
  • توانایی حل مسأله:موضوعات امنیتی مسائلی واقعی با پارامترهای تأثیرگذار متعدد هستند. گاه این مسائل موضوعاتی صرفاً فنی و نیازمند آشنایی با انواع فناوری­ ها و قابلیت استفاده مناسب از آنها است. این مسائل گاه دارای ابعاد غیرفنی هم هستند که حل آنها نیاز به برخورداری از نگاه کلان و استراتژیک است. CISO باید توانایی طراحی راه حل، بررسی جایگزین­ها، تحلیل هزینه ـ فایده و اجرای راه حل­ها را داشته باشد.
  • دانش و تجربه: برخورداری از دانش آکادمیک امنیت و گذراندن دوره­های آموزشی تخصصی امنیتی پیش­نیاز حضور در جایگاه CISO است. اما به همین اندازه تجربه عملیاتی در مدیریت پروژه­ های راهبری، ارزیابی و امن­ سازی سیستم­ها و آشنایی با کسب و کار سازمان نیز اهمیت خاص خود را دارد.
  • آشنایی با برنامه ریزی مالی: بودجه یکی از فاکتورهای حیاتی در امور امنیت و از مشکلات معمول این واحدها است. CISO باید به ضوابط و روش­های برنامه ریزی مالی آشنا باشد و بتواند از بودجه امنیت سازمان دفاع کند.

همانطور که ذکر شد فاکتورهای فوق برای فرد متصدی جایگاه CISO از اهمیت بالایی برخوردار هستند. با توجه به نیاز بانک­ها و بسیاری دیگر از سازمان­ها به ایجاد سازمان امنیت و خاص بودن مهارت­های CISO، امروزه بازار امنیت جهانی با تقاضای روزافزون از طرف کارفرمایان برای استخدام در این جایگاه روبرو است و این روند در ایران هم به تدریج در حال شکل گیری است.

* این یادداشت در شماره ۵۷ نشریه بانکداری الکترونیک چاپ شده است. (دنلود فایل)

اشتراک گذاری