نوشته‌ها

تحلیل شکاف با رویکرد امنیت

تحلیل شکاف با رویکرد امنیت

یکی از مهمترین تکنیک ‏ها برای تعیین وضعیت سازمان و مشخص نمودن مسیر راه برای بهبود، تحلیل شکاف یا (Gap Analysis) است. تحلیل شکاف، یک فرآیند گزارش‌دهی است که در صنایع مختلف برای بهبود فرآیندها استفاده می‎شود. تحلیل شکاف ابزار مناسبی جهت ارزیابی سطح بلوغ امنیت سازمان‌ها می‌باشد که گاها ذیل پروژه سیستم مدیریت امنیت اطلاعات انجام می‌گردد. پروژه های سیستم مدیریت امنیت اطلاعات و بلوغ سایبری، در سال‌های اخیر مجددا مورد توجه سازمان‌ها قرار گرفته‌اند.

در واقع تحلیل شکاف، بررسی و ارزیابی عملکرد فعلی سازمان (وضعیت فعلی) و جایگاهی است که می‌خواهد به آن برسد (وضعیت مطلوب) این امر به منظور شناسایی تفاوت بین وضعیت فعلی (As is) و وضعیت مطلوب (To be) و ایجاد راه حل هایی جهت رسیدن به اهداف می‌باشد.

  • تحلیل شکاف را می توان در چند سوال خلاصه کرد:
  • سازمان اکنون در چه وضعیتی قرار دارد؟
  • سازمان می‌خواهد در چه وضعیتی قرار گیرد؟
  • چگونه می‌تواند فاصله این دو وضعیت را کاهش دهد؟

از تحلیل شکاف می‌توان برای یک فرآیند یا کل کسب و کار سازمان استفاده نمود، و در زمینه‌های مختلف مانند فروش، عملکرد مالی، رضایت کارمندان یا امنیت بکار برد. همچنین می‌توان به عنوان رویکردهای استراتژیک یا عملیاتی در نظر گرفته شود. رویکرد عملیاتی بر کار روزمره تمرکز دارد، در حالی که رویکرد استراتژیک بر برنامه‌ریزی و استراتژی‌های آینده متمرکز است.

  • چگونه یک تجزیه و تحلیل شکاف انجام دهیم؟

فرآیند استانداردی برای انجام تجزیه و تحلیل Gap وجود ندارد، زیرا معمولاً باید متناسب با نیازهای تجاری سازمان طراحی شود. اما در اینجا مراحلی وجود دارد که عموما در تحلیل شکاف انجام می‌گردد.

  • مراحل انجام کار
  • تعیین وضعیت کنونی
  • تعیین شرایط مطلوب یا ایده‏آل آینده
  • تعیین شکاف‏ها
  • مشخص نمودن اینکه چگونه این شکاف‏ها از رسیدن به هدف جلوگیری می‎کنند.
  • تعیین اهدافی روشن جهت اعمال درست تغییرات و نزدیک شدن به شرایط مطلوب
  • ابزارهای تجزیه و تحلیل شکاف

ابزارهای زیادی وجود دارند که به شما برای پل زدن روی شکاف‌ها کمک می‎کنند. چند مورد از مهم‌ترین آن‌ها در ادامه، شرح داده شده‎اند.

  • تحلیل SWOT

واژه SWOT مخفف چهار کلمه نقاط قوت، ضعف‌ها، فرصت‌ها و تهدیدها است. تحلیل SWOT می‌تواند به دو صورت کمی ‎و کیفی انجام گردد. این فرآیند، کمک می‎کند تا تهدیدات داخلی و خارجی برای سازمان تعیین گردد و همچنین رویکردهای رقابت و ایستادگی در بازار نیز مشخص گردد.

  • چارچوب هفت اس مکنزی (McKinsey 7S)

چارچوب مکنزی توسط شرکت مشاوره‎ای به همین نام توسعه یافته است. این ابزار در نهایت کمک می‎کند تا تعیین کنید که آیا یک شرکت انتظارات را برآورده می‎کند یا به طور کلی ارزش های مشترک یک سازمان را تأمین می‎کند یا خیر. این کار از طریق ۷ اس موجود در سازمان انجام می‎شود. علاوه بر این، این چارچوب به فاصله بین وضعیت فعلی و وضعیت مطلوب شرکت پل می‎زند.

  • هفت اس عبارتند از:
  • Structure: ساختار
  • Strategy: استراتژی
  • System: سیستم
  • Skills: مهارت
  • Style: سبک
  • Staff: کارکنان
  • نمودار استخوان ماهی  (Fishbone Diagram)

نمودار استخوان ماهی، ابزاری برای ترسیم گرافیکی انواع علت‌های کوچک و بزرگی است که دست به دست یکدیگر داده و یک مشکل یا مسئله را به‌وجود می‌آورند (یا آن را تشدید می‌کنند).

این نمودار معمولاً به صورت یک خط افقی با تعدادی خط شیب‌دار کوچک‌تر ترسیم می‌شود به خاطر شکلش، به نمودار استخوان ماهی یا Fishbone Diagram مشهور است.

  • مدل نادلر تاشمن (Nadler-Tushman)

شاید بتوان گفت پویاترین مدل، مدل نادلر تاشمن است. این مدل بررسی می‎کند که چگونه هر فرآیند کسب و کار بر فرآیندهای دیگر تاثیر می‎گذارد. همچنین مشخص می‎کند که شکاف‌ها چه تاثیری بر کارایی می‎گذارند. این مدل، یک دید کلی از روند عملیات سازمان شما، از ابتدا (ورودی) تا انتها (خروجی) ایجاد می‎کند.

  • مدل نادلر تاشمن، فرآیندهای موجود در سازمان را به سه دسته تقسیم می‎کند:
  • ورودی: کل فرهنگ و نیروی کار شرکت؛ تمام منابع مورد استفاده برای ایجاد محصول/ خدمات و محیط عملیاتی
  • تبدیل: سیستم‌ها، تیم‌ها و فرآیندهایی که ورودی‌ها را می‎گیرند و آن‌ها را به محصول خروجی تبدیل می‎کنند.
  • خروجی: محصول یا خدمات نهایی.
  • تحلیل شکاف بر مبنای استاندارد ISO 27001

یکی از مهم‌ترین نیازهای امروزی شرکت‌ها و سازمان‌ها در حوزه امنیت اطلاعات، استانداردسازی و میزان انطباق فرآیندها، مکانیزم‌ها و کنترل‌های امنیتی سازمانی با معیارهای معتبر جهانی است. در این خصوص معمولاً سازمان‌ها با بهره‌گیری از استانداردهای مرجع امنیت اطلاعات نظیر ISO 27001  اقدام به سنجش میزان تطابق فعالیت‌های خود با اصول و مفاهیم این استاندارد‌های بین‌المللی می‌نمایند.

همانطور که پیش‌تر گفته شد، استاندارد ISO 27001:2013 به استانداردی شناخته شده در سطح جهانی تبدیل شده است كه سازمان‌ها می‌توانند از آن برای ممیزی و تأیید سیستم مدیریت امنیت اطلاعات (ISMS) خود استفاده كنند.

تجزیه و تحلیل شکاف ISO 27001 یک نمای کلی در سطح بالایی از آنچه برای دستیابی به سطح مطلوب در حوزه امنیت، می‌بایست انجام گردد را فراهم می‌نماید و به سازمان امکان می‌دهد ترتیبات امنیت اطلاعات موجود سازمان را با الزامات ISO 27001 بررسی و مقایسه نماید. همچنین سنجش میزان آمادگی سازمان جهت پیاده‌سازی استانداردهای امنیت اطلاعات، را انجام می‌دهد.

تحلیل شکاف که ذیل پروژه سیستم مدیریت امنیت اطلاعات انجام می‌گردد، به بررسی وضعیت فعلی سازمان در حوزه امنیت می‌پردازد و با مقایسه آن با وضعیت مطلوب، اعلام می‌دارد که در چه حوزه‌هایی می بایست بیشتر سرمایه گذاری نمود تا سازمان در همه جهات به وضعیت مطلوب امنیتی خود برسد.

تحلیل شکاف به سازمان امکان می‌دهد تا فرآیندهای سازمان، سیاست‌ها و کنترل‌های فنی که ممکن است از دستیابی سازمان به ISO 27001 جلوگیری کند را شناسایی نماید، این امر سازمان را قادر می‌سازد تا اقدامات کنترلی لازم را پیش از ممیزی انجام دهد و کاملا آماده برای ممیزی نهایی باشد.

شرکت مهندسی اوژن تدبیر پارس با بهره‌گیری از مدل بومی طراحی شده توسط کارشناسان مجرب خود اقدام به ارائه سرویس تحلیل شکاف (Gap Analysis) بر اساس استانداردهای مرجع نظبر ISO 27001:2013 می‌نماید.

تدوین: مهندس بهنوش سعیدی

مجوز ISO27001

ایزو ۲۷۰۰۱

ISO 27001 یک استاندارد بین المللی شناخته شده است که الزامات سیستم مدیریت امنیت اطلاعات (ISMS)  را تعیین می‌کند. این الزامات دستورالعمل‌هایی را در مورد نحوه طراحی، مدیریت و بهبود ISMS ارائه می‌دهد. استاندارد در سال ۲۰۱۳ بازنگری شده و در حال حاضر با عنوان ISO/ IEC 27001: 2013 شناخته می‌شود و به سازمان‎ها در راستای محافظت از اطلاعات مالی، مالکیت معنوی و اطلاعات حساس مشتریان کمک می‌نماید.

گواهینامه ISO 27001 مبین این موضوع است که یک سیستم مدیریت امنیت اطلاعات طبق یک استاندارد، اجرا و تایید گردیده است. این گواهینامه که توسط یک مرجع ثبت و صدور گواهینامه شخص ثالث صادر می‌شود، بیانگر این است که سازمان پیش‌بینی‌های لازم جهت حفاظت از اطلاعات حساس در برابر دسترسی‌ها و تغییرات غیر مجاز را مبذول نموده است.

حوزه های استاندارد ISO/IEC 27001:2013

  • خط‌مشی‌ امنیت اطلاعات
  • ساختار امنیت اطلاعات
  • امنیت منابع انسانی
  • مدیریت دارایی
  • کنترل دسترسی
  • رمزنگاری
  • امنیت فیزیکی و پیرامونی
  • امنیت عملیات
  • امنیت ارتباطات
  • اکتساب، توسعه و نگهداشت سیستم
  • روابط با تامین‌کنندگان
  • مدیریت حوادث امنیت اطلاعات
  • جنبه‌های امنیت اطلاعات در مدیریت تداوم کسب و کار
  • انطباق

مزایای اصلی ISO27001

ISO27001 یک سیستم مدیریت امنیت اطلاعات و استاندارد حسابرسی است. هدف این استاندارد کمک به ایجاد و حفظ یک سیستم مدیریت امنیت اطلاعات موثر با تعهد به بهبود مستمر است. مزایای بالقوه دستیابی به انطباق با ISO27001 عبارتند از:

۱٫ امکان تبادل امن اطلاعات را فراهم می‌نماید.

  • این استاندارد به شما کمک می‌کند تهدیدهای امنیت اطلاعات خود را شناسایی کرده و برنامه‌هایی برای رفع آن‌ها ایجاد کنید.

۲٫ مسئولیت امنیت اطلاعات را بر عهده همه می‌گذارد

  • هنگامی که ISO 27001 را در شرکت خود پیاده‌سازی می‌کنید، در بین کارمندان آگاهی ایجاد می‌کنید و آموزش امنیت اطلاعات را ارائه می‌دهید تا به آن‌ها اجازه دهد بدون توجه به نقش آن‌ها در سازمان، در مورد امنیت اطلاعات پاسخگو باشند.
  • در نهایت، حفاظت از داده‌ها به فرهنگ سازمان راه پیدا می‌کند و به نوعی روند امنیت اطلاعات را به گونه‌ای ساده می‌کند که همه آن را درک می‌کنند و برای دستیابی به آن تلاش می‌کنند.

۳٫ یک مزیت رقابتی به ارمغان می‌آورد و باعث افزایش اعتبار و شهرت سازمان می‌شود

  • به راحتی می‌توان گفت که همه مشتریان یا شرکای سازمان، که داده‌های ارزشمند خود را با شما به اشتراک می‌گذارند، کاملاً از اهمیت امنیت اطلاعات آگاهی دارند و انتظار دارند این اهم مورد توجه سازمان نیز باشد.
  • داشتن گواهینامه برای یک استاندارد امنیت اطلاعات مانند ISO 27001 یک روش قوی برای اثبات این است که شما به دارایی شرکای خود و مشتری خود نیز اهمیت می‌دهید. که این گواهینامه این اعتماد را مابین شما و مشتریان  یا شرکا ایجاد می‌نماید، و شهرت مثبتی برای شما ایجاد و شما را از رقبای خود متمایز می‌کند.

۴- از تعهدات قانونی یا شخص ثالث برخوردار است

  • احتمالاً این چنین است که گاهی اوقات توسط مشتری، شخص ثالث یا قانون از شما خواسته می‌شود تا توانایی سازمان خود را در امنیت اطلاعات نشان دهید. در شرایطی از این دست، ISO 27001 می‌تواند یک انتخاب عالی باشد. این استاندارد توسط بسیاری از سازمان‌ها در سراسر جهان به رسمیت شناخته شده و مورد استفاده قرار گرفته است و شما می‌توانید با استفاده از دستورالعمل‌های واضح و عملی آن، وثاقت خود را در مورد امنیت اطلاعات و داده‌ها به اثبات برسانید.

۵٫ امکان دست پیدا کردن به بازده سرمایه‌گذاری را فراهم می‌نماید.

  • با اجرای این استاندارد، حداقل از دو طریق می‌توانید به بازده سرمایه رسید. یک راه از طریق ارزش بازاریابی است، زیرا این گواهینامه می‌تواند مشتریان بالقوه را به خود جلب کند
  • دوم، ISO 27001 به شما کمک می‌کند از اثرات نامطلوب خطراتی که در غیر این صورت می‌تواند به شدت بر اعتبار سازمان شما تأثیر بگذارد، جلوگیری کند، تا منجر به مجازات‌های مالی و مسائل حقوقی مرتبط نشوید.

برخی دیگر از مزایای ISO/IEC 27001:2013

  • سازگاری سازمان با الزامات قانونی، نظارتی و قانونی؛
  • افزایش کارایی کلی سازمانی و کارایی عملیاتی؛
  • به حداقل رساندن خطرات داخلی و خارجی برای تداوم کسب و کار؛
  • کاهش هزینه‌های سازمان در دراز مدت
  • محدود شدن نقض امنیت و حریم خصوصی به طور قابل توجه
  • ارائه فرآیندی برای امنیت اطلاعات و حاکمیت شرکتی.
  • افزایش اعتماد سهامداران به دلیل شهرت زیاد استاندارد و مزیت رقابتی

روش اخذ گواهی

گواهینامه ISO 27001 توسط نهادهای ذی صلاح صادر می‌گردد، متقاضیان جهت اخذ گواهینامه ISO 27001 می‌بایست اقدام به پیاده‌سازی الزامات استاندارد ISO 27001 نمایند. این امر می تواند با مشاوره گرفتن در زمینه پیاده‌سازی سیستم مدیریت امنیت اطلاعات امکان پذیر می‌باشد. پس از اجرا و پیاده‌سازی ISMS، سازمانی که کلیه الزامات استانداردهای ISO 27001 را برآورده نموده است، می تواند با مراجعه به یک نهاد صدور گواهینامه، برای صدور گواهی اقدام نماید.

پس از ارائه درخواست ممیزی، فرآیند ممیزی سازمان توسط نهاد ذی صلاح آغاز می گردد و در صورت موفقیت آمیز بودن ممیزی، این نهاد، گواهی ISO 27001 را صادر می نماید. مدت زمان اعتبار گواهینامه ISO 27001 سه ساله بوده که می‌بایست سالیانه ممیزی مراقبتی صورت پذیرد. سپس توسط مرجع صدور گواهینامه تمدید گردد.

تدوین: بهنوش سعیدی