به گزارش آی تابناک : بحث در مورد چگونگی اندازهگیری موفقیت در حوزه امنیت برای توجیه تخصیص منابع و یا گسترش منابع مالی بسیار مورد توجه است؛ اما قبل از شروع به انتخاب معیارها، ابتدا باید موفقیت را تعریف کنیم. این کار میتواند بیشتر یک هنر باشد نه علم.
ابزارهای امنیتی نیز به ما نشان میدهند که چگونه بسیاری از حملات را مانع شدهایم، چند سامانه را امن کردهایم و یا چند گذرواژه نیاز به عامل دوم برای حفاظت دارند. همچنین چگونگی کنترل اندازهگیریها از طریق تطابق با ممیزیها را گزارش میدهیم. درحالیکه تکیه بر معیارهای در دسترس آسان است، چگونه میتوان تعیین کرد که کدام شاخصها واقعاً برای اندازهگیری موفقیت در حوزه امنیت است، همانطور که مربوط به اولویتهای کسبوکار کلی نیز هست؟
سازمانهای کامل تمایل به تمرکز بر روی اندازهگیری خطرات و چگونگی کاهش آنها دارند که درنهایت همهچیز در مورد امنیت فناوری اطلاعات را در بر میگیرد، اما حتی بهترین سازمانها نیز میتوانند به دام ارزیابیهای خود در برابر معیارهای اشتباه سقوط کنند. برای سنجش واقعی دستاوردها در برنامههای امنیتی، ابتدا باید مشخص کنیم که چه چیزی موفقیت محسوب میشود.
چه کسی موفقیت را تعریف میکند؟
گروههای امنیتی، مانند هر گروه دیگری، نسبت به تعریف موفقیت به نفع خود تمایل دارند، اما اگر توجیه بودجه یا حتی آرزوهای بیشتر ازجمله توانمندسازی کسبوکار هدف باشد، عوامل موفقیت تنها توسط ذینفعان داخلی تعیین نمیشود. در عوض، این عوامل باید از نیازهای کسبوکار باشد. مشکل این است که کسبوکار هیچ ایدهای درباره توصیف آنچه که از امنیت میخواهند جز «به آنها نفوذ نشود» و «مامور حسابرسی را خوشحال کند» ندارند.
یکی از مدلهای آسان برای استفاده که میتواند به شکاف میان گروههای امنیتی و مدیران کسبوکار برای همکاری در برنامهریزی هدف کمک کند، «GOSPA» نامیده میشود که مخفف آمال، اهداف، استراتژیها، برنامهها و اقدامات است. اینها سلسلهمراتبی در طبیعت هستند، بهطوری که هریک از لایهها از لایه بالایی خود پشتیبانی میکند، بنابراین برای مثال، شما میتوانید با یک هدف واقعبینانه آغاز کنید، ازجمله خطر نقض اطلاعات را با توجه به استانداردهای همکاران در صنعت ما به حداقل برسانید.
پس از آن میتوان به اهداف زیر پرداخت:
• کاهش دادن زمان بهروزرسانی سامانه (استفاده از وصلهها) تا ۵۰ درصد
• افزایش استفاده از احراز هویت دوعاملی برای پوشش دادن ۱۰۰ درصد اطلاعات حساس
• پیادهسازی مدیریت حساب منحصربهفرد برای تمام مدیران
اهداف، یک استراتژی مرتبط برای انجام دارند، به طرحها تقسیم میشوند و سپس به اقدامات خاص یا وظایف کارگران برای انجام آن تقسیم میشوند. درحالیکه استراتژی و اقدامات موفقیت کلی کسبوکار را هدایت میکنند، اهداف جزء قابل اندازهگیری هستند و اینها چیزهایی هستند که شما باید برای مدیر ارتباطات کسبوکار خود تعریف کنید. آموزش هزینهها برای دستیابی به اهداف مورد توافق نیز یک گام در این فرآیند است. اگر تصمیمگیرندگان در هزینهها طفره بروند، اتاقهایی برای تصحیح اهداف وجود دارد تا آنها برای کسبوکار واقعبین باشند.
اندازهگیری سلامت کسبوکار
کسبوکار مانند یک خیابان دوطرفه است. درحالیکه برای امنیت لازم است شرکای تجاری برای رسیدن به اهداف مورد نیاز آموزش داده شوند، کسبوکار نیز باید آماده ارائه برنامهها و اولویتهای خاص به گروه امنیتی باشد. بهعبارت دیگر، کسبوکار باید اقدامات موفق خود را به اشتراک بگذارد.
این اطلاعات باید برنامهریزی و اولویتهای امنیتی را اعلام کند. موارد و پروژههای فعلی بودجه حداقل باید سالیانه بررسی شوند تا تعیین شود که آیا آنها ضروری هستند و با برنامههای تجاری هماهنگ باشند. هنر اندازهگیری موفقیت در حوزه امنیت به این همبستگی تجاری بستگی دارد. وقت آن است که اندازهگیری موفقیت در حوزه امنیت را با معیارهای داخلی و در دسترس متوقف کرده و اهداف مشترک را در جهت هماهنگی بیشتر با اولویتهای تجاری دنبال کنیم.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات