همه ما بارها شنیده ایم که فرایندها و سیستم های مدیریتی باید پویا و دینامیک باشند. اما واقعا این پویایی چیست؟ و چگونه حاصل میشود؟ در این مقاله قصد داریم به واکاوی این موضوع بپردازیم و به ساختار سیستم های مدیریت امنیت اطلاعات از منظر زمان و مدیریت آن نگاه کنیم. در ابتدا و برای پی بردن به پاسخ پرسشهای فوق لازم است که با دو مفهوم بسیار مهم آشنا شویم. این دو مفهوم عبارتند از مکانیسم و دینامیسم در سیستم های مدیریت امنیت اطلاعات.
مکانیزم ISMS
مکانیسم یا همان مکانیزم (ساز و کار) روالی است که برای تحقق هدف یا اهدافی در سازمان مستقر میشود. این روال با اجزای تشکیلدهندهاش را بهگونهای در سیستم جایگذاری میکنند که مجموعه پدید آمده تا حد نسبتاً زیادی بهصورت خودبهخودی و تکرارپذیر کارهای موردنظر را انجام دهد؛ بنابراین مکانیزم به زبان ساده به مجموعهای از اجزاء گفته میشود که ورودیهایی را به خروجیهایی تبدیل میکنند.
در استانداردهای سیستمهای مدیریتی، ایجاد این مکانیزم ها با طراحی فرایندها و روشهای اجرایی که از اجزای اصلی و اساسی این نوع سیستمها هستند محقق میشوند. اصولاً فلسفه فرایندها ایجاد روالهایی تکراری و خودبهخودی است. این روالها کمک میکنند تا بهجای انجام امور و کارها بهصورت موردی، اتفاقی، نامنظم و مبتنی بر سلایق فردی، سازمان مجهز به سازوکاری شود که از طریق آن نظم و سامان مناسبی به امور خود دهد. و کارهای سازمانی در ریلهای تعریفشدهای قرار گیرند. نوعاً مدیران و متولیان سازمانی ویژگی اصلی سیستمهای مدیریتی را همین مکانیزم و سازوکارها میدانند. ایشان معمولاً توجه لازم و درخور به دیگر خصوصیت مهم این نوع سیستمها ندارند. منظور از خصوصیت مهم دیگر همان وجه دینامیستی یا پویایی سیستم است.
دینامیسم ISMS
دینامیسم در سیستم به معنای تغییر وضعیت اجزای تشکیلدهنده سیستم در طول زمان است. به این معنا که در سیستمهای دینامیک و پویا نمیتوان رفتار سیستم را بهصورت ایستا و استاتیک پیشبینی کرد.
نگاه رایج به سیستمهای مدیریتی بیشتر با رویکرد مکانیزمی است. معمولاً پویایی سیستم ازنظرها دور میماند و اینچنین رویکردی منشأ خطر بزرگ اضمحلال و فروپاشی سیستم است. سیستمی که خودش را در طول زمان با شرایط محیط و با مقتضیات اجزای سازندهاش وفق و تطبیق ندهد چگونه میتواند مکانیزمها و سازوکارهای مناسب سازمانی را برپا نگه دارد؟! مکانیزم سیستمهای مدیریتی بدون توجه به دینامیسم این سیستمها خیلی زود اثربخشی و کارایی خود را از دست خواهند داد.
مثالهایی از نقش زمان در امنیت اطلاعات
برای درک بهتر اهمیت نقش زمان در پویایی سیستم های امنیت اطلاعات به موقعیت های زیر توجه کنید:
- خطمشیهای امنیتی که از 5 سال قبل تا امروز بازنگری و بهروز نشدهاند.
- پرسنلی که از 5 سال قبل تا به امروز دورههای آموزشی و آگاهیرسانی امنیتی نداشتهاند.
- استفاده از آنتیویروسی که آخرین بار دو ماه قبل آپدیت شده است.
- سروری که وصلههای امنیتی سیستمعامل آن شش ماه قبل نصبشده است.
- استفاده از الگوریتمهای رمزنگاری که متعلق به چندین سال قبل است و از نسخههای قویتر ارائهشده بعد از آن غفلت شده است.
- شناسی و ارزیابی ریسک امنیت اطلاعات که آخرین بار 3 سال قبل در سازمان انجامشده است.
- ارزیابی امنیتی و آزمون نفوذ شبکه که 2 سال قبل بر روی شبکه سازمان صورت گرفته است.
- کمیته امنیت اطلاعاتی که بجای برگزاری ماهانه جلسات، فقط سالی یکبار بهصورت صوری تشکیل میشود.
- حوادث امنیت اطلاعاتی که بهموقع کشف و برطرف نمیشوند.
- سناریوهای مدیریت بحرانی که بار آخر 3 سال قبل طراحیشدهاند.
زمان، عنصر گمشده!
در همه این موقعیتها که البته به آنها میتوان موارد بسیار دیگری نیز اضافه نمود به یک پارامتر مهم بیتوجهی شده و آن زمان است. توجه به زمان و مدیریت آن بیش از هر چیزی در اثربخش نگاهداشتن امنیت اطلاعات ضروری است زیرا که طبیعت امنیت اطلاعات دینامیک و پویاست.
استفاده و نصب بهترین آنتیویروس دنیا که بهروز نمیشود، بهرهمندی از بهترین و گرانقیمتترین سرورهایی که سیستمعامل آنها بهطور منظم و با مدیریت مناسب زمانی وصله گذاری نمیشوند، بهکارگیری بهترین الگوریتم رمزنگاری که برای گذشته است، بهترین خطمشیهای امنیتی که بر اساس مقتضیات زمانی بهروزآوری نمیشوند و یا تکیهبر نتایج آزمون نفوذ انجامشده توسط یک تیم متخصص و حرفهای که برای چندین سال قبل است، برای امروز سازمان شما کاملاً کم اثر و بیفایده هستند.
تدابیر استاندارد iso 27001 برای ایجاد پویایی در مدیریت امنیت اطلاعات
استاندارد ایزو ۲۷۰۰۱ و دیگر سیستمهای مدیریتی برای ایجاد پویایی در سیستم، الزاماتی ایجاد کردهاند که بعضاً شالوده استاندارد را شکل میدهند. ازجمله این الزامات بازنگریهای متعددی است که به انحاء مختلف در استاندارد تعبیهشده است. بازنگری خطمشی، بازنگری مستندات، بازنگری ریسک، بازنگری مدیریتی، بازنگری شاخصهای سنجش عملکرد و… از نمونههای برجسته این نوع الزامات هستند. تمامی این الزامات باهدف بهروزآوری مکانیزم ها و روالهای سیستم در طول زمان در استانداردهای مدیریتی تعبیهشدهاند.
فلسفه اصلی چرخه PDCA و بهبود مستمر در استانداردهای سیستمهای مدیریتی ازجمله سیستم مدیریت امنیت اطلاعات و استاندارد ایزو 27001 توجه به موضوع زمان و اهمیت مدیریت زمان است.
پروژه یا پروسه؟ مسئله این است!
فرایند و سیستم ماهیتی زنده است و در امواج زمان جاری ست درحالیکه پروژهها در بازه تعریفشدهای از زمان زنده هستند.
اگر قصد دارید طراحی و اجرای امنیت اطلاعات را در چارچوبهای مختلف ازجمله ISMS در سازمان خود به چشم یک پروژه ببینید توصیه میکنم وقت، هزینه و انرژی زیادی برای آن صرف نکنید. چون محصول ناشی از چنین تفکری، مرده به دنیا خواهد آمد. و برعکس اگر نگاهتان به امنیت اطلاعات و ISMS مبتنی بر پروسه و فرایند است، بدانید که هر میزان وقت، انرژی و هزینه بگذارید، سرمایهگذاری کردهاید. زیرا که جادوی اثر مرکب، تأثیر خود را در بهبود مستمر سیستم به شما نشان خواهد داد و دیری نمیگذرد که بلوغ سازمانی شما فراتر ازآنچه انتظار داشتید، رشد خواهد کرد. و شما دارای چارچوبی پویا و دینامیک جهت مدیریت امنیت اطلاعات خواهید بود.
نقش نرم افزارهای تخصصی در ایجاد یک سیستم مدیریت امنیت اطلاعات پویا
یکی از روشهایی که میتواند پویایی و تحرک سیستمهای مدیریتی را برقرار نماید، استفاده از ابزارها و نرمافزارهای مناسب مدیریتی است. نرمافزار مدیریت امنیت اطلاعات بادبان بهعنوان یک ابزار قدرتمند طراحی و پیادهسازی ISMS شناخته میشود. بادبان این امکان را فراهم میکند تا در کنار طراحی و استقرار مکانیزم ها و روالهای امنیت اطلاعات، جنبه دینامیکی و پویایی سیستم خود را نیز حفظ کنید.
در نرمافزار بادبان تلاش کردیم که طبیعت دینامیک امنیت اطلاعات را از طرق مختلف در فرایندهای شناسایی، ارزیابی و مقابله با ریسک و نیز دیگر فرایندهای استاندارد ایزو 27001 مانند سنجش عملکرد مدنظر قرار دهیم. متخصصین ما، ریسکهای جدید را بر روی اقلام مختلف اطلاعاتی رصد و در پایگاه دانش نرمافزار بادبان بهروز میکنند. همچنین فرایند مدیریت وظایف تعبیهشده در نرمافزار بادبان کمک میکند تا ریسکهای خارج از بازه پذیرش سازمان به شکل مناسبی ازنظر زمانی مدیریت شوند. اندازهگیری عملکرد سیستم مدیریت امنیت اطلاعات نیز بهصورت پویا بهروزآوری میشود. و این امکان را به مدیران سازمان میدهد که در لحظه در جریان وضعیت شاخصهای امنیت اطلاعات سازمان قرار گیرند.