ساخت و مدیریت یک برنامه­ امنیتی تلاش مشترک اکثر سازمان‌ها است. ما با استارتاپ‌هایی کار کرده‌ایم که برای نحوه­ استفاده از داراییشان یا شبکه‌ای که توسط کارمندانشان استفاده می‌شود قانونی ندارند. همچنین تجربه کار با سازمان‌هایی که تمام جنبه­های فناوری اطلاعات و امنیت سایبری شدیدا مدیریت شده است را داریم. هدف یافتن مدیریت معقولی است که شرکت‌ها بتوانند با مسئولیت پذیری، ریسک ناشی از گسترش انواع تکنولوژی را مدیریت کنند.

در ساختن یک برنامه، کمپانی‌ها معمولا در ابتدا یک نفر را به عنوان مسئول امنیت سایبری استخدام می‌کنند. این کارمند روند ایجاد یک برنامه را برای مدیریت ریسک این شرکت از طریق تکنولوژی‌های امنیتی، فرآیندهای شنیداری و سیاست‌ها و رویه‌های مستند آغاز خواهد کرد. یک برنامه امنیتی کامل نیازمند سیاست‌ها و مراحل زیر است:

1. سیاست­های قابل پذیرش برای استفاده­ (AUP)

AUP شامل محدودیت‌ها و رویه‌هایی است که یک کارمند با توجه به خواسته­های سازمانی IT برای دسترسی به شبکه­ داخلی شرکت‌ها یا اینترنت باید با آن‌ها موافقت کند. این یک خط مشی استاندارد برای کارمندان جدید است. قبل از دادن ID به کارمندان جدید آن­ها باید از مراحل AUP گذر کنند. به سازمان‌های IT، امنیتی، حقوقی و دپارتمان HR توصیه می‌شود که درباره آنچه که در این سیاست­ها شامل می‌شود بحث کنند. می­توانید در SANS یک نمونه از  AUP را بیابید.

2.سیاست کنترل دسترسی (ACP)

ACP دسترسی به کارمندان را با توجه سیستم­های اطلاعاتی و داده­های سازمانی تعیین می­کند. برخی از مباحثی که شامل این سیاست می­شوند، استانداردهای کنترل دسترسی مانند کنترل دسترسی NIST و راهنمای پیاده­سازی آن است. سایر مواردی که شامل این سیاست می­شوند، استانداردهای دسترسی کاربر، کنترل دسترسی به شبکه، کنترل نرم افزارهای سیستم عامل و پیچیدگی پسوردهای شرکت‌ها است. موارد اضافی هم وجود دارند، مانند روش­های نظارت بر نحوه دستیابی و استفاده از سیستم‌های شرکتی و چگونگی تأمین ایستگاه‌های کاری بدون نظارت، که نمونه­هایی از این سیاست در IAPP هستند.

3.سیاست تغییر در مدیریت

سیاست تغییر در مدیریت به یک فرایند رسمی برای تغییر در IT، توسعه­ نرم افزار و خدمات یا عملیات امنیتی اشاره دارد. هدف از این تغییر، افزایش آگاهی و درک تغییرات پیشنهادی در سازمان و حصول اطمینان از این است كه همه­ تغییرات بطور خاص صورت می‌گیرند تا اثرات منفی بر روی خدمات و مشتریان به حداقل برسد. SANS مثال خوبی از این تغییر است.

4.سیاست امنیت اطلاعات

سیاست­های امنیتی اطلاعات سازمان­ها معمولا سیاست های سطح بالایی هستند که می‌تواند تعداد زیادی از کنترل­های امنیتی را پوشش دهند. سیاست اصلی امنیت اطلاعات توسط شرکت صادر می‌شود تا اطمینان حاصل شود که کلیه­ کارمندان که از خواسته‌های IT در سازمان یا شبکه های آن استفاده می‌کنند، از قوانین و دستورالعمل‌های اعلام شده پیروی می‌کنند. سازمان‌ها از كارمندان می­خواهند كه این سند را امضا و تایید كنند كه آن را خوانده‌اند (كه معمولاً با امضای سیاست AUP انجام می شود). این سیاست مخصوص کارمندان طراحی شده تا بدانند که قوانینی وجود دارد که با توجه به حساسیت اطلاعات شرکت‌ها و خواسته‌های IT، در مقابل آن‌ها پاسخگو خواهند بود.

5.سیاست واکنش به حادثه (IR)

سیاست واکنش به حادثه یک رویکرد سازمان یافته برای چگونگی مدیریت شرکت هنگام حادثه و اصلاح تأثیرات حادثه بر عملیات است. این سیاستی است که یک CISO امیدوار است هرگز مجبور به استفاده از آن نشود. با این حال، هدف از این سیاست توصیف روند رسیدگی به یک حادثه با توجه به محدود کردن خسارت در عملیات تجاری، مشتریان و کاهش زمان و هزینه های بازیابی است. دانشگاه Carnegie Mellon نمونه‌ای از یک برنامه سطح بالا IR را ارائه می‌دهد و SANS طرحی را برای نقض داده‌ها ارائه می­کند.

6.سیاست دسترسی از راه دور

سیاست دسترسی از راه دور روش‌های مورد پذیرش اتصال از راه دور به شبکه‌های داخلی سازمان را تشریح و تعریف می‌کند. همچنین این سیاست شامل ضمیمه هایی از خواسته­های BYOD و قوانین استفاده از آن است. این سیاست برای سازمان­هایی که امکان گسترش یک شبکه در مکان ناامن مانند کافی­نت یا شبکه­های محلی وجود دارد، ضروری است. نمونه‌ای از سیاست دسترسی از راه دور در SANS وجود دارد.

7.سیاست ارتباطات یا ایمیل

این سیاست چگونگی دسترسی و استفاده­ی کارمندان از ایمیل را شرح می­دهد. من این ایمیل، وبلاگها، رسانه های اجتماعی و تکنولوژی­های چت را مشاهده کرده‌ام. هدف اصلی این سیاست ارائه­ دستورالعمل­هایی برای استفاده­ قابل قبول یا غیر قابل قبول از تکنولوژی­های ارتباطی برای کارمندان است. نمونه‌ای از سیاست ایمیل در SANS موجود است.

8.سیاست بازیابی حوادث

برنامه­ بازیابی شامل تیم­های امنیت سایبری و IT است و به عنوان بخشی از برنامه­ بزرگتر کسب و کار توسعه­ می­یابد. CISO و تیم ها با استفاده از سیاست واکنش به حادثه، حادثه را مدیریت می‌کنند. نمونه‌ای از سیاست بازیابی حادثه در SANS در دسترس است.

9.طرح تداوم کسب و کار (BCP)

BCP تلاش سایر سازمان­ها را برای برنامه­ بازیابی حادثه برای بازیابی سخت افزار، برنامه­ها و داده­هایی که برای تداوم کسب و کار ضروری است هماهنگ می­کند. BCP جزو جداناشدنی هر کسب و کار است، چون نحوه­ عملکرد سازمان را در مواقع اضطراری توصیف می‌کند. دو نمونه از BCP که سازمان‌ها استفاده کنند در FEMA و Kapnick موجود است.

سیاست‌ها و اسناد فوق فقط برخی از دستورالعمل‌های اساسی است که من برای ساخت برنامه‌های امنیتی موفق از آن‌ها استفاده می‌کنم. موارد زیادی برای رشد CISO گسترش برنامه­های امنیتی آن وجود دارد. دو منبع وجود دارد که من به افراد منتخب برای ایجاد اولین سیاست‌های امنیتی شرکتشان توصیه می‌کنم. اولین مورد، همانطور که در بالا هم به آن اشاره شد، وب سایت الگوهای سیاست امنیت اطلاعات SANS با سیاست‌های متعددی که برای دانلود وجود دارد است. منبعی دیگر که توصیه می‌کنم مقاله‌ای از CSO است، که فهرستی از لینک­ها برای سیاست­های متمرکز بر موضوعات منحصر بفرد مانند حریم خصوصی، خشونت در محل کار و استفاده از تلفن همراه هنگام رانندگی در آن وجود دارد.

همیشه به یاد داشته باشید که سیاست‌ها و دستورالعمل‌های جدید خود را با کارمندان در میان بگذارید. ضروری است که کارمندان نسبت به هرگونه تغییر IT و روش‌های امنیت سایبری آگاه و به روز باشند.