ارزیابی آمادگی برای اعتماد صفر توسط کارشناسان ISF

این مطلب با هدف کمک به مدیران ارشد امنیت اطلاعات و تیم‌های ارشد امنیت، تیم‌های مدیریت و ارزیابی ریسک، مسئولان بازرسی و رعایت الزامات، مسئولان امنیت، مدیران کسب‌وکار و پیروی از استانداردهای قانونی طراحی شده است.

ISF یک طرح ارزیابی عملی ارائه کرده که به تشخیص میزان آمادگی سازمان‌ها برای پیاده‌سازی رویکرد اعتماد صفر کمک می‌کند. (معرفی سیاست اعتماد صفر) این طرح بر مبنای اطلاعات تحقیقاتی ISF، تحلیلی از کنترل‌ها و فناوری‌های لازم برای پیاده‌سازی اعتماد صفر در اختیار شما قرار می‌دهد. با استفاده از این طرح ISF، پاسخ عملی یکسری پرسش‌های رایج در زمینه اعتماد صفر را به دست می‌آورید. تعدادی از این پرسش‌ها عبارتند از:

• آیا زیرساخت و فرایندهای سازمان ما برای پیاده‌سازی رویکرد اعتماد صفر آماده هستند؟
• برای پیاده‌سازی روش اعتماد صفر، چه خلأهایی باید پر شوند؟
• در مسیر توسعه اعتماد صفر بر چه حوزه‌هایی باید متمرکز شویم؟

**جهت آشنایی بیشتر با ISF، «چگونه ISF برای سازمان‌ها ارزش‌آفرینی می‌کند؟» را بخوانید.

کارشناسان ISF یک ارزیابی ساخت‌یافته برای جمع‌آوری و تحلیل داده‌های محیط سازمان شما انجام می‌دهند. این تحلیل‌ها در 6 حوزه کلیدی زیر که پایه و اساس پیاده‌سازی موفقیت‌آمیز اعتماد صفر هستند اجرا می‌شوند:

• امنیت شبکه
• قابلیت‌های ثبت گزارش و نظارت
• داده‌ها، برنامه‌های کاربردی، دارایی‌ها و سرویس‌ها
• مدیریت پروژه و فرهنگ سازمانی
• امنیت و معماری سازمانی
• مدیریت دسترسی

براساس نتایج این ارزیابی‌ها که ظرف 10 روز در اختیارتان قرار می‌گیرند، موقعیت سازمان شما در این حوزه‌ها مشخص می‌شود. خلأهای پیاده‌سازی و قابلیتی در هر یک از حوزه‌های بالا مشخص شده و یک نقشه راه واضح برای پیاده‌سازی اعتماد صفر در اختیار شما قرار می‌گیرد.

خروجی‌های ارزیابی آمادگی برای اعتماد صفر

• معماری سازمانی و امنیتی
• فرهنگ سازمانی و مدیریت افراد
• امنیت شبکه
• قابلیت‌های ثبت گزارش و نظارت
• داده‌ها، برنامه‌های کاربردی، دارایی‌ها و سرویس‌ها
• مدیریت دارایی‌ها

جهت آمادگی برای پیاده‌سازی رویکرد اعتماد صفر، کارشناسان ISF توصیه‌هایی درباره روش‌های مؤثر در اختیار شما قرار می‌دهند. می‌توانید آنها را فوراً در سازمان خودتان پیاده‌سازی کنید. در نهایت یک طرح ارزیابی آمادگی برای اعتماد صفر، اقدامات توصیه شده برای ارتقای سیاست‌ها، رویه‌ها و کنترل‌های امنیتی دارید که با اجرای آن، استراتژی امنیتی کلی سازمان شما تقویت می‌شود.

براساس گفته یکی از کارشناسان ISF: «یکی از ویژگی‌های مهم این طرح این است که دیدگاه‌هایی کارشناسانه و مستقل درباره نقاط ضعف و قوت ما و راهنمایی‌هایی عملی که به نقاط ضعف‌ امنیتی مهم در سازمان‌مان می‌پردازند در اختیار ما قرار می‌دهد».

این طرح برای چه سازمان‌هایی مناسب است؟

طرح ارزیابی آمادگی اعتماد صفر برای همه سازمان‌ها در هر ابعادی مفید و کارآمد است و به تصمیم‌گیرندگان، مالکان دارایی‌ها و کارشناسان امنیت کمک می‌کند تا تشخیص دهند که آیا وضعیت فعلی امنیتی سازمان‌شان برای پیاده‌سازی طرح اعتماد صفر مناسب هست یا خیر.

این طرح چگونه اجرا می‌شود؟

• مرحله اول، تعامل و جمع‌آوری داده‌ها: در این مرحله کارشناسان ISF با اعضای منتخب از تیم امنیت اطلاعات و کل سازمان شما همکاری می‌کنند. هدف اصلی از اجرای این مرحله، بررسی کنترل‌های کلیدی مرتبط با موارد زیر است:
  • مدیریت دسترسی
  • معماری امنیتی و سازمان
  • مدیریت و فرهنگ
  • داده‌ها، دارایی‌ها و سرویس‌ها
  • ثبت گزارش و نظارت
  • معماری شبکه

• مرحله دوم، ارزیابی نتایج: پس از پردازش داده‌های جمع‌آوری شده برای طرح ارزیابی آمادگی اعتماد صفر، نتایج ارزیابی مشخص می‌شود. کارشناسان ISF تحلیل کاملی از نمره ارزیابی شما انجام می‌دهند و آن را با سطح توصیه شده مقایسه می‌کنند.
• مرحله سوم، بررسی کارشناسانه و نقشه راه استراتژیک: پس از ارزیابی، یک بررسی کارشناسی از گزارش انجام شده و نقشه راه استراتژیک و راهنمای پیاده‌سازی برای آن ارائه می‌شود. این بخش شامل توصیه‌هایی درباره استفاده از سایر ابزارها و منابع ISF و همچنین سایر جوامع همکار است که به پیشرفت امنیت شما در حوزه‌های شناسایی شده کمک می‌کنند. در این بخش حوزه‌هایی که منابع ISF به پیشرفت بلندمدت آنها کمک می‌کنند، تعیین خواهند شد.

برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادی‌اش روی لینک‌های زیر کلیک کنید:

• کاهش نقاط ضعف‌ کنترل‌های حیاتی با ابزار Healthcheck امنیتی ISF
• ISF چگونه برای سازمان‌ها ارزش‌آفرینی می‌کند؟
• ISF مانور امنیت سایبری