راهنمای ITIL

مدیریت امنیت اطلاعات در ITIL چیست؟

ITIL Service Strategy

مدیریت امنیت اطلاعات در ITIL چیست؟

امروزه، تقریبا هر شرکت بزرگی در زمینه تکنولوژی تجارت می‌کند. حتی بزرگترین عملیات های صنعت و معدن در جهان نیز برای دستیابی به سود به شدت به سرویس‌های پیچیده فناوری اطلاعات ( سخت افزار، نرم افزار، شبکه ها، مردم و فرآیندهایی که آنها را تشکیل می‌دهد) وابسته هستند.

بیشتر از هر زمان دیگر، این بدان معناست که فناوری اطلاعات باید قادر باشد به کسب و کارها جهت مدیریت ریسک، تضمین اینکه منابع به شیوه ای درست استفاده شده و در برابر تهدیدات یا ضررهای احتمالی محافظت می‌شوند، کمک کند. این دقیقا هدف مدیریت امنیت اطلاعات در ITIL (ISM) است: “همراستا کردن IT با امنیت کسب و کار و اطمینان از مدیریت مؤثر امنیت اطلاعات در همه فعالیت‌های مدیریت سرویس و سرویس.”

برخلاف برخی از فرآیندهای ITIL که به عنوان یک مبنای مورد نیاز مورد استفاده قرار می‌گیرند، امنیت، یک مرحله واحد در چرخه حیات سرویس نیست، بلکه یک نیاز مستمر و جامع است که به کنترل دقیق نیاز دارد.

بر اساس ITIL، اهداف مدیریت امنیت اطلاعات، تضمین موارد زیر است:

  • اطلاعات در مواقع نیاز، در دسترس و قابل استفاده باشد و سیستمی که این اطلاعات را فراهم می‌کند، قادر باشد در برابر حملات مقاومت کرده و بعد از خرابی recover شده یا از وقوع خرابی جلوگیری کند (Availability).
  • اطلاعات، کامل و دقیق باشد و در برابر تغییرات غیر مجاز از آنها محافظت شود.
  • معاملات تجاری، همچنین تبادل اطلاعات بین شرکت‌ها یا شرکای تجاری مورد اعتماد باشد (صحت اطلاعات و عدم انکار).

چندین تعریف مفید دیگر در خصوص ISM که در ادامه به آن پرداخته شده عبارتند از:

  • ·سیاست‌های امنیت اطلاعات (Information Security Policy): یک سیاست امنیتی جامع برای شرکت که دارای پشتیبانی کامل از مدیر اجرایی IT و مدیریت کسب کار است. ISP باید شامل سیاست‌های جداگانه برای استفاده و نیز سوء استفاده از دارایی ها، کنترل دسترسی، کنترل رمز عبور، اینترنت و ایمیل، آنتی ویروس، دسته بندی اطلاعات، طبقه بندی اسناد، دسترسی از راه دور، دسترسی تولید کننده به اطلاعات و سرویس‌های فناوری اطلاعات و واگذاری دارایی ها، باشد.

ITIL توصیه می‌کند که این سیاست‌ها را بطور گسترده برای همه کاربران و مشتریان بکار گیرید و حداقل هر 12 ماه آنها را بازنگری کرده و در صورت لزوم تغییر دهید.

  • سیستم مدیریت امنیت اطلاعات (ISMS): این تنها یک روش جهت اشاره به مجموعه ای از سیاست‌هایی است که برای مدیریت امنیت و ریسک در سراسر شرکت خود قرار داده اید. مهمترین مسأله آن است که شما یک رویکرد محاسبه ای و جامع را در طراحی، پیاده سازی، مدیریت، نگهداری و اجرای فرآیندهای امنیت اطلاعات و کنترل ها اتخاذ کنید. ITIL پیشنهاد می کند که ISMS شما باید آنچه را که آن را “Four P’s” می نامد، مورد توجه قرار دهد: “The Four P’s” عبارتند از: مردم (people)، فرآیند (process)، محصولات (products) و شرکا و تولیدکنندگان (partners)

بسیاری از سازمان‌های جهانی اطلاعات بدنبال اخذ گواهینامه جهانی برای چارچوب‌های ISMS خود هستند که این کار از طریق ISO 27001 انجام می‌شود. به طور معمول، یک چارچوب ISMS شامل پنج عنصر اصلی به شرح زیر است:

  • 1. کنترل
    شما باید یک چارچوب مدیریتی جهت مدیریت امنیت اطلاعات، تهیه و پیاده سازی سیاست‌های امنیت اطلاعات، تخصیص مسئولیت‌ها و جمع آوری و کنترل اسناد، ایجاد کنید.
کنترل اسناد
  • 2. برنامه ریزی

در مرحله برنامه ریزی از چارچوب تعیین شده، شما مسئول جمع آوری و درک کامل نیازهای امنیتی سازمان بوده و پس از آن باید اقدامات مناسبی را بر اساس بودجه، فرهنگ سازمانی در خصوص امنیت و سایر فاکتورها پیشنهاد دهید.

  • 3. اجرا

سپس، شما طرح برنامه ریزی شده را اجرا کرده و اطمینان حاصل کنید که دارای مکانی ایمن برای اجرای درست سیاست‌های امنیت اطلاعات در این فرآیند هستید.

  • 4. ارزیابی

هنگامی که سیاست‌ها و برنامه های شما آماده اجرا هستند، باید با نظارت درست بر آنها اطمینان حاصل کنید که سیستم های شما واقعا امن هستند و فرایندهای شما مطابق با سیاست‌ها، SLA ها و دیگر نیازهای امنیتی شما اجرا می‌شوند.

  • 5. نگهداری

در نهایت یک ISMS موثر به معنای آن است که شما به طور مداوم تمام فرآیند را بهبود بخشیده و به دنبال فرصت هایی برای بازبینی SLAها، توافق نامه های امنیتی، نحوه نظارت و کنترل آنها و موارد دیگر هستید.

  • یک سیستم اطلاعاتی مدیریت امنیت (SMIS) به سادگی یک ابزار یا مخزن است که اطلاعاتی را که از شیوه های مدیریت امنیت اطلاعات شما پشتیبانی می کند، ذخیره می‌کند. این بخشی از کل سیستم مدیریت دانش سرویس (SKMS) است. در نهایت SMIS باید به عنوان یک مکان اصلی برای ذخیره چیزهایی مانند برنامه ها و سیاست‌های امنیتی شما، همچنین تمام اسناد مربوطه، ارزیابی ها و برنامه های عملی، در نظر گرفته شود.

از جمله ابزارهایی که در کنترل امنیت اطلاعات می تواند به شما کمک کند نرم افزار مانیتورینگ بینا و به طور خاص ماژول لاگ نرم افزار مانیتورینگ بینا می باشد.

با نرم افزار ITSM دانا پرو

فرآیند های مدیریت خدمات IT را در سازمان خود بهینه کنید

چه کسی مسئول مدیریت امنیت اطلاعات است؟

در سازمان‌های بزرگ معمولا فردی که مسئولیت فرآیند ISM را بر عهده دارد (end-to-end) به عنوان مدیر امنیت انتخاب می‌شود. وظیفه مدیران امنیت این است که اطمینان حاصل کنند سیاست های امنیتی موثر ایجاد و به اشتراک گذاشته شده و تأیید می‌شوند. همچنین آنها مسئولیت کلیه عملیات امنیتی را (از مرحله طراحی معماری و اجرا تا بازیابی) بر عهده دارند.

بر اساس ITIL، فعالیت‌های کلیدی در مدیریت امنیت اطلاعات (و همچنین مسئولیت‌های مدیر امنیت) عبارتند از:

  1. ایجاد کلیه سیاست‌های امنیت اطلاعات (و بازبینی آنها در صورت نیاز) برای شرکت خود و همه سیاست‌های ضروری پشتیبانی
  2. برقراری ارتباط، تصویب و اجرای این سیاست‌ها
  3. ارزیابی و طبقه بندی کلیه منابع اطلاعاتی و مستندات
  4. اجرای (و در صورت لزوم بازبینی) یک مجموعه از کنترل‌های امنیتی
  5. نظارت و مدیریت کلیه نقض های امنیتی و رخدادهای مهم امنیتی
  6. تحلیل، گزارشگیری و کاهش حجم و تاثیر شدت نقض ها و رخدادها
  7. زمانبندی و تکمیل بررسی های امنیتی، بازرسی ها (Audits) و تست‌های نفوذ

کنترل های امنیتی توصیه شده

بدلیل اینکه امنیت یک فرآیند مداوم است، شما می بایست مجموعه ای از اقدامات و کنترل‌ها را جهت کمک به کمتر کردن تهدیدات و تاثیر خطاهای انسانی، بکار گیرید. ITIL پنج نوع اقدام مختلف را پیشنهاد می‌دهد:

ابتدا، اقدامات پیشگیرانه که برای جلوگیری از وقوع رخدادهای امنیتی طراحی شده است. بسیاری از این اقدامات بر روی taskهای مدیریت دسترسی تمرکز دارند، مانند تخصیص حقوق و مجوزهای مناسب، تایید هویت و اطمینان از اینکه افراد غیر مجاز قادر به دسترسی به اطلاعات و سیستم شما نیستند.

اقدامات کاهنده (Reductive) بدنبال کاهش تاثیر رخدادهایی است که رخ می‌دهند، مانند بکارگیری برنامه های احتیاطی و تست آنها، برای مثال، گرفتن بکاپ های خودکار از داده های مهم و سیستم‌ها.

اقدامات کشف کننده (Detective) دقیقا همان گونه که نام گذاری شده اند، عمل می‌کنند: اقدامات کنترلی جهت شناسایی و کشف ریسک‌ها یا تهدیدات در سریع ترین زمان ممکن. این به معنای بکارگیری بهترین سیستم‌های مانیتورینگ شامل ابزارهای مانیتورینگ سیستم‌ها و شبکه، هشدارها و سایر موارد است.

اقدامات قطع کننده (Repressive) مشابه ضدحمله یا همان حمله متقابل (Counterattacks) هستند. هنگامی که یک تهدید بالقوه تشخیص داده می‌شود، برای مثال، هنگامی که یک ربات احتمالا مخرب به طور مداوم در تلاش است تا با مجموعه ای از نام های کاربری و رمزهای عبور ترکیبی وارد سیستم شود، مسدود کردن خودکار تلاش های بیشتر از آن آدرس IP (یا به طور موقت قفل کردن نام‌های کاربری که از طریق آنها، تلاش های متعدد برای ورود به سیستم صورت گرفته است) یک نمونه عالی از اقدامات قطع کننده است.

در نهایت، اقدامات تصحیح کننده (Corrective) بدنبال برطرف کردن هرگونه خرابی یا مشکلی است که بر اثر بروز خطا یا رخداد بوجود آمده است. یک مثال عالی برای آن، بازگرداندن بکاپ (Restoring a backup) است.

اندازه گیری میزان اثربخشی (Effectiveness)

ITIL مجموعه متنوعی از متریک‌ها و KPIها (شاخص‌های کلیدی عملکرد) را ارائه کرده است که می‌توانید از آنها برای پیگیری نحوه اثربخشی و کارایی ISM و فعالیت‌هایش، استفاده نمایید. نمونه های کلیدی شامل موارد زیر هستند:

  • کاهش میزان نقض امنیتی که به Service Desk شما گزارش شده است، یا در اثر نقض و رخدادها
  • افزایش پشتیبانی از پروسه های امنیتی خود توسط مدیریت ارشد و مطابق با سیاست های خود در سراسر شرکت
  • تعداد پیشرفت های صورت گرفته (یا بهبودهایی که پیشنهاد شده است) در پروسه های امنیتی خود
  • افزایش آگاهی از سیاست‌های امنیتی خود در سراسر شرکت

توصیه های کلیدی

ابتدا، اطمینان حاصل کنید که شما از حمایت کافی از جانب رهبری ارشد در مجموعه اجرایی برخوردار هستید. بدون پذیرش سیاست‌های امنیتی، تلاش های شما برای ایجاد (و اجرای) سیاست های امنیتی قوی می تواند بی فایده باشد. یک روش مفید جهت افزایش حمایت‌های مدیران ارشد آن است که اطمینان حاصل کنید استراتژی امنیتی شما بر اولویت‌های کاری و سرویس‌های فناوری اطلاعات مورد انتظار آنها تمرکز دارد، نه فقط بر تکنولوژی.

دوم، همانطور که استراتژی امنیتی و ISMS را ایجاد می کنید، جمع آوری اطلاعات از سراسر کسب و کار خود را نیز فراموش نکنید. همچنین صحبت کردن و جمع آوری داده از همه جنبه های کسب و کار برای اطمینان از اینکه شما همه ریسک‌ها، نیازها و اولویت‌ها را بطور کامل درک و مشخص کرده اید، امری ضروری است.

آموزش را فراموش نکنید. همانطور که نیازهای امنیتی خود را تعریف کرده و سیاست‌ها را ایجاد می‌کنید، اطمینان حاصل کنید که کارکنان شما (و تولیدکنندگان) نسبت به این سیاست‌ها و نیازها آگاهی داشته باشند. برنامه ریزی درست و زودهنگام در خصوص انتظارات کارکنان تاثیر چشم گیری بر پذیرش کامل و انطباق این سیاست‌ها از جانب آنها خواهد داشت.

در نهایت، به یاد داشته باشید که هرچه کسب و کار شما رشد می‌کند، نیازهای امنیتی و ریسک‌های بالقوه آن نیز بیشتر می‌شود. به خاطر داشته باشید که به طور منظم سیاست ها و سیستم های خود را مجددا بررسی کرده تا اطمینان حاصل کنید که همگام با نیازهای جدید (و حتی تهدیدات جدید از سوی هکرها) در حال پیشرفت هستید.

فهرست
facilisis et, id, Sed risus. ipsum