کمیته رکن چهارم – وقت آن است که اندازهگیری موفقیت در حوزهی امنیت را تنها با معیارهای داخلی قابل دسترس، متوقف کنیم. با نزدیک شدن فصل برنامهریزی بودجه، بحث در مورد چگونگی اندازهگیری موفقیت در حوزهی امنیت برای توجیه تخصیص منابع و یا گسترش منابع مالی در دستور کار قرار دارد. مقالات زیادی وجود دارد که میتواند به شما در شناسایی معیارهای امنیتی برای نشان دادن ارزش برنامههای امنیتی کمک کند، اما قبل از شروع به انتخاب معیارها، ابتدا باید موفقیت را تعریف کنیم. این کار میتواند بیشتر یک هنر باشد نه علم.
ابزارهای امنیتی نیز به ما نشان میدهند که چگونه بسیاری از حملات را مانع شدهایم، چند سامانه را امن کردهایم و یا چند گذرواژه نیاز به عامل دوم برای حفاظت دارند. همچنین چگونگی کنترل اندازهگیریها از طریق تطابق با ممیزیها را گزارش میدهیم. درحالیکه تکیه بر معیارهای در دسترس آسان است، چگونه میتوان تعیین کرد که کدام شاخصها واقعاً برای اندازهگیری موفقیت در حوزهی امنیت است، همانطور که مربوط به اولویتهای کسبوکار کلی نیز هست؟
سازمانهای کامل تمایل به تمرکز بر روی اندازهگیری خطرات و چگونگی کاهش آنها دارند که در نهایت همه چیز در مورد امنیت فناوری اطلاعات را در بر میگیرد. اما حتی بهترین سازمانها نیز میتوانند به دام ارزیابیهای خود در برابر معیارهای اشتباه سقوط کنند. برای سنجش واقعی دستاوردها در برنامههای امنیتی، ابتدا باید مشخص کنیم که چه چیزی موفقیت محسوب میشود.
چه کسی موفقیت را تعریف میکند؟
گروههای امنیتی، مانند هر گروه دیگری، نسبت به تعریف موفقیت به نفع خود تمایل دارند. اما اگر توجیه بودجه، یا حتی آرزوهای بیشتر از جمله توانمندسازی کسبوکار هدف باشد، عوامل موفقیت تنها توسط ذینفعان داخلی تعیین نمیشود. در عوض، این عوامل باید از نیازهای کسبوکار باشد. مشکل این است که کسبوکار هیچ ایدهای دربارهی توصیف آنچه که از امنیت میخواهند جز «به آنها نفوذ نشود» و «مامور حسابرسی را خوشحال کند» ندارند.
یکی از مدلهای آسان برای استفاده که میتواند به شکاف میان گروههای امنیتی و مدیران کسبوکار برای همکاری در برنامهریزی هدف کمک کند، «GOSPA» نامیده میشود. که مخفف آمال، اهداف، استراتژیها، برنامهها و اقدامات است. اینها سلسله مراتبی در طبیعت هستند، بهطوری که هر یک از لایهها از لایهی بالایی خود پشتیبانی میکند. بنابراین، برای مثال، شما میتوانید با یک هدف واقعبینانه آغاز کنید، از جمله: خطر نقض یا از دست دادن اطلاعات را باتوجه به استانداردهای همکاران در صنعت ما، به حداقل برسانید.
پس از آن میتوان به اهداف زیر پرداخت:
• کاهش دادن زمان بهروزرسانی سامانه (استفاده از وصلهها) تا ۵۰٪
• افزایش استفاده از احراز هویت دو عاملی برای پوشش دادن ۱۰۰٪ اطلاعات حساس
• پیادهسازی مدیریت حساب منحصربهفرد برای تمام مدیران
اهداف، یک استراتژی مرتبط برای انجام دارند، به طرحها تقسیم میشوند و سپس به اقدامات خاص یا وظایف کارگران برای انجام آن تقسیم میشوند. درحالیکه استراتژی و اقدامات موفقیت کلی کسبوکار را هدایت میکنند، اهداف جزء قابل اندازهگیری هستند و اینها چیزهایی هستند که شما باید برای مدیر ارتباطات کسبوکار خود تعریف کنید. آموزش هزینهها، برای دستیابی به اهداف مورد توافق نیز یک گام در این فرآیند است. اگر تصمیمگیرندگان در هزینهها طفره بروند، اتاقهایی برای تصحیح اهداف وجود دارد تا آنها برای کسبوکار واقعبین باشند.
اندازهگیری سلامت کسبوکار
کسبوکار مانند یک خیابان دو طرفه است. درحالیکه برای امنیت لازم است شرکای تجاری برای رسیدن به اهداف مورد نیاز آموزش داده شوند، کسبوکار نیز باید آمادهی ارائهی برنامهها و اولویتهای خاص به گروه امنیتی باشد. بهعبارت دیگر، کسبوکار باید اقدامات موفق خود را به اشتراک بگذارد.
این اطلاعات باید برنامهریزی و اولویتهای امنیتی را اعلام کند. موارد و پروژههای فعلی بودجه حداقل باید سالیانه بررسی شوند تا تعیین شود که آیا آنها ضروری هستند و با برنامههای تجاری هماهنگ باشند. هنر اندازهگیری موفقیت در حوزهی امنیت به این همبستگی تجاری بستگی دارد. وقت آن است که اندازهگیری موفقیت در حوزهی امنیت را با معیارهای داخلی و در دسترس متوقف کرده و اهداف مشترک را در جهت هماهنگی بیشتر با اولویتهای تجاری دنبال کنیم.
منبع : asis
