زمان مهمترین عامل در پویایی مدیریت امنیت اطلاعات

همه ما بارها شنیده ایم که فرایندها و سیستم های مدیریتی باید پویا و دینامیک باشند. اما واقعا این پویایی چیست؟ و چگونه حاصل میشود؟ در این مقاله قصد داریم به واکاوی این موضوع بپردازیم و به ساختار سیستم های مدیریت امنیت اطلاعات از منظر زمان و مدیریت آن نگاه کنیم. در ابتدا و برای پی بردن به پاسخ پرسشهای فوق لازم است که با دو مفهوم بسیار مهم آشنا شویم. این دو مفهوم عبارتند از مکانیسم و دینامیسم در سیستم های مدیریت امنیت اطلاعات.

مکانیزم ISMS

مکانیسم یا همان مکانیزم (ساز و کار) روالی است که برای تحقق هدف یا اهدافی در سازمان مستقر می‌شود. این روال با اجزای تشکیل‌دهنده‌اش را به‌گونه‌ای در سیستم جایگذاری می‌کنند که مجموعه پدید آمده تا حد نسبتاً زیادی به‌صورت خودبه‌خودی و تکرارپذیر کارهای موردنظر را انجام دهد؛ بنابراین مکانیزم به زبان ساده به مجموعه‌ای از اجزاء گفته می‌شود که ورودی‌هایی را به خروجی‌هایی تبدیل می‌کنند.

در استانداردهای سیستمهای مدیریتی، ایجاد این مکانیزم ها با طراحی فرایندها و روش‌های اجرایی که از اجزای اصلی و اساسی این نوع سیستمها هستند محقق میشوند. اصولاً فلسفه فرایندها ایجاد روال‌هایی تکراری و خودبه‌خودی است. این روال‌ها کمک می‌کنند تا به‌جای انجام امور و کارها به‌صورت موردی، اتفاقی، نامنظم و مبتنی بر سلایق فردی، سازمان مجهز به سازوکاری شود که از طریق آن نظم و سامان مناسبی به امور خود دهد. و کارهای سازمانی در ریل‌های تعریف‌شده‌ای قرار گیرند. نوعاً مدیران و متولیان سازمانی ویژگی اصلی سیستم‌های مدیریتی را همین مکانیزم و سازوکارها می‌دانند. ایشان معمولاً توجه لازم و درخور به دیگر خصوصیت مهم این نوع سیستم‌ها ندارند. منظور از خصوصیت مهم دیگر همان وجه دینامیستی یا پویایی سیستم است.

دینامیسم ISMS

دینامیسم در سیستم به معنای تغییر وضعیت اجزای تشکیل‌دهنده سیستم در طول زمان است. به این معنا که در سیستمهای دینامیک و پویا نمی‌توان رفتار سیستم را به‌صورت ایستا و استاتیک پیش‌بینی کرد.

نگاه رایج به سیستمهای مدیریتی بیشتر با رویکرد مکانیزمی است. معمولاً پویایی سیستم ازنظرها دور می‌ماند و این‌چنین رویکردی منشأ خطر بزرگ اضمحلال و فروپاشی سیستم است. سیستمی که خودش را در طول زمان با شرایط محیط و با مقتضیات اجزای سازنده‌اش وفق و تطبیق ندهد چگونه می‌تواند مکانیزم‌ها و سازوکارهای مناسب سازمانی را برپا نگه دارد؟! مکانیزم‌ سیستم‌های مدیریتی بدون توجه به دینامیسم این سیستم‌ها خیلی زود اثربخشی و کارایی خود را از دست خواهند داد.

مثالهایی از نقش زمان در امنیت اطلاعات

برای درک بهتر اهمیت نقش زمان در پویایی سیستم های امنیت اطلاعات به موقعیت های زیر توجه کنید:

خط‌مشی‌های امنیتی که از 5 سال قبل تا امروز بازنگری و به‌روز نشده‌اند.
پرسنلی که از 5 سال قبل تا به امروز دوره‌های آموزشی و آگاهی‌رسانی امنیتی نداشته‌اند.
استفاده از آنتی‌ویروسی که آخرین بار دو ماه قبل آپدیت شده است.
سروری که وصله‌های امنیتی سیستم‌عامل آن شش ماه قبل نصب‌شده است.
استفاده از الگوریتم‌های رمزنگاری که متعلق به چندین سال قبل است و از نسخه‌های قوی‌تر ارائه‌شده بعد از آن غفلت شده است.
شناسی و ارزیابی ریسک امنیت اطلاعات که آخرین بار 3 سال قبل در سازمان انجام‌شده است.
ارزیابی امنیتی و آزمون نفوذ شبکه که 2 سال قبل بر روی شبکه سازمان صورت گرفته است.
کمیته امنیت اطلاعاتی که بجای برگزاری ماهانه جلسات، فقط سالی یک‌بار به‌صورت صوری تشکیل می‌شود.
حوادث امنیت اطلاعاتی که به‌موقع کشف و برطرف نمی‌شوند.
سناریوهای مدیریت بحرانی که بار آخر 3 سال قبل طراحی‌شده‌اند.

زمان، عنصر گمشده!

در همه این موقعیت‌ها که البته به آن‌ها می‌توان موارد بسیار دیگری نیز اضافه نمود به یک پارامتر مهم بی‌توجهی شده و آن زمان است. توجه به زمان و مدیریت آن بیش از هر چیزی در اثربخش نگاه‌داشتن امنیت اطلاعات ضروری است زیرا که طبیعت امنیت اطلاعات دینامیک و پویاست.

استفاده و نصب بهترین آنتی‌ویروس دنیا که به‌روز نمی‌شود، بهره‌مندی از بهترین و گران‌قیمت‌ترین سرورهایی که سیستم‌عامل آن‌ها به‌طور منظم و با مدیریت مناسب زمانی وصله گذاری نمی‌شوند، به‌کارگیری بهترین الگوریتم رمزنگاری که برای گذشته است، بهترین خط‌مشی‌های امنیتی که بر اساس مقتضیات زمانی به‌روزآوری نمی‌شوند و یا تکیه‌بر نتایج آزمون نفوذ انجام‌شده توسط یک تیم متخصص و حرفه‌ای که برای چندین سال قبل است، برای امروز سازمان شما کاملاً کم اثر و بی‌فایده هستند.

بادبان، نرم افزار هوشمند ISMS پویا و مدیریت ریسک مطابق ایزو 27005 و ایزو 27001 و در چارچوب چرخه PDCA

بادبان، سامانه نرم‌افزاری هوشمندیست که بوسیله آن می‌توانید فرایند استقرار ISMS را به آسانی طی نمایید.

تدابیر استاندارد iso 27001 برای ایجاد پویایی در مدیریت امنیت اطلاعات

استاندارد ایزو ۲۷۰۰۱ و دیگر سیستمهای مدیریتی برای ایجاد پویایی در سیستم، الزاماتی ایجاد کرده‌اند که بعضاً شالوده استاندارد را شکل می‌دهند. ازجمله این الزامات بازنگری‌های متعددی است که به انحاء مختلف در استاندارد تعبیه‌شده است. بازنگری خط‌مشی، بازنگری مستندات، بازنگری ریسک، بازنگری مدیریتی، بازنگری شاخص‌های سنجش عملکرد و… از نمونه‌های برجسته این نوع الزامات هستند. تمامی این الزامات باهدف به‌روزآوری مکانیزم ها و روال‌های سیستم در طول زمان در استانداردهای مدیریتی تعبیه‌شده‌اند.

فلسفه اصلی چرخه PDCA و بهبود مستمر در استانداردهای سیستم‌های مدیریتی ازجمله سیستم مدیریت امنیت اطلاعات و استاندارد ایزو 27001 توجه به موضوع زمان و اهمیت مدیریت زمان است.

پروژه یا پروسه؟ مسئله این است!

فرایند و سیستم ماهیتی زنده است و در امواج زمان جاری ست درحالی‌که پروژه‌ها در بازه‌ تعریف‌شده‌ای از زمان زنده هستند.

اگر قصد دارید طراحی و اجرای امنیت اطلاعات را در چارچوب‌های مختلف ازجمله ISMS در سازمان خود به چشم یک پروژه ببینید توصیه می‌کنم وقت، هزینه و انرژی زیادی برای آن صرف نکنید. چون محصول ناشی از چنین تفکری، مرده به دنیا خواهد آمد. و برعکس اگر نگاهتان به امنیت اطلاعات و ISMS مبتنی بر پروسه و فرایند است، بدانید که هر میزان وقت، انرژی و هزینه بگذارید، سرمایه‌گذاری کرده‌اید. زیرا که جادوی اثر مرکب، تأثیر خود را در بهبود مستمر سیستم به شما نشان خواهد داد و دیری نمی‌گذرد که بلوغ سازمانی شما فراتر ازآنچه انتظار داشتید، رشد خواهد کرد. و شما دارای چارچوبی پویا و دینامیک جهت مدیریت امنیت اطلاعات خواهید بود.

نقش نرم افزارهای تخصصی در ایجاد یک سیستم مدیریت امنیت اطلاعات پویا

یکی از روش‌هایی که می‌تواند پویایی و تحرک سیستم‌های مدیریتی را برقرار نماید، استفاده از ابزارها و نرم‌افزارهای مناسب مدیریتی است. نرم‌افزار مدیریت امنیت اطلاعات بادبان به‌عنوان یک ابزار قدرتمند طراحی و پیاده‌سازی ISMS شناخته میشود. بادبان این امکان را فراهم میکند تا در کنار طراحی و استقرار مکانیزم ها و روال‌های امنیت اطلاعات، جنبه دینامیکی و پویایی سیستم خود را نیز حفظ کنید.

در نرم‌افزار بادبان تلاش کردیم که طبیعت دینامیک امنیت اطلاعات را از طرق مختلف در فرایندهای شناسایی، ارزیابی و مقابله با ریسک و نیز دیگر فرایندهای استاندارد ایزو 27001 مانند سنجش عملکرد مدنظر قرار دهیم. متخصصین ما، ریسک‌های جدید را بر روی اقلام مختلف اطلاعاتی رصد و در پایگاه دانش نرم‌افزار بادبان به‌روز می‌کنند. همچنین فرایند مدیریت وظایف تعبیه‌شده در نرم‌افزار بادبان کمک می‌کند تا ریسک‌های خارج از بازه پذیرش سازمان به شکل مناسبی ازنظر زمانی مدیریت شوند. اندازه‌گیری عملکرد سیستم مدیریت امنیت اطلاعات نیز به‌صورت پویا به‌روزآوری می‌شود. و این امکان را به مدیران سازمان می‌دهد که در لحظه در جریان وضعیت شاخص‌های امنیت اطلاعات سازمان قرار گیرند.