نگاه اجمالي : الگوي تعالي امنيت فضاي تبادل اطلاعات و معماری حوزه های مرتبط(اتاز)

 
     
 
 
 
 

 الگوی تعالي امنيت و معماري حوزه های مرتبط در حوزه فضاي تبادل اطلاعات

 
 
 

اتاز، يک الگوي تعالي امنيت در حوزه فضاي تبادل اطلاعات است. اتاز، به نوعي يک نوآوری در استفاده از مفهوم الگوی تعالي در حوزه امنيت فضاي سايبر محسوب مي شود. این الگو به سفارش مرکز مدیریت راهبردی افتای کشور تدوین و ارائه شده است.

بر اساس این الگو برخی از معماری های حوزه امنیت فضای تبادل اطلاعات نیز طراحی شده است.

سنجش تعالي در اتاز، شامل دو بعد اساسي است. بعد اول، شامل پوشش امنيت در عناصر سازنده سازمان است که رويکرد آن متمايل به  EFQM است. بعد دوم، شامل پوشش توازن امنيت در ابعاد راهبردي سازمان است. اين بعد، مبتني بر رويکرد كارت امتيازي متوازن (BSC) بنا مي شود.

بعد اول:  پوشش امنيت در عناصر سازنده سازمان

براي درک بهتر مفهوم الگوي تعالي امنيت فضاي سايبر، شايد بتوان از يک مفهوم مشابه و متناظر در حوزه ديگر بهره جست. اتاز، متناظر با الگوهای تعالی سازمانی در حوزه امنيت فضای سايبر محسوب می‌شود. به عنوان مثال، از الگوهای تعالی سازمانی مشهور می‌توان‌‌ EFQM يا مالکوم بالدريج را نام برد که در افزايش کيفيت يا کارآمدی در مديريت سازمان نقش دارند. شايد بتوان تفاوت اساسی اين الگوهای تعالی سازمانی با مدل‌های کيفيت را در اين وجه خلاصه نمود که مدل‌های کيفيت مانند ايزو، مدل‌های کيفيت فرآيند محسوب می‌شوند و فرآيند توليد محصول و نتايج عملکرد سازمانی را مورد توجه قرار می‌دهند. از اين لحاظ فرآيندهاي يك سازمان، بايد به‌گونه‌‌ای باشند که سازمان محصولات مناسب و خدمات خوبی را به مخاطبين و مشتريان ارائه نمايد. در اين صورت، سازمان از نظر استانداردهای کيفيت، عملکرد و ساختار مطلوبی دارد. در صورتی که ممكن است به عنوان مثال، نيروی انسانی همين سازمان، رضايت‌مندی شغلی خوبی نداشته باشد و در توان‌مندسازی‌ آن، تنها وجوه فنی مدنظر قرار گرفته باشد. استانداردهاي كيفيت به اين مسئله كه در سازمانها، شرايط مناسبی برای شکل‌گيری يک سازمان اجتماعی و سازمانی که تمام کارکنان در آن رضايت دارند و فعاليت مطلوبی را انجام می‌دهند، وجود داشته باشد، توجه زيادي ندارند. اما مدل‌های تعالی سازمانی تنها به محصول و خروجی توجه ندارند، بلکه به تمام ابعاد سازمان، از جمله خروجی، توجه دارند.

اتاز هم يک الگوي تعالي است که نه تنها از منظر پوشاندن رخنه گاه ها به امنيت نگاه مي کند، بلکه از منظر کل سازمان و عملکردش نيز به امنيت توجه دارد، تا خروجي ها و شرايط عملکرد سازمان مطلوبيت بهتري پيدا کند.

البته نبايد اتاز را الگوي بکاربردن الگوي تعالي سازماني در حوزه امنيت دانست. ‌‌ EFQM، مالکوم بالدريج، يا الگوهاي ديگر را مي توان در حوزه امنيت هم بکار گرفت. ولي تعالي که در اينجا اتفاق مي افتد، تعالي سازماني است که در حوزه امنيـت اتفاق مي افتد. اما اتاز، الگوي تعالي خود امنيت و ابعاد پديده امنيت است.

حوزه های اصلی که در اتاز باید مورد انسجام و تحقق ابعاد امنيت قرار گيرند، عبارتند از:

1- حوزه رهبري و مديريت كه متناظر با لايه رأس سازمان است، و بايد انسجام يابد. در اين حوزه اين موضوع مورد سنجش قرار مي گيرد كه آيا رهبري و مديريت ارشد سازمان، داراي ابعاد و سازوکارهاي لازم براي تحقق امنيت هستند؟ و نيز آيا براي تحقق امنيت در سازمان، سازوكارها و شكل صحيحي از رهبري و مديريت امنيت وجود دارد؟ اين حوزه شامل اين محورهاست. محور 1) رهبري امنيت، محور 2)رويکرد، خط‌مشي و راهبرد امنيت، محور 3) الزامات، قوانين و مقررات و ضمانت‌هاي اجرايي (دروني و بيروني) می شود.

2- حوزه‌ي بسترهای شکل‌دهنده در سازمان، دومين حوزه از اتاز است. در ‌‌اين حوزه، علاوه بر اينكه تبيين می‌شود آيا بسترهای لازم برای شکل‌گيری امنيت ايجاد شده‌اند و شکل مناسبی دارند يا خير، تبيين مي‌شود كه آيا امنيت در مورد بسترهای موجود در سازمان تحقق پيدا کرده است يا خير. اين حوزه شامل اين محورها است: محور 4) امنيت در ساختار و فرآيندها (فني و سازماني). محور 5) ابزارها و سازوکارها. محور 6) اطلاعات امنيت

3- در حوزه سوم، افراد و عمليات قرار دارند. مسائلي مانند اينكه آيا اجرای عمليات سازمان، دارای امنيت مطلوب و مناسب است يا خير، آيا سازوکارهای اجرايی برای برقراری امنيت، شکل مطلوبی را گرفته‌اند يا خير و مسائلي از اين دست، در اين حوزه تبيين مي‌شوند. اين حوزه شامل اين محورهاست: محور 7) آموزش و فرهنگ‌سازي كاركنان و كاربران. محور 8) آمادگي و عمليات. محور9) امنيت در تحول و برنامه تحول.

4- حوزه چهارم اتاز، حوزه نتايج حاصل‌شده است. نتايج سه لايه و عملکرد کل سازمان، به عنوان حوزه چهارم مطرح مي‌شود. در سطح اول، آيا سازمان نتايج عملکردی خوب و مطلوبي را از خود بروز و ارائه داده است يا خير؟ و در سطح دوم، آيا نتايج اقدامات امنيت حاصل شده است و آيا نتايج خوبی در اقدامات امنيت حاصل شده است يا خير؟ اين حوزه داراي يك محور است: محور10) امنيت نتايج و خروجي و تداوم.

بنابراين، مبتني بر اين چهار حوزه اصلی، سازوكارهاي فراهم‌شده براي تحقق امنيت در اين چهار حوزه، اندازه‌گيری، ارزيابي و تحليل مي‌شوند.

در شکل زیر حوزه های اتاز، و محورهای موجود در هر کدام از این حوزه ها نشان داده شده است.

بعد دوم: پوشش توازن امنيت در ابعاد راهبردي سازمان

بعد دوم اتاز که شامل پوشش توازن امنيت در ابعاد راهبردي سازمان است، مبتني بر رويکرد كارت امتيازي متوازن (BSC) بنا مي شود. BSC چارچوبی است برای طراحی مجموعه ای از سنجه ها برای فعالیت های منتخب، به عنوان محرک های کلیدی کسب و کار، که بر اساس اين اصول عمل می کند:

  •  اصل اول: تعيين گلوگاههاي كليدي و ترسيم تعاملات آنها در نقشه استراتژي

  • اصل دوم: تعريف سنجه هائي كه وضعيت را در گلوگاههاي كليدي مي سنجند، به شكلي كه سنجه ها رفتار سازمان را به  سمت اهداف، سمت و سو دهد.

  • اصل سوم: تحليل نه فقط بر بازگشت سرمايه، بلكه بر رشد با ثبات در ابعاد چندگانه و رسيدن به توازن در اين ابعاد

  • اصل چهارم: استفاده از سنجه ها در قالب شكل دادن يك رفتار مشاركتي و خودجوش براي بهبود،‌ مبتني بر آگاهي و ايجاد انگيزه

  • اصل پنجم: تمركز بر موضوعات كليدي و پرهيز از غرق شدن در مسائل متعدد و ناموثر

  • اصل ششم: مديريت كردن سنجه ها در يك فرايند تكاملي و يادگيرنده و با در نظر گرفتن تمام ابعاد مسائل سازمان

ابعاد توازني امنيت در اتاز، از بخش  هاي زير تشکيل شده است:

  • امن سازي رخنه گاهها و آسيب پذيريها در مقابل تهديدات - اما اين تمام ماجرا نيست!  مي‌توان به گونه‌اي سازمان را امن كرد كه نه امكان نفوذ باشد و نه البته امكان ادامه كار و فعاليت سازمان!
    كاركنان، ساختار داخلي و كارائي - فعاليت داخلي در سازمان نبايد با امن سازي دچار آسيب شود، و كاركنان و كارائي عملكرد دچار مشكل گردند.

  • مشتريان - مشتريان بايد خدمات مورد نياز خود را از سازمان به صورت با ثبات دريافت كنند و امن شدن سازمان براي آنها به معناي ثبات بيشتر در دريافت خدمات  مطلوب است.

  • خروجي و عملكرد سازمان - امن سازي نه تنها خروجي را كاهش نمي دهد، بلكه بايد بتواند تضمين كافي را براي بهبود عملكرد سازمان در دراز مدت (بواسطه اين امن سازي)‌ ارائه كند. 

  • نوآوري و يادگيري و تغيير و تطابق با تحولات محيطي - امن سازي بايد با در نظرگرفتن تحولات محيط و نيازمنديهاي جديد و در حال شكل گيري صورت گيرد.

ابعاد توازني امنيت در اتاز در شکل زير آمده است:

 

 
 

 
       ______________________________________________________________________________________________
هرگونه نقل قول و استفاده از مطالب و مستندات اين سايت تنها با ذكر مرجع مجاز مي‌باشد.
نظرات و پيشنهادات خود را به آدرس info@irit.ir ارسال نماييد.
موسسه مطالعات راهبردى فن‌آورى اطلاعات، 1387