هنر اندازه‌گیری موفقیت در حوزه‌ی امنیت

وقت آن است که اندازه‌گیری موفقیت در حوزه‌ی امنیت را تنها با معیارهای داخلی قابل دسترس، متوقف کنیم. با نزدیک شدن فصل برنامه‌ریزی بودجه، بحث در مورد چگونگی اندازه‌گیری موفقیت در حوزه‌ی امنیت برای توجیه تخصیص منابع و یا گسترش منابع مالی در دستور کار قرار دارد. مقالات زیادی وجود دارد که می‌تواند به شما در شناسایی معیارهای امنیتی برای نشان دادن ارزش برنامه‌های امنیتی کمک کند، اما قبل از شروع به انتخاب معیارها، ابتدا باید موفقیت را تعریف کنیم. این کار می‌تواند بیشتر یک هنر باشد نه علم.

 

ابزارهای امنیتی نیز به ما نشان می‌دهند که چگونه بسیاری از حملات را مانع شده‌ایم، چند سامانه را امن کرده‌ایم و یا چند گذرواژه نیاز به عامل دوم برای حفاظت دارند. همچنین چگونگی کنترل اندازه‌گیری‌ها از طریق تطابق با ممیزی‌ها را گزارش می‌دهیم. درحالی‌که تکیه بر معیارهای در دسترس آسان است، چگونه می‌توان تعیین کرد که کدام شاخص‌ها واقعاً برای اندازه‌گیری موفقیت در حوزه‌ی امنیت است، همان‌طور که مربوط به اولویت‌های کسب‌وکار کلی نیز هست؟

 

سازمان‌های کامل تمایل به تمرکز بر روی اندازه‌گیری خطرات و چگونگی کاهش آن‌ها دارند که در نهایت همه چیز در مورد امنیت فناوری اطلاعات را در بر می‌گیرد. اما حتی بهترین سازمان‌ها نیز می‌توانند به دام ارزیابی‌های خود در برابر معیارهای اشتباه سقوط کنند. برای سنجش واقعی دستاوردها در برنامه‌های امنیتی، ابتدا باید مشخص کنیم که چه چیزی موفقیت محسوب می‌شود.

 

چه کسی موفقیت را تعریف می‌کند؟

گروه‌های امنیتی، مانند هر گروه دیگری، نسبت به تعریف موفقیت به نفع خود تمایل دارند. اما اگر توجیه بودجه، یا حتی آرزوهای بیشتر از جمله توانمندسازی کسب‌وکار هدف باشد، عوامل موفقیت تنها توسط ذینفعان داخلی تعیین نمی‌شود. در عوض، این عوامل باید از نیازهای کسب‌وکار باشد. مشکل این است که کسب‌وکار هیچ ایده‌ای درباره‌ی توصیف آنچه که از امنیت می‌خواهند جز «به آن‌ها نفوذ نشود» و «مامور حسابرسی را خوشحال کند» ندارند.

 

یکی از مدل‌های آسان برای استفاده که می‌تواند به شکاف میان گروه‌های امنیتی و مدیران کسب‌وکار برای همکاری در برنامه‌ریزی هدف کمک کند، «GOSPA» نامیده می‌شود. که مخفف آمال، اهداف، استراتژی‌ها، برنامه‌ها و اقدامات است. این‌ها سلسله مراتبی در طبیعت هستند، به‌طوری که هر یک از لایه‌ها از لایه‌ی بالایی خود پشتیبانی می‌کند. بنابراین، برای مثال، شما می‌توانید با یک هدف واقع‌بینانه آغاز کنید، از جمله: خطر نقض یا از دست دادن اطلاعات را باتوجه به استانداردهای همکاران در صنعت ما، به حداقل برسانید.

 

پس از آن می‌توان به اهداف زیر پرداخت:

•  کاهش دادن زمان به‌روزرسانی سامانه (استفاده از وصله‌ها) تا 50٪ 

•  افزایش استفاده از احراز هویت دو عاملی برای پوشش دادن 100٪ اطلاعات حساس

•  پیاده‌سازی مدیریت حساب منحصربه‌فرد برای تمام مدیران

 

اهداف، یک استراتژی مرتبط برای انجام دارند، به طرح‌ها تقسیم می‌شوند و سپس به اقدامات خاص یا وظایف کارگران برای انجام آن تقسیم می‌شوند. درحالی‌که استراتژی و اقدامات موفقیت کلی کسب‌وکار را هدایت می‌کنند، اهداف جزء قابل اندازه‌گیری هستند و این‌ها چیزهایی هستند که شما باید برای مدیر ارتباطات کسب‌وکار خود تعریف کنید. آموزش هزینه‌ها، برای دستیابی به اهداف مورد توافق نیز یک گام در این فرآیند است. اگر تصمیم‌گیرندگان در هزینه‌ها طفره بروند، اتاق‌هایی برای تصحیح اهداف وجود دارد تا آن‌ها برای کسب‌وکار واقع‌بین باشند.

 

اندازه‌گیری سلامت کسب‌وکار

کسب‌وکار مانند یک خیابان دو طرفه است. درحالی‌که برای امنیت لازم است شرکای تجاری برای رسیدن به اهداف مورد نیاز آموزش داده شوند، کسب‌وکار نیز باید آماده‌ی ارائه‌ی برنامه‌ها و اولویت‌های خاص به گروه امنیتی باشد. به‌عبارت دیگر، کسب‌وکار باید اقدامات موفق خود را به اشتراک بگذارد.

 

این اطلاعات باید برنامه‌ریزی و اولویت‌های امنیتی را اعلام کند. موارد و پروژه‌های فعلی بودجه حداقل باید سالیانه بررسی شوند تا تعیین شود که آیا آن‌ها ضروری هستند و با برنامه‌های تجاری هماهنگ باشند. هنر اندازه‌گیری موفقیت در حوزه‌ی امنیت به این همبستگی تجاری بستگی دارد. وقت آن است که اندازه‌گیری موفقیت در حوزه‌ی امنیت را با معیارهای داخلی و در دسترس متوقف کرده و اهداف مشترک را در جهت هماهنگی بیشتر با اولویت‌های تجاری دنبال کنیم.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید