بررسی مراحل رسیدن به چارچوب امنیت سایبری NIST

اولین نسخه‌ی چارچوب امنیت سایبری National Institute of Standards and Technology یا به اختصار NIST CSF در سال  2014 به منظور ارائه راهنمایی به سازمان‌هایِ خواهان تقویت دفاع امنیت سایبری، انتشار یافت. این نسخه به درخواست رئیس جمهور وقت، باراک اوباما و به دست متخصصین امنیت سایبریِ وابسته به حکومت، دانشگاهیان و صنایع مختلف ایجاد شد و پس از آن در دولت ترامپ به سیاست دولت فدرال تبدیل شد.

در حالی که اکثریت قریب به اتفاق سازمان‌ها به اهمیت تقویت دفاع امنیت سایبری پی برده‌اند اما این تلاش مشترک در جهت بهبود امنیت سایبری در تمامی سازمان‌ها و همچنین تطبیق و پیاده‌سازی این چارچوب، در عمل کار بسیار دشواری می‌باشد. البته لازم به ذکر است که محتوای NIST CSF به صورت رایگان در دسترس می‌باشد.

5 مرحله برای به وقوع پیوستن NIST CSF در یک سازمان

1. مشخص نمودن اهداف

حتی قبل از فکر کردن در مورد پیاده‌سازی NIST CSF، هدف از این پیاده‌سازی باید مشخص باشد. اولین مانعی که بسیاری از سازمان‌ها با آن روبرو هستند، به توافق رسیدن در مورد سطوح تحمل ریسک (Risk Tolerance) در سازمان است، زیرا اغلب اختلاف نظرهای میان متخصصان IT و مدیران ارشد پیرامون تعریف سطح قابل قبول ریسک است.

بهتر است با تهیه پیش‌نویس توافق قطعی در سازمان، دقیقا مشخص شود که تا چه سطحی از ریسک قابل قبول می‌باشد، زیرا توافق تمامی اعضا در سازمان بسیار حائز اهمیت است. همچنین برآورد هزینه و مشخص نمودن اولویت‌های مهم در پیاده‌سازی و نصب در آن دپارتمان‌ها نیز باید مد نظر قرار گیرد.

واضح است که آغاز نمودن کار با یک دپارتمان یا زیرمجموعه‌ای از دپارتمان‌ها معقولانه‌تر خواهد بود و می‌توان با اجرای نسخه‌ی آزمایشی برنامه به کم و کاستی‌های آن پی برد و همچنین ابزارها و شیوه‌های مناسب را برای پیاده‌سازی گسترده‌تر برنامه شناسایی نمود. با این روش برنامه‌های بیشتری برای پیاده‌سازی‌های گسترده‌تر تهیه شده و هزینه‌ی آن با دقت بالاتری برآورد می‌شود.

2. تهیه یک پروفایل دقیق

گام بعدی، اجرای آزمایشی آن Framework به صورت تخصصی‌تر و برای پاسخگویی به نیازهای خاص سازمان می‌باشد. لایه­ های پیاده ­سازی چارچوب مورد نظر به درک موقعیت فعلی سازمان و تعیین هدف مناسب برای آن سازمان کمک خواهند کرد. این گام به سه حوزه زیر تقسیم می‌شود:

• فرایند مدیریت ریسک یا همان Risk Management Process
• برنامه مدیریت یکپارچه ریسک یا همان Integrated Risk Management Program
• مشارکت خارجی یا همان External Participation

مانند بسیاری از NIST CSFها، این حوزه‌ها نیز نباید به صورت قطعی در نظر گرفته شوند و می‌توانند مطابق با نیازهای خاص هر سازمان دستخوش تغییرات شوند، علاوه بر آن می‌توان آن‌ها را بر اساس افراد، فرایند و ابزار تنظیم نمود و یا دسته‌بندی‌های خاص دیگری را به Framework اضافه کرد.

هریک از این حوزه‌‌ها از لایه اول تا چهارم اجرا می‌شود:

• سطح 1 – جزئی: به طور کلی یک وضعیت امنیت‌ سایبری متناقض و واکنش پذیر را نشان می‌دهد.
• سطح 2- در نظر گرفتن ریسک: در این سطح، مدیریت ریسک تا حدودی صورت می‌پذیرد اما برنامه‌ریزی ثابت است.
• سطح 3– تکرارپذیری: استانداردهای CSF در سطح سازمان و Policy سازگار را نشان می‌دهد.
• سطح 4 –تطبیق ­پذیری: این لایه تهدید را به صورت فعال و آینده‌نگرانه‌ تشخیص داده و پیش‌بینی می‌نماید.

سطوح بالاتر، پیاده‌سازی کامل‌تر استانداردهای CSF را رقم خواهند زد اما اختصاصی ساختن این سطوح، سازگاری آنها را با اهداف سازمان تضمین می‌نماید. با استفاده از سفارشی‌سازی این لایه­ها، اهداف سازمان را تعیین کرده و پیش از آغاز به پیاده‌سازی از موافقت تمامی سهامداران اصلی اطمینان حاصل شود. موثرترین پیاده‌سازی‌ها با دقت بالایی برای کسب ‌وکارهای خاص طراحی شده‌اند.

3. ارزیابی موقعیت فعلی

اکنون وقت آن است تا ارزیابی ریسک به صورت دقیق انجام شود، به طوری که می‌توان حالتی خاص را ایجاد نمود. ارزیابی خطر به صورت مستقل و شناسایی ابزارهای نرم‌افزاری که در رسیدن به اهداف سازمان موثر می‌باشند و همچنین آموزش کارکنان برای استفاده از آنها و یا استفاده از یک Third-Party به منظور ارزیابی میزان ریسک سازمان، بسیار مثمر ثمر خواهند بود. بسیار مهم است که افراد دخیل در ارزیابی میزان ریسک، هیچ اطلاعی از اهداف مد نظر سازمان نداشته باشند.

نتایج نهایی پیش از اعلام به سهامداران نهایی باید یکپارچه شده و اعتبارسنجی گردند. در پایان این فرایند، سازمان باید به درک روشنی از ریسک امنیت سایبری در عملیات سازمانی، دارایی‌های سازمان و اشخاص دست یافته باشد، همچنین آسیب‌پذیری‌ها و تهدید­ها باید شناسایی شده و بطور کامل مستند گردند.

4. آنالیز اختلاف بین نتایج و شناسایی اقدامات ضروری

با مطلع بودن از خطرات امنیت سایبری و تاثیرات تجاری بالقوه برای سازمان، می‌توان فاصله میان نتایج را آنالیز نمود، لازم به ذکر است که هدف، مقایسه‌ی نتایج واقعی با نتایج مورد انتظار می‌باشد. ممکن است به منظور ساده‌سازی فهم نتایج، نیاز به تهیه Heat Map باشد، در واقع Heat Map یانقشه‌های حرارتی، داده‌های گرافیکی و رنگی هستند که ما را قادر می‌سازند رفتار کاربران را شناسایی کنیم. نحوه کار نیز به این صورت است که هر گونه تفاوت قابل ملاحظه، بلافاصله مناطقی را برجسته می‌سازد که تمرکز باید بر روی آنها باشد.

از این پس تلاش باید بر روی برطرف نمودن فاصله میان نتایج به دست آمده و نتایج مورد انتظار باشد. برای رسیدن به این هدف، طی مذاکره با سهامداران، باید اقداماتی در جهت از بین بردن این فاصله و رسیدن به اولویت‌ها مورد نظر قرار گیرد.

الزامات خاص پروژه، در نظر گرفتن بودجه و سطح کارکنان همه بر برنامه‌ی مورد نظر تاثیرگذار خواهند بود.

5. پیاده‌سازی یک طرح عملیاتی

با یک تصویر واضح از صحت دفاع امنیتی سایبری فعلی، مجموعه­ای از اهداف سازمانی، تجزیه و تحلیل جامع فاصله میان نتایج واقعی و نتایج مورد انتظار و مجموعه‌ای از اقدامات اصلاحی، نهایتا منجر به پیاده‌سازی NIST CSF بصورت مطلوب خواهد شد. از اولین پیاده‌سازی به عنوان فرصتی برای مستند کردن فرایندها و ایجاد موارد آموزشی که در پیاده‌سازی‌های گسترده‌تر مورد استفاده قرار می‌گیرد، استفاده نمایید.

صرفا پیاده‌سازی، پایان راه نمی‌باشد و پس از پیاده‌سازی لازم است که به منظور حصول اطمینان از عملکرد آن، کارایی و چارچوب امنیت سایبری آن مکررا مورد ارزیابی و بررسی قرار گیرد.

روند اعتبارسنجی و تکرار فرایند باید به صورت مداوم و مستمر انجام پذیرد و سهامداران و تصمیم گیرندگان اصلی باید به صورت مداوم در جریان ریز امور قرار بگیرد. برای حداکثر بهره‌وری سازمان، پیاده‌سازی باید تا جایی که امکان دارد تسهیل گشته و NIST CSF هر چه بیشتر برای تطابق با سازمان شما، سفارشی گردد.