تدوین یک برنامه امنیتی نوعی عملیات است که بیشتر سازمانها با نگاه یک کار بیهوده به آن میپردازند. من با استارتآپهایی کار کردهام که هیچ قاعده و قانونی برای نحوه استفاده کارمندان از داراییها و شبکه نداشتند. همچنین با سازمانهای معتبری همکاری کردهام که در آنها تمام جنبههای فناوری اطلاعات و امنیت رایانهای سختگیرانه مدیریت میشد. هدف، یافتن یک حالت میانه است که شرکتها بتوانند ریسکی که همراه با انواع تکنولوژیها میآید را مسئولانه مدیریت کنند.
معمولا شرکتها در طراحی پایه و اساس یک برنامه امنیتی ابتدا یک کارمند را به عنوان مسئول امنیت رایانهای تعیین میکنند. این کارمند همان کسی خواهد بود که از طریق تکنولوژیهای امنیتی و سیاستها و رویههای مستند، فرآیند تدوین طرحی برای مدیریت ریسک شرکت را آغاز میکند.
یک برنامه امنیتی کامل، به سیاستها و رویههای زیر نیاز دارد :
-
خط مشی استفاده قابل قبول (AUP)
AUP، قیدها و رویههایی را وضع میکند که کارمندی که از داراییهای بخش فناوری اطلاعات سازمان استفاده میکند باید با آنها موافقت کند تا بتواند به شبکه یا اینترنت مربوط به شرکت دسترسی داشته باشد. این یک سیاست پذیرش سازمانی استاندارد برای کارمندان جدید است. پیش از واگذار کردن شناسه شبکه به کارمندان جدید، آنها یک AUP دریافت میکنند که باید آن را بخوانند و امضاء کنند. این کار ضروری است و بخشهای فناوری اطلاعات، امنیت، بخش حقوقی و منابع انسانیِ سازمانها تعیین میکنند که این سیاستها شامل چه مواردی باشند.
-
خط مشی کنترل دسترسی (ACP)
ACP، دسترسی قابل قبول کارمندان به داده سازمانها یا سیستمهای اطلاعاتی را طرحریزی میکند. استانداردهایی از قبیل کنترل دسترسی و راهنمای پیادهسازیِNIST (موسسه ملي استاندارد و فناوري امريكا)، برخی از مباحثی هستند که در این خط مشی گنجانده شدهاند. بقیه مواردی که در این خط مشی قرار دارند، استانداردهای دسترسی کاربر، کنترل دسترسی شبکه، کنترل نرمافزار سیستم عامل و پیچیدگی رمزعبورهای مربوط به شرکت هستند. موارد اضافی که اغلب تعیین میشوند شامل روشهایی برای نظارت بر چگونگی دسترسی و استفاده از سیستمهای شرکت و چگونگی قطع دسترسی یک کارمند پس از خارج شدن از سازمان است.
-
خط مشی مدیریت تغییر
مدیریت تغییر مربوط به فرایند رسمیای است که برای ایجاد تغییرات در فناوری اطلاعات، ایجاد نرمافزارها و خدمات/عملیاتهای امنیتی مورد نیاز است. هدف یک برنامه مدیریت تغییر، افزایش آگاهی و درک نسبت به تغییرات پیشنهادی درون یک سازمان و اطمینان حاصل کردن از این است که تمام تغییرات با قاعده انجام شده باشند تا هرگونه اثر مخرب احتمالی بر روی سرویس یا مشتریها به حداقل برسد. یک نمونه خوبِ قابل استفاده منصفانه از خط مشی مدیریت تغییر فناوری اطلاعات را میتوان در SANS یافت.
-
خط مشی امنیت اطلاعات
سیاستهای امنیت اطلاعات یک سازمان معمولا سیاستهای سطح بالایی هستند که میتوانند تعداد زیادی از کنترلهای امنیتی را در بر بگیرند. خط مشی اصلی امنیت اطلاعات توسط شرکت صادر میشود تا اطمینان حاصل شود که تمام کارمندان مطابق با قوانین و دستورالعملهای سازمان از منابع فناوری اطلاعات یا از شبکه آن استفاده میکنند. من سازمانهایی را دیدهام که از کارمندانشان میخواهند که سندی را امضاء کنند تا تائیدی باشد بر این که آن را خواندهاند (این کار عموما با امضای خط مشی AUP انجام میشود). این خط مشی برای کارمندان طراحی شده تا بدانند که قوانینی وجود دارد که آنها را نسبت به اطلاعات و منابع فناوری اطلاعات شرکت بسته به حساسیتشان مسئول میکند.
-
خط مشی واکنش به حوادث (IR)
سیاست واکنش به حوادث، یک روش سازمانیافته برای نحوه مدیریت یک حادثه و کاهش خسارات حادثه توسط شرکت است. این سیاستی است که مدیر ارشد امنیت اطلاعات امیدوار است که هرگز به کار نیاید. با این حال، هدف این سیاست توصیف روند مدیریت یک حادثه با توجه به محدود کردن خسارات وارده به عملیات تجاری و مشتری و کاهش زمان و هزینه بازیابی است.
-
خط مشی دستیابی از راه دور
سیاست دستیابی از راه دور، سندی است که روشهای قابل قبول برای اتصال به شبکههای داخلی یک سازمان از راه دور را طرح ریزی و مشخص میکند. من حتی در مواردی این سیاست را دیدهام که قوانینی برای استفاده از منابع BYOD (دستگاه های شخصی که افراد با خود به محل کار میبرند و از آن برای کار استفاده میکنند) به آن ضمیمه شده است. این سیاست برای سازمانهایی که شبکه پراکنده با قابلیت گسترش در مکانهای شبکهای ناامن دارند ضروری است، مثل کافی شاپ محلی یا شبکه خانگی مدیریت نشده.
-
خط مشی ایمیل/ ارتباطات
سیاست ایمیل یک شرکت، سندی است که به طور رسمی مشخص میکند یک کارمند چگونه میتواند از رسانههای ارتباطاتی که مؤسسه آنها را انتخاب کرده استفاده کند. این خط مشی؛ ایمیل، وبلاگها، شبکههای اجتماعی و نرمافزارهای چت را در بر میگیرد. هدف اصلی این خط مشی، ارائه یک دستورالعمل به کارمندان درمورد استفادههای قابل قبول و غیرقابل قبول از هرگونه تکنولوژی ارتباطیِ شرکت است.
-
سیاست جبران حوادث
برنامه جبران حوادثِ یک سازمان عموما هم شامل امنیت رایانهای و هم اطلاعات ورودی تیم فناوری اطلاعات میشود و به عنوان بخشی از برنامه تداوم کسب و کار بزرگتر، توسعه پیدا میکند. مدیر ارشد امنیت اطلاعات و تیمها، یک حادثه را از طریق خط مشی واکنش به حوادث مدیریت میکنند. اگر حادثه تاثیر قابل توجهی بر کسب و کار گذاشته باشد، برنامه تداوم کسب و کار وارد عمل میشود.
-
برنامه تداوم کسب و کار (BCP)
برنامه تداوم کسب و کار، تلاشهای سرتاسر سازمان را با هم هماهنگ میکند و از برنامه جبران حوادث استفاده میکند تا سختافزار، برنامهها و دادههایی که برای تداوم کسب و کار ضروری هستند را ترمیم کند. برنامه تداوم کسب و کار برای هر کسب و کاری منحصر به فرد است زیرا نحوه عملکرد سازمان در مواقع اضطراری را مشخص میکند.
ما دو منبع را به افرادی که برای تدوین اولین سیاستهای امنیتی شرکتشان انتخاب شدهاند، پیشنهاد میکنم. اولین مورد ، وبسایت الگوهای سیاست امنیت اطلاعات SANS است که در آن سیاستهای بیشماری برای دانلود قرار دارند و منبع دیگری که پیشنهاد میکنیم، مقاله ای از CSO است که لینکهایی از سیاستهای متمرکز بر موارد خاص مانند حریم خصوصی، خشونت در محل کار، استفاده از تلفن همراه در حین رانندگی را لیست کرده است .
همیشه به خاطر داشته باشید که سیاستها و دستورالعمل های برنامه امنیتی را به اطلاع کارمندان برسانید. ضروری است که کارمندان نسبت به هرگونه تغییر مربوط به آیین فناوری اطلاعات و امنیت رایانهای، آگاه و به روز باشند.