در زمان رکورد اقتصادی، جرایم سایبری نیز رونق پیدا میکنند. از طرفی با توجه به گرایش و حرکت سازمانها به سمت تحول دیجیتال و انجام فعالیتها به صورت آنلاین، اهمیت حفاظت از دادهها و داراییهای حیاتی هم افزایش مییابد. در همین راستا مجموعه ابزارهای هماهنگ ISF 2020 با هدف کمک به حفظ چابکی و سرعت عمل سازمانها در هنگام تصمیمگیری و افزایش امنیت در صورت مواجه با با چالشهای دنیای جدید طراحی شدهاند.
این مجموعه که بر اساس بیش از 30 سال دانش و همکاری در حوزه امنیت اطلاعات، پشتیبانی از کسبوکارها برای انجام ارزیابیها و برآورده کردن نیازهای امنیتی و قوانین به وجود آمده، طراحی شدهاند، به سازمانها برای پاسخ به پرسشهای مختلف از جمله موارد زیر کمک میکند:
- چگونه منابعی که تحت فشار و محدود هستند را اولویتبندی کنیم؟
- چگونه سطح ریسک قابل مدیریت را برای اطلاعات مشخص کنیم؟
- چگونه از امنیت زنجیره تأمین مطمئن شویم؟
- چگونه از رعایت الزامات مربوط به استانداردهای مختلف اطمینان حاصل کنیم؟
مجموعه ابزارهای هماهنگ ISF که به صورت اختصاصی برای اعضای ISF طراحی شده به سازمانها برای صرفهجویی در وقت، اولویتبندی سرمایهگذاریها و تصمیمگیریهای هوشمندانهتر کمک میکند.
داراییها، پیروی از الزامات، ایجاد اطمینان
مجموعه ابزارهای هماهنگ استاندارد ISF شامل مجموعهای از 14 ابزار ISF و مراجع راهنمای متقابل از جمله یک پلتفرم بنچمارک بازسازی شده و نرمافزار تحت وب جدید IRAM2 است. این مجموعه که منطبق با جدیدترین نسخه از استاندارد روشهای توصیه شده برای امنیت اطلاعات 2020 (SOGP 2020) ایجاد شده، شامل بررسی سلامت امنیتی، ابزارهای شتابدهنده زنجیره تأمین و مراجع متقابل SOGP 2020 است و به اعضا کمک میکند تا هماهنگی خودشان با استانداردهای بینالمللی را سنجیده و از وجود امنیت در اکوسیستم تأمینکنندگان خارجی مطمئن شوند.
SOGP 2020 یک مرجع پیشرو در زمینه امنیت اطلاعات است که سیاستها، رویهها و فریمورکی برای پشتیبانی از اعضا در زمینه پیادهسازی ISMS[1] و طرح مقاومت سایبری دارد. SOGP 2020 با هدف کمک به رعایت الزامات سایر فریمورکها و استانداردهای مرتبط با امنیت طراحی شده و به اعضا برای تأمین امنیت اطلاعات و برآورده کردن الزامات استاندارد ISO/IEC 27002:2013، فریمورک امنیت سایبری NIS، CIS Top 20، PCI DSS و COBIT 5 کمک میکند.
- بنچمارک: یک ابزار آنلاین استراتژیک جهت بازبینی و ارتقای تدابیر امنیتی است. اعضا با استفاده از این ابزار میتوانند وضعیت امنیتی خودشان را در سطوح مختلف بررسی کنند. بنچمارک از همه فعالیتهای مرتبط با رعایت الزامات قانونی و تضمین امنیت، حمایت میکند. اعضا میتوانند وضعیتشان را با سایر بخشهای سازمان خود و همچنین گروههای همتای دلخواهشان مقایسه کرده و مقایسههای مورد نیاز را با صنایع و مناطق مختلف انجام دهند. آنها از طریق ابزار بنچمارک به دادههای هدفمند واقعی برای تصمیمگیری در زمینه سرمایهگذاری دسترسی دارند. همچنین میتوانند از بنچمارک برای ارزیابی عملکرد شرکتهای تأمین کننده در مقایسه با فریمورکها و استانداردهای مختلف امنیت اطلاعات استفاده کنند.
- : یک ابزار مفید با قابلیت استفاده راحت است که به اعضا امکان میدهد وضعیت امنیتی محیطهای مختلف در سازمان خودشان مثل واحدهای بیزنسی یا برنامههای کاربردی را بررسی کنند. همچنین میتوان از این ابزار برای ارزیابی وضعیت امنیتی شرکتهای ارایهدهنده خدمات هم استفاده کرد. یک نسخه به نام ابزار خلاصهسازی هم ارایه شده که نتایج ارزیابیهای کنترلی مختلف را جمع و با هم مقایسه میکند. برای ایجاد تأثیر بیشتر میتوان از ابزار بررسی سلامت امنیتی در بنچمارک هم استفاده کرد که به این ترتیب قابلیتهای بیشتری مثل تحلیل همتایان و مقایسه با فریمورکهای امنیتی بینالمللی در اختیار سازمانها قرار میگیرد. همچنین امکان استفاده از نتایج ارزیابیها در فعالیتهای SSE زنجیره تأمین و IRAM2 هم وجود دارد که به صرفهجویی در وقت و منابع کمک میکند.
- IRAM2 WebApp: یک ابزار آنلاین برای انجام ارزیابیهای ریسک با استفاده از روش ارزیابی ریسک اطلاعات ISF 2 (IRAM[2] 2) در سطح سازمان است. این ابزار شیوه شناسایی، ارزیابی و رسیدگی به ریسکهای اطلاعاتی را با پیادهسازی یک فرایند شش مرحلهای که شامل تعیین محدوده، ارزیابی تأثیر بر کسبوکار، تعیین مشخصات تهدیدات، ارزیابی آسیبپذیری، ارزیابی ریسک و مقابله با ریسک است تشریح میکند.
اضافه شدن قابلیتهایی مثل بهروزرسانیهای پویا، کمک بیشتر به حذف ریسکها و متمرکزسازی نتایج ارزیابیها در IRAM2 WebApp به اعضا کمک میکند تا متمرکز بر مهمترین ریسکها در سطح سازمان خودشان شوند.
IRAM2 از یک روش ساده، عملی اما دقیق برای ارزیابی ریسک کمک میکند و به سازمانهای عضو امکان میدهد با یک زبان مشترک با طرفهای دخیل مختلف ارتباط برقرار کنند.
- ابزار خلاصهسازی (SSE ST[3]) و ارزیابی امنیت تأمینکنندگان (SSE[4]): که به صورت صفحه گسترده طراحی شده و استفاده از آنها راحت است، به اعضا کمک میکنند تا وضعیت روابط با تأمینکنندگان فعلی را ارزیابی و پیگیری کرده و یک دید جامع و یکپارچه نسبت به وضعیت ریسک تأمینکنندگان مختلف از جمله تدارکات خروج (از توافقنامهها) و قراردادها به دست آورند.
- ابزار تضمین زنجیره امنیت (SCA[5]): برای کمک به سازمانهای عضو جهت تعیین کنترلها و الزامات امنیتی مناسب برای تأمینکنندگان جدید طراحی شده و سازوکارهایی برای اطمینان خاطر نسبت به روابط از همان ابتدای شکلگیری رابطه در اختیار سازمانها قرار میدهد.
برای پشتیبانی از الزامات کسب گواهینامهها، SOGP به همراه طرح بنچمارک، پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریمورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات فراهم میکند. استفاده از SOGP به عنوان پایه و اساس سیاستها در کنار طرح بنچمارک برای ارزیابیهای مستمر به سازمانها کمک میکند تا سرمایه و کار لازم برای انطباق با این فریمورکها و استانداردهای صنعتی بینالمللی را به حداقل برسانند.
8 چالش سایبری در دنیای بیثبات امروزی و نقش ابزارهای یکپارچه ISF برای واکنش به این چالشها
- سازمانها باید برای اولویتبندی بودجه موجود، تصمیمات سختی بگیرند
امروزه سازمانها با محدودیتهای بیسابقهای در زمینه بودجه مواجه هستند. امنیت سایبری نیز از این شرایط مستثنی نیست. IRAM2 WebApp نقش مهمی در هدفمندسازی مخارج مشاغل دارد چون به اولویتبندی ریسکها در سیستمهای اطلاعات و تعیین کنترلهای کارآمد برای مقابله با این ریسکها کمک میکند. این ابزار واقعیتهای ضروری که باید هنگام ارایه طرح سرمایهگذاری به مدیران سطح بالا ارایه کنید را در اختیارتان قرار میدهد.
- مدیران سازمانها تمرکز ویژهای به مقاومت بیزنسی پیدا کردهاند
SOGP 2020 که پایه و اساس مجموعه ابزارهای یکپارچه ISF است شامل راهنماهای مفصلی است که به صورت ویژه برای حفظ مقاومت سایبری سازمانها طراحی شدهاند. روشهای توصیه شده برای فعالیتهای مختلف از جمله مدیریت ریسک و تداوم کسبوکار در قالبی دسترسپذیر ارائه شده و به شما امکان شناسایی سریع پیشرفتها را میدهد و همزمان پایههای لازم برای توسعه یا بهبود سیاستها را در اختیارتان میگذارد. اگر نیاز به بررسی وضعیت فعلی مقاومت سایبری خودتان دارید، بنچمارک دارای سه سطح مختلف پرسشنامه است (رادار امنیتی، ابزار بررسی وضعیت سلامت امنیتی و بنچمارک امنیتی) که برای دسترسی سریع به اطلاعات لازم بسیار مفید هستند.
- با وجود رعایت الزامات قانونی اجباری باید از یک رویکرد مبتنی بر ریسک پیروی کنید
ابزار بنچمارک ابزارهای لازم برای نشان دادن سطح سازگاری با استانداردها و قوانین فریمورکها و همچنین خلأهایی که نیاز به رسیدگی دارند را در اختیار شما قرار میدهد اما با توجه به وضعیت فعلی محیط جهانی، سازمانها نباید ریسکهای سایبری بنیادی را نادیده بگیرند. این مخاطرات سایبری ممکن است در رویکردی که فقط متمرکز بر رعایت الزامات قانونی است مورد توجه قرار نگیرند. نرمافزار تحت وب IRAM2 با تشخیص و رسیدگی به ریسک سایبری به روش سیستماتیک و منسجم، به سازمانها امکان میدهد تلاشهای صورت گرفته جهت برآورده کردن الزامات قانونی را از منظر امنیتی در نظر بگیرند.
- دورکاری همچنان ادامه دارد و مجرمان سایبری از آن به عنوان یک فرصت استفاده میکنند
همچنان که سازمانها برای کار از مدلهای انعطافپذیرتر پشتیبانی میکنند، مجرمان سایبری هم در حال تلاش برای هدف گرفتن فناوریهای دورکاری و سوءاستفاده از عدم ایمنی محیط کاری در منزل هستند. SOGP 2020 روشهای توصیه شده لازم برای شناسایی و مقابله با ریسک سایبری در محیطهای راه دور را مشخص میکند و همزمان به جنبه انسانی این مسئله هم توجه دارد. با توجه به ضرورت نظارت پیوسته بر وضعیت امنیتی در محیطهای دورکاری، ابزار بنچمارک و Security Healthcheck راهکارهای ایدهآلی برای ارزیابی انعطافپذیر مستمر هستند.
- زنجیرههای تأمین به روشهای انعطافپذیر جدیدی کار میکنند که توجه چندانی به ملاحظات امنیتی ندارند
حفاظت از اطلاعات مهم در زنجیره تأمین و روابط شخص ثالث در حالت ایدهآل هم کار چالشبرانگیزی است. این چالش با تلاش شرکتهای همکار برای انجام همکاریها به صورت آنلاین و با توجه به ضرورت تصمیمگیری سریع درباره رابطه با تأمینکنندگان تشدید میشود. ابزارهای شتابدهنده زنجیره تأمین هر آنچه برای مدیریت ریسک تأمینکننده نیاز دارید را به روشی که از منابع به بهترین شکل ممکن استفاده میکند در اختیار شما قرار میدهد. این ابزارها با ایجاد فریمورکی برای مدیریت ریسک تأمینکنندگان (SCA) و فراهم کردن امکان ارزیابی وضعیت تأمینکنندگان با توجه به میزان اهمیت و تأثیرشان برای سازمان، به تیمهای خرید محصول کمک میکنند.
- با کاهش بودجههای پشتیبان خارجی، کسبوکارها باید بیشترین بهره را از منابع درون سازمانی ببرند
در شرایط فعلی، تیمهای امنیت سایبری درون سازمانی باید سعی کنند با استفاده از منابع در دسترس (و بدون استفاده از منابع کمکی که اغلب برون سازمانی هستند) حداکثر کار ممکن را انجام دهند. مجموعه ابزارهای هماهنگ ISF هر آنچه برای پیادهسازی و نظارت بر یک طرح ارتقای امنیت سایبری مبتنی بر ریسک در سطح استانداردهای جهانی لازم دارید را در اختیار شما قرار میدهند و خود ISF هم در این مسیر شما را همراهی میکند. برای مثال ترکیب SOGP 2020، IRAM2 WebApp و بنچمارک به سازمانها برای ارتقای امنیت سایبری، طراحی اصول توصیه شده، تشخیص ریسکهای اطلاعاتی در سیستمهای حیاتی و نظارت بر پیشرفت به دست آمده به مرور زمان کمک میکند.
- سازمانها باید سیستمها و قابلیتهای مهم و حیاتی را تشخیص داده و متمرکز بر آنها شوند
در وضعیت جهانی کنونی، بسیاری از سازمانها متمرکز بر خدمات و قابلیتهای اصلی خودشان شده و معمولاً توسط تعداد کمی فرایند و سیستم حیاتی پشتیبانی میشوند. انجام عملی این کار بسیار سخت است به خصوص در سازمانهایی که قبلاً از سیستمهای آنها نقشهبرداری نشده یا از نظر میزان اهمیتشان در موفقیت سازمان یا سطح ریسک طبقهبندی نشدهاند. IRAM2 WebApp امکان شناسایی میزان اهمیت و اولویت سیستمهای سازمان برای کسبوکار سازمان را فراهم کرده و به حفاظتشان بر اساس میزان اهمیت آنها کمک میکند.
- مدیران سازمانها خواستار ابتکار و نوآوری با بیشترین سرعت هستند و امنیت سایبری هم باید این نیاز را برآورده کند
از آنجایی که مشاغل باید سعی کنند از رقبا پیشی بگیرند، در سالهای پیش رو شاهد شتاب گرفتن ابتکار و نوآوری خواهیم بود اما براساس تجربه سرعت بالای ارائه محصول به بازار، معمولاً با نقطه ضعفهای امنیتی همراه میشود. SOGP 2020 نظم و اصولی را مشخص میکند که هرگز نباید در هنگام استفاده از سیستمها و محصولات جدیدشان نادیده گرفته شوند. IRAM2 کمک میکند تا امنیت سایبری متمرکز بر حوزههایی شود که از نظر تأثیر احتمالی بر کسبوکار بیشترین اهمیت را دارند. همچنین بنچمارک امکان نظارت بر کارایی کنترلهای امنیت سایبری در هنگام اضافه شدن سیستمها یا سرویسهای جدید را فراهم میکند.
اقدام
تمرکز ISF این است که در این دوره چالشبرانگیز به سازمانهای عضو برای برآورده کردن نیازهای بیزنسی، مدیریت کارآمد ریسک و اطمینان از وجود بالاترین سطوح حفاظت در سرتاسر سازمان کمک کند. مجموعه ابزارهای هماهنگ 2020 ISF راهکاری برای حمایت از ارزیابیها و برآورده کردن نیازهای سازمانها در زمینه رعایت الزامات امنیتی هستند. این ابزارها به سازمانها کمک میکنند تا سازگاری خودشان با استانداردهای بینالمللی را اثبات کرده و از امنیت تأمینکنندگان خارجی مطمئن شوند. میتوان مجموعه ابزارهای هماهنگ ISF را به صورت مجزا یا در کنار هم استفاده کرد تا مکملی برای روش فعلی سازمان باشند. این ابزارها یک رویکرد عملی برای رسیدگی به چالشهای مختلف از جمله چالشهای استراتژیک، چالشهای مربوط به پیروی از الزامات و غیره در اختیار سازمان قرار میدهند.
[1] Information Security Management System
[2] Information Risk Assessment Methodology
[3] Summary Tool
[4] Supplier Security Evaluation
[5] Supply Chain Assurance
برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادیاش روی لینکهای زیر کلیک کنید: