مواجه با چالش‌های سایبری در دنیای امروزی با بکارگیری مجموعه ابزارهای ISF

در زمان رکورد اقتصادی، جرایم سایبری نیز رونق پیدا می‌کنند. از طرفی با توجه به گرایش و حرکت سازمان‌ها به سمت تحول دیجیتال و انجام فعالیت‌ها به صورت آنلاین، اهمیت حفاظت از داده‌ها و دارایی‌های حیاتی هم افزایش می‌یابد. در همین راستا مجموعه ابزارهای هماهنگ ISF 2020 با هدف کمک به حفظ چابکی و سرعت عمل سازمان‌ها در هنگام تصمیم‌گیری و افزایش امنیت در صورت مواجه با با چالش‌های دنیای جدید طراحی شده‌اند.

این مجموعه که بر اساس بیش از 30 سال دانش و همکاری در حوزه امنیت اطلاعات، پشتیبانی از کسب‌وکارها برای انجام ارزیابی‌ها و برآورده کردن نیازهای امنیتی و قوانین به وجود آمده، طراحی شده‌اند، به سازمان‌ها برای پاسخ به پرسش‌های مختلف از جمله موارد زیر کمک می‌کند:

• چگونه منابعی که تحت فشار و محدود هستند را اولویت‌بندی کنیم؟
• چگونه سطح ریسک قابل مدیریت را برای اطلاعات مشخص کنیم؟
• چگونه از امنیت زنجیره تأمین مطمئن شویم؟
• چگونه از رعایت الزامات مربوط به استانداردهای مختلف اطمینان حاصل کنیم؟

مجموعه ابزارهای هماهنگ ISF که به صورت اختصاصی برای اعضای ISF طراحی شده به سازمان‌ها برای صرفه‌جویی در وقت، اولویت‌بندی سرمایه‌گذاری‌ها و تصمیم‌گیری‌های هوشمندانه‌تر کمک می‌کند.

دارایی‌ها، پیروی از الزامات، ایجاد اطمینان

مجموعه ابزارهای هماهنگ استاندارد ISF شامل مجموعه‌ای از 14 ابزار ISF و مراجع راهنمای متقابل از جمله یک پلتفرم بنچمارک بازسازی شده و نرم‌افزار تحت وب جدید IRAM2 است. این مجموعه که منطبق با جدیدترین نسخه از استاندارد روش‌های توصیه شده برای امنیت اطلاعات 2020 (SOGP 2020) ایجاد شده، شامل بررسی سلامت امنیتی، ابزارهای شتاب‌دهنده زنجیره تأمین و مراجع متقابل SOGP 2020 است و به اعضا کمک می‌کند تا هماهنگی خودشان با استانداردهای بین‌المللی را سنجیده و از وجود امنیت در اکوسیستم تأمین‌کنندگان خارجی مطمئن شوند.

SOGP 2020 یک مرجع پیشرو در زمینه امنیت اطلاعات است که سیاست‌ها، رویه‌ها و فریم‌ورکی برای پشتیبانی از اعضا در زمینه پیاده‌سازی ISMS[1] و طرح مقاومت سایبری دارد. SOGP 2020 با هدف کمک به رعایت الزامات سایر فریم‌ورک‌ها و استانداردهای مرتبط با امنیت طراحی شده و به اعضا برای تأمین امنیت اطلاعات و برآورده کردن الزامات استاندارد ISO/IEC 27002:2013، فریم‌ورک امنیت سایبری NIS، CIS Top 20، PCI DSS و COBIT 5 کمک می‌کند.

• بنچمارک: یک ابزار آنلاین استراتژیک جهت بازبینی و ارتقای تدابیر امنیتی است. اعضا با استفاده از این ابزار می‌توانند وضعیت امنیتی خودشان را در سطوح مختلف بررسی کنند. بنچمارک از همه فعالیت‌های مرتبط با رعایت الزامات قانونی و تضمین امنیت، حمایت می‌کند. اعضا می‌توانند وضعیت‌شان را با سایر بخش‌های سازمان خود و همچنین گروه‌های همتای دلخواهشان مقایسه کرده و مقایسه‌های مورد نیاز را با صنایع و مناطق مختلف انجام دهند. آنها از طریق ابزار بنچمارک به داده‌های هدفمند واقعی برای تصمیم‌گیری در زمینه سرمایه‌گذاری دسترسی دارند. همچنین می‌توانند از بنچمارک برای ارزیابی عملکرد شرکت‌های تأمین کننده در مقایسه با فریم‌ورک‌ها و استانداردهای مختلف امنیت اطلاعات استفاده کنند.
• ابزار بررسی سلامت امنیتی (Security Healthcheck): یک ابزار مفید با قابلیت استفاده راحت است که به اعضا امکان می‌دهد وضعیت امنیتی محیط‌های مختلف در سازمان خودشان مثل واحدهای بیزنسی یا برنامه‌های کاربردی را بررسی کنند. همچنین می‌توان از این ابزار برای ارزیابی وضعیت امنیتی شرکت‌های ارایه‌دهنده خدمات هم استفاده کرد. یک نسخه به نام ابزار خلاصه‌سازی هم ارایه شده که نتایج ارزیابی‌های کنترلی مختلف را جمع و با هم مقایسه می‌کند. برای ایجاد تأثیر بیشتر می‌توان از ابزار بررسی سلامت امنیتی در بنچمارک هم استفاده کرد که به این ترتیب قابلیت‌های بیشتری مثل تحلیل همتایان و مقایسه با فریم‌ورک‌های امنیتی بین‌المللی در اختیار سازمان‌ها قرار می‌گیرد. همچنین امکان استفاده از نتایج ارزیابی‌ها در فعالیت‌های SSE زنجیره تأمین و IRAM2 هم وجود دارد که به صرفه‌جویی در وقت و منابع کمک می‌کند.
• IRAM2 WebApp: یک ابزار آنلاین برای انجام ارزیابی‌های ریسک با استفاده از روش ارزیابی ریسک اطلاعات ISF 2 (IRAM[2] 2) در سطح سازمان است. این ابزار شیوه شناسایی، ارزیابی و رسیدگی به ریسک‌های اطلاعاتی را با پیاده‌سازی یک فرایند شش مرحله‌ای که شامل تعیین محدوده، ارزیابی تأثیر بر کسب‌وکار، تعیین مشخصات تهدیدات، ارزیابی آسیب‌پذیری، ارزیابی ریسک و مقابله با ریسک است تشریح می‌کند.

اضافه شدن قابلیت‌هایی مثل به‌روزرسانی‌های پویا، کمک بیشتر به حذف ریسک‌ها و متمرکزسازی نتایج ارزیابی‌ها در IRAM2 WebApp به اعضا کمک می‌کند تا متمرکز بر مهم‌ترین ریسک‌ها در سطح سازمان خودشان شوند.

IRAM2 از یک روش ساده، عملی اما دقیق برای ارزیابی ریسک کمک می‌کند و به سازمان‌های عضو امکان می‌دهد با یک زبان مشترک با طرف‌های دخیل مختلف ارتباط برقرار کنند.

• ابزار خلاصه‌سازی (SSE ST[3]) و ارزیابی امنیت تأمین‌کنندگان (SSE[4]): که به صورت صفحه گسترده طراحی شده و استفاده از آنها راحت است، به اعضا کمک می‌کنند تا وضعیت روابط با تأمین‌کنندگان فعلی را ارزیابی و پیگیری کرده و یک دید جامع و یکپارچه نسبت به وضعیت ریسک تأمین‌کنندگان مختلف از جمله تدارکات خروج (از توافقنامه‌ها) و قراردادها به دست آورند.
• ابزار تضمین زنجیره امنیت (SCA[5]): برای کمک به سازمان‌های عضو جهت تعیین کنترل‌ها و الزامات امنیتی مناسب برای تأمین‌کنندگان جدید طراحی شده و سازوکارهایی برای اطمینان خاطر نسبت به روابط از همان ابتدای شکل‌گیری رابطه در اختیار سازمان‌ها قرار می‌دهد.

برای پشتیبانی از الزامات کسب گواهینامه‌ها، SOGP به همراه طرح بنچمارک، پوشش کاملی از موضوعات تعیین شده در استاندارد ISO/IEC 27002:2013، فریم‌ورک امنیت سایبری NIST، CIS Top 20، PCI DSS و COBIT 5 برای امنیت اطلاعات فراهم می‌کند. استفاده از SOGP به عنوان پایه و اساس سیاست‌ها در کنار طرح بنچمارک برای ارزیابی‌های مستمر به سازمان‌ها کمک می‌کند تا سرمایه و کار لازم برای انطباق با این فریم‌ورک‌ها و استانداردهای صنعتی بین‌المللی را به حداقل برسانند.

8 چالش سایبری در دنیای بی‌ثبات امروزی و نقش ابزارهای یکپارچه ISF برای واکنش به این چالش‌ها

1. سازمان‌ها باید برای اولویت‌بندی بودجه موجود، تصمیمات سختی بگیرند

امروزه سازمان‌ها با محدودیت‌های بی‌سابقه‌ای در زمینه بودجه مواجه هستند. امنیت سایبری نیز از این شرایط مستثنی نیست. IRAM2 WebApp نقش مهمی در هدفمندسازی مخارج مشاغل دارد چون به اولویت‌بندی ریسک‌ها در سیستم‌های اطلاعات و تعیین کنترل‌های کارآمد برای مقابله با این ریسک‌ها کمک می‌کند. این ابزار واقعیت‌های ضروری که باید هنگام ارایه طرح سرمایه‌گذاری به مدیران سطح بالا ارایه کنید را در اختیارتان قرار می‌دهد.

2. مدیران سازمان‌ها تمرکز ویژه‌ای به مقاومت بیزنسی پیدا کرده‌اند

SOGP 2020 که پایه و اساس مجموعه ابزارهای یکپارچه ISF است شامل راهنماهای مفصلی است که به صورت ویژه برای حفظ مقاومت سایبری سازمان‌ها طراحی شده‌اند. روش‌های توصیه شده برای فعالیت‌های مختلف از جمله مدیریت ریسک و تداوم کسب‌وکار در قالبی دسترس‌پذیر ارائه شده و به شما امکان شناسایی سریع پیشرفت‌ها را می‌دهد و همزمان پایه‌های لازم برای توسعه یا بهبود سیاست‌ها را در اختیارتان می‌گذارد. اگر نیاز به بررسی وضعیت فعلی مقاومت سایبری خودتان دارید، بنچمارک دارای سه سطح مختلف پرسشنامه است (رادار امنیتی، ابزار بررسی وضعیت سلامت امنیتی و بنچمارک امنیتی) که برای دسترسی سریع به اطلاعات لازم بسیار مفید هستند.

3. با وجود رعایت الزامات قانونی اجباری باید از یک رویکرد مبتنی بر ریسک پیروی کنید

ابزار بنچمارک ابزارهای لازم برای نشان دادن سطح سازگاری با استانداردها و قوانین فریم‌ورک‌ها و همچنین خلأهایی که نیاز به رسیدگی دارند را در اختیار شما قرار می‌دهد اما با توجه به وضعیت فعلی محیط جهانی، سازمان‌ها نباید ریسک‌های سایبری بنیادی را نادیده بگیرند. این مخاطرات سایبری ممکن است در رویکردی که فقط متمرکز بر رعایت الزامات قانونی است مورد توجه قرار نگیرند. نرم‌افزار تحت وب IRAM2 با تشخیص و رسیدگی به ریسک سایبری به روش سیستماتیک و منسجم، به سازمان‌ها امکان می‌دهد تلاش‌های صورت گرفته جهت برآورده کردن الزامات قانونی را از منظر امنیتی در نظر بگیرند.

4. دورکاری همچنان ادامه دارد و مجرمان سایبری از آن به عنوان یک فرصت استفاده می‌کنند

همچنان که سازمان‌ها برای کار از مدل‌های انعطاف‌پذیرتر پشتیبانی می‌کنند، مجرمان سایبری هم در حال تلاش برای هدف گرفتن فناوری‌های دورکاری و سوءاستفاده از عدم ایمنی محیط کاری در منزل هستند. SOGP 2020 روش‌های توصیه شده لازم برای شناسایی و مقابله با ریسک سایبری در محیط‌های راه دور را مشخص می‌کند و همزمان به جنبه انسانی این مسئله هم توجه دارد. با توجه به ضرورت نظارت پیوسته بر وضعیت امنیتی در محیط‌های دورکاری، ابزار بنچمارک و Security Healthcheck راهکارهای ایده‌آلی برای ارزیابی انعطاف‌پذیر مستمر هستند.

5. زنجیره‌های تأمین به روش‌های انعطاف‌پذیر جدیدی کار می‌کنند که توجه چندانی به ملاحظات امنیتی ندارند

حفاظت از اطلاعات مهم در زنجیره تأمین و روابط شخص ثالث در حالت ایده‌آل هم کار چالش‌برانگیزی است. این چالش با تلاش شرکت‌های همکار برای انجام همکاری‌ها به صورت آنلاین و با توجه به ضرورت تصمیم‌گیری سریع درباره رابطه با تأمین‌کنندگان تشدید می‌شود. ابزارهای شتاب‌دهنده زنجیره تأمین هر آنچه برای مدیریت ریسک تأمین‌کننده نیاز دارید را به روشی که از منابع به بهترین شکل ممکن استفاده می‌کند در اختیار شما قرار می‌دهد. این ابزارها با ایجاد فریم‌ورکی برای مدیریت ریسک تأمین‌کنندگان (SCA) و فراهم کردن امکان ارزیابی وضعیت تأمین‌کنندگان با توجه به میزان اهمیت و تأثیرشان برای سازمان، به تیم‌های خرید محصول کمک می‌کنند.

6. با کاهش بودجه‌های پشتیبان خارجی، کسب‌وکارها باید بیشترین بهره را از منابع درون سازمانی ببرند

در شرایط فعلی، تیم‌های امنیت سایبری درون سازمانی باید سعی کنند با استفاده از منابع در دسترس (و بدون استفاده از منابع کمکی که اغلب برون سازمانی هستند) حداکثر کار ممکن را انجام دهند. مجموعه ابزارهای هماهنگ ISF هر آنچه برای پیاده‌سازی و نظارت بر یک طرح ارتقای امنیت سایبری مبتنی بر ریسک در سطح استانداردهای جهانی لازم دارید را در اختیار شما قرار می‌دهند و خود ISF هم در این مسیر شما را همراهی می‌کند. برای مثال ترکیب SOGP 2020، IRAM2 WebApp و بنچمارک به سازمان‌ها برای ارتقای امنیت سایبری، طراحی اصول توصیه شده، تشخیص ریسک‌های اطلاعاتی در سیستم‌های حیاتی و نظارت بر پیشرفت به دست آمده به مرور زمان کمک می‌کند.

7. سازمان‌ها باید سیستم‌ها و قابلیت‌های مهم و حیاتی را تشخیص داده و متمرکز بر آنها شوند

در وضعیت جهانی کنونی، بسیاری از سازمان‌ها متمرکز بر خدمات و قابلیت‌های اصلی خودشان شده و معمولاً توسط تعداد کمی فرایند و سیستم حیاتی پشتیبانی می‌شوند. انجام عملی این کار بسیار سخت است به خصوص در سازمان‌هایی که قبلاً از سیستم‌های آنها نقشه‌برداری نشده یا از نظر میزان اهمیتشان در موفقیت سازمان یا سطح ریسک طبقه‌بندی نشده‌اند. IRAM2 WebApp امکان شناسایی میزان اهمیت و اولویت سیستم‌های سازمان برای کسب‌وکار سازمان را فراهم کرده و به حفاظت‌شان بر اساس میزان اهمیت آنها کمک می‌کند.

8. مدیران سازمان‌ها خواستار ابتکار و نوآوری با بیشترین سرعت هستند و امنیت سایبری هم باید این نیاز را برآورده کند

از آنجایی که مشاغل باید سعی کنند از رقبا پیشی بگیرند، در سال‌های پیش رو شاهد شتاب گرفتن ابتکار و نوآوری خواهیم بود اما براساس تجربه سرعت بالای ارائه محصول به بازار، معمولاً با نقطه ضعف‌های امنیتی همراه می‌شود. SOGP 2020 نظم و اصولی را مشخص می‌کند که هرگز نباید در هنگام استفاده از سیستم‌ها و محصولات جدیدشان نادیده گرفته شوند. IRAM2 کمک می‌کند تا امنیت سایبری متمرکز بر حوزه‌هایی شود که از نظر تأثیر احتمالی بر کسب‌وکار بیشترین اهمیت را دارند. همچنین بنچمارک امکان نظارت بر کارایی کنترل‌های امنیت سایبری در هنگام اضافه شدن سیستم‌ها یا سرویس‌های جدید را فراهم می‌کند.

اقدام

تمرکز ISF این است که در این دوره چالش‌برانگیز به سازمان‌های عضو برای برآورده کردن نیازهای بیزنسی، مدیریت کارآمد ریسک و اطمینان از وجود بالاترین سطوح حفاظت در سرتاسر سازمان کمک کند. مجموعه ابزارهای هماهنگ 2020 ISF راهکاری برای حمایت از ارزیابی‌ها و برآورده کردن نیازهای سازمان‌ها در زمینه رعایت الزامات امنیتی هستند. این ابزارها به سازمان‌ها کمک می‌کنند تا سازگاری خودشان با استانداردهای بین‌المللی را اثبات کرده و از امنیت تأمین‌کنندگان خارجی مطمئن شوند. می‌توان مجموعه ابزارهای هماهنگ ISF را به صورت مجزا یا در کنار هم استفاده کرد تا مکملی برای روش فعلی سازمان باشند. این ابزارها یک رویکرد عملی برای رسیدگی به چالش‌های مختلف از جمله چالش‌های استراتژیک، چالش‌های مربوط به پیروی از الزامات و غیره در اختیار سازمان قرار می‌دهند.

[1] Information Security Management System

[2] Information Risk Assessment Methodology

[3] Summary Tool

[4] Supplier Security Evaluation

[5] Supply Chain Assurance

برای مطالعه مطالب تکمیلی درباره ISF و راهکارهای پیشنهادی‌اش روی لینک‌های زیر کلیک کنید:

• کاهش نقاط ضعف‌ کنترل‌های حیاتی با ابزار Healthcheck امنیتی ISF
• ارزیابی آمادگی برای اعتماد صفر توسط کارشناسان ISF
• ISF چگونه برای سازمان‌ها ارزش‌آفرینی می‌کند؟
• ISF مانور امنیت سایبری