چگونه می توان به یک استراتژی امنیتی درست دست پیدا کرده و از آن به عنوان وسیله ای برای پیشرفت در شغل و رسیدن به موفقیت ها و دستاوردهای مثبت استفاده کرد؟
آیا شما به دنبال یافتن فواید راهبری امنیتی هستیدیا اینکه مدیر ساده یک firewall می باشید که مشغله مهم ذهنش خنثی کردن حملات است؟ آیا شما یک کارآفرین هستید؟ اگر پاسخ شما مثبت است عملکرد شما چگونه بوده؛ تاکتیکی یا راهبردی؟در طی این مقاله شما خواهید دانست که هدف استراتژی امنیت صحبت درباره صرف هزینه های بیشتر نیست، بلکه هدف آن عملکرد متمرکز در انجام امور گوناگون می باشد.
برای شروع، تمرکز خود را بر هسته تجاری سازمان خود، اولویت ها و بخش های شلوغ و مرکزی سازمانتان معطوف کنید. برای این کار تمامی نقاط حساس کارتان و به ویژه قسمت هایی که مربوط به امنیت است را در نظر بگیرید. چنانچه کسب و کارتان استراتژی قانونمندی ندارد و یا در برنامه های موجود هیچگونه اشاره ای به امنیت نشده، اصلا نگران نشوید.وظیفه و شغل شما تعریف یک استراتژی امنیتی بر اساس ریسکهای موجود می باشد بطوریکه از تجارت شما پشتبانی کاملی را به عمل آورد.
چگونه امنیت می تواند ارزش کسب و کار شما را بالا ببرد.
ماهیت کسب و کار شما و مجریان حفظ امنیت این کسب و کار، تایید کننده استراتژی های شما هستند:
چرا وجود امنیت در کسب و کارتان لازم است و چرا بابت آن هزینه صرف می کنید؟
مشتریان کسب و کار شما چه کسانی هستند و نقش امنیت در کسب و کارتان چیست؟
آیا شما ویژگی و یا تخصص خاصی دارید که ضامن کار شما باشد. برای مثال آیا شما طراح سخت افزار و یا نرم افزار کامپیوترید؟
خدمات خارجی کسب و کار شما چیست؟ و آیا این خدمات به امنیت کسب و کارتان لطمه ای وارد می کند؟
فروشندگان، تولید کنندگان و شرکای تجاری مهم در کسب و کار شما چه کسانی هستند؟
آیا شما طرفدار بازرسی امنیتی باز هستید؟
آیا سازمان شما نیازمند اقدامات مداوم و منظم است؟
چنانچه شرکت شما یک شرکت بین المللی است، مشکلاتی که به دلیل تقابل فرهنگی برای شما پیش می آید، چه چیز هایی هستند؟
تهدیدات واقعی کسب و کار شما چه چیزهایی هستند؟
نقش شهرت، جریمه های نقدی، فقدان تواناییها و استعدادهای خاص ، زمان تدارک محصول در بازار، ابطال و از دست دادن جواز ها و یا توانایی لازم در تجارت، در کسب و کار شما تا چه اندازه است؟
آنچه که واقعا در کسب و کارتان به آن نیاز دارید و اولویت کاری شما محسوب می شود را به دقت شناسایی کنید.
برآوردی از داشته ها و سرمایه ها، تعیین کننده ملزومات امنیتی
در اولین قدم، شما باید سرمایه گذاران، داشته ها و محدودیت های خود را بشناسید که شامل مقبولیت عام و خاص شما و سرویسی که ارائه می دهید، قانونی بودن فعالیتها، منابع انسانی، بازرسی های داخلی، تکنولوژی اطلاعات و حلقه های مرتبط کننده شما به آن، گزارشات مستقیم و ... می باشد. در این زمینه هیچگاه اصول و بخشهای مهم کسب و کارتان را از قلم نیندازید. ابتکارات اصلی در پروژه هایی که کسب و کار شما را پیش می برند در نظر گرفته و مشخص کنید که چگونه امنیتی که تعریف خواهید کرد با مدل فعالیت تجاری شما منطبق می شود.
ارزیابی نفاط قوت، نقاط ضعف، فرصت ها و تهدیدات برنامه های امنیتی (SWOT)
خطرات اصلی و شکاف ها، فرصت های غیر واقعی و فرصت هایی که می توان با صرف وقت و هزینه کم، بیشترین بهره را از آنها برد، شناسایی کنید. از تمام توان کارکنان خود بهره ببرید. به دنبال دستیابی به موفقیت های سریع باشید تا با یک جهش بزرگ، تجارت خود را به پیش برید .
بکار گیری روشهای غیر اصولی،همانطور که بر صنعت و سازمان شما تاثیر می گذارد ، بر امنیت نیز تاثیر خواهد گذاشت
پخش شایعات جعلی، رشد درصد جرایم on-line ای که با فریب افراد صورت می گیرد و همچنین رشد این جرایم در بخشهای wireless و mobility ، مجازی سازی، افزایش مقررات جهانی و نیز نرم افزارهایی که بعنوان سرویس دهنده عمل کرده و با نام نه چندان جدید Cloud Computing یا Shred IT Services شناخته می شوند ،همگی باید مورد توجه قرار گیرند زیرا احتمال آسیب رساندن آنها به کسب و کار و امنیت شما بیشتر است. حال چند مثال دیگر را برایتان مطرح می کنیم:
هجوم دزدان لب تاپ ها: چنانچه تا کنون اطلاعات مهم روی لب تاپتان را کدگذاری نکرده اید، اکنون زمان آن فرا رسیده است. پایگاه داده های کد گذاری شده ، حافظه های قابل انتقال، رمز عبور ها و وسایل سخت افزاری بی سیم ، همگی باید از این استراتژی پیروی کنند. با عمل به این استراتژیها، در صورت دزدیده شدن لوازم سخت افزاریتان کمتر نگران خواهید شد.
امروزه اغلب فعالیت های کامپیوتری از اداره به خانه منتقل شده است. سوالی که در اینجا مطرح خواهد شد این است که چنانچه برخی از کارمندان شما از خانه کارها را دنبال می کند چگونه می توانید امنیت دسترسیها ها را تضمین کنید در حالیکه نه آن کامپیوتر متعلق به شماست و نه در شبکه شما این فعالیت انجام شده است؟
امروزه دزدان اطلاعات در همه جا پرسه می زنند. بنابر اعلام دو شرکت SANS و ISC2 ریسک خطر و نیز تقاضا برای امن کردن برنامه های کاربردی Web-facing و نیز توسعه چرخه های زندگی ، افزایش پیدا کرده است.
چگونه مدل کسب و کار شما با مدل امنیتی لازم برای کارتان منطبق خواهد شد.
برنامه های عملی خود را بر اساس نتایج خروجی ها، باز خورد سرمایه گذاران و سرمایه هایتان و تحلیل های SWOT تعریف کنید.
برای این کار، یک دوره زمانی 12 ماهه را در نظر بگیرید. چنانچه از قبل ، برای این دوره زمانی استراتژی مشخصی داشته اید، مدت زمان آنرا به 24 تا 36 ماه افزایش داده استراتژی و اهداف خود را بر اساس آن ، توسعه داده و سازماندهی کنید.
پیش نویسی از تحولات اساسی و مبتکرانه ای که باید پیاده سازی شوند و اهدافی که آنها را پشتیبانی می کنند، ارائه دهید.
باز خورد سرمایه گذاران را به دقت مورد بررسی قرار داده و سپس طرحها، برنامه هایتان رابر اساس آن، از بالا به پایین رتبه بندی کنید.
استراتژی های خود را ثبت و مستند کنید.
از قوانین و بندهای موجود طرحهای نوشته شده خود، استفاده کنید و یا در صورت نیاز قوانین و بندهای جدیدی ایجاد کنید.
بندهای جدید را به صورت خلاصه و اجرایی بنویسید.
اهدافتان را با کلمات کاملا روان، واضح و موجز نوشته و چیزی را در لفافه بیان نکنید.
آیا شما یک مدیر عالی رتبه هستید؟ چنانچه شما مدیر یک شرکت و یا مالک یک سازمان نیستید، می بایستی مهارت های اجتماعی تان را مرور کرده و یاد بگیرید چگونه از کلمات استفاده کنید.
پس از تهیه برنامه هایتان بصورت مستند:
نکات کلیدی آنها را را برای سرمایه گذارانتان ارسال کرده و یا حتی آنها را در وب سایت داخلی سازمانتان قرار دهید. سپس آنها را به اطلاع کلیه کارکنان سازمانتان در تمامی سطوح، برسانید.
هر ساله، یک گزارش مشروح امنیتی از وضعیت سازمانتان تهیه کرده و منتشر کنید و یا آن را در یک جلسه ویژه ارائه دهید.
به خاطر داشته باشید که موفقیت شما بستگی به وسعت دید، پشتیبانی و باز خورد سرمایه گذاران شما دارد و شما باید راهی برای رسیدن به خواسته های آنان ایجاد کنید.
چنانچه شورا و یا کمیته راهبری امنیتی ندارید، با دقت کافی و در کمترین زمان آین کمیته را تشکیل دهید. سرمایه گذاران باید در این کمیته عضو باشند. می توانید مطمئن باشید که تصمیمات این کمیته در سطوح بالایی ارائه خواهد شد.
چنانچه شما می بایستی به سازمان های مسئول در امر فناوری اطلاعات گزارش بدهید، سعی کنید نمایندگانی که این کار ار بر عهده دارند از دو نفر بیشتر نباشند. واحدهای تجارتی،باید در ایده آل ترین حالت اولویت های کاری خود را بر اساس میزان ریسک در تجارت تنظیم کنند که این امربدلیل ضرورت رعایت اصول کسب و کار و تاکید بر این اصول، از اهمیت بسزایی برخوردار است. سپس باید پشتیبانهایی برای امنیت در نظر گرفت و از بکار بردن شیوه های نادرستی که از میزان امنیت می کاهند، خودداری کرد. این موضوع با تمرکز بر منابعی که از بیشترین اهمیت برخوردارند، ریسک تجاری امنیت شما را متعادل خواهد کرد.
بمنظور مدیریت بهتر دستاوردها، برنامه های خود را مورد ارزیابی و سنجش قرار دهید.
بالا بردن استانداردها، میدان دید و میزان تمرکز شما را بر کسب و کارتان افزایش داده و تغییرات درست رفتاری را در پی خواهد داشت. شما باید یک دید معقول و منطقی،برای مدیریت امنیتی خود انتخاب کنید. سپس تمامی استانداردهای لازم را با زبان مدیریتی و نه زبان خودتان به کار ببرید
حال تصاویری برای شما ایجاد می شوند که بصورت واضح نشان می دهند چطور برنامه های شما، از بالا به پایین، بر ریسکهای امنیتی تاثیر می گذارند. حال در این مرحله باید مشخص کنید در کجا و در چه مرحله ای ، ایستاده اید، شکاف ها را شناسایی کنید ومیزان تغییرات را اندازه گیری کنید. توجه کنید که تمامی این مباحث را به طور منظم و پیوسته به سرمایه گذاران گزارش کنید.
برنامه هایتان را به روز نگه دارید.
یادداشت کردن برنامه ها نیمی از مبارزه شما در میدان تجارت محسوب می شود. پس از نوشتن حالا نوبت به اجرای آن برنامه هاست. استراتژی های خود را حداقل هر سه ماه یکبار مرور کرده و با همکاری و مشورت سرمایه گذارانتان، آنها را بطور سالیانه، مورد بررسی و تغییر قرار دهید.
ایجاد استراتژی های امنیتی بطور معمول برای شما هزینه ای در بر نخواهد داشت.
این استراتژی حتی یک ریال هم برای شما هزینه ای به دنبال ندارد، در عوض ارزش دستاوردهای آن در شغل و برنامه های امنیتی شما به میلیون ها دلار هم می تواند برسد. امنیت، تجارت شما را در بر می گیرد نه تکنولوژی شما را. حیاتی ترین نکته در این پروسه، متمرکز ماندن، مدیریت امنیت بعنوان یک تجارت و کسب و کار، و شکستن و از بین بردن بارهایی است که بر دوش کسب و کار شماست.
منبع