چگونه ITIL می‌تواند امنیت اطلاعات را بهبود بخشد

چارچوب ITIL می‌تواند به طور مستقیم و غیرمستقیم به امنیت اطلاعات کمک کند. در سند جاری مروری بر ITIL و عملکرد آن در بهبود مدیریت امنیت اطلاعات سازمان‌ها خواهیم داشت.

کتابخانه زیرساخت فناوری اطلاعات - (ITIL (Information Technology Infrastructure Library - مجموعه‌ای از بهترین شیوه‌ها و دستورالعمل‌هاست که رویکردی یکپارچه و مبتنی بر فرآیند را برای مدیریت سرویس‌های فناوری اطلاعات تعریف می‌کند. ITIL می‌تواند تقریباً در هر نوع محیط IT اعمال شود.

استقبال از ITIL در سراسر جهان به طور پیوسته در حال افزایش است؛ سازمان‌‌‌های دولتی و خصوصی متعددی از ITIL استفاده می‌کنند که از این میان می‌توان به Proctor&Gamble ،Washington Mutual ،Southwest Airlines ،Hershey Foods و Internal Revenue Service اشاره کرد. علاوه بر مزایایی که همه راجع به ITIL می‌دانند (هم ترازی IT با نیازهای تجاری، بهبود کیفیت سرویس‌ها، کاهش هزینه‌های ارائه و پشتیبانی سرویس‌های IT)، چارچوب ITIL می‌تواند به امنیت اطلاعات به طور مستقیم (از طریق یک فرآیند خاص مدیریت امنیت) و یا غیر مستقیم کمک کند.

این مقاله مروری کلی بر ITIL خواهد داشت و راجع به عملکرد ITIL در بهبود روش اجرا و مدیریت امنیت اطلاعات داخل سازمان‌ها به بحث می‌پردازد. برای مطالعه سایر مقالات مرتبط با ITIL به بلاگ دانا پُرو مراجعه نمایید. 

مروری بر ITIL

بهروش ITIL در دهه 1980 توسط دولت بریتانیا با هدف توسعه رویکردی برای استفاده موثر و مقرون به صرفه از منابع IT، پا به عرصه وجود گذاشت. یک سازمان دولتی بریتانیایی با استفاده از تجارب و تخصص افراد موفق در زمینه IT شکل گرفت و مجموعه‌ای از کتاب‌های تخصصی را منتشر کرد که هر کدام روی فرآیند متفاوتی از IT تمرکز داشتند. از آن زمان ITIL به زیربنای اصلی سازمان‌ها، ابزارها، خدمات مشاوره، نشریات و غیره تبدیل شده است. در حال حاضر یک مجموعه 44 جلدی از دستورالعمل‌های ITIL در 8 بسته اصلی در دسترس عموم قرار گرفته و همچنان در حال به روز رسانی است.

کتاب‌های پشتیبانی و ارائه سرویس ITIL شامل مجموعه‌ای از بهترین روش‌های استاندارد برای فرآیندهای عملیاتی IT نظیر مدیریت تغییر، انتشار و پیکربندی و همچنین مدیریت رخداد، مشکل، ظرفیت و دسترس پذیری است.

 بهروش ITIL بر کیفیت سرویس تاکید دارد و بر اینکه چگونه سرویس‌های IT می‌توانند به طور موثر و مقرون به صرفه ارائه و پشتیبانی شوند، تمرکز می‌کند. در چارچوب ITIL، واحدهای تجاری داخل یک سازمان (مانند منابع انسانی، حسابداری) که بابت استفاده از سرویس‌های IT کارمزد پرداخت می‌کنند، با نام "مشتریان" سرویس‌های IT مشخص می‌شوند و سازمان IT نيز "تامین کننده سرویس" است.

 بهروش ITIL اهداف، فعالیت‌ها، ورودی‌ها و خروجی‌های بسیاری از فرآیندهای موجود در یک سازمان IT را تعریف می‌کند. این چارچوب در وهله اول روی این امر تمرکز می‌کند که چه فرآیندهایی برای تضمین کیفیت بالای سرویس‌های IT مورد نیاز است؛ اما توصیف خاص و مفصلی در مورد نحوه اجرای فرآیندها ارائه نمی‌دهد؛ چرا که این فرآیندها در هر سازمان متفاوت خواهند بود. به عبارت دیگر، ITIL به یک سازمان می‌گوید چه باید بکند، اما نحوه انجام آن را به عهده خود سازمان می‌گذارد.

سازمان‌‌ها از چند راه مهم می‌توانند از ITIL بهره ببرند:

  • سرویس‌های IT بیشتر مشتری محور می‌شوند.
  • کیفیت و هزینه سرویس‌های IT بهتر مدیریت می‌شوند.
  • ساختار سازمان شفاف‌تر و کارآمدتر می‌شود.
  • مدیریت تغییرات IT آسان‌تر می‌شود.
  • چارچوب و مرجع یکسانی برای ارتباطات داخلی IT به وجود می‌آید.
  • روال‌های IT استاندارد و یکپارچه می‌شوند.
  • شاخص‌های عملکرد قابل اندازه گیری می‌شوند.

جزئیات بیشتر درباره ITIL

بهروش ITIL رویکردی مبتنی بر فرآیند را برای مدیریت و ارائه سرویس‌های IT در پیش می‌گیرد؛ فعالیت‌های IT به فرآیندهای مختلف تقسیم می‌شوند که هر کدام دارای سه سطح است:

استراتژیک: اهداف سازمان همراه با طرح کلی روش‌های دستیابی به این اهداف تعیین می‌شوند.

تاکتیکی: استراتژی به یک ساختار سازمانی مناسب و برنامه ریزی‌های ویژه تفسیر می‌شود که فرآیندهایی که باید اجرا شوند، دارایی‌هایی که باید توسعه یابند و بالاخره نتایج حاصل از فرآیندها را توصیف می‌کند.

عملیاتی: برنامه ریزی‌های تاکتیکی اجرا می‌شوند و اهداف استراتژیک در یک زمان مشخص به دست می‌آيند.

فرآیندهای ITIL در واقع مجموعه ای از بهروش هاست. در ادامه به شرح مختصر این فرآیندها می‌پردازیم:

مدیریت پیکربندی: بهترین شیوه‌ها برای کنترل پیکربندی (به عنوان مثال: استاندارد سازی، نظارت بر وضعیت، شناسایی دارایی)؛ این شیوه‌ها با شناسایی، کنترل، نگهداری و بررسی مواردی که زیرساخت IT سازمان را تشکیل می‌دهند، وجود یک مدل منطقی از زیرساخت را تضمین می‌کنند.

در زیر سیستم CMDB دانا، مجموعه زیادی از انواع CI های پیش فرض وجود دارد مانند افراد، سرور ها، نرم‌افزار‌های کاربردی، پایگاه داده، تجهیزات شبکه، سرویس‌ها، واحدهای کاری و موارد مشابه دیگر. به کمک این تعاریف اولیه شما می‌توانید CI های خود را یا به صورت دستی تعریف کرده و یا از موجودیت‌های سیستم ایمپورت کنید. علاوه بر این‌ها، مکانیسم پویشگر شبکه دانا این امکان را فراهم می‌سازد که به آسانی شبکه خود را پویش کنید و دارایی های فناوری اطلاعات را در CMDB ایمپورت کنید.

ci2

مدیریت رخداد: بهترین شیوه‌ها برای حل و فصل رخدادها (هر حادثه‌ای که باعث وقفه یا کاهش کیفیت يك سرویس IT می‌شود) و بازگرداندن سریع سرویس‌های IT به وضعیت اولیه؛ این شیوه‌ها تضمین می‌كنند که سرویس پس از وقوع یک رخداد با بیشترین سرعت ممکن به حالت عادی باز گردانده می‌شود.

مدیریت مشکل: بهترین شیوه‌ها برای شناسایی علت یا علل اصلی رخدادهای IT به منظور جلوگیری از وقوع مجدد آنها در آینده؛ اجرای این بهروش‌ها می‌تواند از وقوع مجدد رخدادها و مشکلات ممانعت کند.

مدیریت تغییر: بهترین شیوه‌ها برای استاندارد سازی و اجرای تغییرات؛ این شیوه‌ها تضمین می‌کنند که تغییرات با حداقل تاثیر منفی بر سرویس‌های IT اجرا می‌شوند و قابل ردیابی هستند.

مدیریت توزیع: بهترین شیوه‌ها برای توزیع سخت افزار و نرم افزار؛ این شیوه‌ها تضمین می‌کنند که تنها نسخه‌های تست شده و صحیح نرم افزارها و سخت افزارهای مجاز به مشتریان IT ارائه می‌شوند.

مدیریت دسترسی: بهترین شیوه‌ها برای حفظ دسترسی سرویس‌های تضمین شده IT به مشتریان (به عنوان مثال: بهینه سازی اقدامات نگهداری و طراحی برای به حداقل رساندن تعداد رخدادها). این شیوه‌ها تضمین می‌کنند که زیرساخت IT قابل اطمینان، انعطاف پذیر و قابل بازیابی است.

مدیریت مالی: بهترین شیوه‌ها برای درک و مدیریت هزینه‌ ارائه سرویس‌های IT؛ (به عنوان مثال بودجه بندی، حسابداری و ...). این شیوه‌ها تضمین می‌کنند که سرویس‌های IT به شکل مناسب، اقتصادی و مقرون به صرفه ارائه می‌شوند.

مدیریت سطح خدمات: بهترین شیوه‌ها برای تضمين سطح قراردادهایی که بین تامین کنندگان و مشتریان IT تعیین می‌شوند؛ این شیوه‌ها تضمین می‌کنند که کیفیت تعهدات سرویس‌های IT از طریق نظارت، گزارش و بررسی همیشه در سطح توافق شده قرار دارند.

 بهروش ITIL و امنیت اطلاعات

بهروش ITIL در پی کسب اطمینان از این مساله است که آیا اقدامات موثری برای امنیت اطلاعات در سطوح استراتژیک، تاکتیکی و عملیاتی اتخاذ شده است یا خیر. امنیت اطلاعات یک فرایند است که باید کنترل، برنامه ریزی، اجرا، ارزیابی و حفظ شود.

بهروش ITIL امنیت اطلاعات را به سطوح زیر تفكيك می‌کند:

سیاست‌ها: اهداف کلی یک سازمان که در تلاش برای رسیدن به آن‌هاست

فرآیندها: آنچه برای رسیدن به اهداف باید به وقوع بپیوندد

روال‌ها: برای رسیدن به اهداف چه کسی، چه کاری و در چه زمانی باید انجام دهد

دستورالعمل کار: دستورالعمل‌هایی که برای انجام اقدامات خاص لازم است

فرآیند امنیت اطلاعات ITIL می‌تواند در هفت مرحله توضیح داده شود:

  • با استفاده از تحلیل خطر، مشتریان IT نیازهای امنیتی خود را شناسایی می‌کنند.
  • دپارتمان IT این نیازها را امکان سنجی کرده و آنها را با حداقل خط مبنای امنیت اطلاعات سازمان مقایسه می‌کند.
  • سازمان IT و مشتری مذاکره کرده و یک توافقنامه سطح خدمات (SLA)  تعریف می‌کنند که شامل تعریف نیازهای امنیت اطلاعات با شرايط قابل اندازه گیری است.
  • توافنامه های سطح عملیات (OLA) که شامل شرح مفصلی از نحوه ارائه سرویس‌های امنیت اطلاعات است، مورد مذاکره قرار می‌گیرد و تعریف می‌شود.
  • توافقنامه های SLA و OLA اجرا و نظارت می‌شوند.
  • مشتریان در رابطه با وضعیت سرویس‌های امنیت اطلاعات ارائه شده گزارشات منظم دریافت می‌کنند.
  • توافقنامه های SLA و OLA در صورت لزوم اصلاح می‌شوند.

امنیت اطلاعات

توافقنامه سطح خدمات (SLA)

SLA بخش مهمی از فرآیند امنیت اطلاعات ITIL است. این یک قرارداد رسمی و کتبی است که سطوح سرویس از جمله امنیت اطلاعات را مستند می‌کند. SLA باید شامل شاخص‌های مهم عملکرد و معیارهای آن باشد. نمونه‌ای از دستورالعمل‌های SLA امنیت اطلاعات باید شامل موارد زیر باشد:

  • روش‌های مجاز دسترسی
  • قراردادهایی در مورد ثبت سوابق
  • اقدامات امنیت فیزیکی
  • آموزش امنیت اطلاعات و اطلاع رسانی به کاربران
  • روال صدور مجوز برای حقوق دسترسی کاربر
  • موافقت نامه تهیه گزارش و بررسی رویدادهای امنیتی

علاوه بر قراردادهای SLA و OLA، سندهایی در مورد سیاست‌‎های امنیت اطلاعات نیز تعریف می‌شود. ITIL مقرر می‌كند که سیاست‌های امنیتی باید از مدیر ارشد آغاز شود و شامل موارد زیر باشد:

    • اهداف و دامنه امنیت اطلاعات برای یک سازمان
    • اهداف و اصول مدیریت برای تعیین نحوه مدیریت امنیت اطلاعات
    • تعریف نقش‌ها و مسئولیت‌ها برای امنیت اطلاعات

امروزه سطح خدمات مورد انتظار کاربران و مشتریان بیشتر از هر زمان دیگری است و بدون شک اصلی ترین پارامتر مورد توجه، سرعت رسیدگی به درخواست‌ها و مشکلات است. زیر سیستم SLA در نرم افزار دانا پُرو بر سرعت رسیدگی به درخواست‌های مشتریان و کاربران نظارت می‌کند و با کنترل متمرکز سطح خدمات و ارائه گزارش‌های مختلف به شما کمک می‌کند تا با توزیع بهتر منابع موجود و جلوگیری از جریمه‌های احتمالی، هزینه‌های خود را کاهش دهید.

بهروش ITIL از 10 راه می‌تواند امنیت اطلاعات را بهبود بخشد

1- بهروش ITIL نیاز‌های امنیتی را با ویژگی‌های سازمان همسو می‌کند. در بسیاری از موارد، امنیت اطلاعات برای عملکردهای تجاری به عنوان یک "هزینه" و یا "مانع" تلقی می‌شود. با استفاده از ITIL، مشتری و تامین کننده سرویس می‌توانند با مراجعه به یک استاندارد در مورد سرویس‌های امنیت اطلاعات مذاکره کنند و این مسئله هم ترازی سرویس‌ها با نیازهای تجاری را تضمین می‌کند.

2- بهروش ITIL سازمان‌ها را قادر می‌سازد به شیوه ای ساختار یافته و شفاف به توسعه و اجرای امنیت اطلاعات بپردازند. به این ترتیب امنیت اطلاعات، رویکردی مدون و برنامه ریزی شده را دنبال خواهد کرد.

3- تاکید ITIL بر بازبینی مستمر فرآیندها، اثر بخشی اقدامات امنیت اطلاعات را در بلند مدت تضمین می‌کند.

4- بهروش ITIL فرآیندها و استانداردهای مستندی (مانند SLA و OLA) ایجاد می‌کند که قابل بررسی و نظارت هستند. این امر به سازمان کمک می‌کند تا اثر بخشی برنامه امنیت اطلاعات خود را سنجیده و از الزامات قانونی (به عنوان مثال، HIPAA یا Sarbans-Oxley) پيروی كند.

5- بهروش ITIL مبنایی برای طرح ریزی و اجرای فرآیند امنیت اطلاعات را فراهم می‌کند. این مبنا با در نظر گرفتن بهروش‌هایی برای مدیریت تغییر، مدیریت پیکربندی و مدیریت رخداد، امنیت اطلاعات را به میزان قابل توجهی بهبود می‌بخشد. به عنوان مثال، تعداد قابل توجهی از مشکلات مربوط به امنیت اطلاعات به دلیل مدیریت نامناسب تغییر (مانند سرورهایی با پیکربندی اشتباه) به وجود می‌آیند.

6- بهروش ITIL پرسنل امنیت اطلاعات را قادر می‌سازد که در مورد امنیت اطلاعات به نحوی بحث کنند که سایر گروه‌ها نیز بتوانند مباحث را درک کرده و متوجه آن‌ها شوند. احتمالا بسیاری از مدیران نمی‌توانند جزئیات مربوط با رمز گذاری یا قوانین فایروال را شرح دهند اما قادر به درک و مفاهیم ITIL مانند ترکیب امنیت اطلاعات با فرآیندهای تعریف شده برای مدیریت مشکلات، بهبود سرویس‌ها، و حفظ SLA هستند. ITIL می‌تواند به مدیران در درک این مسئله کمک کند که امنیت اطلاعات بخش مهمی از یک سازمان موفق و خوب است.

7- چارچوب سازمان یافته ITIL مانع اقدامات شتابزده و سازماندهی نشده در زمینه امنیت اطلاعات می‌شود. ITIL در زمینه امنیت اطلاعات نیاز به طراحی و اقدامات منسجم و قابل اندازه‌گیری (به جای اقدامات هنگام، یا بعد از وقوع رخداد) دارد. این امر در نهایت موجب صرفه جویی در وقت و هزینه در سازمان می‌شود.

8- گزارش‌های مورد نیاز ITIL مدیریت سازمان را از اثر بخشی اقدامات امنیت اطلاعات مطلع می‌كند. این گزارش‌ها همچنین اجازه می‌دهند تا مدیریت در مورد خطراتی که سازمان را تهدید می‌کنند، تصمیمات آگاهانه بگیرد.

9- بهروش ITIL نقش‌ها و مسئولیت‌ها را در زمینه امنیت اطلاعات تعریف می‌کند. بنابراین در صورت بروز یک رخداد، روشن است که چه کسی پاسخگوست و چگونه این کار را انجام خواهد داد.

10- بهروش ITIL یک زبان مشترک برای بحث در مورد امنیت اطلاعات ایجاد می‌کند. این امر اجازه می‌دهد که پرسنل امنیت اطلاعات با شرکای تجاری داخلی و خارجی، از جمله سرویس‌های امنیتی خارج از سازمان ارتباطی موثر برقرار کنند.

اجرای ITIL

بهروش ITIL معمولاً کار خود را با مدیر عامل (CEO) یا مدیر اطلاعات (CIO) آغاز می‌کند. با این حال شما به عنوان یک متخصص امنیت اطلاعات، می‌توانید توجه مدیران ارشد را به ITIL و لزوم اجرای آن جلب کنید. با توجه به پذیرش فزاینده چارچوب ITIL، حتماً تا به حال راجع به آن در سازمان شما صحبت به میان آمده است؛ اما آگاه کردن مدیریت سازمان با مزایای امنیت اطلاعات ITIL می‌تواند به تسریع پذیرش آن کمک کند.

اجرای ITIL به تلاش و صرف زمان نیازمند است. بسته به اندازه و پیچیدگی سازمان، اجرای ITIL زمانبر است. برای بسیاری از سازمان‌ها، اجرای موفقیت آمیز ITIL مستلزم تغییر در فرهنگ سازمانی و مشارکت و تعهد تمامی کارکنان است.

عوامل مهم برای اجرای موفق ITIL عبارتند از:

  • تعهد کامل مدیریت و مشارکت او در اجرای ITIL
  • رویکرد مرحله به مرحله
  • آموزش پیوسته کارکنان
  • مدیریت تاثیر ITIL در ارائه سرویس‌ها و کاهش هزینه‌ها
  • سرمایه گذاری کافی در ابزارهای پشتیبانی ITIL

امنیت اطلاعات به طور پیوسته از لحاظ دامنه، پیچیدگی و اهمیت در حال پیشرفت است. برای سازمان‌ها مسئله خطرناک این است که امنیت اطلاعات سازمان وابسته به فرآیندهای غیر استاندارد باشد. ITIL می‌تواند بر اساس بهروش‌ها این فرآیندها را با فرآیندهایی استاندارد و یکپارچه جایگزین کند و همچنین نحوه اجرا و مدیریت امنیت اطلاعات در سازمان‌ها را بهبود بخشد، اگر چه این کار به زمان و تلاش زیادی نیاز دارد.

درباره سیستم جامع مدیریت خدمات فناوری اطلاعات دانا پُرو

دانـا پُرو، یک نرم افزار پیشرفته مبتنی بر ITIL برای مدیریت خدمات واحد فناوری اطلاعات (ITSM)، در سازمان‌ها می‌باشد. دانا پُرو همه ابزار هایی که برای مدیریت امور IT نیاز دارید به صورت یکپارچه در اختیار تان قرار می‌دهد. به کمک دانا پُرو، روش ارائه خدمات و سَبک مدیریت فناوری اطلاعات در سازمان خود را مدرنیزه کنید و مطابق با بهروش‌های روز دنیا پیش بروید.

خواندن 60 دفعه

به سادگی سازمان خود را به یک نرم افزار پیشرفته ITSM مجهز کنید.

(به روش توصیه شده ITIL مدیریت کنید!)

نسخه 14 روزه رایگان دانا پُرو،
همین حالا شروع کنید!

آیا تمایل دارید هر هفته یک مقاله مفید و کاربردی در زمینه ITIL و مدیریت IT برای شما ارسال کنیم؟