مقالات مرکز
1396/9/1 چهارشنبهشش توصيه براي بهبود وضعيت افتا:
افزايش مقاومت سايبري سازمان
تأمين افتا نيازمند برخورداري از رويکردي منسجم و مکرر اما انعطاف پذير است تا بتوان به دستاوردهاي پايدار و قابل سنجش دست پيدا کرد. با اين حال، اغلب سازمان ها به دنبال راه حل هاي سريعي هستند که با استفاده از آنها ديگر نيازي به کنترل، تعهد و تلاش وجود نداشته باشد. در نتيجه، وضعيت مقاومت سازمان ها در حوزه افتا به شدت رو به کاهش است.
امروزه، مخاطرات سايبري تمامي سازمان ها را تهديد مي کنند. ممکن است همين امروز يک پيام از باج افزار معروف Petya يا WannaCry دريافت کنيد يا وارد حساب بانکي خود شويد و ببينيد حسابتان خالي شده است. از اين رو، سازمان ها بايد به امنيت زيرساخت هاي حياتي خود فکر کنند و اقدامات مناسب براي حفظ سلامت سازمان در فضاي سايبري را به کار بگيرند. تأمين افتا، همچون حفظ سلامت و تناسب اندام، نيازمند رويکردي منسجم و قابل تکرار اما انعطافپذير است تا بتوان به دستاوردهاي پايدار و قابل سنجش دست پيدا کرد. با اين حال، در هر دو مورد، مردم به دنبال يک راه حل سريع مثل خوردن يک قرص هستند که با استفاده از آن ديگر نيازي به کنترل شخصي، تعهد و تلاش وجود نداشته باشد. همچنين در هر دو مورد، سيل مداومي از محصولات يا امکانات گوناگون وارد بازار مي شود که وعده ها، حيله ها و شعارهاي نسبتاً يکساني با يکديگر دارند. در نتيجه، علي رغم تمام اين وعده ها و اهداف مثبت، وضعيت تناسب اندام فيزيکي و مقاومت در افتا به شدت رو به کاهش است. در اين نوشتار، به اين موضوع مي پردازيم که چرا سازمان ها بايد اقدامات مناسبي در جهت حفظ سلامت خود بينديشند و رويکرد بهبود مداوم را در پيش گيرند تا مطمئن شوند وضعيت افتا، همگام با سرعت رشد تهديدات ناگزير در جهان آنلاين امروزي، بهبود مي يابد.
مقاومت، به معني توانايي بازيابي سريع پس از حوادث يا شرايط ناخوشايند است. در جهان ابَرمتصل و هميشه آنلاينِ کسب وکارهاي ديجيتال امروزي، هکرها به طور پيوسته حملات خودکار خود را عليه برنامه هاي کاربردي و زيرساخت هاي حساس به کار مي گيرند تا آسيب پذيري هاي آنها را شناسايي کنند. اما برعکسِ هکرها، تيم هاي امنيت سازمان ها معمولاً ارزيابي آسيب پذيري ها و تست امنيت برنامه هاي کاربردي خود را به صورت دورهاي و دستي انجام مي دهند. با توجه به اين موارد، چند گام ضروري براي تداوم کسب وکارها و حفظ سلامت آنها تشريح مي شوند:

1- وضعيت فعلي را مشخص کنيد
اولين گام اين است که درک جامعي از وضعيت فعلي امنيت و ويژگي هاي کلي مخاطرات در سازمان خود داشته باشيد. انجام اين کار براي آن اهميت دارد که بتوانيد روند بهبود وضعيت را ارزيابي و رهگيري کنيد. به همين دليل است که براي نشان دادن سير پيشرفت تناسب اندام افراد، تصاويري از قبل و بعد انجام تمرين ها نشان مي دهند. در واقع، شما نمي توانيد از چيزي که اطلاعاتي در مورد آن نداريد، حفاظت کنيد. بنابراين، برخورداري از پديداري کامل و پيوسته از همه دارايي هاي IT، اقدام بسيار مهمي است. سپس، اين دارايي ها بايد بر اساس نتايج ارزيابي مخاطرات فعلي و الزامات حريم خصوصي داده ها، دسته بندي شوند. اين فرايند دسته بندي را بايد با بيشترين سرعت ممکن انجام داد؛ زيرا در جهان پرشتاب امروزي که در آن ابر در اولويت است، تغييرات با سرعت بسيار بالايي رخ مي دهند.

2- يک برنامه راهبردي تدوين و پياده سازي کنيد
گام بعدي، طراحي يک برنامه راهبردي است که رويکردي مداوم در تست امنيت کدها و برنامه هاي کاربردي دارد و اين فرايندهاي تست پيوسته را در روند استقرار و يکپارچه سازي مداوم (CI/CD) در DevOps جاي مي دهد. به اين کار معمولاً حرکت به چپ مي گويند؛ زيرا تست امنيت در گذشته، يک فرايند فرعي بود که پس از توليد و استقرار محصول انجام مي شد و در جدول زمان بندي انجام پروژه ها، در آخرين خانه هاي سمت راست جدول قرار مي گرفت. اما امروزه، برترين اقدامات و تجارب امنيتي وارد چرخه عمر توسعه نرم افزارها شده اند. در نتيجه، آسيب پذيري ها و نواقص نرم افزاري حالا زودتر مورد شناسايي قرار مي گيرند و قبل از اين که وارد محيط توليد شوند، سريعاً اصلاح مي گردند.

3- برنامه راهبردي خود را در سطح سازمان اعلام کنيد
علاوه بر تغيير فناوري، فرهنگ سازمان نيز بايد با تمرکز بر افزايش همکاري و ارتباطات بين تيم هاي DevOps و SecOps دگرگون شود. بهترين راه براي تغيير فرهنگ، ايجاد شفافيت است؛ و شفافيت نيز از طريق همسو کردن پاسخ ها به چنين پرسش هايي ايجاد مي شود: «موفقيت چگونه سنجيده مي شود؟» و «اولويت اصلي در حال حاضر چيست؟» يکي از مؤلفه هاي ديگر اين برنامه، تعريف مناسبِ توافقنامه هاي سطح خدمات (SLA) به شيوه‌اي است که بازسازي را تسريع کنند و تناقضات و مشاجرات بين تيم ها را از بين ببرند. اين جمله که «امنيت، مسئوليت همه افراد است» بايد واقعاً خط مشي سازمان باشد. همچنين بايد به خوبي نشان داده شود که تأمين امنيت با سختگيري محقق نمي شود، بلکه امنيت بايد در کل چرخه عمر توسعه نرم افزارها به صورت کامل، ترکيب شود.

4- دائماً اجرا کنيد و بسنجيد
پس از اعلام برنامه راهبردي و آغاز دگرديسي فرهنگي، گام بعدي در مسير مقاوم سازي کسب وکار در فضاي سايبري، اجراي مداوم اين برنامه راهبردي به همراه سنجش معيارهايي است که نشان دهنده موفقيت کسب وکار هستند. همان طور که پيشتر مطرح شد، رويکردهاي افزايش مقاومت امنيت نمي توانند به صورت دوره اي يا تنها در اوقات فراغت صورت بگيرند. هر برنامه اي که فکر مي کنيد براي کسب وکار و فرهنگ تان مناسب است، بايد به صورت مداوم و مکرر اجرا شود. مداومت و تکرار، کليد موفقيت است. بهبود وضعيت افتا همانند يک مسابقه شطرنج درازمدت است که بايد حرکات بعدي خود را به طور روشمند و دقيق انتخاب کنيد.

5- متعهد بمانيد
همانند تمام برنامه هاي موفق تناسب اندام، براي موفقيت در مقاوم سازي کسب وکار نيز بايد متعهد و مسئوليت پذير باشيد. يکي از بهترين روش ها براي دستيابي به اين اصل، داشتن يک هم تيمي يا فردي است که به شما انگيزه مي دهد تا هر روز ساعت شش صبح، يعني زماني که ترجيح مي دهيد بخوابيد، از خواب بيدار شويد و برنامه هاي خود را پيگيري کنيد. در حيطه افتا، اين فرد مي تواند همکاري باشد که وظيفه شما را درک مي کند و به موفقيت کل سازمان اهميت مي دهد. پس از انجام يک تست موفق امنيتي، احتمال دارد به همين وضعيت رضايت بدهيد و دست از تلاش برداريد؛ اما بايد به خاطر داشته باشيد که تست امنيت، يک فرايند مستمر و مداوم است. ارزش فردي که اين نکته را به شما يادآوري مي کند، قابل سنجش نيست. دليل دارد که کارشناسان تناسب اندام مي گويند: «تناسب اندام يک سبک زندگي است». بهترين راه براي دستيابي به نتيجه دلخواه، اين است که امنيت به بخشي از زندگي روزمره شما تبديل شود.

6- به گام اول بازگرديد
با توجه به تکامل و گسترش مداوم چشم انداز تهديدات سايبري، اجراي گام اول و تعيين وضعيت فعلي، به تدريج ناخوشايندتر مي شود. اما اين امر را نبايد موضوعي منفي در نظر گرفت، بلکه بايد آن را يک فرصت دانست. مخاطره، در ماهيت فعلي خود، موجوديتي انعطاف پذير است که همچون وضعيت امنيت در يک سازمان، تکامل و گسترش مي يابد. اينجا است که سنجش مستمر معيارهاي مهم در گام چهارم دوباره اهميت مي يابد. پديداري و مقاومت، وضعيت هاي ايستايي در حوزه امنيت نيستند، بلکه انعطاف پذيرند و همواره در حال تکامل هستند. در بحث دگرديسي فرهنگي، رهبري سازمان بايد همواره سطح فعلي مخاطرات و نقش آنها در کسب وکار اصلي را بسنجد و آن را به اطلاع افراد در سازمان برساند.
همانند برنامه هاي تناسب اندام، اين شش گام را نيز مي توان تغيير داد تا با الزامات امنيتي شما در حال حاضر و در آينده، همخوان شوند و يک چارچوب راهبردي فراهم آورند که بتوان آن را در تمام محيط هاي کسب وکاري به کار گرفت. هر کاري که ارزش انجام داشته باشد، بهتر است به بهترين نحو انجام شود. بنابراين، از اين ابزارهاي کم خطا استفاده کنيد تا به سازمان خود در تدوين رويکردي مستمر و پيش کنشگر7 کمک نماييد تا بتواند معيارهاي مناسبي براي حفظ سلامت خود ايجاد و آنها را عملي کند.
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان شهید بهشتی، خیابان شهید صابونچی، کوچه دهم ،پلاک 36 ،مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.