امنیت: یک مسئولیت مشترک (بخش اول) - تک نوشت

امنیت: یک مسئولیت مشترک (بخش اول) - تک نوشت



امنیت: یک مسئولیت مشترک

مفهوم امنیت IT به قدری گسترده است که، هر کسی که تنها اگاهی جزیی در مورد آن داشته باشد، می داند که ایده  “راه حل های امنیتی تکی” خنده دار است. به همین ترتیب، این ایده که امنیت یا باید مسئولیت تنها یک فرد یا یک تیم باشد از دید کلی، حس خوبی ارائه نمی دهد.

دولت ها می توانند تزارها امنیتی تعیین و شرکت ها می تواند افسران امنیتی (Chief Security Officers CSOs) و یا افسران ارشد امنیت اطلاعات (Chief Information Security Officers (CISOs جهت نظارت و هماهنگی تلاش های امنیتی  پرسنل خود استخدام نمایند، اما یک استراتژی امنیتی موثر است و البته همیشه موثر خواهد بود که یک مسئولیت مشترک گسترش یافته به خارج از امتداد مرزهای شرکت نیز باشد.

تنها با همکاری مشترک فروشندگان نرم افزار، سازندگان سخت افزار، شرکت های تصمیم گیرنده، مجریان، مدیران، مشاوران و کاربران نهایی، می توان تلاش های هکرها و مهاجمان (هم خارجی و هم داخلی) خنثی نمود، ویروس ها و نرم افزارهای مخرب را دفع و از نشت اطلاعات بصورت عمدی و غیر عمدی جلوگیری کرد. این کار بزرگ، مشابه آن است که توسط ارتش از کشور خود در برابر یک نیروی دشمن مهاجم حفاظت کنیم و یا توسط یک سازمان پلیس وظیفه حفاظت از شهر، در برابر جنایتکاران را انجام دهیم.

در این مجموعه چند بخشی، ما قصد داریم  عقب بایستیم و یک تصویر بزرگ که در آن چگونه قرار گرفتن متناسب هر جزء (موقعیت شغلی داخلی یا نهاد خارجی) در پازل را تماشا کرده، در خصوص اهمیت تعریف حوزه های مسئولیت بحث کنیم.

حوزه های مسئولیت

وقتی که من به عنوان یک افسر پلیس گشت زنی مشغول به کار بود، یک تماس متداول، تماس تلفنی اورژانسی درخواست انجام بازرسی یک ساختمان بود. این نوع تماس یکی از مهمترین و به طور بالقوه خطرناک ترین نوع از تماس ها بود، زیرا شما نمی دانید در داخل ساختمان چه چیزی در انتظار شماست . بنابراین ما پروتکلی داشتیم که آن را دنبال می کردیم که یکی از مهمترین اصول اساسی آن تعیین حوزه های مسئولیت جداگانه برای هر افسر بود. زندگی ما بستگی به مراقبت کامل هر کس به حوزه ی مسئولیت خود داشت و اعتماد به هم قطارانمان که وظایف شان را درست انجام می دهند.

به طور مشابه، هنگامی که وارد بحث استراتژی امنیت IT سازمانی می شویم، مهم است که هر عضو تیم حوزه ی مسئولیت خود را خوب بشناسد و برای نگهداری و مراقبت در پارامترهای آن ثابت قدم باشد. در اینجا عواقب ممکن است کاملا همانند وضعیت زندگی یا مرگ که در تجسس ساختمان بود نباشد، اما عدم انجام درست بخشی از وظیفه تان به خوبی، می تواند به معنای زندگی یا مرگ شرکت، اعتماد عمومی و جایگاه صنعت باشد. در سطح شخصی، می تواند موجب مرگ زندگی حرفه ای تانو یا حداقل از بین رفتن فرصت ارتقاء شغلی تان شود.

برخی از زمینه های متداول مسئولیت در ساختار امنیتی شرکت ها به شرح زیر است:

مدیریت ریسک
سیاست ها و روش های امنیتی
تهدید و آسیب پذیری مدیریت
امنیت نقطه انتها
شبکه و امنیت محیط
مدیریت هویت
کنترل دسترسی
امنیت داده ها
امنیت نرم افزار
امنیت شخص ثالث
حریم خصوصی
پاسخ حادثه و مدیریت
پیروی از مقررات و صنعت
تداوم کسب و کار و بهبود مقابله با سوانح
امنیت فیزیکی
ارتباط با مدیریت بالا و دیگر بخش / گروه ها

البته، بسیاری از این مسئولیت ها با هم همپوشانی دارند. ممکن است چندین موقعیت مختلف و یا نهادهای درگیر در یکی از این حوزه ها باشند، و ممکن است موقعیت و یا اشخاصی که مسئولیت های مرتبط به بیش از یکی از این حوزه ها داشته باشند. ساختار شرکت ها و شرح شغل ها به طور گسترده ای متفاوت و متغیر است،و زمانی که چارت سازمانی و شرح شغل ها که بر روی کاغذ خوب به نظر میرسند اما دقیقا اجرا نمی شوند (گاه هیچ کدام اجرا نمی شوند)، پیچیدگی بیشتری به آن افزوده می شود.

بنابراین قوانین سخت و سریع در مورد حوزه های مسئولیت وجود ندارد.
در برخی سازمانها، اینکه چه کسی حرف آخر در مورد مسئولیت ها را می زند، بستگی به شخصیت کارکنان که عموما به عنوان وظایف شغلی شناخته می شود، دارد. در ادامه بشتر بحث خواهد شد. امیدوارم که، به شما در مورد روش های مختلفی که مسئولیت های امنیتی را می توان به طور موثر تقسیم و به ویژه اهمیت تضمین این که تمام مسئولیت های مهم ترجیحا به کسی اختصاص داده شود که در اجرای آنها بهترین باشد.

شروع از بالا: افسران ارشد امنیتی (Chief Security Officers (CSOs و افسران ارشد امنیت اطلاعات (Chief Information Security Officers (CISOs

عنوان، وظایف و دامنه اقتدار “نفر اول” در امنیت حوزه IT، با اندازه و ساختار سازمان متغییر خواهد بود. شرکت های بزرگ ممکن است به خوبی هر دو رئیس افسر امنیتی و مدیر ارشد امنیت اطلاعات را داشته باشند. CSO ممکن است وظایف و مسئولیت گسترده تری، از جمله نظارت بر تمام امور مربوط به امنیت شرکت، از جمله امنیت فیزیکی از محل و دارایی، ایمنی کارکنان، پیشگیری خسارت و حتی حفاظت مدیران مهم داشته باشد.

در برخی شرکت های بزرگ، CISO ممکن است به CSO صرفا گزارش دهد البته تمرکز CISO را بر روی امنیت حوزه فناوری اطلاعات خواهد بود. یا CSO و CISO ممکن است به طور کامل جداگانه از هم کار کنند و CISO  به مدیر ارشد اطلاعات (Chief Information Officer (CIO گزارش دهد. احتمال دیگر این است که جایگاه CSO و CISO در چارت سازمانی تقریبا در یک سطح باشد و هر دو به افسر ارشد عامل  (Chief Operating Officer (COO گزارش دهند.

ترکیب وظایف CISO در موقعیت CSO و یا قرار دادن جایگاه CISO به طور مستقیم تحت نظر CSO می تواند یک رویکرد “جامع” به امنیت بیشتر باشد. این موضوع در محیطی که امنیت فیزیکی و دیجیتال از منظر فنآوری بیشتر در هم تنیده می شوند، ملموس تر است. به عنوان مثال، کارت های هوشمندی که برای ورود بر روی شبکه استفاده می شوند، ممکن است از همان برای باز کردن درب های محیط کار استفاده شود. دوربین های قدیمی مدار بسته که برای نظارت نصب می شدند، به طور فزاینده ای توسط دوربین های مبتنی بر IP که می تواند از طریق شبکه در سراسر اینترنت و در نتیجه در معرض حملات هک خارجی قرار گیرد، جایگزین شده است.

یکی دیگر از مزایای ترکیب دو بخش، صرفه جویی در هزینه ها ست، چون شما را قادر به انجام  وظایف با تعداد کمی از پرسنل می سازد. با این حال، مهم است تا مطمئن شویم که کسانی که این موقعیت های شغلی را ریافت می کنند، تخصص لازم در هر دو زمینه امنیت اطلاعات و امنیت فیزیکی سنتی را داشته باشند، و حقوق بالای مورد نیاز برای استخدام  این افراد با مجموعه مهارت های چندگانه، ممکن است صرفه جویی های قبلی در هزینه ها را کاهش دهد.

در هر حال، موقعیت CSO / CISO در ساختار سازمانی مهم است، زیرا دامنه مسئولیت و تا حدی، چگونگی دست باز بود افسر را تعریف می کند. شغلی که شامل وظایف هر دو مسئولیت CSO و CISO باشد، احتمال کمی دارد توسط یک فرد با تخصص فنی خاص پر شود و یا حتی اگر شخصی در این موقعیت تخصص های لازم را داشته باشد، کمتر احتمال دارد، زمان کافی برای تعریف استراتژی های پیاده سازی و راه حل ها را داشته باشد.

موقعیت ساختاری به احتمال زیاد تحت نفوذ تمرکز CSO یا CISO است. اگر این موقعیت گزارش خود را به بخش حقوقی دهد، تمرکز به احتمال زیاد نسبت به مسائل پیروی از مقررات تنظیمی است. اگر آن گزارش را به CIO یا بخش فناوری اطلاعات دهد، ممکن است تمرکز، بیشتر در تکنولوژی همچون: فایروال، IDS / IPS، ضد ویروس / ضد تروجان، مدیریت وصله و غیره باشد. اگر آن گزارش را به مدیر عامل شرکت و یا دیگر موقعیت مدیریت اجرایی گزارش دهد، تمرکز بیشتر احتمالادر سیاست ها، متریک ها، مدیریت ریسک، و غیره است.

نکته مهم این است که مسئولیت های CSO یا CISO به وضوح تعریف شده باشد. موقعیت CISO، به طور معمول شامل هر دو جنبه استراتژیک و عملیاتی می شود. مسئولیت ها معمولا برخی یا همه موارد زیر را شامل خواهد شد:

ایجاد اهداف و مقاصد در رابطه با موقعیت امنیتی شرکت، بر اساس استراتژی کلی کسب و کار و اهداف شرکت، و همچنین تعریف روش های اندازه گیری پارامترهای پیشرفت (معیارها).

توسعه سیاست های امنیتی (در رابطه با مدیریت بالایی) و نظارت بر انجام این سیاست ها (روش ها).

نظارت بر مدیریت ریسک (در ارتباط با قانون و/یا مدیریت ریسک در سطح وسیع شرکت).

تصمیم گیری و یا تاثیر در انتخاب فروشندگان برای محصولات مربوط به امنیت و خدمات (سخت افزار، نرم افزار، خدمات ابر، و غیره).

استقرار، مدیریت و نظارت بر فن آوری های امنیتی و ابزارها. نظارت بر مدیریت وصله، تست و اجرای به روز رسانی های امنیتی. مدیریت سیستم عامل و پیکربندی برنامه برای بهترین شیوه های امنیتی.

همانطور که می بینید، چند مسئولیت ابتدایی در لیست بالا، بیشتر استراتژی محور است، در حالی که سری دوم در نوع عملیاتی تر قرار میگیرند. برخی از CSOs/CISOs، ممکن است تعدادی از وظایف عملیاتی را به مدیران IT که نظارت بر زیرساخت های شبکه دارند واگذار نکنند.به عنوان روش جایگزین، ممکن است برخی از این وظایف عملیاتی را به مشاوران خارج از سازمان، برون سپاری و یا آنها را به فضای ابری (مجازی) انتقال دهند. با این حال، این کار، می تواند حفظ یکپارچکی در روش های عملیاتی مشکل نماید، بعد از همه اینهاست که، همه تصمیم گیری ها و سیاست های استراتژیک به  مرحله عملی وارد می شود. اگر CISO بیش از حد از سنگر عملیاتی حذف شود، می تواند به ایجاد سیاست هایی منجر شود که پیاده سازی انها در سازمان، دشوار یا غیر ممکن و یا بی اثر هستند.

امنیت یک الگوی واحدی برای همه نوع خدمات نیست. بله، برخی از ویژگی های مانند حفاظت DDoS و پیشگیری از تهدید عمومی، بصورت جهانی مهم هستند. با این حال، CSO و CISO ها باتجربه واقعا برای یک راه حل به طور کامل یکدست در بازار وجود ندارد. در عوض، آنها چیزی را ترجیح می دهند که برایشان دید اضافی و درجه کنترل بالاتر فراهم کند.جای تعجب نیست، در چند سال گذشته، بسیاری از نقشه های راه توسعه، توسط نیازهای دقیقی استخراج شده است، از ویژگی هایی که نمایش زنده از ترافیک ورودی به موتور قوانین امنیتی سفارشی شده می دهد و به کاربران اجازه میدهد تا مجموعه سیاست های امنیتی خود را با آن تنظیم نمایند.

Igal Zeifman

این نیز مهم است به یاد داشته باشید که CISO و تیم امنیتی آن،در خلا عمل نمی کنند. یکی از جنبه های حیاتی اما گاهی اوقات نادیده گرفته شده ی کار CSO یا CISO نشان دادن داستان امنیت به مدیریت بالایی در شرکت و به دیگر بخش ها و  گروه های کسب و کار است. این بدان معناست که مهارت های ارتباطی عالی و توانایی صحبت به زبان مدیریت ضروری است. CISO (یا کسی که به او مسئولیت واگذار شده است) باید قادر باشد به عنوان “نماینده روابط عمومی” برای تیم امنیتی، نیازمندی ها و الزامات امنیتی را به کسانی که برایشان امنیت یک ضرورت مهم هست تا کار فرعی، توضیح دهد.

خلاصه

سازمان شما احتمالا در حال حاضر یک ساختار امنیتی در جای خود دارد، اما ممکن است از قبل خوب طراحی نشده باشد و یا باید دوباره بازنگری شود. ، وضعیت کسب و کار تغییر و شبکه رشد کرده و چالش های جدید به وجود آمده، فن آوری های جدید به ارمغان آورد شده ومحیط های کسب و کار در حال تغییر هستند.
می طلبد که یک “تصویر بزرگ” بگیرید و به چگونگی طراحی امنیت، اجرا و مدیریت، نقش ها و مسئولیت همه ی افراد درگیر در فرایند امنیتی نگاه کنید.
در اولین بخش این نوشته از مجموعه، ما از نزدیک به نقش CSO یا CISO در ساختار امنیتی نگاه کردیم،.در قسمت ۲، بحث را با بررسی نقش امنیتی مدیران IT ادامه خواهیم داد.

منبع