بایگانی برچسب: s

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.

 

این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های مشهور حوزه امنیت نرم افزار و مجری پادکست Silver Bullet Security است.

مدیران امنیت شرکت های مهمی در این گزارش مصاحبه شده اند، از جمله فیسبوک، سیسکو، جی پی مورگان، اچ اس بی سی و استار باکس. نتیجه این گزارش، ارائه یک تقسیم بندی در خصوص نقش امنیت و مدیر ارشد امنیت در سازمان است، که بر این اساس، چهار رده یا نقش برای آن شناسایی شده است:

  1. امنیت به عنوان توانمندساز
  2. امنیت به عنوان فناوری
  3. امنیت به عنوان تطبیق با استانداردها
  4. امنیت به عنوان مرکز هزینه

تقسیم بندی ارائه شده را می شود به نوعی یک مدل بلوغ هم دانست. به همین دلیل مطالعه آن برای کسانی که در این حوزه کار می کنند یا به آن علاقه دارند، مفید است. یک نکته جانبی در این گزارش که برای من جالب بود و سالهای قبل با این موضوع چالش داشتم، تاکید بر این مطلب است که موضوع مدیریت تقلب (Fraud Management) در ۲۳ سازمان از ۲۵ سازمان مطالعه شده، خارج از قلمرو امنیت اطلاعات است.

اشتراک گذاری

مرکز پاسخ به حوادث بهداشت و سلامت

Z-cert مرکز فوریت های رایانه ای یا پاسخ به حوادث امنیتی در حوزه بهداشت و سلامت کشور هلند است. این مرکز، خدماتی در راستای امنیت سایبری و مدیریت حوادث برنامه های کاربردی، شبکه و تجهیزات پزشکی و سلامت به بیمارستانها، کلینیک ها و دیگر سازمانهای این صنعت ارائه می کند.

در کشورهای دیگری از جمله نروژ و انگلستان هم CSIRT بهداشت و سلامت وجود دارد.

اشتراک گذاری

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

امنیت اینترنت اشیاء: یکی از اولویت های اصلی دولت ایالات متحده

یک کمیسیون متشکل از ۱۲ نفر از مدیران و صاحبنظران شرکت های خصوصی از جمله IBM، مایکروسافت، مسترکارد و دانشگاه های استنفورد، جورجیاتِک و … گزارشی ۹۰ صفحه ای از اولویت های امنیت سایبری دولت ایالات متحده منتشر کردن. گزارش شامل ۶ سرفصل حاوی ۱۶ پیشنهاد و ۶۳ اقدام متناسب هست. سرفصل دوم گزارش، به موضوع امنیت اینترنت اشیاء اختصاص داره. این سرفصل، تعدادی از وزارتخانه های دولت فدرال رو موظف کرده که طی ۱۸۰ روز، نیازمندی ها و خلأ های قانونی مربوط به محصولات IoT از دیدگاه امنیت رو شناسایی کنن و اقدامات فوری هم برای زمینه سازی تولید محصولات با حداقل آسیب پذیری در این حوزه تعریف شده.

اشتراک گذاری

شطرنج مدیران امنیت اطلاعات

این یادداشت در شماره ۶۸ نشریه بانکداری الکترونیک چاپ شده است. (دانلود فایل)

از سال­های دور، بازی شطرنج یکی از ابزارهای آموزش مفاهیم راهبردی و تاکتیکی در میان رهبران نظامی بوده است. به دلیل مشابه، می­توان از شطرنج به عنوان ابزاری ارزشمند برای تقویت طرز فکر و عمل رهبران و مدیران امنیت اطلاعات استفاده کرد.

مفاهیم اولیه

بازی شطرنج اینگونه آغاز می­شود: تهیه ابزار بازی، یادگیری قواعد، چینش مهره­ها در وضعیت اولیه و شروع بازی در برابر حریف. اتفاق مشابه در امنیت سازمان این است که اول محدوده عملکرد را مشخص می­کنیم، نیروی انسانی مورد نیاز، فرآیندها، فناوری­ها و غیره را آماده کرده و پس از پیاده سازی کنترل­ها، به مقابله با نفوذگران می­رویم.

محدوده عمل در بازی شطرنج همان صفحه بازی است. بازی در این محدوده اتفاق می­افتد و اگر هر بخشی از این محدوده مورد غفلت ما قرار گیرد، به حریف فرصت داده­ایم که جای پایی در آن نقطه ایجاد یا از همان نقطه حمله را آغاز کند. این اصل در امنیت سازمان هم برقرار است، اگر چه زیر نظر گرفتن یک صفحه ۶۴ خانه­ای بسیار ساده تر از مراقبت از شبکه و دارایی­های سازمان است. نظارت بر زمین بازی در موضوع امنیت سازمان به مراتب پیچیده تر است چرا که فاکتورهای متعددی مثل برون­سپاری­ها، برنامه­های خارجی، فضای ابر، سیستم­های همراه  و غیره در آن وجود دارند.

قواعد بازی، دانش­های اولیه­ای هستند که به ما امکان ورود به بازی را می­دهند. چارچوب­های مختلف امنیتی، ابزار لازم برای اجرای یک برنامه امنیتی را به ما می­دهند. البته تفاوت زیادی بین پیاده­سازی چارچوب­های اولیه امنیتی با دانش و راهبرد استفاده از آنها در برابر تهدیدهای پیشرفته امروزی وجود دارد و داشتن این دانش لازم بوده اما کافی نیست.

در بازی شطرنج، مهره­ها ابزارهای پیاده­سازی استراتژی بازی هستند. در امنیت، این اجزا همان کنترل­های امنیتی هستند، که به ما امکان جلوگیری از رسیدن نفوذگر به اهدافش را می­دهند. همانطور که در بازی شطرنج، نحوه چیدمان مهره­ها میزان قدرت ما را افزایش یا کاهش می­دهد، میزان قدرت برنامه امنیتی سازمان هم به این بستگی دارد که کنترل­های (فنی و غیرفنی) امنیت چگونه پیاده سازی شده­اند. برای پیاده سازی مناسب کنترل­ها لازم است بدانیم که آنها به صورت جداگانه و در کنار هم چگونه کار می­کنند.

برای یک شطرنج باز تازه کار، دانستن نحوه حرکت هر مهره و ارزش اسمی آن کفایت می­کند. اما تبدیل شدن به یک بازیکن حرفه ای مستلزم دانستن نحوه اثرگذاری مهره­ها در شرایط مختلف، شیوه استفاده از ترکیب چند مهره هنگام حمله، و نحوه دفاع و شکست دادن حریف با استفاده از این مهره­ها است. به طور طبیعی این اصول بر کنترل­های امنیتی هم حاکم است. هر کنترل برای اینکه اثربخش باشد باید به نحو خاصی پیاده سازی و عملیاتی شود و این فراتر از تعریف اولیه واستاندارد آن کنترل است.  در ادامه، به بررسی اجزای مورد استفاده در بازی می­پردازیم.

شاه    

این مهره از دو جنبه در بازی شطرنج دارای اهمیت است. در وهله اول، شاه هدف اصلی حمله از سوی بازیکن رقیب است. با توجه به ارزش حیاتی این مهره، باید در ابتدا و در طول بازی از آن حفاظت شود. علاوه بر این، در مراحل پایانی بازی شطرنج که معمولاً بسیاری از مهره­های دیگر از صحنه خارج شده­اند، شاه به اثرگذارترین و قدرتمندترین مهره­ بازی تبدیل می­شود. مدیر ارشد امنیت اطلاعات (CISO) وظیفه حفاظت از آن بخش از منافع سازمان را بر عهده دارد که نفوذگر در صدد آسیب رساندن به آنها است و نیز با اختیاراتی که دارد می­تواند تصمیم­های حیاتی در زمان لازم اتخاذ کند. او تنها کسی است که دغدغه­ای جز امنیت اطلاعات ندارد و توانمندساز و تسهیل کننده امور امنیت در سطح رهبری سازمان است. همچنین، CISO مانند مهره شاه در شطرنج، در صورت رخداد حملات موفق بسیار آسیب پذیر خواهد بود.

سربازها

جمله معروفی از Philidor در قرن هیجدهم میلادی نقل شده با این مضمون که سربازها روح بازی شطرنج هستند. برخلاف این جمله، شیوه غالب بازی در آن سال­ها شروع بازی با سربازها و فدا کردن یک به یک آنها در راه حمله مستقیم به شاه حریف بود (که در شطرنج به این شیوه گامبی گفته می­شود). این شیوه در صورت ناموفق بودن حمله، معمولاً به شکست حمله کننده می­انجامد. مشابه ایده فوق در دنیای امنیت هم مورد علاقه برخی افراد است. این افراد به سادگی معتقدند که کنترل­های اولیه و پایه­ای امنیت، ضعیف و مملو از خطا هستند و نمی­توان با استفاده از آنها کیفیت مناسبی از امنیت را ایجاد کرد، لذا دائماً باید به دنبال کنترلهای جدید، جذاب و گران­قیمت باشیم. حقیقت این است که اگر به کنترل­ها و فرآیندهای پایه­ای و به ظاهر ساده امنیت توجه نکنیم، معمولاً در برابر نفوذگران ضعیف تر خواهیم شد. بنابراین مشابه مهره سرباز در بازی شطرنج، این کنترل­های به ظاهر ارزان و ساده نقش مهمی در کل بازی ایفا می­کنند.

تمام مهره­های (دیگر) شاه

بقیه مهره­ها در شطرنج نقاط ضعف و قوت خاص خود را دارند و اگر به جا از آنها استفاده شود قدرت زیادی داشته و در صورت عدم استفاده در جای صحیح، اثربخش نخواهند بود. به عنوان مثال، اگر مهره وزیر را خیل زود وارد میانه میدان شطرنج کنیم، (به دلیل ارزش بالای آن) تا انتهای بازی مورد تعقیب مهره­های حریف قرار خواهد داشت. مهره اسب در موقعیت های بسته (وقتی مبارزه در محدوده کوچکی از صفحه ادامه دارد) اثربخشی بالایی دارد، یا هنگامی که یک جایگاه مرکزی بدون تهدید توسط سربازان حریف را در اختیار داشته باشد. اما در موقعیت های باز، در گوشه­های صفحه یا در مرکز صفحه بدون حمایت سربازهای خودی، به مهره ضعیفی بدل می­شود. به طور کلی هر مهره­ای که به صورت مناسب به بازی گرفته نشود می­تواند به فرصتی برای حریف تبدیل شود. به طور مشابه، باید برای هر کنترل فنی یا اجرایی امنیت، شیوه و محل استفاده مناسب را در نظر گرفت و اینکه کنترل مربوطه چگونه پیاده سازی و نگهداری شود تا بهترین عملکرد را داشته باشد.

سازمان­هایی که به این نکته کلیدی توجه نمی­کنند، امنیت را به عنوان مصرف کننده منابع با ارزش خود احساس خواهند کرد. این سازمان­ها تصور می­کنند که هزینه­های انجام شده تنها برای جلب توجه ممیّز یا برخی مدیران مفید است. اینگونه کنترل­ها روی کاغذ به نظر مفید هستند اما در عمل استفاده چندانی ندارند.

همانطور که دانستن قابلیت ها و نحوه حرکت مهره­ها در بازی کافی نیست، کنترل­های امنیتی هم وقتی در کنار هم برای مقابله با انواع حملات استفاده نشوند، اثربخشی کافی ندارند. همچنین بسیاری از کنترل­ها به تنهایی در برابر حملات آسیب پذیر و قابل دور زدن خواهند بود.

موفقیت در بازی شطرنج مستلزم به روزرسانی دانش در زمینه آخرین نظریه­ها و بررسی شیوه­های به کار رفته در بازی­های جدید است. به طور مشابه، باید در زمینه آخرین شیوه ها و ابزارهای حمله و دفاع در فضای امنیت و آخرین روندهای رخ داده در دنیا هم به روز بود. توجه کنید که این به طور کل با آنچه آمادگی سازمان برای گذر از یک فرآیند ممیزی (مثلاً برای اخذ گواهی ایزو ۲۷۰۰۱) نامیده می­شود، تفاوت دارد. یک ممیّز معمولاً وجود برخی کنترل­ها را با چند سناریوی محدود آزمایش می­کند. این کار نمی­تواند اثربخشی آن کنترل یا مجموعه ای از کنترل­ها در برابر حمله­های خاص سازمان را مشخص نماید. همچنین برای گذر موفقیت آمیز از فرآیند ممیّزی، ملزم به           

نکات دیگری از این بحث باقی مانده که در شماره آینده به آنها خواهیم پرداخت.  

منبع: ایده های به کار رفته در این یادداشت از وب سایت شرکت Tripwire اخذ شده است.

        

   

اشتراک گذاری

مدیریت تداوم کسب و کار خدمات ICT

این یادداشت در شماره ۶۷ (اسفند ۹۴) مجله بانکداری الکترونیک چاپ شده است.

فرض کنید بر اثر یک خطای انسانی، سرور پایگاه داده یکی از سرویس های حیاتی سازمان خاموش شود. با توجه به حجم پایگاه داده و بار پردازشی سرور، این خاموش شدن ناگهانی ممکن است به خطایی منجر شود که در عمل، روشن کردن بلافاصله سرور نتواند سرویس را به حالت اولیه بازگرداند. در اینجا تیم فنی اقدام به بازیابی آخرین نسخه پشتیبان پایگاه داده می­نماید. اما چه تضمینی هست که این نسخه در زمانی قابل قبول و با موفقیت بازیابی شود؟ بنابراین یک خطای انسانی ساده منجر به قطع شدن سرویس تا چندین ساعات شده است. این تنها یک سناریوی ساده برای سازمانی است که فرآیندهای اصلی کسب و کار خود را بر پایه سرویس های ICT بنا کرده است. پاسخ به این چالش­ها، بخشی از اهداف مدیریت  تداوم کسب و کار سازمان است. 

مدیریت تداوم کسب و کار (BCM) یک فرآیند مدیریتی کلان است که ضمن شناسایی تهدیدهای بالقوه تداوم فعالیت‌های کسب و کار، چارچوبی برای ایجاد مقاومت و قابلیت پاسخ موثر ایجاد می­نماید تا از منافع سازمان در برابر اختلال در فعالیت ها محافظت نماید. در سازمان­هایی مانند بانک­ها که فناوری اطلاعات و ارتباطات ابزار کلیدی فرآیندهای کسب و کار است، بخش مهمی از BCM مربوط به تدام کسب و کار فناوری اطلاعات می­شود. طبق استاندارد ایزو ۲۷۰۳۱، آمادگی فناوری اطلاعات و ارتباطات برای تداوم کسب و کار (IRBC) یک سیستم مدیریتی است که از فرآیند کلی تداوم کسب و کار سازمان پشتیبانی و آن را تکمیل می­نماید. اهداف این سیستم عبارتند از:

۱-    پاسخ به ریسک های دائماً در حال تغییر

۲-    اطمینان از تداوم آن بخش از عملیات حیاتی کسب و کار که به خدمات فناوری اطلاعات وابسته است.

۳-    کسب آمادگی پیش از رخداد هر نوع اختلال در خدمات فناوری اطلاعات

۴-    پاسخ مناسب و بازیابی از حوادث و اختلالات

بنابراین فناوری اطلاعات ضمن ارائه پاسخ مناسب به حوادث و بازیابی وضعیت عادی، باید کنترل­های مناسب برای کاهش ریسک ها را ارائه و مقاومت کسب و کار را افزایش دهد.

اصول آمادگی ICT در جهت تداوم کسب و کار

ایجاد آمادگی در فناوری ارتباطات و اطلاعات در جهت تداوم کسب و کار مبتنی بر اصول زیر است:

۱-    پیشگیری از حادثه: حفاظت از خدمات ICT در برابر تهدیدهای محیطی، بدافزارها، خطاهای عملیات، حوادث طبیعی و غیره یکی از اصول حیاتی برای حفظ دسترس پذیری سیستم­ها در سطح قابل پذیرش است.

۲-    شناسایی حادثه: با توجه به اینکه پیشگیری از همه حوادث امکان پذیر نیست، لازم است توانایی شناسایی حادثه در کوتاه ترین زمان ایجاد شود تا ضمن کاهش اثر مخرب آن، هزینه بازیابی سرویس هم کمینه شود.

۳-    بازیابی: شناسایی و پیاده سازی استراتژی مناسب بازیابی سیستم ها بعد از حادثه تضمین می­کند که خدمات در زمان مناسب  به حالت عادی بازگشته و صحت اطلاعات نیز حفظ شود. اولویت بندی سیستم های برای بازیابی مشخص می­کند که کدام سیستم ها باید پیش از بقیه بازیابی شوند.

۴-    بهبود: حوادث رخداده قبلی باید در راستای بهبود سه مورد فوق مورد تحلیل و ارزیابی قرار بگیرند.

اجزای تشکیل دهنده آمادگی ICT برای تداوم کسب و کار

برنامه تداوم کسب و کار در حوزه ICT شامل اجزای کلیدی زیر است:

۱-    افراد متخصص و دارای دانش مناسب  به همراه افراد پشتیبان آنها

۲-    امکانات فیزیکی و محیطی که محل قرارگیری منابع ICT است.

۳-    فناوری شامل سخت افزار، شبکه و نرم­افزار.

۴-    داده ها

۵-    فرآیندها

۶-    پشتیبان ها

بنابر این یک برنامه تداوم کسب و کار ICT باید تمام اجزای فوق را در کنار یکدیگر در نظر گرفته و نقش هر کدام را مشخص نماید.

فواید آمادگی ICT برای تداوم کسب و کار

فواید مختلفی از طریق تداوم کسب و کار ICT نصیب سازمان می­شود.از مهم­ترین فواید این برنامه آن است که سازمان ریسک­ها و آسیب پذیری­های تداوم خدمات ICT را می­شناسد. برخی سازمان­ها تصویری واقعی از میزان آسیب پذیر بودن خود از ناحیه سرویس های ICT را در اختیار ندارند. در نتیجه هنگام مواجه شدن با حوادث ICT منجر به اختلال در کسب و کار متوجه گستره آسیب پذیری و اثرات مخرب اینگونه حوادث می­شوند. همچنین این برنامه می­تواند اطمینان لازم را به مدیران ارشد سازمان بدهد که در زمان رخداد حوادث ICT، پشتیبانی لازم را از خود فرآیند ICT دریافت خواهند کرد. به علاوه، این برنامه به سازمان کمک می­کند تا سرمایه گذاری فناوری اطلاعات را با اهداف استراتژیک سازمان همراستا کند. طبعاً ایجاد تداوم کسب و کار ICT به خصوص در بخش فناوری­ها مستلزم صرف هزینه است. راه حل­هایی مثل ایجاد افزونه در سطح پایگاه­های داده، سرورها، تجهیزات شبکه  و غیره می­تواند هزینه های هنگفتی در بر داشته باشد. به عنوان مثال، برای ایجاد افزونه در تجهیزات شبکه مثل فایروال و روتر از فناوری HA استفاده می­شود که مستلزم استفاده از یک تجهیز پشتیبان مشابه تجهیز اصلی و ضمناً دارای قابلیت HA می­باشد. به علاوه، پیکربندی و نگهداری این فناوری هم مستلزم صرف هزینه مناسب است.

 

نکات کلیدی در برنامه تداوم کسب و کار ICT

اگر در هنگام طراحی و راه اندازی سرویس، به الزامات تداوم کسب و کار نیز توجه شود، هزینه این برنامه کاهش خواهد یافت. چرا که سخت افزارها، نرم افزارها و فناوری های دیگر با توجه به الزامات این برنامه انتخاب خواهند شد. به علاوه، مشکلات ناشی از عملیاتی بودن و زیر بار بودن سرویس، در ابتدای راه اندازی وجود ندارند. به عنوان مثال، ایجاد افزونه برای تجهیزات شبکه یک سرویس حیاتی، در زمانی که این اجزا زیر بار هستند مستلزم اختلال موقت در عملکرد آنها برای پیکربندی اجزای افزونه است.

همانطور که ذکر شد، علاوه بر فناوری ها باید به مسئولیت های افراد در این برنامه نیز توجه ویژه شود. در الگوهای مختلف طرح تداوم کسب و کار، برای هر حادثه یک فرد یا گروهی از افراد به عنوان مسئول معرفی می­شوند که در زمان رخداد حادثه باید اقدامات از پیش تعیین شده ای را انجام دهند. توجیه بودن این افراد نسبت به اقدامات لازم، آماده بودن آنها و تمرین نمودن این اقدامات اهمیت ویژه ای دارد. به عنوان مثال، اگر قرار است نسخه پشتیبان پیکربندی یک نرم افزار، در هنگام رخداد حادثه بازیابی شود، چالش­های کوچک اما مهمی می­تواند در موفقیت این پروسه اخلال ایجاد کند. فرد مسئول این کار باید آمادگی برخورد با این چالش­ها را داشته باشد. برگزاری تمرین و مانور برای آشنایی با این چالش­ها موثر خواهد بود.

کارآیی تداوم کسب و کار سازمان در حوزه ICT را می­توان با برخی معیارهای کمی و کیفی سنجید. از جمله:

۱-    تعداد حوادثی که پس از ایجاد خرابی، شناسایی شده اند.

۲-    مدت زمان لازم برای شناسایی حادثه

۳-    مدت زمان واکنش و پاسخ به حادثه

 جمع بندی

مدیریت تداوم کسب و کار در حوزه ICT بخشی از برنامه جامع مدیریت تداوم کسب و کار سازمان است و هر قدر وابستگی کسب و کار سازمان به سرویس های ICT بیشتر باشد، اهمیت این برنامه برای سازمان بیشتر خواهد بود. طبق استاندارد ایزو ۲۷۰۰۱، سازمان­ها باید تداوم کسب و کار ICT را به عنوان یکی از کنترل های امنیتی در جهت مدیریت مخاطرات امنیتی اجرا نمایند. ایزو ۲۷۰۳۱   نیز به طور ویژه به آمادگی ICT برای تداوم کسب و کار سازمان می­ پردازد.

اشتراک گذاری

مسئولیت مدیران در چرخه امنیت اطلاعات

برای هر فردی که در حوزه امنیت اطلاعات سازمانی تجربه کار داشته باشد، اهمیت موضوع حمایت واقعی و عملی رهبران سازمان، به طور مشخص مدیران ارشد، از برنامه های امنیتی سازمان امری بدیهی و واضح است. در واقع یکی از بزرگ­ترین چالش­های یک تیم امنیت اطلاعات و به خصوص مدیر امنیت اطلاعات، جلب حمایت کافی این مدیران است که تأثیر مستقیم بر اثربخشی فعالیت­ها و برنامه­ها دارد. بخش عمده­ای از این حمایت ناشی از درک رهبران سازمان نسبت به اهمیت امنیت اطلاعات و نقش آن در پیشبرد اهداف سازمان یا ایجاد مانع برای رسیدن به آن اهداف است. به بیان دیگر، اگر مدیریت سازمان قائل به حداقل­های لازم اولویت و اهمیت برای موضوع امنیت اطلاعات نباشد، طبعاً حمایت مناسبی هم صورت نخواهد گرفت.

اما دلیل تأکید بر حمایت رهبران سازمان و نقش ویژه آن در پیشبرد برنامه­های امنیتی چیست؟ پاسخ این سؤال را باید در ماهیت غیر کارکردی امنیت اطلاعات در اکثر کسب و کارها جستجو کرد. امنیت اساساً از جنس کیفیت است و در اکثر قریب به اتفاق سازمان­ها، نه به عنوان بخشی از کسب و کار اصلی بلکه عاملی برای تضمین کیفیت کسب و کار است. در نتیجه به راحتی می­تواند قربانی اولویت­ها و فوریت­های مربوط به جنبه­های اصلی کسب و کار شود. به عنوان مثال، تعویق چندباره جلسات مربوط به امنیت اطلاعات یا تأخیرهای طولانی در اختصاص هزینه برای کنترل­های امنیتی از نشانه­های عدم حمایت لازم است. به علاوه، بخشی از وظایف امنیت اطلاعات، جنبه ممیزی داشته و با بخش­های مختلف سازمان از دیدگاه ممیزی ارتباط دارد. در نتیجه انواع مقاومت­های سازمانی از این جنبه در برابر برنامه­های امنیت اطلاعات وجود خواهد داشت.

استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در بخش الزامات عمومی سیستم مدیریت امنیت اطلاعات، بر اهمیت رهبری سازمان در حوزه امنیت اطلاعات تأکید می­کند. در این استاندارد می­بینیم که موضوع حمایت مدیران ارشد از امنیت اطلاعات در سه جنبه اصلی الزام شده است:

۱-    رهبری و تعهد

۲-    خط مشی های امنیتی

۳-    نقش­ها، مسئولیت­ها و اختیارات سازمانی

در اینجا بر اساس متن استاندارد مورد اشاره، برخی از نشانه­های حمایت عملی و موثر رهبران سازمان از موضوع امنیت اطلاعت را بررسی می­کنیم.

در بخش رهبری و تعهد، مدیران ارشد سازمان باید این موضوع را با اقدامات زیر به شکل عملی نشان دهند:

۱-    رهبران باید از همراستا بودن اهداف و برنامه­های امنیت با جهت گیری استراتژیک کل سازمان اطمینان حاصل کنند.

۲-    رهبران باید از دخیل بودن امنیت اطلاعات در همه فرآیندهای  سازمانی اطمینان حاصل نمایند.

۳-    تآمین منابع لازم برای اجرای برنامه­های امنیتی سازمان.

۴-    رهبران باید جایگاه ویژه امنیت اطلاعات را با تعامل در همه بخش­های سازمان مشخص کنند.

 مدیریت ارشد سازمان نقش بسیار حیاتی در استقرار خط­ مشی امنیت اطلاعات دارد:

۱-    مدیران ارشد باید از مناسب بودن خط مشی امنیت برای کسب و کار خود اطمینان حاصل کنند.

۲-    آنها باید از وجود اهداف امنیت اطلاعات در خط مشی یا استقرار روشی برای ایجاد این اهدف اطمینان حاصل کنند.  

۳-    مدیران ارشد باید نسبت به بهبود مستمر امنیت اطلاعات متعهد باشند.

همچنین، مدیران ارشد سازمان باید از تخصیص وظایف، نقش­ها و اختیارات مورد نیاز در حوزه امنیت اطلاعات در زمینه های زیر اطمینان حاصل کنند:

۱-    اطمینان از منطبق بودن سیستم مدیریت امنیت با کلیه الزامات استاندارد ایزو ۲۷۰۰۱ .

۲-    گزارش کارآیی و اثربخشی سیستم مدیریت امنیت اطالعات به مدیران سطح بالای سازمان.

هر یک از آیتم های عنوان شده در بخش رهبری و تعهد در استاندارد ایزو ۲۷۰۰۱، با بخشی از واقعیت های موجود در سازمان­ها منطبق است. به همین دلیل برای افرادی که در حوزه امنیت اطلاعات سازمانی مشغول به کار هستند، هر آیتم دارای ارزش و اهمیت قابل لمس است.

با این حال، این موضوع را نمی­توان یک طرفه و صرفاً از جنبه وظایف رهبران سازمان بررسی کرد. به عبارت دیگر، عملکرد افراد و تیم های امنیت سازمان نیز در نوع نگاه رهبران سازمان بی تأثیر نیست. امنیت اطلاعات به خودی خود نه تنها محصول قابل لمس تولید نمی­کند، بلکه در ظاهر مدام در حال هزینه تراشیدن برای سازمان است. اصلاح این دیدگاه در میان مدیران ارشد سازمان کار ساده ای نیست و اساساً اینکه چگونه و با چه زبانی باید با مدیران ارشد سازمان در خصوص امنیت اطلاعات صحبت کرد تا این دیدگاه در میان آنها رشد نکند، نیاز به تجربه بالایی دارد.

بنابراین اگر بخواهیم  چالش حمایت رهبران و مدیران ارشد سازمان از امنیت اطلاعات را مرتفع کنیم، لازم است هم آن را از دیدگاه وظایف مدیران و هم از دیدگاه مهارت مدیر امنیت اطلاعات بررسی و حل کنیم.

این یادداشت در شماره ۶۶ نشریه بانکداری الکترونیک منتشر شده است. دانلود فایل

اشتراک گذاری

مدیر ارشد امنیت اطلاعات (CISO): نیازها و مهارت ها *

همانگونه که در شماره های پیشین اشاره کردیم، حاکمیت امنیت اطلاعات مستلزم استقرار سازمان امنیت در سطح بانک است. این سازمان در لایه مدیریت ارشد شامل یک کمیته راهبردی است که نقش سیاست‏گذاری و مدیریت کلان امنیت را برعهده دارد. اما امور اجرایی و نظارت فنی امنیت باید بر عهده یک واحد مستقل، ترجیحاً در زیرمجموعه مدیریت فناوری اطلاعات سازمان باشد. این واحد به موازات دیگر واحدهای اجرایی فناوری اطلاعات مانند سخت افزار، شبکه و نرم‏ افزار قرار می­گیرد تا منحصراً به ایفای نقش طراحی، اجرا و نظارت در حوزه امنیت اطلاعات بپردازد. مدیریت واحد امنیت اطلاعات بر عهده مسئول ارشد امنیت اطلاعات است که بسته به ساختار سازمانی موجود می­ تواند به عنوان معاون یا مدیر امنیت اطلاعات نیز شناخته شود. این نقش سازمانی را در اصطلاح Chief Information Security Officer یا CISO می­ نامند. CISO مدیر واحد امنیت و مسئول هماهنگی و راهبری امور فنی امنیت به نمایندگی از مدیریت ارشد سازمان و کمیته راهبردی امنیت است. امروزه CISO یکی از مهم­ترین مشاغل مورد نیاز در بازار فناوری اطلاعات دنیا است و در حوزه امنیت نیز یکی از جذاب­ترین و پردرآمدترین مشاغل به حساب می­آید، البته گزارش­های نشان می­دهند که یافتن افراد مناسب برای این جایگاه دشوار بوده و نگهداشتن آنها برای سازمان­ها دشوارتر است.

توجه به جایگاه موضوع امنیت در لایه­ های  فناوری اطلاعات و فراتر از آن در لایه­ های سازمان تا حدودی به درک اهمیت و تفاوت جایگاه CISO کمک می­کند.  فرد مورد نظر در این شغل باید دارای پیش زمینه مناسب و توانایی­ های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط برقرار نماید. همچنین باید قابلیت پیشبرد اهداف و برنامه های امنیتی در ارتباط با مدیریت ارشد سازمان را هم داشته باشد.

مهم ترین مهارت­های مورد نیاز برای جایگاه CISOبانک عبارتند از:

  • توانایی تعامل با همه رده ­های سازمان: اجرای وظایف واحد امنیت می­ تواند منجر به ایجاد اصطکاک بین این واحد و بقیه بخش­های بانک به خصوص در زیرمجموعه فناوری اطلاعات شود. در نتیجه مدیر امنیت برای کاهش این مشکلات باید توانایی تفاهم و تعامل با همه سطوح سازمان را داشته باشد. CISO باید بتواند با ایجاد ارتباط مثبت با مدیران دیگر بخش­ها اثر دیدگاه منفی رایج در مورد امنیت را کاهش دهد. قابلیت گفتگو از پایین ترین سطح کارشناسی تا بالاترین سطح مدیریتی از امتیازات ویژه یک CISO موفق است.
  • شناخت کسب و کار: CISO بانک باید با کسب و کار بانک آشنایی داشته باشد تا بتواند مخاطرات خاص این کسب و کار را درک کرده و متناسب با آنها ارائه راه حل نماید. انواع سرویس­هایی که توسط بانک ارائه می­شود، ویژگی­ های برنامه های کاربردی خاص بانک­ها، نیازمندی­های امنیتی مشتریان، انواع نفوذگران و نفوذهای معمول به سیستم­های بانکی از جمله این موارد هستند.
  • عدم تقابل با کسب و کار: واقعیت این است که امنیت می­تواند به راحتی در تقابل با کسب و کار قرار گیرد. امنیت را نباید در خلأ و بدون در نظر گرفتن زمینه کسب و کار در نظر بگیریم. این نقطه ضعف به وضوح در بدنه کارشناسی تیم­های امنیت وجود دارد و تعدیل این نگاه بر عهده CISO است. در واقع CISO بانک باید به جای تمرکز صرف بر ممنوعیت و محدود سازی، امنیت را به فاکتوری برای توانمند سازی کسب و کار تبدیل کند.
  • توانایی حل مسأله:موضوعات امنیتی مسائلی واقعی با پارامترهای تأثیرگذار متعدد هستند. گاه این مسائل موضوعاتی صرفاً فنی و نیازمند آشنایی با انواع فناوری­ ها و قابلیت استفاده مناسب از آنها است. این مسائل گاه دارای ابعاد غیرفنی هم هستند که حل آنها نیاز به برخورداری از نگاه کلان و استراتژیک است. CISO باید توانایی طراحی راه حل، بررسی جایگزین­ها، تحلیل هزینه ـ فایده و اجرای راه حل­ها را داشته باشد.
  • دانش و تجربه: برخورداری از دانش آکادمیک امنیت و گذراندن دوره­های آموزشی تخصصی امنیتی پیش­نیاز حضور در جایگاه CISO است. اما به همین اندازه تجربه عملیاتی در مدیریت پروژه­ های راهبری، ارزیابی و امن­ سازی سیستم­ها و آشنایی با کسب و کار سازمان نیز اهمیت خاص خود را دارد.
  • آشنایی با برنامه ریزی مالی: بودجه یکی از فاکتورهای حیاتی در امور امنیت و از مشکلات معمول این واحدها است. CISO باید به ضوابط و روش­های برنامه ریزی مالی آشنا باشد و بتواند از بودجه امنیت سازمان دفاع کند.

همانطور که ذکر شد فاکتورهای فوق برای فرد متصدی جایگاه CISO از اهمیت بالایی برخوردار هستند. با توجه به نیاز بانک­ها و بسیاری دیگر از سازمان­ها به ایجاد سازمان امنیت و خاص بودن مهارت­های CISO، امروزه بازار امنیت جهانی با تقاضای روزافزون از طرف کارفرمایان برای استخدام در این جایگاه روبرو است و این روند در ایران هم به تدریج در حال شکل گیری است.

* این یادداشت در شماره ۵۷ نشریه بانکداری الکترونیک چاپ شده است. (دنلود فایل)

اشتراک گذاری

فایل پیاده شده از ارائه من در سمینار امنیت در بانکداری الکترونیک

سمینار امنیت در بانکداری الکترونیک توسط مرکز فابا در مردادماه ۱۳۹۳ برگزار شد. همانطور که قبلاً گفته بودم در این سمینار در خصوص پیش نیازها و الزامات ورود به پروژه مرکز عملیات امنیت (SOC) ارائه ای داشتم که فایل پیاده شده از آن ارائه در دوماهنامه بانکداری الکترونیک چاپ شد.

عنوان ارائه: الزامات راه اندازی مرکز عملیات امینت: چگونه آغاز کنیم؟

این فایل در اینجا در دسترس است.

اشتراک گذاری

مدیریت امنیت اطلاعات در سازمان

 مدیریت امنیت یکی از فعالیتهای بسیار مهم در سازمان است. بنا به یک تصور رایج در بسیاری از سازمانها، طراحی زیر ساخت و متعاقبا پیاده سازی راه حلهای امنیتی (ازقبیل نصب فایروال، IDS و …) برای برقراری امنیت مناسب کافی است، اما اگر زیر ساخت و معماری امنیت را به یک ماشین تشبیه کنیم، مدیریت این مجموعه مانند سوخت ماشین برای عملکرد آن حیاتی است.

امنیت اطلاعات نیازمند یک “سیستم مدیریت امنیت” یا به اصطلاح ISMS (مخفف Information Security Management System ) است. هدف این سیستم به زبان ساده فراهم کردن امکان استفاده مناسب و سودمند از زیر ساخت و اجزای مختلف امنیتی سازمان است. قطعا کسی در پویایی و غیرثابت بودن مسائل امنیتی شکی ندارد، مدیریت امنیت تلاشی سیستماتیک جهت تطابق زیرساختهای امنیتی با این محیط دینامیک است. لذا یکی از قابلیتهای ارائه شده توسط ISMS ، امکان مدیریت تغییرات (change management) است. قابلیت دیگر، امکان مدیریت رخدادها (incident management) است. بارها شنیده ایم که پس از هک شدن سایت یک سازمان دولتی، راهبر سیستم بعد ازمدتها هیچ عکس العمل مناسبی نشان نداده است. سئوال اینجاست که چند نفر از این راهبران، واقعا می­دانند که هنگام چنین رخدادی چه باید بکنند؟ آیا نقش و وظیفه آنها در آن لحظه مشخص، تعریف و مستند شده است؟

دو مورد فوق، تنها بخش کوچکی از موارد اساسی در زمینه لزوم استقرار ISMS در سازمان است. در یادداشتهای بعدی بیشتر در این زمینه صحبت خواهیم کرد.

 

این مطلب در وبلاگ WhiteHat Nomads

 

اشتراک گذاری