برقراری ارتباط میان دنیاها

2019/4/9 10:48

Caroline Wong :نویسنده
Security Management Magazine:منبع
مترجم: دکتر نسیم توکل

مدیران امنیت فیزیکی و سایر افرادی که خارج از دنیای سایبری قرار دارند از درک این‌که چگونه پیشرفت‌های جدید IT و انطباق آن بر توسعه به‌طور‌عمده بر شرکت تاثیر می‌گذارد، منتفع خواهند‌شد.
متخصصان امنیتی کارآمد ذاتا مبتکرند. مدیران امنیتی که مداوم تحت‌فشارند تا با امکانات کمتر کارهای بیشتری انجام دهند، ایده‌های جدیدی در این صنعت دایما در حال تغییر، خلق می‌کنند.
اما در حوزه امنیت، شیوه‌های ایجاد ارزش و هم‌چنین راهکارهای مورد نیاز برای حفظ آن ارزش مداوم در‌حال تغییرند. چالش پیش روی مدیران امنیتی این است که آن نوعی از رهبر باشند که نحوه تغییر فرآیند ایجاد ارزش را درک‌کنند و آن‌گاه بخش امنیتی را به‌نحوی رهبری کنند تا به بهترین شکل بتواند از ارزش خود برای موفقیت بهره‌گیرد.
این نوع از رهبری از طریق همکاری به بهترین نحو عمل می‌کند. کوین کروز، بنیان‌گذار و مدیرعامل LEADx.org رهبری را این‌گونه تعریف می‌کند: «فرآیندی از تاثیر اجتماعی که تلاش‌های دیگران برای دستیابی به هدف را بیشینه می‌سازد.» بدون شک، برای رهبران امنیتی که عموما قدرت آن را ندارند که به افراد دیگر سازمان بگویند که چه بکنند و از آن‌ها بخواهند که اطاعت کنند، فرآیند نفوذ اجتماعی بسیار مهم است.
به‌علاوه، محیطی که مدیر امنیتی امروزه می‌کوشد که در آن رهبری کند، پر از تغییرات سریع است. این تغییرات شامل دگرگونی‌های عظیم در فناوری نرم‌افزار و سخت‌افزار، و هم‌چنین تغییرات وسیع در چشم‌انداز اقبال عمومی است. برای مدیران امنیتی که متخصص امنیت سایبری نیستند، مانند مدیران امنیت فیزیکی، درک این پیشرفت‌ها و استفاده از آن‌ها می‌تواند دشوار باشد. اما اجتناب از آن‌ها و باقی ماندن به‌طور کامل در یک فضای بسته فردی یا حوزه تخصص موجب می‌شود که همکاری دشوار شود و احتمال نفوذ اجتماعی کارآمد را کاهش می‌دهد.
از سوی دیگر، مدیران امنیت فیزیکی که تلاش می‌کنند تا درکی از تاثیرات این تغییرات فناوری و انطباق‌های در پی آن به‌دست آورند و نحوه استفاده از تاثیرات آن‌ها برای تقویت امنیت کل سازمان را دریابند، می‌توانند بین بخش‌های مختلف دنیای امنیت ارتباط برقرار کنند. این ارتباطات سلول های تک نفره را از میان‌بر می‌دارند و نفوذ اجتماعی مدیر امنیتی و احتمال همکاری موفقیت‌آمیز را افزایش می‌دهند.
این مقاله با در نظر داشتن این امر، به بحث در مورد برخی از پیشرفت‌های جاری فناوری و انطباق های در پی آن و تاثیر آن‌ها بر امنیت سازمان می‌پردازد.

دواپس
(DevOps)

دواپس که یک فرهنگ و شیوه مهندسی نرم‌افزار است و هدف آن یکپارچه کردن توسعه نرم‌افزار (Dev) و عملیات نرم‌افزار (Ops) است، نحوه ایجاد تجارب دیجیتال در نرم‌افزار را تغییر می‌دهد.
یکی از ویژگی‌های اصلی جنبش دواپس وارد آوردن فشار برای خودکارسازی و نظارت بر همه مراحل ساخت نرم‌افزار شامل یکپارچه‌سازی، آزمایش و استقرار است. درنتیجه، برخی از اهداف دواپس عبارت است از:
چرخه‌های کوتاه‌تر توسعه، افزایش دفعات استقرار، و انتشار نسخه‌هایی است که هم‌راستایی زیادی با اهداف کسب‌وکار دارند.
جان ویلیس و دیمیون ادواردز که متخصص دواپس می‌باشند از چهار واژه برای تعریف این جنبش استفاده کرده‌اند که عبارت‌اند از: فرهنگ، خودکارسازی، اندازه‌گیری و اشتراک. مطابق این رویکرد، که شدیدا با رویکرد سنتی متفاوت است، نرم‌افزار مداوم تحویل داده‌می‌شود. گروه‌هایی که پیش ‌از این به صورت ایزوله کار می‌کردند، به یکدیگر ملحق ‌شدند تا به اهداف مشترک دست‌یابند. به ‌محض این‌که فردی به ایده‌ای برای یک تجربه دیجیتال جدید دست یابد، تیمی متشکل از مهارت‌های مختلف می‌توانند سریعا این ایده را به واقعیت مبدل کند.
جنبش دواپس در حال متداول شدن است. بر طبق آخرین نسخه گزارش سالیانه نشریه State of DevOps، که از سوی شرکت خدمات نرم‌افزاری Puppet در سال ۲۰۱۷ منتشرشده است، در حال حاضر، ۲۷ درصد از سازمان‌هایی که از آن‌ها نظرسنجی شده است، متدلوژی دواپس را به کار می‌گیرند. پرواضح است که کاربرد دواپس رو به افزایش است و مدیران امنیتی باید خود را با آن همگام سازند.
اگر اجرای برخی از عملکردهای امنیتی در جهان دواپس را با جهان پیش از آن مقایسه کنیم، ملاحظه خواهیم کرد که در جهان پیش از دواپس، سازمان‌ها در مراکز داده خصوصی، فناوری‌ها را می‌ساختند و متخصص امنیت بر محافظت از محیط این مراکز تمرکز داشتند. به طور مشابه، روش سنتی توسعه آبشاری نرم‌افزار (که در آن پیشرفت تنها در یک‌جهت -رو به پایین- مانند آبشار) جریان می‌یابد زمان‌بر است و زمان کافی برای انجام بازبینی‌ها و تاییدات امنیت سایبری موجود است. در طول این فرآیند پرزحمت، تمرکز شدیدی بر ممانعت از وقوع رخنه‌های امنیتی صورت می‌گیرد.
در جهان دواپس، استفاده از زیرساخت ابر و خودکارسازی، زیرساخت فناوری را متحول می‌سازد و اکنون به‌صورت نرم‌افزار از طریق رابط‌های برنامه کاربردی (APIها (مدیریت می‌شود. به‌عوض روش‌های سنتی که بر امنیت میزبان و شبکه تمرکز داشتند، تمرکز بر امنیت برنامه کاربردی و API است. در این جهان، تقریبا همه شرکت‌های نرم‌افزاری هم فروشنده و هم مشتری سایر شرکت‌های نرم‌افزاری می‌باشند.
اکوسیستم متصل جهان دواپس، امنیت سازمان را از نقش مفروض سابق آن به‌عنوان مرکز هزینه دور می‌کند و به‌سوی موضع آشکار محرک کسب‌وکار می‌برد. این امر صریحا در طول فرآیند فروش – غالبا در شکل یک پرسشنامه امنیتی فروشنده – درخواست می‌شود. در جهان دواپس فرض بر این است که رویدادهای امنیتی همواره رخ می‌دهند و مطابق این فرض عمل می‌شود.
اما مدیران امنیتی باید آگاه باشند که خرید یک محصول دواپس می‌تواند با خرید یک محصول سنتی‌تر IT سازمان که در یک مرکز داده خصوصی نصب می‌شود، تفاوت داشته باشد.
خرید محصول سنتی غالبا به معنای ایجاد رابطه‌ای بلندمدت و سنتی بود که لازمه آن سرمایه‌گذاری قابل‌توجه از سوی هر دو طرف بود. این امر نهایتا و درصورتی‌که هر دو طرف با حسن نیت عمل می‌کردند، موجب ایجاد اعتماد می‌شد.
در مقابل، امنیت به‌عنوان خدمت (SaaS)، ابر و سایر راه‌حل‌های دواپس «سهل‌الوصول هستند و به همان میزان هم به‌سادگی از میان می‌روند» و غالبا در محیط معامله کم اصطکاک در چارچوب زمانی کوتاه‌مدت‌تر به دست می‌آیند. کیفیت، امنیت و متابعت مقرراتی این راه‌حل‌ها باید به شیوه‌ای صریح‌تر برای مدیر امنیت توضیح داده شود.
برای شرح مطلب، مثال ذیل را در نظر بگیرید. یک فروشنده دواپس در شرف عقد اولین قرارداد خود با یکی از مشتریان سازمانی بزرگ است. اکنون‌که این مشتری سازمانی تصمیم گرفته است که به خرید محصول فروشنده دواپس علاقه‌مند است، زمان آن است که گروه امنیتی شرکت خریدار وارد عمل شود (درست همان‌طور که بخش‌های حقوقی و خرید در ارتباط با قرارداد و پرداخت اجزاء معامله وارد عمل می‌شوند).
گروه امنیتی سازمان یک پرسشنامه امنیتی را به فروشنده دواپس ارسال می‌کند که به‌طورمعمول حاوی سؤالات بسیاری است. در برخی موارد، دریافت این نوع پرسشنامه‌ها می‌تواند برای فروشنده دواپس مرعوب‌کننده باشد. در موارد دیگر، می‌تواند الهام‌بخش این فروشنده باشد تا به تلاش و تداوم برای بلوغ برنامه امنیتی کمک کند.
اما مهم نیست که واکنش اولیه فروشنده دواپس چه خواهد بود، زیرا نقش امنیت متحول شده است. از دیدگاه فروشنده و سازمان، این بخشی بدیهی و مهم از تکمیل فروش است. بنابراین درک امنیت در اینجا یکی از محرک‌های بدیهی تجارت است، که در مورد دنیای سنتی محصولات IT لزوما این‌طور نبود.
پرواضح است که لزومی ندارد که مدیران امنیت فیزیکی به متخصصان توسعه نرم‌افزار تبدیل شوند. اما درکی از چگونگی تغییر فرآیند تراکنش و درک امنیت توسط دواپس، می‌تواند برای همه انواع مدیران امنیتی ازجمله مدیران امنیت فیزیکی بسیار ارزشمند باشد.
با پیشرفت دواپس و حرکت آن روبه‌جلو، مزایای تجاری بالقوه رویکرد دواپس احتمالا روند توسعه نرم‌افزار را برای بسیاری از سازمان‌ها به روندی جذاب مبدل خواهد کرد. مدیران امنیت فیزیکی که می‌توانند با درکی پایه از تاثیر بالقوه این روند، به اجرای آن کمک کنند، برای همکاری با مدیران فناوری جایگاه خوبی خواهند داشت که به نفع امنیت کلی سازمان خواهد بود.

امنیت
IoT

نشریه بیزنس اینسایدر اینتلیجنس در نظرسنجی اخیر خود از مدیران اجرایی سوالات مختلفی در مورد اینترنت اشیا (IoT ) پرسیده است. در این نظرسنجی مشخص شد که امنیت یکی از مهم‌ترین نگرانی‌هاست که از سوی ۳۹ درصد از پاسخ‌دهندگان به این نظرسنجی انتخاب شد که بسیار بیش از سایر نگرانی‌ها مانند ROI نامطمئن، عدم وجود مورداستفاده و قیمت بود. به‌طور خلاصه می‌توان گفت که نگرانی امنیتی عمدتا این بود که افزایش پذیرش فناوری IoT می‌تواند سازمان‌ها را با هک شدن‌های جدیدتر و شایع‌تر مواجه کند.
در چند سال اخیر، متخصصان امنیت، به‌منظور نمایش مسئله، وسایل نقلیه متصل به این نوع اینترنت (۲۰۱۵)، سلاح‌های دوربین‌دار (۲۰۱۵) و دستگاه‌های قلب (۲۰۱۷) را به نحوی هشداردهنده هک کرده‌اند. به لحاظ فنی بسیاری از آسیب‌پذیری‌های امنیتی که در این هک‌ها مورد بهره‌برداری قرار گرفتند با آسیب‌پذیری‌های فناوری‌های متداول‌تر مانند سرورها مشابه بودند، ولی شیوه‌های لازم برای کشف و حل ‌و فصل این آسیب‌پذیری‌ها در شبکه‌ای متصل از دستگاه‌های کوچک‌تر باقابلیت‌های کمتر، می‌توانند بسیار پیچیده‌تر باشند.
کریستوفر جی. رزندس و دبلیو. دیوید استفنسون دریکی از مقالات جدید در نشریهHarvard Business Review نوشته‌اند که، «جالب اینجاست که همان اصلی که موجب می‌شود IoT چنین قدرتمند باشد – یعنی توانایی اشتراک داده با همه‌کس و همه‌چیز – یک تهدید سایبری عظیم ایجاد می‌کند.» درست مانند هر محصول نرم‌افزاری، بهترین رویکرد برای کاهش ریسک وسایل نقلیه متصل به نرم‌افزار و سایر انواع سامانه‌ها، ارزیابی و نظارت امنیت در طول چرخه حیات توسعه محصول است.
مدیران امنیتی باید سامانه‌های IoT را با در نظر داشتن استفاده غلط و سوءاستفاده ارزیابی کنند و نحوه استفاده غلط ناخواسته یا سوءاستفاده آگاهانه از ویژگی‌های IoT را مدنظر قرار‌دهند. بدین ترتیب، رویکردهای لازم برای بررسی سامانه‌های IoT با رویکردهایی که سال‌هاست به‌طورمعمول برای ارزیابی امنیت نرم‌افزار به‌کار گرفته‌می‌شوند، تفاوت چندانی ندارند.
این متدلوژی مدل‌سازی تهدید نامیده‌می‌شود و این کار را می‌توان یا با استفاده از یک گروه امنیت داخلی انجام‌داد یا به شخصی ثالث که در این نوع تحلیل تخصص دارد، برون‌سپاری کرد. اولین مرحله از طراحی کردن یک مدل از تهدید، شناسایی دارایی ها، کنترل‌های امنیتی، عوامل تهدید‌کننده و تهدیدات درون مجموعه است. مرحله بعد برآورد احتمال و تاثیر هر تهدید در درون سیستم است. آنگاه یک طرح کاهش متناظر با هر عیب بالقوه تدوین می‌شود.
ضمنا حصول اطمینان از این امر که مبانی امنیتی در هنگام کار با محیط IoT رعایت می‌شوند، برای مدیران امنیتی بسیار مهم است. یکی از اصول بنیادین امنیت IoT این است که دسترسی باید در هنگام عدم نیاز قطع شود.
به‌علاوه، ازآنجایی‌که دستگاه‌های IoT عمدتا با مصرف‌کنندگان سروکار دارند، لازم است که رهبران امنیتی اطمینان حاصل کنند که مصرف‌کنندگان از مبانی امنیت سایبری، مانند استفاده از رمزهای عبور قدرتمند و به‌روزرسانی نرم‌افزار، آگاه‌اند و فعالانه آن‌ها را اجرا می‌کنند.
سامانه‌های IoT، درست مانند دواپس، به‌احتمال‌قوی در چند سال آینده فراگیرتر خواهند شد. آشنایی با فرآیند مدل‌سازی تهدید و سایر شیوه‌های ارزیابی و حفظ اصول بنیادین، برای رهبران امنیتی ازجمله متخصصان امنیت فیزیکی، ابزارهای ارزشمندی خواهند بود. به‌علاوه، مدیرانی که بر مدیریت ریسک امنیتی سازمان (ESRM) نظارت می‌کنند، درخواهند یافت که مدل‌های تهدید IoT غالبا برنامه کلی ESRM را تکمیل می‌کنند. دلیل این امر این است که هر دو به اصول مدیریت ریسک برای شناسایی تهدیدات بالقوه و احتمال آن‌ها و سپس تخصیص منابع برای مبارزه با تهدیدات، رویکردهای مشابهی دارند.

GDPR
در پانزده سال گذشته، متخصصان امنیتی یک محیط نظارتی در حال تغییر را هدایت کرده‌اند. تا به امروز، بسیاری از چهارچوب‌های تبعیت نظارتی تنها در یک صنعت خاص کاربردپذیر بوده‌اند. استانداردهای صنعت کارت‌های پرداخت (PCI) در خدمات مالی کاربرد پذیرند، قانون انتقال و پاسخ‌گویی بيمه سلامت (HIPAA) در حوزه پزشکی کاربرد دارند و قانون ساربنز اکسلی (SOX) در شرکت‌های عمومی به کار گرفته می‌شود.
به‌علاوه، هر مجموعه از قوانین ‍و مقررات مکانیسم‌های اجرایی مختلفی دارد. برای مثال PCI در رده‌های مختلف سازمانی کاربردهای مختلفی دارد و جریمه‌های واقعی که سازمان‌هایی که از این قانون پیروی نمی‌کنند، می‌پردازند نسبتا محدود است.
اما همه این مسائل با اعمال مقررات عمومی محافظت از داده (GDPR) تغییر می‌کند. اعمال GDPR به‌صورت رسمی در ماه مه سال ۲۰۱۸ آغاز شد و در سازمان‌های موجود در اتحادیه اروپا (EU) و سازمان‌های قرارگرفته در خارج از EU که کالا و خدمات به این اتحادیه عرضه می‌کنند یا بر رفتار شهروندان اتحادیه اروپا نظارت می‌کنند، قابل‌اعمال است. سازمان‌هایی که از الزامات GDPR پیروی نکنند، تا ٪۴ از درآمد جهانی سالیانه‌شان تا سقف ۲۰ میلیون یورو (تقریبا ۲۴ میلیون دلار) هرکدام که بیشتر باشد،‌ جریمه می‌شوند.
بااینکه تمرکز GDPR بر حریم خصوصی مصرف‌کننده است،‌ این قانون در مورد فرآیندها و رویه‌های مربوط به درز داده‌ها، امنیت فروشندگان و محافظت از داده به‌طورکلی هم کاربرد دارد. در سطحی بالا، لازمه این مقررات این است که سازمان‌ها یک فهرست داده ایجاد کنند و مداوم نحوه پردازش، ذخیره‌سازی و انتقال داده را پیگیری کنند.
با در نظر گرفتن این امر، بسیاری از رهبران امنیتی فعال، برای نحوه عمل در هنگامی‌که نوبت به ارائه خدمات فروشندگان یا بهره‌گیری از یک فروشنده برای داده‌پردازی، ذخیره یا انتقال داده می‌رسد، طرح‌هایی تدوین خواهند کرد. بسیاری دیگر نیز برای پاسخ دادن به رویدادهایی که اقدامات مورد لزوم ازنظر GDPR در صورت درز داده را مدنظر قرار می‌دهند، طرح‌هایی ایجاد خواهند کرد. مدیران امنیت فیزیکی که دانش عملی کافی از GDPR داشته باشند، می‌توانند به‌عنوان یکی از شرکت‌کنندگان در این نوع تدوین طرح دارایی ارزشمندی باشد و سازمان کلی از این امر که این طرح تلاشی همکاری آمیز میان انواع متخصصان امنیت بوده است، منتفع خواهد شد.
برای اطلاعات بیشتر، سند کامل GDPR در دسترس عموم قرار دارد. به‌علاوه راهنماها، کتب اجرایی و «بایدها و نبایدها» به‌صورت آنلاین موجود است که متخصصان می‌توانند برای اطلاع از شیوه تفسیر این اطلاعات از سوی دیگران، مطالعه کنند.

برقراری ارتباط میان جهان‌ها به‌صورت فردی
دواپس، امنیت IOT، و متابعت از GDPR همگی در حال تغییر سریع حوزه‌هایی در درون فناوری و چشم‌انداز مقرراتی هستند و همگی فرصت‌هایی برای مدیران امنیتی که متخصص امنیت سایبری نیستند، فراهم می‌سازند تا بتوانند بین دنیای فناوری و متابعت اطلاعاتی پلی بزنند.
مدیران امنیت فیزیکی که در مورد اصول این موضوعات مطالبی آموخته‌اند، می‌توانند در هنگام ملاقات با متخصصان فناوری مطالب بیشتری بیاموزند. درصورتی‌که مدیر امنیت فیزیکی با نگرشی سازنده و مشتاق یادگیری در این جلسات حضور یابد، این جلسات با راحتی بیشتری پیش خواهند رفت.
بنابراین، در هنگام ملاقات با متخصصان فناوری و انطباق، سؤالاتی بپرسید و تقاضاهای خود را مطرح نکنید. دو برابر زمانی که به صحبت اختصاص می‌دهید را به گوش دادن اختصاص دهید. هرقدر کنجکاوتر باشید احتمال بیشتری دارد که مطلبی بیاموزید که در هنگام طرح رویکردی برای بهبود امنیت کلی سازمان، مفید باشد.
برخی پرسش‌های مهمی که مدیران امنیت فیزیکی باید از مدیران فناوری یا مهندسان بپرسند، می‌تواند مشتمل بر موارد ذیل باشد: چه چیز برای شما مهم است؟ اولویت‌های شما در این فصل چیست؟ در مورد انجام شغل خود چه نگرانی‌هایی دارید؟ این اطلاعات را می‌توان برای هم‌راستا سازی اهداف امنیتی و اهداف فناوری به کار گرفت. به‌علاوه، این امر می‌تواند برای مدیران امنیتی که در این مورد می‌اندیشند که چرا به نظر نمی‌رسد که زمان یا منابع لازم به وظایف امنیتی اختصاص می‌یابند، زمینه و پاسخ دقیق‌تری فراهم سازد.
رویکردی مشابه نیز موجب انتفاع مدیران امنیت فیزیکی که خواهان برقراری ارتباط با رهبران کسب‌وکار سازمان می‌باشند، خواهد شد. مدیران امنیتی پیش از ملاقات با این رهبران، باید زمانی را صرف یادگیری امور مربوط به کسب‌وکار سازمان کنند. آنگاه می‌توانند در طول ملاقات در مورد امور خاص صحبت کنند و از همان نوع پرسش‌های پاسخ بازی که در مورد مدیران فناوری به کار می‌گرفتند، بهره گیرند.
رهبران امنیتی زیرک می‌دانند که نمی‌توانند به سراغ گروه‌های کسب‌وکار و فناوری بروند و به آن‌ها دستور دهند که به شیوه‌ای خاص کار کنند.
اگر مدیران امنیتی برای یادگیری نحوه انجام کار از سوی متخصصان دیگر، اولویت‌های آن‌ها، و ریسک‌های مهم از دیدگاه آن‌ها زمان و تلاش لازم را صرف نکنند، ایجاد اعتماد دشوار خواهد بود. آخرین بار چه زمانی به توصیه فردی که به وی اعتماد ندارید، عمل کرده‌اید؟