در ترندهای فعلی در امنیت اطلاعات مواردی مانند مدیریت رویدادها و اطلاعات امنیتی (SIEM)، یادگیری ماشین و حفاظت پیشرفته در برابر تهدید (APT) باب شده‌­اند. در نتیجه، آزمایش این فناوری‌های جدید برای سازمان­‌های معتبر صاحب سرمایه­‌های بزرگ که به‌لحاظ مالی توانایی نوشتن چک‌هایی با مبالغ هنگفت را دارند جذاب است. اگرچه تحقیقات در این زمینه­‌ها قطعاً جالب توجه است، به کسب و کارها هشدار می­‌دهیم که روندی آرام در راستای بکارگیری این فناوری­‌های جدید و جالب توجه که هنوز در مسیر تکامل با هزینه­‌های جدید هستند اتخاذ کنند. به عنوان مثال، یکی از مؤثرترین ابزارهای امنیت سایبری فرایند کامل مدیریت دارایی فناوری­ اطلاعات است. در ادامه به تفصیل این دلیل اهمیت این فرایند را توضیح می‌دهیم.

بدانید تا بتوانید ارزیابی کنید (و محافظت کنید)

شما نمی­‌توانید آنچه را که قادر به سنجیدن نیستید ارزیابی کنید، و شما نمی­‌توانید آنچه را که در موردش اطلاعاتی ندارید بسنجید. به محض اینکه مدیریت ارشد، سیاست‌­ها و حوزه­‌های امنیتی را امضا کند، اولین بخش از عملی کردن آن این است که بدانید چه چیزی دارید. این نه تنها یک نقطه شروع منطقی است، بلکه یک معمای اصلی برای نحوه کارآمد بودن موارد دیگر است. چارچوب استاندارد طلایی برای همه ارگان­‌های دولتی عمومی ایالات متحده (و به طور فزاینده ، بخش خصوصی نیز)، چارچوب امنیت سایبری NIST (یا بعضاً فقط به عنوان “چارچوب” خوانده می شود) است. اولین بخش از هسته CSF (syber security framework) شناسایی است، و اولین مقوله تحت این عملکرد مدیریت دارایی (ID.AM) است. چارچوب را اینگونه می‌­توان بیان کرد:

” داده‌ها، پرسنل، دستگاه‌ها، سیستم‌ها و امکاناتی که سازمان را  قادر به دستیابی به اهداف کسب ­و کار می‌سازد، با توجه به اهمیت نسبی آن­ها برای اهداف سازمانی و استراتژی ریسک سازمانی، شناسایی و مدیریت می­‌شوند.”

تنها راهی که می­توانید چشم ­انداز تهدیدات سازمانی خود را تحلیل و ایمن سازید، دانستن وسعت آن چشم انداز است (یعنی شما باید بدانید که چه چیزی دارید). این دانش به بخش “شناسایی و مدیریت” کمک خواهد کرد. با این­ حال، بخش بعدی این بیانیه یعنی بخش ” مطابق با اهمیت نسبی آنها …” نیز از اهمیت ویژه ای برخوردار است. ما می‌دانیم که همه فکر می‌کنند مدیر عامل مهمترین لپ تاپ را دارد، اما آن­ها تنها یک نفر هستند (و احتمالا اینکه مورد حمله فیشینگ  (هدف­دار) قرار بگیرند بیشتر است). بخاطر داشته باشید، برای دستیابی به ریسک باید تاثیر و احتمال آن­را مد نظر قرار دهید. شما ممکن است یک مدیر عامل داشته باشید، اما احتمالا در بخش فروش تعداد زیادی پرسنل دارید که دائما (شما مکان­هایی را می­شناسید که در آن دستگاه­ها گم می­شوند)، با اسرار شرکت، لیست مشتریان و دسترسی به داده‌های  PLL در دستگاه‌های خود، از فرودگاه، کابین و غیره به داخل و خارج رفت و آمد می­کنند. فهمیدن اینکه این بخش‌­ها چه هستند و دقیقا مدنظر قرار دادن آن­ها، گام بعدی در مدیریت موثر امنیت سایبری است.

 

از تحلیل بیش از حد دارایی (asset)  خود بپرهیزید.

به محض آنکه دریافتید چه چیزی دارید، باید معنی، کاربرد و روش‌­های ارائه آن را نیز دریابید. فقط در این صورت می­‌توانید ریسک واقعی کسب ­و کار را درک کنید و بر اساس آن اقدامات محافظتی اتخاذ کنید. اگر دیدمان به اشیا فقط دارایی‌گونه باشد این دیدگاه محدود به حدود مالی آن اشیا می‌گردد. برای دستیابی به سطح مناسبی از امنیت، باید نقش دارایی­‌ها را بعنوان یک آیتم پیکربندی نیز درنظر گرفت. بدون داشتن نظر کارشناسانه در مورد اینکه دارایی چیست در مقابل آیتم پیکربندی، به منظور ساده­‌سازی اجازه دهید تعاریف زیر را ارائه دهیم:

  • دارایی: هرچیزی که می­تواند خریداری شود و چرخه حیات ارزشی دارد (مثل “اشیاء)”
  • آیتم پیکربندی: آیتم­های منطقی که در زیرساخت یا CMDB شما هستند.

یک میز می­‌تواند دارایی محسوب شود.  vlan یک آیتم پیکربندی است. بحث عمده ما در مورد اشیائی است که در چرخه حیات خود هر دو نوع دارایی محسوب می­‌شوند: لپ تاپ، رایانه شخصی، PDA ، سرور، سوئیچ­ و غیره.

دانستن اینکه هر دارایی در کدام بخش قرار دارد نه تنها کار را ساده می­‌کند بلکه از اهمیت بالایی برخوردار است، زیرا هر مرحله خطرات خاص خود را دارد. یک فرایند اساسی ITAM ممکن است چیزی شبیه به این باشد:

خرید← دریافت← پیکربندی← استقرار← پشتیبانی← بازنشستگی← واگذاری (دورانداختن)

این فرایند مفید است اما تاثیر کسب­ و کار را نشان نمی­‌دهد و عمدتا بیشتر مربوط به دارایی­‌ها از نظر کاهش ارزش مالی و حسابداری می­‌شود. یک مطالعه  HDI نشان داده شد که دلیل اصلی اینکه شرکت­‌ها از مدیریت دارایی اشیا استفاده می‌­کنند، (96 درصد برای) ردیابی موجودی بوده (55 درصد) و نه برای امنیت/ سازگاری داده‌­ها. این یک افشاگری خیره کننده است وقتی به آن فکر می­‌کنید.

چرا همه مراحل (بجز مرحله واگذاری) از دیدگاه امنیتی زمانی رخ می­‌دهند که دارایی بعنوان یک آیتم پیکربندی موجود است، اما بیشتر مدیران  در درجه اول نگران ردیابی موجودی هستند، چیزی که مربوط به مسائل مالی می­‌شود؟ چند ثانیه به این سوال فکر کنید. چند بار اتفاق افتاده که در میانه تمدید ضمانت اشیا باشید و برای بدست آوردن شماره‌­های دقیق جهت ارائه به ریاست برای بودجه بندی و امکان پیش­بینی مناسب به سختی افتاده باشید؟ حال اجازه دهید از شما بپرسم، چقدر نگران هستید که یک دستگاه به اشتباه نام­گذاری شده باشد یا دارای حقوق اشتباهی باشد؟ یا به درستی به­روزرسانی نشده؟ یا به اشتباه پیکربندی شده و درنتیجه پورت­های غیرضروری باز مانده باشد؟ پی بردن به این مسائل غیرملموس‌­تر و دشوارتر است، اما این­ها مواردی هستند که باید حقیقتا شما را نگران کنند. هزینه از دست دادن دارایی فیزیکی چقدر است؟ اجازه دهید 2هزار دلار برای یک لپ­تاپ مناسب درنظر بگیریم. هزینه حمله نفوذ به داده­ها که در نتیجه امنیت ضعیف لپ­تا­پ مفقودی رخ می­‌دهد چقدر است؟ براساس آنچه برآورد شده حدود 3.62 میلیون دلار.

اهمیت دارایی‌های شما در عین حال که بالاست، در مقایسه با داده‌های مربوط به آن دارایی‌ها و نقاط ورود به شبکه شما بسیار ناچیز است. حتی به هم نزدیک هم نیستند. درصورتیکه شما از جمع­‌آوری کننده آیتم‌­ها مثل اپل 2 یا زراکس آلتو در محیط خود استفاده کنید،  ارزش اشیا شما بعنوان یک سخت ­افزار هرگز بیشتر از قیمت خرید آن نخواهد بود. درواقع، ارزش آن از لحظه دریافت آن درحال کاهش است. اما داده‌­های موجود در آن­ها، و بیشمار راه موجود جهت بهره برداری از آن و زیرساخت‌­های شما داستانی متفاوت است. بنابراین سر خود را از دارایی‌های خود خارج کنید و اهمیت را برای مواردی قائل شوید که باید: پیکربندی مناسب آیتم­‌هایی که باید پیکربندی شوند. اهمیت دارایی­‌های شما در مقایسه با داده‌­های موجود در آن­ها و نقاط ورود به شبکه بسیار کمتر است.

درباره روند کار صریح باشید

مدیریت دارایی و مدل سازی ریسک یک فعالیت یکبارمصرف نیست؛ یک روند مداوم است. دانستن اینکه آیتم­‌ها در یک لحظه واحد در کجا قرار دارند، یا حتی اینکه تحت حفاظت و پیکربندی مناسب هستند یا خیر، تنها یک قطعه از این پازل است. ارزش دارایی­‌ها کاهش می­‌یابد، دست آن­ها تغییر می­‌کند، داده‌ها از بین می­‌روند یا از اهمیت آن­ها کاسته می­‌شود و غیره. کل چرخه زندگی دارایی- از جمله و به خصوص بازنشستگی و واگذاری دارایی­‌ها – باید برای شما واضح باشد تا بتوانید امنیت را در همه فرایندهای خود برقرار کنید. برخی از ایده‌ها برای کمک به این موارد عبارتند از:

  • تعریف واضح استانداردها، پیکربندی‌­ها، و فرایندهای استثنایی دارایی­‌ها.
  • چرخه تازه سازی شفاف ( آیا بر اساس استهلاک دارایی؟ ضمانت؟ اجاره؟عملکرد دارایی است؟)
  • یک کارمند پشتیبانی که به­ خوبی در زمینه اهمیت فهرست کردن CIهای آسیب­ دیده در هر سیستم درخواست ITSM که استفاده می­‌کنید آموزش دیده باشد.

استفاده از ایده­‌های بیان شده به شما در ایجاد یک رویکرد جامع­تر در فرایند کمک خواهد کرد، و لذا شما را آگاه ساخته و قادر به تصمیم­گیری بوده و شک شما را از بین می­‌برد.

شناسایی و حفاظت

همه مسائل امنیتی مثل هک کردن، نیاز به توجیه هزینه دارند. سرمایه گذاری روی جدیدترین SIEMها (Security information and event management) به دلیل اینکه در معرض حملات پیچیده قرار دارید در حین نادیده گرفتن اینکه چند دستگاه لپ­تاپ سیستم عامل خارج از نت یا باز نشده دارید، از عوامل شروع مشکل هستند. یک دلیل وجود دارد که چرا مدیریت دارایی فناوری اطلاعات اولین مورد در فهرست چارچوب­‌های امنیتی است، و ارتباط کمی با اصل “دارایی‌ها” دارد. در عوض، شما باید تصویر بزرگ­تری را مد نظر قرار دهید. لپ‌تاپی که در یک گوشه است، تنها یک علامت دلار برای بخش خرید شماست و گاهی یک بار روی میزکار شما محسوب نمی‌شود. این درگاهی است به همه اسرار شرکت شما. بر این اساس آنرا شناسایی و محافظت کنید.