بلوغ امنیت سایبری

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

بلوغ ، سنجش توانایی یک سازمان برای بهبود مستمر در یک موضوع خاص است. هرچه سطح بلوغ سازمانی بالاتر باشد ، احتمال آنکه شرکت در هنگام بروز حوادث و خطاها  بهتر عمل نموده و کییفیف کار بالاتری داشته باشد بیشتر است.

مدل بلوغ امنیت سایبری مسیری را برای تعالی و پیشرفت سازمان مشخص نموده و همچنین این امکان را فراهم می‌سازد تا به طور دوره‌ای جایگاه سازمان در این مسیر را بررسی نماییم. استفاده از مدل نه تنها ابزار قدرتمندی را جهت بهبود امنیت سایبری و جهت دهی مناسب در اختیار ما قرار می‌دهد بلکه زبان مشترکی جهت تعامل بامدیران ارشد سازمان جهت بدست آوردن پشتیبانی آنان فراهم می‌سازد.

به طور کلی ، مدل بلوغ امنیت‌سایبری مجموعه ای از خصوصیات ، ویژگی ها ، شاخص ها یا الگوهایی است که بیانگر توانایی و پیشرفت سازمان در ضمینه امنیت‌سایبری می‌باشد. محتوای مدل حاصل تجربه‌،best practice ها، استانداردها و اصول حوزه امنیت است. در نتیجه، مدل بلوغ امنیت هم میزان قابلیت فرآیندها، شیوه‌ها و روش‌ها را می‌سنجد و هم مسیر بهبود امنیت‌سایبری سازمان را هدف گذاری و الویت بندی می‌نماید. برای اندازه‌گیری پیشرفت سازمان، مدل‌های امنیت معمولا سطوحی را در مقایس‌های مختلف ارائه می‌نمایند

استانداردهای سنتی مدیریت امنیت

در گذشته به‌منظور مدیریت امنیت‌سایبری در سازمان از استانداردها و چارچوب‌هایی استفاده می‌گردید که ما آن‌ها را استانداردهای سنتی مدیریت امنیت می‌نامیم، از مشهورترین این استانداردها می‌توان به موارد زیر اشاره نمود:

  • ISMS (ISO/IEC 27001) استاندارد نیازمندی‌های فناوری اطلاعات، فناوری امنیت، سیستم‌های مدیریت امنیت اطلاعات که به طور مشترک توسط موسسه بین‌المللی استاندارد (ISO) و کمیسیون بین‌المللی الکتروتکنیکال (IEC) تدوین شده است.
  • چارچوب بهبود امنیت سایبری زیرساخت‌های حیاتی، تدوین شده توسط موسسه ملی استاندارد و تکنولوژی ایالات متحده (NIST Framework).
  • دیگر استانداردهای مشهور مدیریت امنیت عبارتند از SOC2، PCI DSS و Info-sec

مشکل کجا بود؟

مشکلی اصلی که وجود داشت این بود که این استانداردهای بعضا دست و پا گیر، عملکرد مطلوب مورد نظر را فراهم نمی‌کرد و پیاده‌سازی کامل کنترل‌ها تعریف شده در هرکدام از این استانداردها به معنی دستیابی به امنیت نبود، به عبارتی:

  • نفوذهای مکرر در فضای سایبری به سازمان و زیرساخت‌های حیاتی در کشور،
  • تجربیات ناموفق و ناتمام در الزام استانداردها و نظام‌های امنیتی مانند ISMS،
  • نیاز به درونی شدن امنیت و حاکم شدن فرهنگ امنیت در سازمان،
  • نیاز به رویکردی متفاوت به روش‌های امن‌سازی رایج،
  • نیاز به نگاهی نو و پیشرفته به امنیت سایبری.

ما را به سمت این نکته هدایت می‌نمود که «مدل‌های سنتی خوب هستند ولی کافی نیستند»

راهکار چیست؟

نکته‌ی مغفولی که در این بین وجود داشت این بود که ما نمی‌توانیم سازمانی را وادار نماییم تا کنترل‌های امنیتی و فرایندهای مربوط را پیاده نماید در حالی که سازمان در اصل توانایی انجام برخی از موارد را ندارد و به‌عبارتی به سطح بلوغ کافی برای پیاده سازی آن فرایندها نرسیده است. در سازمانی که اهمیت مخفی ماندن رمزعبور شخصی هر فرد هنوز برای افراد جا نیفتاده و افراد رمز عبور خودرا به راحتی در اختیار یکدیگر قرار می‌دهند اجبار آن‌ها به استفاده از رمز عبور پیچیده و چندعاملی، عملا کارمندان را به دور زدن دستورالعمل‌ها و شانه‌خالی کردن از قوانین سوق می‌دهد. در واقع:

  • امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد
  • پیش از آنکه تجهیزاتی خریداری شود یا سرمایه‌گذاری صورت پذیرد؛ می‌بایست راهبرد امنیتی مشخص شود
  • امنیت تداوم می‌خواهد زیرا ناامنی تداوم دارد
  • بنابراین؛ امن سازی و تفکر امنیت در همه شئون سازمان باید تداوم داشته

انواع مدل‌های بلوغ:

– مدل بلوغ پیشرفت (Progression)

– مدل بلوغ قابلیت (Capability)

– مدل بلوغ ترکیبی (Hybrid)

مدل بلوغ پیشرفت

مدل‌های بلوغ پیشرفت فنی تر بوده و به انجام کار با فناوری بالاتر و پیشرفته‌تر می‌پردازد.

blogh pishraf

مدل بلوغ پیشرفت حوزه امنیت

pishraft amniat

مدل بلوغ قابلیت

 مدل‌های بلوغ قابلیت بر کیفیت کار تمرکز کرده و به انجام کار مشابه با قابلیت‌های بیشتر می‌پردازد.

مقیاسه مدل‌های بلوغ

moghayese pishraft

برخی از مدل‌های بلوغ امنیت

سند امن سازی زیر‌سخت‌های حیایت کشور (افتا)

CERT-RMM

CERT-CRR

C2M2

OISM3

COBIT 5 for Information Security

OpenSAMM

IAMM

BSIMM

CySAFE

مزایای مدل بلوغ امنیت سایبری

  • تقویت امنیت فضای مجازی در سازمان‌ها
  • مطابقت با نیازهای امنیتی زیرساخت های حیاتی
  • کمک به ارتقاء فرهنگ امنیت سایبری در سازمان
  • درونی سازی امنیت در سازمان به عنوان زیربنای فعالیت های امن سازی
  • فراهم سازی امکان فعالیت های اولویت بندی شده و سرمایه گذاری بهینه در حوزه امنیت

 دانلود فایل مقاله