خبرمقالات

از شاخص های کلیدی عملکرد چگونه برای افزایش امنیت سایبری سازمان‌مان استفاده کنیم؟

اگر قصد افزایش امنیت سایبری سازمان‌تان و محافظت از آن را در برابر حملات پیچیده سایبری دارید استفاده از شاخص‌ کلیدی عمکرد (KPI[۱]) از جمله راهکارهایی است که کمک قابل توجهی در این زمینه به شما خواهد کرد. ما در این مطلب از فراست ابتدا مفهوم KPI را بیان نموده، سپس به بررسی روش‌های توصیه شده برای استفاده از شاخص‌های کلیدی عملکرد و نحوه اعمال آنها در امنیت سایبری می‌پردازیم. در نهایت نیز یک ماتریس KPI را جهت استفاده شما معرفی خواهیم کرد که از آن می توانید جهت ارتقا و بهبود طرح امنیت سایبری خودتان استفاده کنید.

یکی از سؤال های رایجی که همه مدیران فناوری اطلاعات حتی افرادی هم که از شیوه عملکرد خود راضی هستند دچار تردید می‌کند این است که «چه اقداماتی در زمینه امنیت سایبری در سازمان ما صورت گرفته و آیا سازمان، عملکرد قابل قبولی در مقابله با تهدیدات سایبری داشته است یا خیر؟». بسیاری از افراد این اضطراب و نگرانی را ناشی از عدم اطمینان درباره کافی بودن سرمایه‌گذاری آنها برای امن‌سازی سازمان‌شان دانسته و عده‌ای دیگر هم معتقدند بودجه آنها برای دستیابی به سطح نظارتی مورد نیاز جهت رسیدن به امنیت و اطمینان خاطر در این خصوص کافی نیست. با این حال هیچ کسی جواب این سؤال را به طور دقیق ندانسته و اطلاعی از میزان موفقیت یا عدم موفقیت اقدامات امنیتی صورت گرفته توسط سازمان خود ندارد.

یکی از راهکارهایی که برای سنجش میزان خوب بودن عملکرد شرکت‌ها و سازمان‌ها در مقایسه با اهداف کمی و کیفی راهبردی تعریف شده و معیاری برای سنجش موفقیت هر کسب‌وکاری محسوب می‌شود، «شاخص کلیدی عملکرد» یا KPI است. KPI همچنین امکان حفاظت از کسب‌وکارتان را فراهم نموده و تأثیر سرمایه‌گذاری‌های انجام شده نیز در این زمینه بسیار مشهود خواهد بود.

چنین شاخص‌هایی علاوه بر اینکه شرایط حاکمیت داده‌ها را بهبود می‌بخشند، به مدیران فناوری اطلاعات سازمان‌های کوچک و متوسط کمک می‌کنند تا سرمایه‌گذاری‌های خود را به صورت آگاهانه انجام داده و طرح‌های ارتقای امنیت را پیاده‌سازی کنند. تیم‌های امنیتی هم با استفاده از شاخص‌های کلیدی عملکرد می‌توانند با قطعیت بیشتری نرم‌افزارها را به‌روزرسانی نموده و وصله‌های امنیتی و پیکربندی‌ها را انجام دهند.

اهداف اصلی که در این مطلب مورد بررسی قرار می‌گیرند، شامل موارد زیر هستند:

الف) استفاده از شاخص‌های کلیدی عملکرد بهتر، منجر به ارتقای سطح امنیت سایبری می‌شود.

ب) ارایه راهکارهایی درباره اصول استفاده از شاخص‌های کلیدی عملکرد برای طرح‌های امنیت سایبری

ج) فراهم نمودن امکان اجرای یک طرح گزارش‌دهی دقیق به منظور بهبود نظارت و مدیریت امنیت سایبری

د) سازمان‌دهی این فرایند از طریق انتخاب معیارهای متناسب و انتقال به موقع آنها به افراد مناسب

به گفته یکی از مدیران ارشد امنیت اطلاعات: «بهبود حاکمیت داده به مدیران مشاغل کمک می‌کند تا با عدم قطعیتی که امروزه سازمان‌ها با آن مواجه هستند، برخورد کمتری داشته باشند».

ارتباط با مدیریت فناوری اطلاعات

در گذشته معمولاً میزان عملکرد کارشناسان فناوری و امنیت اطلاعات و همچنین فعالیت‌های دستی که توسط آنها انجام می‌شد از جمله شاخص‌های اصلی تیم‌های فناوری اطلاعات و امنیت برای ارزیابی تأثیر نقش‌ آنها در میزان موفقیت کسب‌وکارشان بود. امروزه با توجه به انبوه منابعی که برای حفاظت و نگهداری از سیستم‌های فناوری اطلاعات در سازمان‌ها وجود دارند نه تنها دیگر انجام چنین کاری امکان‌پذیر نیست بلکه حتی این روش باعث می‌شود نتوانیم اهداف کسب‌وکاری‌مان را از طریق فناوری‌های نوین نیز پیش ببریم.

یک راهکار برای متمرکز شدن هر چه بیشتر بر روی اهداف کسب‌وکار (حداقل برای تیم‌های فناوری اطلاعات مجهز و در حال پیشرفت) تفکیک معیارهای ارزیابی اثربخشی مثل معیارهای ارزیابی دسترس‌پذیری امنیت سایبری از معیارهایی است که پشتیبانی فناوری اطلاعات از عملیات کاری را ‌اندازه‌گیری می‌کنند. این طرح تفکیک‌سازی معمولاً در سازمان‌های بزرگتر اجرا می‌شود که منابع کافی برای تشکیل یک تیم امنیت سایبری اختصاصی دارند. مدیران فناوری اطلاعات سازمان‌های کوچک و متوسط هم باید بین حمایت‌های بخش فناوری اطلاعات از اهداف کسب‌وکاری و تلاش‌های صورت گرفته برای کاهش مخاطرات امنیت سایبری توازن لازم را برقرار کنند.

تنظیم اهداف مبتنی بر داده برای ارزیابی حمایت صورت گرفته از کسب‌وکار توسط بخش فناوری اطلاعات و مدیریت مخاطرات امنیت سایبری، نقش مهمی در ایجاد یک توازن مناسب و هماهنگ‌سازی سرمایه‌گذاری‌ها جهت رسیدن به بیشترین سطح اثربخشی را دارند. توجه ویژه صورت گرفته به بهداشت امنیت سایبری (یکی از شاخص‌های کلیدی عملکرد امنیت سایبری که در ماتریس انتخاب KPI سایبری تشریح شده) در کاهش احتمال و شدت رخدادهای امنیت سایبری نقش چشم‌گیری دارد. رخدادها می‌توانند موجب از کار افتادن سیستم‌ها و پیامدهای دیگری شوند که مانع از پیشرفت فناوری اطلاعات (یا حتی بدتر از آن، ایجاد پیامدهای فاجعه‌بار برای کسب‌وکار) شوند. به همین دلیل همکاری بین طرف‌های دخیل در امنیت سایبری و فناوری اطلاعات اهمیت بسیار زیادی دارد.

ایجاد یک طرح KPI امنیت سایبری

یک طرح KPI کارآمد باید به اصول کلیدی زیر پایبند باشد:

برقراری ارتباط بین هر KPI سطح بالا به یکی از اهداف کلیدی یا بیانیه رسالت سازمان: اگر می‌خواهید مدیران عملیاتی را با خود همراه کنید باید شاخص‌های کلیدی عملکرد را از منظر آنها برای کسب‌وکار در نظر بگیرید. این اقدام موجب کاهش مخاطره دستیابی هکرها به سیستم‌ها و منابع سازمانی می‌شود.

ارزیابی ترکیبی از شاخص‌های عملکرد پیش‌رو و پیامدها: این شاخص‌ها ابزاری برای عیب‌یابی یا رفع موانع هستند و می‌توانند میزان پیشرفت شما به سمت اهداف سازمان را اندازه‌گیری کنند. شاخص‌های پیش‌رو در صورت ارزیابی در کنار نتایج ایجاد شده برای کسب‌وکار، ارزش بیشتری داشته و این کار به تشخیص اینکه توانسته‌اند عملکرد را به درستی پیش‌بینی کنند یا خیر کمک به سزایی می‌کند. به این ترتیب، شاخص‌های پیش‌رو فرصتی برای انجام زودهنگام تنظیمات فراهم نموده و بهره‌وری کسب‌وکار را افزایش می‌دهند.

تنظیم اهداف کوتاه و بلندمدت برای هر شاخص کلیدی عملکرد: جهت دستیابی به هدف مشخص شده برای هر شاخص، یک شخص خاص را به عنوان مسئول انتخاب کنید. ممکن است تعیین اهداف، کار سختی باشد پس سعی کنید اهدافی را تعیین کنید که هر چند چالش‌برانگیز هستند اما قابل دستیابی بوده و موفقیت آنها حتمی باشد.

از شاخص‌های خوش تعریف، قابل اندازه‌گیری و هدفمند استفاده کنید: شاید وسوسه شوید که از معیارهای کلی و بی‌پایه (مثل «رسیدن به وضعیت امنیتی مشابه با گروه X») استفاده کنید ولی به شدت توصیه می‌شود این کار را انجام ندهید. تعریف معیارهای ضعیف یا خیالی می‌تواند باعث کاهش کارایی شدید شما گردد. انسجام و درک مشترکی که نسبت به معیارها وجود دارد را ارزیابی کنید. برای مثال اگر در سازمان شما دو شخص مختلف یک KPI را محاسبه می‌کنند باید به عددی یکسان برسند.

تا جایی که ممکن است کار جمع‌آوری داده‌ها را خودکارسازی کنید: جمع‌آوری دستی داده‌ها برای شاخص‌های کلیدی عملکرد مربوط به فناوری اقدام غیرممکنی می‌باشد. سازمان‌دهی یک طرح KPI نیاز به برقراری توازن بین بار کاری تیم برای گزارش‌دهی و ارزش‌های ایجاد شده برای کسب‌وکار از طریق جمع‌آوری داده‌ها دارد. به محض اینکه تصمیم‌گیری‌های صورت گرفته بر اساس طرح KPI امنیت سایبری را مشاهده کنید، شاخص‌هایی که ارزشمند نیستند مشخص خواهند شد.

امتیازهای KPI را به صورت شفاف بیان کنید: این امتیازها باید برای همه کارمندان از مدیران و اعضای هیأت مدیره گرفته تا کارمندان سطح مبتدی قابل مشاهده باشند. این گام ساده می‌تواند یک حس رسالت مشترک را به وجود آورده و به ایجاد یک محیط کاری باز و مورد اعتماد کمک کند.

فرایند بررسی‌های ماهیانه را در سطح سازمان شروع کنید: تیم‌های فناوری اطلاعات می‌توانند با توجه به تعداد افرادی که در آنها مشغول به فعالیت هستند هر هفته یا دو هفته یک‌بار با همدیگر ملاقات کنند. البته این ملاقات‌ها نباید از حد معمول بگذرد زیرا این امر تمرکز شما را از اهداف اصلی کسب‌وکارتان از بین برده و از طرف دیگر گزارش‌دهی به صورت نامنظم یا در فواصل طولانی هم موجب کاهش اثربخشی این حرکت می‌شود. در حالی که برقراری توازن در این زمینه به جلب رضایت مدیران عامل کمک نموده و غفلت از انجام این کار نیز موجب می‌شود که دیگران این فرایند را یک اقدام اضافی و کم‌ارزش ببینند.

جمع آوری اطلاعات به صورت منظم به برنامه شما یک ساختار مشخص داده و منجر به گسترش حس مسئولیت در سطح سازمان می‌شود. شما باید این روش را ترویج داده و به دنبال جلب مشارکت تیم‌هایی با عملکرد متقابل باشید که چشم‌اندازی مشترک برای گزارش‌دهی یا هدفی یکسان در جهت کاهش مخاطرات دارند. بنا بر گفته مدیر عملیات کاری یکی از سازمان‌ها: «ایجاد یک توازن دقیق در این زمینه به جلب رضایت تیم مدیریت و متعهدسازی آنها کمک می‌کند».

طرح KPI را عملیاتی کنید.

در این بخش بررسی می‌کنیم چگونه می‌توانید طرح KPI خودتان را که به صورت سنجیده و کامل طراحی کرده اید برای ارزیابی کسب‌وکارتان پیاده‌سازی نمایید. ابتدا روند تغییرات را در طول زمان، مشخص نموده و رفتارهای بد را برای بهینه‌سازی راهکارها تعیین کنید. همچنین از رفتارهای خوب قدردانی نمایید. توجه کنید که پیشرفت به صورت مرحله به مرحله به دست آمده و قرار نیست یک شبه به امنیتی در سطح NSA برسید!

سعی کنید با ارتقای سطح امنیت حتی به صورت تدریجی، سازمان را در مسیر پیشرفت قرار دهید. بین شاخص‌های پیش‌رو، معیارهای کلیدی امنیتی سطح بالا، میزان بلوغ کسب‌وکارتان و اهداف سطح بالای سازمان ارتباط برقرار کنید. مدیریت و کاهش مخاطرات یکی از اجزای سازنده و مهم برای دستیابی به وضعیت امنیتی مناسب محسوب می شود. مدیریت مخاطرات می‌تواند منجر به پیامدهای کاری مثبت مثل کسب استانداردها و مجوزهای قانونی لازم هنگام کار با شرکا و مشتریان از طریق تحول دیجیتالی امن، توانمندسازی کسب‌وکار و دستیابی به مزایای رقابتی شود.

خوب به این مسئله فکر کنید که چگونه می‌توانید مطمئن شوید ابزارهای لازم برای ارزیابی روش های مختلف حمله را به خصوص برای نقاط انتهایی، شبکه و محیط ابری در اختیار دارید. به همین ترتیب به دنبال راهکارها باشید. برای نصب وصله‌های امنیتی بر روی نقاط انتهایی، برطرف کردن آسیب‌پذیری‌ها و اصلاح هر آنچه که پیدا می‌کنید نیاز به طرحی پیشگیرانه دارید. همچنین باید اصول و سیاست‌های مناسب را در اختیار داشته تا طرح KPI شما در خلأ کار نکند.

 

شاخص‌های کلیدی عملکرد امنیت سایبری

پس از گفتن نکات مهم حالا به خود شاخص‌های کلیدی عملکرد می‌رسیم. ما ماتریس انتخاب شاخص‌های کلیدی عملکرد سایبری را تهیه کردیم تا بتوانید موارد مهم برای کسب‌وکارتان را از بین عناصر آن انتخاب نمایید. این ماتریس شامل راهنماهایی در زمینه جمع‌آوری، مالکیت و تحلیل این شاخص‌ها است.

هنگام بررسی ماتریس KPI به این موضوع فکر کنید که چگونه می‌توانید از این شاخص‌ها برای ارتقای سطح امنیت سایبری، انتساب، جمع‌آوری و استفاده درست از این شاخص‌ها بهره‌برداری کنید. آیا مالکان پیشنهاد شده در این ماتریس برای سازمان شما مناسب هستند؟ آیا فناوری امنیتی لازم برای دستیابی به این اهداف را دارید یا آن را برون‌سپاری می‌کنید؟ آیا ارایه‌دهنده سرویس امنیتی مدیریت شده (MSSP[۲]) یا سرویس تشخیص و واکنش مدیریت شده شما (MDR[۳]) چنین قابلیت‌هایی را برای شما فراهم می کند؟

سطح بررسی

مالک

دسته‌بندی مدیریتی دسته‌بندی امنیت اطلاعات KPI تعریف و وابستگی‌ها دلیل پیگیری ابزارها و روش جمع‌آوری پیش‌رو/تأخیری

سطح تکامل و بلوغ

مدیر ارشد اطلاعات

ارزیابی هزینه

بازرسی درصد بودجه برای امنیت IT درصد بودجه اختصاص یافته به امنیت IT از کل مخارج IT درک تغییرات مخارج شما با توجه به نتایج مشخص شده در سایر KPIها حسابداری پیش‌رو

۲

مدیر/

هیئت

اجرایی

ارزیابی هزینه بازرسی هزینه باج‌افزار در مقایسه با نسبت پوشش بیمه هزینه حمله باج‌افزاری به ازای هر دارایی، نسبت به کل مبلغ پوشش بیمه امنیت سایبری (نسبت هزینه $:$) هدف از ارایه این شاخص، مشخص نمودن میزان قرار داشتن در معرض حملات باج‌افزاری است. دانستن هزینه کل یک حادثه (با فرض نفوذ به سیستم‌ها) نسبت به مبلغ بیمه شده، این موضوع را مشخص می‌کند. به این ترتیب می‌توانیم مثلاً مشخص کنیم که بیمه، ۵۰ درصد هزینه‌های مقابله با باج افزار را پوشش می‌دهد. حسابداری پیش‌رو ۴
ارزیابی هزینه بازرسی هزینه باج‌افزار در مقایسه با نسبت بودجه هزینه یک حمله باج‌افزاری به ازای هر دارایی، نسبت به کل مخارج امنیت IT (نسبت قیمت $ به $) هدف از تعیین این شاخص، مشخص کردن میزان قرار داشتن در معرض حملات باج‌افزاری برای مشتریان است. اگر در جریان باشیم که در صورت نفوذ به سیستم‌ها و عدم پوشش کامل هزینه‌ها توسط بیمه چقدر خسارت ایجاد می‌شود می‌توانیم این رقم را مشخص کنیم. برای مثال، ۵۰ درصد هزینه‌های مقابله با حمله باج‌افزاری پوشش داده می‌شود. حسابداری پیش‌رو

۱

ارزیابی چارچوب

پیروی از استانداردها درصد کنترل‌های پیاده سازی شده

درصد کنترل‌هایی که در یک استاندارد قانونی به آنها پرداخته شده و در سازمان پیاده سازی شده اند (مثل PCI، ISO یا CMMC)

روش‌های توصیه شده برای اجرای بازرسی مثل CIS، ISO، NIST

 این معیار، قابلیت‌های شما را نسبت به آنچه برای صنعت شما یا توسط مشتریان، همکاران و نهادهای حاکمیتی مشخص شده مقایسه می‌کند. این اصول توصیه شده اولین گام برای ایجاد یک طرح امنیت سایبری قوی محسوب می‌شوند.

حاکمیت، مخاطرات و  پیروی از استانداردها تأخیری

ارزیابی همکار

انطباق با استانداردها درصد انطباق فروشندگان با استانداردهای قانونی درصد فروشندگانی که در ممیزی ها استانداردهای لازم را دارند نسبت به کل فروشندگانی که باید این ویژگی را داشته باشند. از جمله چارچوب‌های پرکاربرد می‌توان به SOC2، ISO و PCI اشاره کرد. هدف از ارایه این معیار، مشخص نمودن نحوه به مخاطره افتادن داده‌های مشتریان شما است و چنین فرض می‌شود که بین همه فروشندگان‌تان ارتباط وجود دارد. نگرانی‌های مدیران عامل درباره اینکه آیا فروشندگان یا همکاران با استانداردها همخوانی لازم را داشته‌اند یا خیر زیاد است. پیروی نکردن از چنین استانداردهایی می‌تواند دلیلی برای خودداری از همکاری با این شرکت‌ها باشد. نرم‌افزار مدیریت فروشنده یا فایل های اکسل (که به صورت سالیانه منتشر می‌شوند.)

تأخیری

ارزیابی اثربخشی طرح

واکنش به رخداد هشدارهای سیستم تعداد هشدارهای ایجاد شده توسط نقاط انتهایی (مثل خرابی، خطا و هشدار از سمت ضدویروس‌ها) پیگیری هشدارهای سیستم می‌تواند به شما برای درک اثربخشی فناوری‌های پیشگیرانه کمک کند. از طریق مقایسه این معیار با تعداد رخدادها می‌توانید متوجه شوید کدام هشدارها معنای بیشتری داشته یا ابزارهای خودتان را برای ارسال هشدارهای دقیق‌تر تنظیم نموده و هشدارهای کاذب را کاهش دهید. یکی دیگر از دلایل پیگیری هشدارهای سیستم، ایجاد عادت رسیدگی به آنها است که مهارت مهمی برای مقابله با رخدادهای واقعی محسوب می‌شود. محصولات امنیتی مثل نرم افزار ضدویروس، فایروال، سیستم‌های جلوگیری از نفوذ یا ارایه‌دهنده راهکار MDR تأخیری

زمان رسیدن به ارزش

انطباق با استانداردها تلاش روزانه برای بررسی لاگ کل زمان (تعداد دقایق) سپری شده برای بررسی هشدارهای سیستم و گزارش مسائل مربوط به امنیت جمع‌آوری و مقایسه این معیار با هشدارهای شناسایی شده، برای دستیابی به «زمان باارزش» اهمیت دارد. هدف، رسیدن به نسبت بالایی در بین هشدارهای شناسایی شده و زمان صرف شده برای دستیابی به آنها است (بهره‌وری). در مقایسه با سایر فعالیت‌ها هر چقدر زمان بیشتری در اینجا صرف شود، زمان (و آسیب) مربوط به برخورد با رخداد و فعالیت‌های تجدیدکننده کاهش می‌یابد. نرم‌افزار پیگیری زمان پیش‌رو

مدیران IT و امنیت اطلاعات

اثربخشی طرح واکنش به رخداد رخدادهای امنیت سایبری تعداد رخدادها (که با بررسی هشدارها مشخص می‌شود). باید شرایط و ضوابط لازم درباره اینکه چه چیزی رخداد محسوب می‌شود، مشخص شود. از جمله مثال‌های پرکاربرد در این زمینه می‌توان به نقض یک سیاست امنیتی، قرار گرفتن اطلاعات/دارایی‌ها در معرض مخاطره یا تشخیص آسیب مادی اشاره کرد. از آن برای ارزیابی میزان پیشرفت خودتان به مرور زمان استفاده کنید. از این معیار به عنوان مقدمه‌ای برای پرسش‌هایی مثل این استفاده کنید: آیا دلیل اینکه با رخدادهای بیشتری روبرو می‌شویم، تأخیر در مقابله پیشگیرانه با آسیب‌پذیری‌ها است؟ از تغییر تعریف رخداد برای تغییر این عدد خودداری کنید چون این کار با روح این معیار همخوانی ندارد. محصولات امنیتی مثل نرم افزار ضدویروس، فایروال، سیستم‌های جلوگیری از نفوذ یا کارشناسان تیم پشتیبانی شما یا یک ارایه دهنده MDR

تأخیری

اثربخشی طرح

واکنش به رخداد میانگین زمان تشخیص میانگین زمان (تعداد دقایق) سپری شده از زمان ایجاد رخداد تا تشخیص آن در سیستم.

توجه: برای ارزیابی این معیار نیاز به توانمندی‌های پیشرفته‌تری دارید و استفاده از آن در کنار قابلیت‌های واکنش سریع، ارزش بیشتری ایجاد می‌کند.

این شاخص برای تشخیص اینکه آیا اعداد یا ابزارهای جدیدی هستند که به تشخیص سریع‌تر رخدادها کمک کنند یا خیر، طراحی شده است. با توجه به زمان سکون تهدیدات، تشخیص سریع اهمیت ویژه‌ای دارد. هر چقدر سریع‌تر یک تهدید را در یک سیستم شناسایی کنید، احتمال اجرا شدن آن و ایجاد آسیب‌های مادی یا از کار افتادگی کمتر می‌شود. ابزارهای امنیتی مثل سیستم مدیریت اطلاعات و رویدادهای امنیتی، تحلیل لاگ یا ارایه دهنده MDR

تأخیری

اثربخشی طرح

واکنش به رخداد میانگین زمان واکنش میانگین زمان (تعداد دقایق) برای پاسخ به یک ایمیل یا تماس تلفنی و واکنش به هشدارهای متداول از سمت کارمندان معمولاً این شاخص به رخدادها ارتباط دارد نه هشدارها اما با پیگیری زمان سپری شده برای واکنش به یک هشدار می‌توانید باعث ترویج و تشویق بررسی و تحقیق‌هایی شوید که به تشخیص رخداد منجر می‌شوند. ایمیل و تست‌ها تأخیری

اثربخشی طرح

واکنش به رخداد میانگین زمان بازیابی میانگین زمان (دقایق) لازم برای بازیابی سیستم‌های فعال (هم نقاط انتهایی و کلاینت ها و هم سرورها) درک اینکه بازیابی سیستم‌ها چقدر زمان می‌برد به شما برای اطمینان از اینکه زمان از کار افتادگی به اندازه‌ای کم است که مانع از تأثیرگذاری بر کسب و کار شود، کمک می‌کند. درس گرفتن از تلاش‌های قبلی برای بازیابی سیستم‌ها و برنامه ریزی گام‌های لازم برای اجرای سریع‌تر این کار در آینده به بهبود طرح واکنش به رخداد کمک می‌کند. نرم‌افزار پشتیبان یا تست‌ها تأخیری

اثربخشی طرح

واکنش به رخداد میانگین زمان رفع مشکل میانگین زمان (تعداد دقایق) سپری شده از زمان دریافت یک اخطار یا یادآوری آن تا زمان حل مسئله مشخص کردن زمان لازم برای برطرف کردن مشکل می‌تواند به ارزیابی میزان اثربخشی طرح واکنش به رخداد کمک کند. سیستم صدور اخطار تأخیری

کاهش مخاطره

مدیریت  آسیب پذیری ها آسیب پذیری‌های شناسایی شده تعداد آسیب پذیری‌های حیاتی دارای اولویت بالا و سطح متوسط در دارایی‌های بخش IT آشنایی با تعداد و شدت آسیب پذیری‌ها در سیستم‌ها هم برای امنیت و هم انطباق با استانداردهای قانونی ضروری است.

امنیت: کاهش سطح مخاطره برای هر طرح امنیت سایبری مهم است و کاهش آسیب پذیری‌ها در سیستم‌ها منجر به کاهش مخاطره سوءاستفاده از آنها می‌شود.

انطباق با استانداردهای قانونی: بعضی از چارچوب ها و استانداردها (و همچنین سازمان‌هایی که ممکن است قصد همکاری با آنها را داشته باشید)، عدم وجود آسیب پذیری در محیط سازمان شما را جزو الزامات مهم جهت انطباق (و  همکاری) در نظر می‌گیرند.

پویش آسیب پذیری ها

پیش‌رو

کاهش مخاطره

مدیریت  آسیب پذیری ها آسیب پذیری‌های با سطح بالای رفع شده تعداد آسیب پذیری‌های حیاتی که در یک بازه زمانی خاص (ماه) با آنها مقابله شده است. معمولاً این هدف از طریق نصب وصله‌های امنیتی، تغییر پیکربندی، حذف یا جایگزینی فناوری‌های آسیب پذیر انجام می‌شود. درک این موضوع از دیدگاه مدیریت اهمیت زیادی دارد. برای مثال می‌توانید از طریق مقایسه این شاخص (آسیب پذیری‌های رفع شده) با عدد بالا (آسیب پذیری‌های باقی مانده) به اطلاعات مهمی درباره اینکه آیا تیم شما به مسئولیت‌های خود برای برطرف کردن این آسیب پذیری‌ها عمل می‌کند یا خیر، دست پیدا کنید. یکی دیگر از نتیجه گیری‌هایی که می‌توانید به آن برسید این است که شاید آسیب پذیری‌های جدیدی شناسایی شده‌اند که ماه پیش وجود نداشتند. پویش آسیب پذیری ها

پیش‌رو

اثربخشی طرح مدیریت  آسیب پذیری ها زمان نصب وصله‌های امنیتی میانگین زمان (برحسب روز) بین انتشار یک وصله امنیتی و نصب آن بر روی سیستم‌ها

هر چقدر یک آسیب پذیری مدت بیشتری باقی بماند، خطر سوءاستفاده از آن هم بیشتر می‌شود. کاهش این عدد در هر ماه نسبت به ماه قبلی، نشان دهنده پیشرفت است (کمتر شدن آسیب پذیری‌ها با سرعت بیشتر).

ابزارهای نظارت بر نرم‌افزارهای موجود در سازمان پیش‌رو

زمان رسیدن به ارزش

مدیریت  آسیب پذیری ها تلاش‌های ماهیانه برای رفع آسیب پذیری ها کل زمان (برحسب ساعت) سپری شده در هر ماه برای اصلاح آسیب پذیری ها

این معیار را با توجه به آسیب پذیری‌های اصلاح شده ارزیابی کنید. بررسی نمایید که آیا زمان رسیدن به ارزش، با توجه به شدت آسیب پذیری اصلاح شده ارزشمند بوده یا خیر و آیا این کار منجر به کاهش مخاطره مهمی (یا ایجاد پیامدهای مثبت کافی) شده تا هزینه زمان صرف شده را پوشش دهد؟

نرم‌افزار پیگیری زمان

پیش‌رو

مخاطرات

پشتیبان گیری آخرین پشتیبان گیری فعال تعداد روز‌های گذشته از آخرین پشتیبان گیری از همه سیستم‌ها یا (در صورت غیرهمگام بودن سیستم‌ها)، آخرین نسخه پشتیبان هر سیستم هر چقدر مدت زمان بیشتری را بدون پشتیبان گیری سپری کنید، هزینه‌های ایجاد شده در صورت نیاز به برگشت به عقب بیشتر می‌شود. پشتیبان گیری منظم به کاهش پیامدهای مخرب حملات سایبری مثل باج افزارها کمک می‌کند. دقت داشته باشید که این اقدام چاره کاملی نیست چون معمولاً باج افزارها اول از همه (پس از رمزنگاری محتویات هارد دیسک) سعی می‌کنند نسخه پشتیبان را حذف یا رمزنگاری کنند. نرم‌افزار پشتیبان گیری تأخیری

مخاطرات

پشتیبان گیری درصد سیستم‌های با نسخه پشتیبان فعال تعداد کل نقاط انتهایی که در پشتیبان گیری دوره ای یا کامل خودکار وجود دارند از کل نقاط انتهایی موجود تشخیص درصدی از نقاط انتهایی که پشتیبان گیری در آنها انجام می‌شود، به تشخیص اینکه آیا در صورت وقوع آلودگی گسترده امکان برگشت به عقب وجود دارد یا خیر کمک می‌کند. نرم‌افزار پشتیبان گیری یا: پویشگر آسیب پذیری ها، کنترل دسترسی به شبکه یا ابزار نظارت بر موجودی نرم‌افزاری پیش‌رو

مخاطرات

مدیریت سیستم نمره بهداشت سیستم امتیاز میانگین (درصد) همه نقاط انتهایی که بهداشت سایبری هر یک از آنها را بر اساس این عوامل مشخص می‌کند: به‌روز بودن سیستم عامل، به‌روز بودن برنامه‌های کاربردی، به‌روز بودن نرم افزار ضدویروس، فعال بودن یا اجرای اسکن توسط ضدویروس، فعال بودن رمزنگاری دیسک، استفاده از کلمه عبور (مطابق با سیاست‌های سازمان). این معیار را می توان مثل «درصد نقاط انتهایی که بالاتر از امتیاز هدف بوده‌اند» نیز اندازه گیری کرد.  این شاخص یک دید جامع نسبت به سطح امنیت سیستم‌ها فراهم می‌کند. اطمینان از رعایت بهداشت سایبری تأثیر چشم‌گیری بر فرصت‌های قابل بهره برداری توسط هکرها دارد. اسکریپت نویسی پوسته: پاورشل برای ویندوز و بش‌شل برای مک و لینوکس جهت غیرفعال کردن دستگاه‌های غیرسازمانی. مدیریت با NAC برای سیاست BYOD یا MDM برای دستگاه‌های سیار پیش‌رو

مخاطرات

مدیریت سیستم درصد دارایی‌های مدیریت شده درصد نقاط انتهایی که نرم‌افزار مدیریت دستگاه (با قابلیت‌های پاک‌سازی از راه دور و به‌روزرسانی نرم‌افزاری) روی آنها نصب شده از بین کل دارایی‌های موجود در شبکه. هدف شما کاهش عکس این نسبت (یعنی تعداد دستگاه‌های مدیریت نشده) است. اطمینان از اینکه بیشتر نقاط انتهایی شما این قابلیت را دارند باعث می‌شود که در صورت سرقت یا گم شدن آن وسیله، مخاطره ای داده‌های شما را تهدید نکرده و نیازی نباشد آن را جزو رخدادهای نیازمند به اعلام در نظر بگیرید. مدیریت دستگاه، نرم‌افزار کنترل دسترسی به شبکه و ابزارهای نظارت بر موجودی تأخیری
زمان رسیدن به ارزش انطباق با استانداردها تلاش‌های صورت گرفته برای آگاهی بخشی سایبری و تدوین و اجرای سیاست‌ها کل زمان سپری شده در هر سه ماه (برحسب ساعت) برای طراحی طرح‌های آگاهی بخشی امنیت سایبری یا به‌روزرسانی مستندات و سیاست‌های امنیت سایبری این معیار را با توجه به سیاست‌های ایجاد شده یا طرح‌های اطلاع رسانی اجرا شده در نظر بگیرید. به مرور زمان می‌توانید ارتباط بین تعداد رخدادها و هشدارها را با زمان صرف شده برای اطلاع رسانی و تنظیم سیاست‌ها مشخص کنید. به این ترتیب قادر خواهید بود اثربخشی چنین طرح‌هایی را مشخص کرده و زمان صرف شده را توجیه نمایید. نرم افزار پیگیری زمان پیش‌رو

 

 

نتیجه گیری

در مجموع چنین می توان گفت تعداد شاخص‌های کلیدی عملکردی که برای ارزیابی امنیت سایبری سازمان ها وجود دارد، بسیار زیاد هستند. این شاخص‌ها به شما کمک می‌کنند میزان پیشرفتی را که سازمان‌تان در زمینه امنیت سایبری داشته است، به خوبی مشاهده نموده و در جهت کاهش مخاطرات امنیت سایبری سازمان خود تلاش کنید.

تیم های فناوری اطلاعات و امنیت نیز با نظارت بر روی این ارزیابی‌ها می‌توانند بر روی هدف اصلی‌شان یعنی دستیابی به نتایج کسب و کاری از طریق نوآوری در حوزه فناوری دست یابند. البته باید به این نکته مهم توجه داشت که جمع‌آوری و تحلیل شاخص‌های کلیدی عملکرد امنیت سایبری به تنهایی کافی نیست. برای هر شاخص، مالک و هدف را باید مشخص نموده و مطمئن شوید که افراد مناسب، قابلیت نظارت و کنترل برای رسیدن به تصمیم‌گیری‌های آگاهانه را دارند. شما باید مطمئن شوید ابزارهای لازم برای ارزیابی در سطح نقاط انتهایی، شبکه و محیط ابری و همچنین یک طرح پیشگیرانه برای نصب وصله‌های امنیتی بر روی نقاط انتهایی، رفع آسیب‌پذیری‌ها و سایر مشکلات شناسایی شده را دارید.

به منظور بهبود و ارتقای طرح امنیت سایبری، برنامه‌ریزی و انجام مانورها از اهمیت ویژه‌ای برخوردارند. مطمئن شوید که طرح واکنش به رخدادها در سازمان شما به خوبی مستندسازی و اجرا می‌شود. خودتان را با اجرای مانورهای تست نفوذ محک بزنید تا امکان ارزیابی و بهبود قابلیت‌های واکنش به رخداد را پیش از مواجه شدن با یک حادثه واقعی داشته باشید. با توجه به شرایط به وجود آمده در اثر شیوع بیماری کرونا بهتر است یکسری نظریه‌های «قوی سیاه[۴]» هم در این مانورها داشته باشید. هنگام وقوع رخدادهای سایبری و پس از آن، حتماً اطلاعات لازم را جمع‌آوری کرده تا پس از برطرف سازی مخاطره بتوانید از این اطلاعات برای مقابله با حوادث آتی استفاده کنید.

 

پس همین الان دست به کار شوید!

مهم نیست خودتان قصد پیاده‌سازی این سیستم ارزیابی امنیت سایبری را دارید یا از یک ارایه‌دهنده کمک می‌گیرید، در هر صورت امیدواریم این مطلب برای شما مفید بوده باشد. هدف ما در این مطلب از فراست ارایه یک راهنمای کاربردی و عملی جهت گذراندن این مسیر، آن هم به روشی درست و اصولی بود. توصیه می‌کنیم در اسرع وقت شروع به جمع‌آوری اطلاعات، پیگیری میزان پیشرفت و اصلاح و همچنین تلاش جهت پیشرفت مستمر کنید. کمترین تأثیر اجرای طرح شاخص‌های کلیدی عملکرد در سازمان شما ایجاد آگاهی امنیتی در سطح سازمان است.

[۱] Key Performance Indicator

[۲] Managed Security Service Provider

[۳] Managed Detection and Response

[۴] نظریه قوی سیاه، استعاره‌ای است که به اثرات شدید ناشی از برخی از رویدادهای غیرقابل‌ پیش‌‎بینی و نادر و همچنین تمایل انسان به یافتن توضیحاتی ساده و دم دستی برای این رویدادها می‌پردازد.

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

15 − هفت =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.