ساخت و مدیریت سیاست برنامه امنیت سایبری تلاش مشترک اکثر سازمانها است. ما با استارتاپهایی کار کردهایم که برای نحوه استفاده از داراییشان یا شبکهای که توسط کارمندانشان استفاده میشود قانونی ندارند. همچنین تجربه کار با سازمانهایی که تمام جنبههای فناوری اطلاعات و امنیت سایبری شدیدا مدیریت شده است را داریم. هدف یافتن مدیریت معقولی است که شرکتها بتوانند با مسئولیت پذیری، ریسک ناشی از گسترش انواع تکنولوژی را مدیریت کنند.
در ساختن یک برنامه، کمپانیها معمولا در ابتدا یک نفر را به عنوان مسئول امنیت سایبری استخدام میکنند. این کارمند روند ایجاد یک برنامه را برای مدیریت ریسک این شرکت از طریق تکنولوژیهای امنیتی، فرآیندهای شنیداری و سیاستها و رویههای مستند آغاز خواهد کرد. یک برنامه امنیتی کامل نیازمند سیاستها و مراحل زیر است:
1. سیاستهای قابل پذیرش برای استفاده (AUP)
AUP شامل محدودیتها و رویههایی است که یک کارمند با توجه به خواستههای سازمانی IT برای دسترسی به شبکه داخلی شرکتها یا اینترنت باید با آنها موافقت کند. این یک خط مشی استاندارد برای کارمندان جدید است. قبل از دادن ID به کارمندان جدید آنها باید از مراحل AUP گذر کنند. به سازمانهای IT، امنیتی، حقوقی و دپارتمان HR توصیه میشود که درباره آنچه که در این سیاستها شامل میشود بحث کنند. میتوانید در SANS یک نمونه از AUP را بیابید.
2.سیاست کنترل دسترسی (ACP)
ACP دسترسی به کارمندان را با توجه سیستمهای اطلاعاتی و دادههای سازمانی تعیین میکند. برخی از مباحثی که شامل این سیاست میشوند، استانداردهای کنترل دسترسی مانند کنترل دسترسی NIST و راهنمای پیادهسازی آن است. سایر مواردی که شامل این سیاست میشوند، استانداردهای دسترسی کاربر، کنترل دسترسی به شبکه، کنترل نرم افزارهای سیستم عامل و پیچیدگی پسوردهای شرکتها است. موارد دیگری مانند روشهای نظارت بر نحوه دستیابی و استفاده از سیستمهای شرکتی و چگونگی تأمین ایستگاههای کاری بدون نظارت، که نمونههایی از این سیاست در IAPP هستند.
3.سیاست تغییر در مدیریت
سیاست تغییر در مدیریت به یک فرایند رسمی برای تغییر در IT، توسعه نرم افزار و خدمات یا عملیات امنیتی اشاره دارد. هدف از این تغییر، افزایش آگاهی و درک تغییرات پیشنهادی در سازمان و حصول اطمینان از این است كه همه تغییرات بطور خاص صورت میگیرند تا اثرات منفی بر روی خدمات و مشتریان به حداقل برسد. SANS مثال وبی از این تغییر است.
4.سیاست امنیت اطلاعات
سیاستهای امنیتی اطلاعات سازمانها معمولا سیاستهای سطح بالایی هستند که میتواند تعداد زیادی از کنترلهای امنیتی را پوشش دهند. سیاست اصلی امنیت اطلاعات توسط شرکت صادر میشود تا اطمینان حاصل شود که کلیه کارمندان که از خواستههای IT در سازمان یا شبکههای آن استفاده میکنند، از قوانین و دستورالعملهای اعلام شده پیروی میکنند. سازمانها از كارمندان میخواهند كه این سند را امضا و تایید كنند كه آن را خواندهاند ،كه معمولاً با امضای سیاست AUP انجام می شود. این سیاست مخصوص کارمندان طراحی شده تا بدانند که قوانینی وجود دارد که با توجه به حساسیت اطلاعات شرکتها و خواستههای IT، در مقابل آنها پاسخگو خواهند بود.
5.سیاست واکنش به حادثه (IR)
سیاست واکنش به حادثه یک رویکرد سازمان یافته برای چگونگی مدیریت شرکت هنگام حادثه و اصلاح تأثیرات حادثه بر عملیات است. با این حال، هدف از این سیاست توصیف روند رسیدگی به یک حادثه با توجه به محدود کردن خسارت در عملیات تجاری، مشتریان و کاهش زمان و هزینه های بازیابی است. دانشگاه Carnegie Mellon نمونهای از یک برنامه سطح بالا IR را ارائه میدهد و SANS طرحی را برای نقض دادهها ارائه میکند.
6.سیاست دسترسی از راه دور
سیاست دسترسی از راه دور، روشهای مورد پذیرش اتصال از راه دور به شبکههای داخلی سازمان را تشریح و تعریف میکند. همچنین این سیاست شامل ضمیمه هایی از خواستههای BYOD (هر کس از لپ تاپ خودش استفاده کند)و قوانین استفاده از آن است. این سیاست برای سازمانهایی که امکان گسترش یک شبکه در مکان ناامن مانند کافینت یا شبکههای محلی وجود دارد، ضروری است.
7.سیاست ارتباطات یا ایمیل
این سیاست چگونگی دسترسی و استفادهی کارمندان از ایمیل را شرح میدهد. من این ایمیل، وبلاگها، رسانه های اجتماعی و تکنولوژیهای چت را مشاهده کردهام. هدف اصلی این سیاست ارائه دستورالعملهایی برای استفاده قابل قبول یا غیر قابل قبول از تکنولوژیهای ارتباطی برای کارمندان است.
8.سیاست بازیابی حوادث
برنامه بازیابی شامل تیمهای امنیت سایبری و IT است و به عنوان بخشی از برنامه بزرگتر کسب و کار توسعه مییابد. تیمها با استفاده از سیاست واکنش به حادثه، حادثه را مدیریت میکنند.
9.طرح تداوم کسب و کار (BCP)
BCP تلاش سایر سازمانها را برای برنامه بازیابی حادثه برای بازیابی سخت افزار، برنامهها و دادههایی که برای تداوم کسب و کار ضروری است هماهنگ میکند. BCPجزو جداناشدنی هر کسب و کار است، چون نحوه عملکرد سازمان را در مواقع اضطراری توصیف میکند.
همیشه به یاد داشته باشید که سیاستها و دستورالعملهای جدید خود را با کارمندان در میان بگذارید. ضروری است که کارمندان نسبت به هرگونه تغییر IT و روشهای امنیت سایبری آگاه و به روز باشند.