تدوین یک برنامه امنیتی نوعی عملیات است که بیشتر سازمان‌ها با نگاه یک کار بیهوده به آن می‌پردازند. من با استارت‌آپ‌هایی کار کرده‌ام که هیچ قاعده و قانونی برای نحوه‌ استفاده‌‌ کارمندان از دارایی‌ها و شبکه نداشتند. همچنین با سازمان‌های معتبری همکاری کرده‌ام که در آن‌ها تمام جنبه‌های فناوری اطلاعات و امنیت رایانه‌ای سختگیرانه مدیریت می‌شد. هدف، یافتن یک حالت میانه است که شرکت‌ها بتوانند ریسکی که همراه با انواع تکنولوژی‌ها می‌آید را مسئولانه مدیریت کنند.

معمولا شرکت‌ها در طراحی پایه و اساس یک برنامه امنیتی ابتدا یک کارمند را به عنوان مسئول امنیت رایانه‌ای تعیین می‌کنند. این کارمند همان کسی خواهد بود که از طریق تکنولوژی‌های امنیتی و سیاست‌ها و رویه‌های مستند، فرآیند تدوین طرحی برای مدیریت ریسک شرکت را آغاز می‌کند.

یک برنامه امنیتی کامل، به سیاست‌ها و رویه‌های زیر نیاز دارد :

  1. خط مشی استفاده‌ قابل قبول (AUP)

AUP، قیدها و رویه‌هایی را وضع می‌کند که کارمندی که از دارایی‌های بخش فناوری اطلاعات سازمان استفاده می‌کند باید با آن‌ها موافقت کند تا بتواند به شبکه‌ یا اینترنت مربوط به شرکت دسترسی داشته باشد. این یک سیاست پذیرش سازمانی استاندارد برای کارمندان جدید است. پیش از واگذار کردن شناسه‌ شبکه به کارمندان جدید، آن‌ها یک AUP دریافت می‌کنند که باید آن را بخوانند و امضاء کنند. این کار ضروری است و بخش‌های فناوری اطلاعات، امنیت، بخش حقوقی و منابع انسانیِ سازمان‌ها تعیین می‌کنند که این سیاست‌ها شامل چه مواردی باشند.

  1. خط مشی کنترل دسترسی (ACP)

ACP، دسترسی قابل قبول کارمندان به داده‌ سازمان‌ها یا سیستم‌های اطلاعاتی را طرح‌ریزی می‌کند. استانداردهایی از قبیل کنترل دسترسی و راهنمای پیاده‌سازیِNIST (موسسه ملي استاندارد و فناوري امريكا)، برخی از مباحثی هستند که در این خط مشی گنجانده شده‌اند. بقیه‌ مواردی که در این خط مشی قرار دارند، استانداردهای دسترسی کاربر، کنترل دسترسی شبکه، کنترل نرم‌افزار سیستم عامل و پیچیدگی رمزعبورهای مربوط به شرکت هستند. موارد اضافی‌ که اغلب تعیین می‌شوند شامل روش‌هایی برای نظارت بر چگونگی دسترسی و استفاده از سیستم‌های شرکت و چگونگی قطع دسترسی یک کارمند پس از خارج شدن از سازمان است.

  1. خط مشی مدیریت تغییر

مدیریت تغییر مربوط به فرایند رسمی‌ای است که برای ایجاد تغییرات در فناوری اطلاعات، ایجاد نرم‌افزارها و خدمات/عملیات‌های امنیتی مورد نیاز است. هدف یک برنامه‌ مدیریت تغییر، افزایش آگاهی و درک نسبت به تغییرات پیشنهادی درون یک سازمان و اطمینان حاصل کردن از این است که تمام تغییرات با قاعده انجام شده باشند تا هرگونه اثر مخرب احتمالی بر روی سرویس یا مشتری‌ها به حداقل برسد. یک نمونه‌ خوبِ قابل استفاده‌ منصفانه از خط مشی مدیریت تغییر فناوری اطلاعات را می‌توان در SANS یافت.

  1. خط مشی امنیت اطلاعات

سیاست‌های امنیت اطلاعات یک سازمان معمولا سیاست‌های سطح بالایی هستند که می‌توانند تعداد زیادی از کنترل‌های امنیتی را در بر بگیرند. خط مشی اصلی امنیت اطلاعات توسط شرکت صادر می‌شود تا اطمینان حاصل شود که تمام کارمندان مطابق با قوانین و دستورالعمل‌های سازمان از منابع فناوری اطلاعات یا از شبکه‌ آن استفاده می‌کنند. من سازمان‌هایی را دیده‌ام که از کارمندانشان می‌خواهند که سندی را امضاء کنند تا تائیدی باشد بر این که آن را خوانده‌اند (این کار عموما با امضای خط مشی AUP انجام می‌شود). این خط مشی برای کارمندان طراحی شده تا بدانند که قوانینی وجود دارد که آن‌ها را نسبت به اطلاعات و منابع فناوری اطلاعات شرکت بسته به حساسیت‌شان مسئول می‌کند.

  1. خط مشی واکنش به حوادث (IR)

سیاست واکنش به حوادث، یک روش سازمان‌یافته برای نحوه‌ مدیریت یک حادثه و کاهش خسارات حادثه توسط شرکت است. این سیاستی است که مدیر ارشد امنیت اطلاعات امیدوار است که هرگز به کار نیاید. با این حال، هدف این سیاست توصیف روند مدیریت یک حادثه با توجه به محدود کردن خسارات وارده به عملیات تجاری و مشتری و کاهش زمان و هزینه‌ بازیابی است.

  1. خط مشی دستیابی از راه دور

سیاست دستیابی از راه دور، سندی است که روش‌های قابل قبول برای اتصال به شبکه‌های داخلی یک سازمان از راه دور را طرح ریزی و مشخص می‌کند. من حتی در مواردی این سیاست را دیده‌ام که قوانینی برای استفاده از منابع BYOD (دستگاه های شخصی که افراد با خود به محل کار می‌برند و از آن برای کار استفاده می‌کنند) به آن ضمیمه شده است. این سیاست برای سازمان‌هایی که شبکه‌ پراکنده با قابلیت گسترش در مکان‌های شبکه‌ای ناامن دارند ضروری است، مثل کافی شاپ محلی یا شبکه‌ خانگی مدیریت نشده.

  1. خط مشی ایمیل/ ارتباطات

سیاست ایمیل یک شرکت، سندی است که به طور رسمی مشخص می‌کند یک کارمند چگونه می‌تواند از رسانه‌های‌ ارتباطاتی  که مؤسسه آن‌ها را انتخاب کرده استفاده کند. این خط مشی؛ ایمیل، وبلاگ‌ها، شبکه‌های اجتماعی و نرم‌افزارهای چت را در بر می‌گیرد. هدف اصلی این خط مشی، ارائه یک دستورالعمل به کارمندان درمورد استفاده‌های قابل قبول و غیرقابل قبول از هرگونه تکنولوژی ارتباطیِ شرکت است.

  1. سیاست جبران حوادث

برنامه‌ جبران حوادثِ یک سازمان عموما هم شامل امنیت رایانه‌ای و هم اطلاعات ورودی تیم فناوری اطلاعات می‌شود و به عنوان بخشی از برنامه‌ تداوم کسب و کار بزرگتر، توسعه پیدا می‌کند. مدیر ارشد امنیت اطلاعات و تیم‌ها، یک حادثه را از طریق خط مشی واکنش به حوادث مدیریت می‌کنند. اگر حادثه تاثیر قابل توجهی بر کسب و کار گذاشته باشد، برنامه‌ تداوم کسب و کار وارد عمل می‌شود.

  1. برنامه‌ تداوم کسب و کار (BCP)

برنامه‌ تداوم کسب و کار، تلاش‌های سرتاسر سازمان را با هم هماهنگ می‌کند و از برنامه‌ جبران حوادث استفاده می‌کند تا سخت‌افزار، برنامه‌ها و داده‌هایی که برای تداوم کسب و کار ضروری هستند را ترمیم کند. برنامه‌ تداوم کسب و کار برای هر کسب و کاری منحصر به فرد است زیرا نحوه‌ عملکرد سازمان در مواقع اضطراری را مشخص می‌کند.

ما دو منبع را به افرادی که برای تدوین اولین سیاست‌های امنیتی شرکت‌شان انتخاب شده‌اند، پیشنهاد می‌کنم. اولین مورد ، وبسایت الگوهای سیاست امنیت اطلاعات SANS است که در آن سیاست‌های بی‌شماری برای دانلود قرار دارند و منبع دیگری که پیشنهاد می‌کنیم، مقاله ای از CSO است که لینک‌هایی از سیاست‌های متمرکز بر موارد خاص مانند حریم خصوصی، خشونت در محل کار، استفاده از تلفن همراه در حین رانندگی را لیست کرده‌ است .

همیشه به خاطر داشته باشید که سیاست‌ها و دستورالعمل های برنامه امنیتی را به اطلاع کارمندان برسانید. ضروری است که کارمندان نسبت به هرگونه تغییر مربوط به آیین فناوری اطلاعات و امنیت رایانه‌ای، آگاه و به روز باشند.