از شاخص های کلیدی عملکرد چگونه برای افزایش امنیت سایبری سازمانمان استفاده کنیم؟
اگر قصد افزایش امنیت سایبری سازمانتان و محافظت از آن را در برابر حملات پیچیده سایبری دارید استفاده از شاخص کلیدی عمکرد (KPI[1]) از جمله راهکارهایی است که کمک قابل توجهی در این زمینه به شما خواهد کرد. ما در این مطلب از فراست ابتدا مفهوم KPI را بیان نموده، سپس به بررسی روشهای توصیه شده برای استفاده از شاخصهای کلیدی عملکرد و نحوه اعمال آنها در امنیت سایبری میپردازیم. در نهایت نیز یک ماتریس KPI را جهت استفاده شما معرفی خواهیم کرد که از آن می توانید جهت ارتقا و بهبود طرح امنیت سایبری خودتان استفاده کنید.
یکی از سؤال های رایجی که همه مدیران فناوری اطلاعات حتی افرادی هم که از شیوه عملکرد خود راضی هستند دچار تردید میکند این است که «چه اقداماتی در زمینه امنیت سایبری در سازمان ما صورت گرفته و آیا سازمان، عملکرد قابل قبولی در مقابله با تهدیدات سایبری داشته است یا خیر؟». بسیاری از افراد این اضطراب و نگرانی را ناشی از عدم اطمینان درباره کافی بودن سرمایهگذاری آنها برای امنسازی سازمانشان دانسته و عدهای دیگر هم معتقدند بودجه آنها برای دستیابی به سطح نظارتی مورد نیاز جهت رسیدن به امنیت و اطمینان خاطر در این خصوص کافی نیست. با این حال هیچ کسی جواب این سؤال را به طور دقیق ندانسته و اطلاعی از میزان موفقیت یا عدم موفقیت اقدامات امنیتی صورت گرفته توسط سازمان خود ندارد.
یکی از راهکارهایی که برای سنجش میزان خوب بودن عملکرد شرکتها و سازمانها در مقایسه با اهداف کمی و کیفی راهبردی تعریف شده و معیاری برای سنجش موفقیت هر کسبوکاری محسوب میشود، «شاخص کلیدی عملکرد» یا KPI است. KPI همچنین امکان حفاظت از کسبوکارتان را فراهم نموده و تأثیر سرمایهگذاریهای انجام شده نیز در این زمینه بسیار مشهود خواهد بود.
چنین شاخصهایی علاوه بر اینکه شرایط حاکمیت دادهها را بهبود میبخشند، به مدیران فناوری اطلاعات سازمانهای کوچک و متوسط کمک میکنند تا سرمایهگذاریهای خود را به صورت آگاهانه انجام داده و طرحهای ارتقای امنیت را پیادهسازی کنند. تیمهای امنیتی هم با استفاده از شاخصهای کلیدی عملکرد میتوانند با قطعیت بیشتری نرمافزارها را بهروزرسانی نموده و وصلههای امنیتی و پیکربندیها را انجام دهند.
اهداف اصلی که در این مطلب مورد بررسی قرار میگیرند، شامل موارد زیر هستند:
الف) استفاده از شاخصهای کلیدی عملکرد بهتر، منجر به ارتقای سطح امنیت سایبری میشود.
ب) ارایه راهکارهایی درباره اصول استفاده از شاخصهای کلیدی عملکرد برای طرحهای امنیت سایبری
ج) فراهم نمودن امکان اجرای یک طرح گزارشدهی دقیق به منظور بهبود نظارت و مدیریت امنیت سایبری
د) سازماندهی این فرایند از طریق انتخاب معیارهای متناسب و انتقال به موقع آنها به افراد مناسب
به گفته یکی از مدیران ارشد امنیت اطلاعات: «بهبود حاکمیت داده به مدیران مشاغل کمک میکند تا با عدم قطعیتی که امروزه سازمانها با آن مواجه هستند، برخورد کمتری داشته باشند».
ارتباط با مدیریت فناوری اطلاعات
در گذشته معمولاً میزان عملکرد کارشناسان فناوری و امنیت اطلاعات و همچنین فعالیتهای دستی که توسط آنها انجام میشد از جمله شاخصهای اصلی تیمهای فناوری اطلاعات و امنیت برای ارزیابی تأثیر نقش آنها در میزان موفقیت کسبوکارشان بود. امروزه با توجه به انبوه منابعی که برای حفاظت و نگهداری از سیستمهای فناوری اطلاعات در سازمانها وجود دارند نه تنها دیگر انجام چنین کاری امکانپذیر نیست بلکه حتی این روش باعث میشود نتوانیم اهداف کسبوکاریمان را از طریق فناوریهای نوین نیز پیش ببریم.
یک راهکار برای متمرکز شدن هر چه بیشتر بر روی اهداف کسبوکار (حداقل برای تیمهای فناوری اطلاعات مجهز و در حال پیشرفت) تفکیک معیارهای ارزیابی اثربخشی مثل معیارهای ارزیابی دسترسپذیری امنیت سایبری از معیارهایی است که پشتیبانی فناوری اطلاعات از عملیات کاری را اندازهگیری میکنند. این طرح تفکیکسازی معمولاً در سازمانهای بزرگتر اجرا میشود که منابع کافی برای تشکیل یک تیم امنیت سایبری اختصاصی دارند. مدیران فناوری اطلاعات سازمانهای کوچک و متوسط هم باید بین حمایتهای بخش فناوری اطلاعات از اهداف کسبوکاری و تلاشهای صورت گرفته برای کاهش مخاطرات امنیت سایبری توازن لازم را برقرار کنند.
تنظیم اهداف مبتنی بر داده برای ارزیابی حمایت صورت گرفته از کسبوکار توسط بخش فناوری اطلاعات و مدیریت مخاطرات امنیت سایبری، نقش مهمی در ایجاد یک توازن مناسب و هماهنگسازی سرمایهگذاریها جهت رسیدن به بیشترین سطح اثربخشی را دارند. توجه ویژه صورت گرفته به بهداشت امنیت سایبری (یکی از شاخصهای کلیدی عملکرد امنیت سایبری که در ماتریس انتخاب KPI سایبری تشریح شده) در کاهش احتمال و شدت رخدادهای امنیت سایبری نقش چشمگیری دارد. رخدادها میتوانند موجب از کار افتادن سیستمها و پیامدهای دیگری شوند که مانع از پیشرفت فناوری اطلاعات (یا حتی بدتر از آن، ایجاد پیامدهای فاجعهبار برای کسبوکار) شوند. به همین دلیل همکاری بین طرفهای دخیل در امنیت سایبری و فناوری اطلاعات اهمیت بسیار زیادی دارد.
ایجاد یک طرح KPI امنیت سایبری
یک طرح KPI کارآمد باید به اصول کلیدی زیر پایبند باشد:
برقراری ارتباط بین هر KPI سطح بالا به یکی از اهداف کلیدی یا بیانیه رسالت سازمان: اگر میخواهید مدیران عملیاتی را با خود همراه کنید باید شاخصهای کلیدی عملکرد را از منظر آنها برای کسبوکار در نظر بگیرید. این اقدام موجب کاهش مخاطره دستیابی هکرها به سیستمها و منابع سازمانی میشود.
ارزیابی ترکیبی از شاخصهای عملکرد پیشرو و پیامدها: این شاخصها ابزاری برای عیبیابی یا رفع موانع هستند و میتوانند میزان پیشرفت شما به سمت اهداف سازمان را اندازهگیری کنند. شاخصهای پیشرو در صورت ارزیابی در کنار نتایج ایجاد شده برای کسبوکار، ارزش بیشتری داشته و این کار به تشخیص اینکه توانستهاند عملکرد را به درستی پیشبینی کنند یا خیر کمک به سزایی میکند. به این ترتیب، شاخصهای پیشرو فرصتی برای انجام زودهنگام تنظیمات فراهم نموده و بهرهوری کسبوکار را افزایش میدهند.
تنظیم اهداف کوتاه و بلندمدت برای هر شاخص کلیدی عملکرد: جهت دستیابی به هدف مشخص شده برای هر شاخص، یک شخص خاص را به عنوان مسئول انتخاب کنید. ممکن است تعیین اهداف، کار سختی باشد پس سعی کنید اهدافی را تعیین کنید که هر چند چالشبرانگیز هستند اما قابل دستیابی بوده و موفقیت آنها حتمی باشد.
از شاخصهای خوش تعریف، قابل اندازهگیری و هدفمند استفاده کنید: شاید وسوسه شوید که از معیارهای کلی و بیپایه (مثل «رسیدن به وضعیت امنیتی مشابه با گروه X») استفاده کنید ولی به شدت توصیه میشود این کار را انجام ندهید. تعریف معیارهای ضعیف یا خیالی میتواند باعث کاهش کارایی شدید شما گردد. انسجام و درک مشترکی که نسبت به معیارها وجود دارد را ارزیابی کنید. برای مثال اگر در سازمان شما دو شخص مختلف یک KPI را محاسبه میکنند باید به عددی یکسان برسند.
تا جایی که ممکن است کار جمعآوری دادهها را خودکارسازی کنید: جمعآوری دستی دادهها برای شاخصهای کلیدی عملکرد مربوط به فناوری اقدام غیرممکنی میباشد. سازماندهی یک طرح KPI نیاز به برقراری توازن بین بار کاری تیم برای گزارشدهی و ارزشهای ایجاد شده برای کسبوکار از طریق جمعآوری دادهها دارد. به محض اینکه تصمیمگیریهای صورت گرفته بر اساس طرح KPI امنیت سایبری را مشاهده کنید، شاخصهایی که ارزشمند نیستند مشخص خواهند شد.
امتیازهای KPI را به صورت شفاف بیان کنید: این امتیازها باید برای همه کارمندان از مدیران و اعضای هیأت مدیره گرفته تا کارمندان سطح مبتدی قابل مشاهده باشند. این گام ساده میتواند یک حس رسالت مشترک را به وجود آورده و به ایجاد یک محیط کاری باز و مورد اعتماد کمک کند.
فرایند بررسیهای ماهیانه را در سطح سازمان شروع کنید: تیمهای فناوری اطلاعات میتوانند با توجه به تعداد افرادی که در آنها مشغول به فعالیت هستند هر هفته یا دو هفته یکبار با همدیگر ملاقات کنند. البته این ملاقاتها نباید از حد معمول بگذرد زیرا این امر تمرکز شما را از اهداف اصلی کسبوکارتان از بین برده و از طرف دیگر گزارشدهی به صورت نامنظم یا در فواصل طولانی هم موجب کاهش اثربخشی این حرکت میشود. در حالی که برقراری توازن در این زمینه به جلب رضایت مدیران عامل کمک نموده و غفلت از انجام این کار نیز موجب میشود که دیگران این فرایند را یک اقدام اضافی و کمارزش ببینند.
جمع آوری اطلاعات به صورت منظم به برنامه شما یک ساختار مشخص داده و منجر به گسترش حس مسئولیت در سطح سازمان میشود. شما باید این روش را ترویج داده و به دنبال جلب مشارکت تیمهایی با عملکرد متقابل باشید که چشماندازی مشترک برای گزارشدهی یا هدفی یکسان در جهت کاهش مخاطرات دارند. بنا بر گفته مدیر عملیات کاری یکی از سازمانها: «ایجاد یک توازن دقیق در این زمینه به جلب رضایت تیم مدیریت و متعهدسازی آنها کمک میکند».
طرح KPI را عملیاتی کنید.
در این بخش بررسی میکنیم چگونه میتوانید طرح KPI خودتان را که به صورت سنجیده و کامل طراحی کرده اید برای ارزیابی کسبوکارتان پیادهسازی نمایید. ابتدا روند تغییرات را در طول زمان، مشخص نموده و رفتارهای بد را برای بهینهسازی راهکارها تعیین کنید. همچنین از رفتارهای خوب قدردانی نمایید. توجه کنید که پیشرفت به صورت مرحله به مرحله به دست آمده و قرار نیست یک شبه به امنیتی در سطح NSA برسید!
سعی کنید با ارتقای سطح امنیت حتی به صورت تدریجی، سازمان را در مسیر پیشرفت قرار دهید. بین شاخصهای پیشرو، معیارهای کلیدی امنیتی سطح بالا، میزان بلوغ کسبوکارتان و اهداف سطح بالای سازمان ارتباط برقرار کنید. مدیریت و کاهش مخاطرات یکی از اجزای سازنده و مهم برای دستیابی به وضعیت امنیتی مناسب محسوب می شود. مدیریت مخاطرات میتواند منجر به پیامدهای کاری مثبت مثل کسب استانداردها و مجوزهای قانونی لازم هنگام کار با شرکا و مشتریان از طریق تحول دیجیتالی امن، توانمندسازی کسبوکار و دستیابی به مزایای رقابتی شود.
خوب به این مسئله فکر کنید که چگونه میتوانید مطمئن شوید ابزارهای لازم برای ارزیابی روش های مختلف حمله را به خصوص برای نقاط انتهایی، شبکه و محیط ابری در اختیار دارید. به همین ترتیب به دنبال راهکارها باشید. برای نصب وصلههای امنیتی بر روی نقاط انتهایی، برطرف کردن آسیبپذیریها و اصلاح هر آنچه که پیدا میکنید نیاز به طرحی پیشگیرانه دارید. همچنین باید اصول و سیاستهای مناسب را در اختیار داشته تا طرح KPI شما در خلأ کار نکند.
شاخصهای کلیدی عملکرد امنیت سایبری
پس از گفتن نکات مهم حالا به خود شاخصهای کلیدی عملکرد میرسیم. ما ماتریس انتخاب شاخصهای کلیدی عملکرد سایبری را تهیه کردیم تا بتوانید موارد مهم برای کسبوکارتان را از بین عناصر آن انتخاب نمایید. این ماتریس شامل راهنماهایی در زمینه جمعآوری، مالکیت و تحلیل این شاخصها است.
هنگام بررسی ماتریس KPI به این موضوع فکر کنید که چگونه میتوانید از این شاخصها برای ارتقای سطح امنیت سایبری، انتساب، جمعآوری و استفاده درست از این شاخصها بهرهبرداری کنید. آیا مالکان پیشنهاد شده در این ماتریس برای سازمان شما مناسب هستند؟ آیا فناوری امنیتی لازم برای دستیابی به این اهداف را دارید یا آن را برونسپاری میکنید؟ آیا ارایهدهنده سرویس امنیتی مدیریت شده (MSSP[2]) یا سرویس تشخیص و واکنش مدیریت شده شما (MDR[3]) چنین قابلیتهایی را برای شما فراهم می کند؟
سطح بررسی |
مالک |
دستهبندی مدیریتی | دستهبندی امنیت اطلاعات | KPI | تعریف و وابستگیها | دلیل پیگیری | ابزارها و روش جمعآوری | پیشرو/تأخیری |
سطح تکامل و بلوغ |
مدیر ارشد اطلاعات |
ارزیابی هزینه |
بازرسی | درصد بودجه برای امنیت IT | درصد بودجه اختصاص یافته به امنیت IT از کل مخارج IT | درک تغییرات مخارج شما با توجه به نتایج مشخص شده در سایر KPIها | حسابداری | پیشرو |
2 |
|
مدیر/ هیئت اجرایی |
ارزیابی هزینه | بازرسی | هزینه باجافزار در مقایسه با نسبت پوشش بیمه | هزینه حمله باجافزاری به ازای هر دارایی، نسبت به کل مبلغ پوشش بیمه امنیت سایبری (نسبت هزینه $:$) | هدف از ارایه این شاخص، مشخص نمودن میزان قرار داشتن در معرض حملات باجافزاری است. دانستن هزینه کل یک حادثه (با فرض نفوذ به سیستمها) نسبت به مبلغ بیمه شده، این موضوع را مشخص میکند. به این ترتیب میتوانیم مثلاً مشخص کنیم که بیمه، 50 درصد هزینههای مقابله با باج افزار را پوشش میدهد. | حسابداری | پیشرو | 4 | |
ارزیابی هزینه | بازرسی | هزینه باجافزار در مقایسه با نسبت بودجه | هزینه یک حمله باجافزاری به ازای هر دارایی، نسبت به کل مخارج امنیت IT (نسبت قیمت $ به $) | هدف از تعیین این شاخص، مشخص کردن میزان قرار داشتن در معرض حملات باجافزاری برای مشتریان است. اگر در جریان باشیم که در صورت نفوذ به سیستمها و عدم پوشش کامل هزینهها توسط بیمه چقدر خسارت ایجاد میشود میتوانیم این رقم را مشخص کنیم. برای مثال، 50 درصد هزینههای مقابله با حمله باجافزاری پوشش داده میشود. | حسابداری | پیشرو |
1 |
||
ارزیابی چارچوب |
پیروی از استانداردها | درصد کنترلهای پیاده سازی شده |
درصد کنترلهایی که در یک استاندارد قانونی به آنها پرداخته شده و در سازمان پیاده سازی شده اند (مثل PCI، ISO یا CMMC) |
روشهای توصیه شده برای اجرای بازرسی مثل CIS، ISO، NIST این معیار، قابلیتهای شما را نسبت به آنچه برای صنعت شما یا توسط مشتریان، همکاران و نهادهای حاکمیتی مشخص شده مقایسه میکند. این اصول توصیه شده اولین گام برای ایجاد یک طرح امنیت سایبری قوی محسوب میشوند. |
حاکمیت، مخاطرات و پیروی از استانداردها | تأخیری | |||
ارزیابی همکار |
انطباق با استانداردها | درصد انطباق فروشندگان با استانداردهای قانونی | درصد فروشندگانی که در ممیزی ها استانداردهای لازم را دارند نسبت به کل فروشندگانی که باید این ویژگی را داشته باشند. از جمله چارچوبهای پرکاربرد میتوان به SOC2، ISO و PCI اشاره کرد. | هدف از ارایه این معیار، مشخص نمودن نحوه به مخاطره افتادن دادههای مشتریان شما است و چنین فرض میشود که بین همه فروشندگانتان ارتباط وجود دارد. نگرانیهای مدیران عامل درباره اینکه آیا فروشندگان یا همکاران با استانداردها همخوانی لازم را داشتهاند یا خیر زیاد است. پیروی نکردن از چنین استانداردهایی میتواند دلیلی برای خودداری از همکاری با این شرکتها باشد. | نرمافزار مدیریت فروشنده یا فایل های اکسل (که به صورت سالیانه منتشر میشوند.) |
تأخیری |
|||
ارزیابی اثربخشی طرح |
واکنش به رخداد | هشدارهای سیستم | تعداد هشدارهای ایجاد شده توسط نقاط انتهایی (مثل خرابی، خطا و هشدار از سمت ضدویروسها) | پیگیری هشدارهای سیستم میتواند به شما برای درک اثربخشی فناوریهای پیشگیرانه کمک کند. از طریق مقایسه این معیار با تعداد رخدادها میتوانید متوجه شوید کدام هشدارها معنای بیشتری داشته یا ابزارهای خودتان را برای ارسال هشدارهای دقیقتر تنظیم نموده و هشدارهای کاذب را کاهش دهید. یکی دیگر از دلایل پیگیری هشدارهای سیستم، ایجاد عادت رسیدگی به آنها است که مهارت مهمی برای مقابله با رخدادهای واقعی محسوب میشود. | محصولات امنیتی مثل نرم افزار ضدویروس، فایروال، سیستمهای جلوگیری از نفوذ یا ارایهدهنده راهکار MDR | تأخیری | |||
زمان رسیدن به ارزش |
انطباق با استانداردها | تلاش روزانه برای بررسی لاگ | کل زمان (تعداد دقایق) سپری شده برای بررسی هشدارهای سیستم و گزارش مسائل مربوط به امنیت | جمعآوری و مقایسه این معیار با هشدارهای شناسایی شده، برای دستیابی به «زمان باارزش» اهمیت دارد. هدف، رسیدن به نسبت بالایی در بین هشدارهای شناسایی شده و زمان صرف شده برای دستیابی به آنها است (بهرهوری). در مقایسه با سایر فعالیتها هر چقدر زمان بیشتری در اینجا صرف شود، زمان (و آسیب) مربوط به برخورد با رخداد و فعالیتهای تجدیدکننده کاهش مییابد. | نرمافزار پیگیری زمان | پیشرو | |||
مدیران IT و امنیت اطلاعات |
اثربخشی طرح | واکنش به رخداد | رخدادهای امنیت سایبری | تعداد رخدادها (که با بررسی هشدارها مشخص میشود). باید شرایط و ضوابط لازم درباره اینکه چه چیزی رخداد محسوب میشود، مشخص شود. از جمله مثالهای پرکاربرد در این زمینه میتوان به نقض یک سیاست امنیتی، قرار گرفتن اطلاعات/داراییها در معرض مخاطره یا تشخیص آسیب مادی اشاره کرد. | از آن برای ارزیابی میزان پیشرفت خودتان به مرور زمان استفاده کنید. از این معیار به عنوان مقدمهای برای پرسشهایی مثل این استفاده کنید: آیا دلیل اینکه با رخدادهای بیشتری روبرو میشویم، تأخیر در مقابله پیشگیرانه با آسیبپذیریها است؟ از تغییر تعریف رخداد برای تغییر این عدد خودداری کنید چون این کار با روح این معیار همخوانی ندارد. | محصولات امنیتی مثل نرم افزار ضدویروس، فایروال، سیستمهای جلوگیری از نفوذ یا کارشناسان تیم پشتیبانی شما یا یک ارایه دهنده MDR |
تأخیری |
||
اثربخشی طرح |
واکنش به رخداد | میانگین زمان تشخیص | میانگین زمان (تعداد دقایق) سپری شده از زمان ایجاد رخداد تا تشخیص آن در سیستم.
توجه: برای ارزیابی این معیار نیاز به توانمندیهای پیشرفتهتری دارید و استفاده از آن در کنار قابلیتهای واکنش سریع، ارزش بیشتری ایجاد میکند. |
این شاخص برای تشخیص اینکه آیا اعداد یا ابزارهای جدیدی هستند که به تشخیص سریعتر رخدادها کمک کنند یا خیر، طراحی شده است. با توجه به زمان سکون تهدیدات، تشخیص سریع اهمیت ویژهای دارد. هر چقدر سریعتر یک تهدید را در یک سیستم شناسایی کنید، احتمال اجرا شدن آن و ایجاد آسیبهای مادی یا از کار افتادگی کمتر میشود. | ابزارهای امنیتی مثل سیستم مدیریت اطلاعات و رویدادهای امنیتی، تحلیل لاگ یا ارایه دهنده MDR |
تأخیری |
|||
اثربخشی طرح |
واکنش به رخداد | میانگین زمان واکنش | میانگین زمان (تعداد دقایق) برای پاسخ به یک ایمیل یا تماس تلفنی و واکنش به هشدارهای متداول از سمت کارمندان | معمولاً این شاخص به رخدادها ارتباط دارد نه هشدارها اما با پیگیری زمان سپری شده برای واکنش به یک هشدار میتوانید باعث ترویج و تشویق بررسی و تحقیقهایی شوید که به تشخیص رخداد منجر میشوند. | ایمیل و تستها | تأخیری | |||
اثربخشی طرح |
واکنش به رخداد | میانگین زمان بازیابی | میانگین زمان (دقایق) لازم برای بازیابی سیستمهای فعال (هم نقاط انتهایی و کلاینت ها و هم سرورها) | درک اینکه بازیابی سیستمها چقدر زمان میبرد به شما برای اطمینان از اینکه زمان از کار افتادگی به اندازهای کم است که مانع از تأثیرگذاری بر کسب و کار شود، کمک میکند. درس گرفتن از تلاشهای قبلی برای بازیابی سیستمها و برنامه ریزی گامهای لازم برای اجرای سریعتر این کار در آینده به بهبود طرح واکنش به رخداد کمک میکند. | نرمافزار پشتیبان یا تستها | تأخیری | |||
اثربخشی طرح |
واکنش به رخداد | میانگین زمان رفع مشکل | میانگین زمان (تعداد دقایق) سپری شده از زمان دریافت یک اخطار یا یادآوری آن تا زمان حل مسئله | مشخص کردن زمان لازم برای برطرف کردن مشکل میتواند به ارزیابی میزان اثربخشی طرح واکنش به رخداد کمک کند. | سیستم صدور اخطار | تأخیری | |||
کاهش مخاطره |
مدیریت آسیب پذیری ها | آسیب پذیریهای شناسایی شده | تعداد آسیب پذیریهای حیاتی دارای اولویت بالا و سطح متوسط در داراییهای بخش IT | آشنایی با تعداد و شدت آسیب پذیریها در سیستمها هم برای امنیت و هم انطباق با استانداردهای قانونی ضروری است.
امنیت: کاهش سطح مخاطره برای هر طرح امنیت سایبری مهم است و کاهش آسیب پذیریها در سیستمها منجر به کاهش مخاطره سوءاستفاده از آنها میشود. انطباق با استانداردهای قانونی: بعضی از چارچوب ها و استانداردها (و همچنین سازمانهایی که ممکن است قصد همکاری با آنها را داشته باشید)، عدم وجود آسیب پذیری در محیط سازمان شما را جزو الزامات مهم جهت انطباق (و همکاری) در نظر میگیرند. |
پویش آسیب پذیری ها |
پیشرو |
|||
کاهش مخاطره |
مدیریت آسیب پذیری ها | آسیب پذیریهای با سطح بالای رفع شده | تعداد آسیب پذیریهای حیاتی که در یک بازه زمانی خاص (ماه) با آنها مقابله شده است. معمولاً این هدف از طریق نصب وصلههای امنیتی، تغییر پیکربندی، حذف یا جایگزینی فناوریهای آسیب پذیر انجام میشود. | درک این موضوع از دیدگاه مدیریت اهمیت زیادی دارد. برای مثال میتوانید از طریق مقایسه این شاخص (آسیب پذیریهای رفع شده) با عدد بالا (آسیب پذیریهای باقی مانده) به اطلاعات مهمی درباره اینکه آیا تیم شما به مسئولیتهای خود برای برطرف کردن این آسیب پذیریها عمل میکند یا خیر، دست پیدا کنید. یکی دیگر از نتیجه گیریهایی که میتوانید به آن برسید این است که شاید آسیب پذیریهای جدیدی شناسایی شدهاند که ماه پیش وجود نداشتند. | پویش آسیب پذیری ها |
پیشرو |
|||
اثربخشی طرح | مدیریت آسیب پذیری ها | زمان نصب وصلههای امنیتی | میانگین زمان (برحسب روز) بین انتشار یک وصله امنیتی و نصب آن بر روی سیستمها |
هر چقدر یک آسیب پذیری مدت بیشتری باقی بماند، خطر سوءاستفاده از آن هم بیشتر میشود. کاهش این عدد در هر ماه نسبت به ماه قبلی، نشان دهنده پیشرفت است (کمتر شدن آسیب پذیریها با سرعت بیشتر). |
ابزارهای نظارت بر نرمافزارهای موجود در سازمان | پیشرو | |||
زمان رسیدن به ارزش |
مدیریت آسیب پذیری ها | تلاشهای ماهیانه برای رفع آسیب پذیری ها | کل زمان (برحسب ساعت) سپری شده در هر ماه برای اصلاح آسیب پذیری ها |
این معیار را با توجه به آسیب پذیریهای اصلاح شده ارزیابی کنید. بررسی نمایید که آیا زمان رسیدن به ارزش، با توجه به شدت آسیب پذیری اصلاح شده ارزشمند بوده یا خیر و آیا این کار منجر به کاهش مخاطره مهمی (یا ایجاد پیامدهای مثبت کافی) شده تا هزینه زمان صرف شده را پوشش دهد؟ |
نرمافزار پیگیری زمان |
پیشرو |
|||
مخاطرات |
پشتیبان گیری | آخرین پشتیبان گیری فعال | تعداد روزهای گذشته از آخرین پشتیبان گیری از همه سیستمها یا (در صورت غیرهمگام بودن سیستمها)، آخرین نسخه پشتیبان هر سیستم | هر چقدر مدت زمان بیشتری را بدون پشتیبان گیری سپری کنید، هزینههای ایجاد شده در صورت نیاز به برگشت به عقب بیشتر میشود. پشتیبان گیری منظم به کاهش پیامدهای مخرب حملات سایبری مثل باج افزارها کمک میکند. دقت داشته باشید که این اقدام چاره کاملی نیست چون معمولاً باج افزارها اول از همه (پس از رمزنگاری محتویات هارد دیسک) سعی میکنند نسخه پشتیبان را حذف یا رمزنگاری کنند. | نرمافزار پشتیبان گیری | تأخیری | |||
مخاطرات |
پشتیبان گیری | درصد سیستمهای با نسخه پشتیبان فعال | تعداد کل نقاط انتهایی که در پشتیبان گیری دوره ای یا کامل خودکار وجود دارند از کل نقاط انتهایی موجود | تشخیص درصدی از نقاط انتهایی که پشتیبان گیری در آنها انجام میشود، به تشخیص اینکه آیا در صورت وقوع آلودگی گسترده امکان برگشت به عقب وجود دارد یا خیر کمک میکند. | نرمافزار پشتیبان گیری یا: پویشگر آسیب پذیری ها، کنترل دسترسی به شبکه یا ابزار نظارت بر موجودی نرمافزاری | پیشرو | |||
مخاطرات |
مدیریت سیستم | نمره بهداشت سیستم | امتیاز میانگین (درصد) همه نقاط انتهایی که بهداشت سایبری هر یک از آنها را بر اساس این عوامل مشخص میکند: بهروز بودن سیستم عامل، بهروز بودن برنامههای کاربردی، بهروز بودن نرم افزار ضدویروس، فعال بودن یا اجرای اسکن توسط ضدویروس، فعال بودن رمزنگاری دیسک، استفاده از کلمه عبور (مطابق با سیاستهای سازمان). این معیار را می توان مثل «درصد نقاط انتهایی که بالاتر از امتیاز هدف بودهاند» نیز اندازه گیری کرد. | این شاخص یک دید جامع نسبت به سطح امنیت سیستمها فراهم میکند. اطمینان از رعایت بهداشت سایبری تأثیر چشمگیری بر فرصتهای قابل بهره برداری توسط هکرها دارد. | اسکریپت نویسی پوسته: پاورشل برای ویندوز و بششل برای مک و لینوکس جهت غیرفعال کردن دستگاههای غیرسازمانی. مدیریت با NAC برای سیاست BYOD یا MDM برای دستگاههای سیار | پیشرو | |||
مخاطرات |
مدیریت سیستم | درصد داراییهای مدیریت شده | درصد نقاط انتهایی که نرمافزار مدیریت دستگاه (با قابلیتهای پاکسازی از راه دور و بهروزرسانی نرمافزاری) روی آنها نصب شده از بین کل داراییهای موجود در شبکه. هدف شما کاهش عکس این نسبت (یعنی تعداد دستگاههای مدیریت نشده) است. | اطمینان از اینکه بیشتر نقاط انتهایی شما این قابلیت را دارند باعث میشود که در صورت سرقت یا گم شدن آن وسیله، مخاطره ای دادههای شما را تهدید نکرده و نیازی نباشد آن را جزو رخدادهای نیازمند به اعلام در نظر بگیرید. | مدیریت دستگاه، نرمافزار کنترل دسترسی به شبکه و ابزارهای نظارت بر موجودی | تأخیری | |||
زمان رسیدن به ارزش | انطباق با استانداردها | تلاشهای صورت گرفته برای آگاهی بخشی سایبری و تدوین و اجرای سیاستها | کل زمان سپری شده در هر سه ماه (برحسب ساعت) برای طراحی طرحهای آگاهی بخشی امنیت سایبری یا بهروزرسانی مستندات و سیاستهای امنیت سایبری | این معیار را با توجه به سیاستهای ایجاد شده یا طرحهای اطلاع رسانی اجرا شده در نظر بگیرید. به مرور زمان میتوانید ارتباط بین تعداد رخدادها و هشدارها را با زمان صرف شده برای اطلاع رسانی و تنظیم سیاستها مشخص کنید. به این ترتیب قادر خواهید بود اثربخشی چنین طرحهایی را مشخص کرده و زمان صرف شده را توجیه نمایید. | نرم افزار پیگیری زمان | پیشرو |
نتیجه گیری
در مجموع چنین می توان گفت تعداد شاخصهای کلیدی عملکردی که برای ارزیابی امنیت سایبری سازمان ها وجود دارد، بسیار زیاد هستند. این شاخصها به شما کمک میکنند میزان پیشرفتی را که سازمانتان در زمینه امنیت سایبری داشته است، به خوبی مشاهده نموده و در جهت کاهش مخاطرات امنیت سایبری سازمان خود تلاش کنید.
تیم های فناوری اطلاعات و امنیت نیز با نظارت بر روی این ارزیابیها میتوانند بر روی هدف اصلیشان یعنی دستیابی به نتایج کسب و کاری از طریق نوآوری در حوزه فناوری دست یابند. البته باید به این نکته مهم توجه داشت که جمعآوری و تحلیل شاخصهای کلیدی عملکرد امنیت سایبری به تنهایی کافی نیست. برای هر شاخص، مالک و هدف را باید مشخص نموده و مطمئن شوید که افراد مناسب، قابلیت نظارت و کنترل برای رسیدن به تصمیمگیریهای آگاهانه را دارند. شما باید مطمئن شوید ابزارهای لازم برای ارزیابی در سطح نقاط انتهایی، شبکه و محیط ابری و همچنین یک طرح پیشگیرانه برای نصب وصلههای امنیتی بر روی نقاط انتهایی، رفع آسیبپذیریها و سایر مشکلات شناسایی شده را دارید.
به منظور بهبود و ارتقای طرح امنیت سایبری، برنامهریزی و انجام مانورها از اهمیت ویژهای برخوردارند. مطمئن شوید که طرح واکنش به رخدادها در سازمان شما به خوبی مستندسازی و اجرا میشود. خودتان را با اجرای مانورهای تست نفوذ محک بزنید تا امکان ارزیابی و بهبود قابلیتهای واکنش به رخداد را پیش از مواجه شدن با یک حادثه واقعی داشته باشید. با توجه به شرایط به وجود آمده در اثر شیوع بیماری کرونا بهتر است یکسری نظریههای «قوی سیاه[4]» هم در این مانورها داشته باشید. هنگام وقوع رخدادهای سایبری و پس از آن، حتماً اطلاعات لازم را جمعآوری کرده تا پس از برطرف سازی مخاطره بتوانید از این اطلاعات برای مقابله با حوادث آتی استفاده کنید.
پس همین الان دست به کار شوید!
مهم نیست خودتان قصد پیادهسازی این سیستم ارزیابی امنیت سایبری را دارید یا از یک ارایهدهنده کمک میگیرید، در هر صورت امیدواریم این مطلب برای شما مفید بوده باشد. هدف ما در این مطلب از فراست ارایه یک راهنمای کاربردی و عملی جهت گذراندن این مسیر، آن هم به روشی درست و اصولی بود. توصیه میکنیم در اسرع وقت شروع به جمعآوری اطلاعات، پیگیری میزان پیشرفت و اصلاح و همچنین تلاش جهت پیشرفت مستمر کنید. کمترین تأثیر اجرای طرح شاخصهای کلیدی عملکرد در سازمان شما ایجاد آگاهی امنیتی در سطح سازمان است.
[1] Key Performance Indicator
[2] Managed Security Service Provider
[3] Managed Detection and Response
[4] نظریه قوی سیاه، استعارهای است که به اثرات شدید ناشی از برخی از رویدادهای غیرقابل پیشبینی و نادر و همچنین تمایل انسان به یافتن توضیحاتی ساده و دم دستی برای این رویدادها میپردازد.