مدیریت امنیت | ترسیم نقشه امنیت
هدف نهایی مدیریت امنیت این است که این اطمینان ایجاد شود که امنیت داراییهای تجاری و فناوریهای سازمان به خوبی تضمین شده و به هیچ وجه به خطر نمی افتد. ما خواهیم دید که چگونه یک متخصص امنیت برای رسیدن به این هدف نقشه امنیت سازمان را ترسیم می کند. ما در مورد مراحلی که می تواند در یک برنامه امنیتی به کار رود صحبت خواهیم کرد. تا در نهایت یک دید ۳۶۰ درجه ای از حوزه امنیت اطلاعات بدست بیاوریم.
اولین قدم در یک طرح مدیریت امنیت انجام یک تحلیل “شکاف” (در ادامه مقاله راجب شکاف صحبت خواهیم) خواهد بود. “تجزیه و تحلیل شکاف” آسیب پذیری های موجود در زیرساختها را مشخص می کند. ما در مرحله بعد منابع انسانی، وضعیت مالی و محرکهای فناوری را در سازمان شناسایی خواهیم کرد.
پس از شناسایی وضعیت سازمان، قدم بعدی وصله کردن آسیبپذیریها با ارائه توصیه های مبتنی بر “بهرروش ها” خواهد بود. برای وصله کردن آسیبپذیریها باید سیاستها و استانداردهای جدیدی ایجاد شود. هچنین وظایف امنیتی مناسب برای اجرا توسط بخشهای مختلف سازمان باید مشخص شود.
پس از ایجاد سیاستهای جدید، باید استفاده از برنامه های آگاهی رسانی امنیتی به کل سازمان منتقل شوند.سرانجام مدیریت باید بداند که برنامه امنیتی موفقیتآمیز است و کنترلهای امنیتی مناسبی نیز نصب شده است. این کار با استفاده از برنامه تست نفوذ انجام می شود.
بیایید با جزئیات بیشتری درباره مدیریت امنیت بحث کنیم:
انجام تجزیه و تحلیل شکاف:
“ارزیابی شکاف مقایسه ای است بین آنچه در یک شرکت وجد دارد و آنچه مورد نیاز است”. تجزیه و تحلیل شکاف خود شامل چندین مرحله است و می تواند در هر بخش انجام شود. به عبارت ساده تجزیه و تحلیل شکاف سیاستهای امنیتی موجود، حفاظت از فناوریهای امنیتی مانند فایروال ها، VPNها، سرورها، فرآیندهای تداوم کسب و کار و استانداردهای کنترل دسترسی را در برابر استانداردهای مورد نیاز تجزیه و تحلیل می کند. این استاندارد های لازم ممکن است دستورالعمل های HIPAA یا دستورالعمل های ISO17799 باشد. “تجزیه و تحلیل شکاف” آسیب پذیری ها (مانند ویروسها، نشت دادهها، امضاهای قدیمی ویروس و غیره) را در محیط سازمانی و مراحل بهبود آسیبپذیریها را مورد بررسی قرار می دهد. هر روتر، فایروال و نرم افزار ضد ویروس بررسی می شود و “شکاف” از دست رفته پیدا می شود.
شناسایی منابع درون سازمان:
در مرحله بعدی ما منابع تجاری را در یک سازمان شناسایی خواهیم کرد. منابع تجاری چیست؟ منابع تجاری “برای یک شرکت نرم افزاری ممکن است محصولات برتر، نوآوری های تکنولوژیکی، بازاریابی عالی و پشتیبانی مداوم از مشتری” باشد. اکنون شکاف های مفقود شده را برای مدیران قسمتهای مختلف سازمان مشخص می کنیم و نشان می دهیم که چگونه کسب و کار براثر آنها میتواند تحت تأثیر قرار بگیرد.
انجام مراحل ترمیم:
پس از یافتن شکافهای گمشده و آسیبپذیریها، مراحل اصلاح انجام می شود و توصیه های جدیدی ارائه می شود. توصیه ها بر اساس NIST و مطابق با “بهروشها” ارائه می شود. به عنوان مثال، سند NIST SP 800-14 (“اصول و روشهای کلی پذیرفته شده برای ایمن سازی سیستمهای فناوری اطلاعات”) برای کلیه سازمانهایی که به دنبال یک برنامه امنیتی اساسی هستند تدوین شده است. “بهروش ها” ممکن است نصب نرم افزار ضد ویروس فعلی را بر روی همه سیستم ها یا رمزگذاری ایمیل را توصیه کند. این توصیه ها سپس برای منابع سازمان انجام می شود تا نشان دهد خطرات مربوط به سازمان از بین رفته است. در نظر داشته باشید که این توصیههای امنیتی باید توسط مدیریت تایید شوند.
مشخص سازی نقش پرسنل امنیت برای اجرای کنترل های امنیتی جدید:
به اعضای مختلف تیم امنیتی مانند CISO، کارشناس امنیت و مسئول ارشد امنیت اطلاعات، وظایف مناسبی برای اجرای برنامه امنیتی و اجرای کنترلهای مختلف داده خواهد شد.
اجرای آگاهی رسانی امنیتی:
برای اطلاع رسانی سیاستهای جدید به بقیه سازمان باید ارتباطات مؤثری انجام شود. این کار با استفاده از برنامه های آموزش آگاهی امنیتی انجام خواهد شد. مفاهیم آگاهی امنیتی باید بروز و خلاقانه باشند و توجه کاربر را به خود جلب کنند. این کار باید آگاهی کارمندان را در مورد سیاستهای جدید و قوانین جدید امنیتی در سازمان را افزایش دهد.
سنجش تاثیر برنامه آگاهی رسانی امنیتی:
پس از اجرای کنترل های امنیتی، مدیریت باید بداند که طرح امنیتی که ایجاد شده موفقیت آمیز است یا نه؟ برای نشان دادن این موضوع از یک برنامه سنجش مناسب استفاده خواهیم کرد. اسناد مختلف NIST راهکارهایی برای انجام یک برنامه سنجش ارائه می دهد. به عنوان مثال سند NIST 800-55 “راهنمای اندازه گیری عملکرد برای امنیت اطلاعات” است.
دادهها در فواصل زمانی مختلف جمع آوری می شوند و نتایج با توجه به معیارهای مختلف اندازه گیری می شود. برنامه امنیت اطلاعات هنگامی موفقیت آمیز است که برنامه سنجش کارآیی آنرا نشان دهد. با اینکار پیشرفت برنامه امنیت در طی یک دوره زمانی خاص مشاهده می شود. یک برنامه امنیتی که یک بار ایجاد و اجرا شود، تضمین می کند که داراییهای فیزیکی و داراییهای اطلاعاتی هر سازمان به هیچ وجه به خطر نمی افتد.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
119 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
183 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.67k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.16k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.38k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.55k بازدید
1 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
دیدگاهتان را بنویسید لغو پاسخ
برای نوشتن دیدگاه باید وارد بشوید.
هر چقدر بیشتر در این زمینه آموزش می بینم احساس می کنم که هنوز خیلی جاها کار دارم که بیشتر وقت بذارم و یاد بگیرم. این حوزه رو نتها به خاطر شغلی که دارم بلکه واقعا بهش علاقه مند هستم و با این ساینت هر روز علاقه ام نیز بیشتر میشه.