استراتژي امنيتي در خدمت توسعه تجارت

چگونه مي توان به يك استراتژي امنيتي درست دست پيدا كرده و از آن به عنوان وسيله اي براي پيشرفت در شغل و رسيدن به موفقيت ها و دستاوردهاي مثبت استفاده كرد؟

آيا شما به دنبال يافتن فوايد راهبري امنيتي هستيديا اينكه مدير ساده يك firewall مي باشيد كه مشغله مهم ذهنش خنثي كردن حملات است؟ آيا شما يك كارآفرين هستيد؟ اگر پاسخ شما مثبت است عملكرد شما چگونه بوده؛ تاكتيكي يا راهبردي؟در طي اين مقاله شما خواهيد دانست كه هدف استراتژي امنيت صحبت درباره صرف هزينه هاي بيشتر نيست، بلكه هدف آن عملكرد متمركز در انجام امور گوناگون مي باشد.

براي شروع، تمركز خود را بر هسته تجاري سازمان خود، اولويت ها و بخش هاي شلوغ و مركزي سازمانتان معطوف كنيد. براي اين كار تمامي نقاط حساس كارتان و به ويژه قسمت هايي كه مربوط به امنيت است را در نظر بگيريد. چنانچه كسب و كارتان استراتژي قانونمندي ندارد و يا در برنامه هاي موجود هيچگونه اشاره اي به امنيت نشده، اصلا نگران نشويد.وظيفه و شغل شما تعريف يك استراتژي امنيتي بر اساس ريسكهاي موجود مي باشد بطوريكه از تجارت شما پشتباني كاملي را به عمل آورد.

چگونه امنيت مي تواند ارزش كسب و كار شما را بالا ببرد.

ماهيت كسب و كار شما و مجريان حفظ امنيت اين كسب و كار، تاييد كننده استراتژي هاي شما هستند:

چرا وجود امنيت در كسب و كارتان لازم است و چرا بابت آن هزينه صرف مي كنيد؟
مشتريان كسب و كار شما چه كساني هستند و نقش امنيت در كسب و كارتان چيست؟
آيا شما ويژگي و يا تخصص خاصي داريد كه ضامن كار شما باشد. براي مثال آيا شما طراح سخت افزار و يا نرم افزار كامپيوتريد؟
خدمات خارجي كسب و كار شما چيست؟ و آيا اين خدمات به امنيت كسب و كارتان لطمه اي وارد مي كند؟
فروشندگان، توليد كنندگان و شركاي تجاري مهم در كسب و كار شما چه كساني هستند؟
آيا شما طرفدار بازرسي امنيتي باز هستيد؟
آيا سازمان شما نيازمند اقدامات مداوم و منظم است؟
چنانچه شركت شما يك شركت بين المللي است، مشكلاتي كه به دليل تقابل فرهنگي براي شما پيش مي آيد، چه چيز هايي هستند؟
تهديدات واقعي كسب و كار شما چه چيزهايي هستند؟
نقش شهرت، جريمه هاي نقدي، فقدان تواناييها و استعدادهاي خاص ، زمان تدارك محصول در بازار، ابطال و از دست دادن جواز ها و يا توانايي لازم در تجارت، در كسب و كار شما تا چه اندازه است؟

آنچه كه واقعا در كسب و كارتان به آن نياز داريد و اولويت كاري شما محسوب مي شود را به دقت شناسايي كنيد.

برآوردي از داشته ها و سرمايه ها، تعيين كننده ملزومات امنيتي

در اولين قدم، شما بايد سرمايه گذاران، داشته ها و محدوديت هاي  خود را بشناسيد كه شامل مقبوليت عام و خاص شما و سرويسي كه ارائه مي دهيد، قانوني بودن فعاليتها، منابع انساني، بازرسي هاي داخلي، تكنولوژي اطلاعات و حلقه هاي مرتبط كننده شما به آن، گزارشات مستقيم  و … مي باشد. در اين زمينه هيچگاه اصول و بخشهاي  مهم كسب و كارتان را از قلم نيندازيد. ابتكارات اصلي در پروژه هايي  كه كسب و كار شما را پيش مي برند در نظر گرفته و مشخص كنيد كه چگونه امنيتي كه تعريف خواهيد كرد با مدل فعاليت تجاري شما منطبق مي شود.

ارزيابي نفاط قوت، نقاط ضعف، فرصت ها و تهديدات برنامه هاي امنيتي (SWOT)

خطرات اصلي و شكاف ها، فرصت هاي غير واقعي و فرصت هايي كه مي توان با صرف وقت و هزينه كم، بيشترين بهره را از آنها برد، شناسايي كنيد. از تمام توان كاركنان خود بهره ببريد. به دنبال دستيابي به موفقيت هاي سريع باشيد تا با يك جهش بزرگ، تجارت خود را به پيش بريد .

بكار گيري روشهاي غير اصولي،همانطور كه بر صنعت و سازمان شما تاثير مي گذارد ، بر امنيت نيز تاثير خواهد گذاشت

پخش شايعات جعلي، رشد درصد جرايم on-line اي كه با فریب افراد صورت می گیرد و همچنین رشد این جرایم در بخشهای wireless و mobility ، مجازی سازی، افزایش مقررات جهانی و نیز نرم افزارهایی که بعنوان سرویس دهنده عمل کرده و با نام نه چندان جدید Cloud Computing یا Shred IT Services شناخته می شوند ،همگي بايد مورد توجه قرار گيرند زيرا احتمال آسيب رساندن آنها به كسب و كار و امنيت شما بيشتر است. حال چند مثال ديگر را برايتان مطرح مي كنيم:

هجوم دزدان لب تاپ ها: چنانچه تا كنون اطلاعات مهم روي لب تاپتان را کدگذاری نكرده ايد، اكنون زمان آن فرا رسيده است. پایگاه داده های کد گذاری شده ، حافظه های قابل انتقال، رمز عبور ها و وسایل سخت افزاری بی سیم ، همگی باید از این استراتژی پیروی کنند. با عمل به اين استراتژيها، در صورت دزديده شدن لوازم سخت افزاريتان كمتر نگران خواهيد شد.

امروزه اغلب فعاليت هاي كامپيوتري از اداره به خانه منتقل شده است. سوالي كه در اينجا مطرح خواهد شد اين است كه چنانچه برخی از کارمندان  شما از خانه كارها را دنبال مي كند چگونه مي توانيد امنيت دسترسیها ها را تضمين كنيد در حاليكه نه آن كامپيوتر متعلق به شماست و نه در شبكه شما اين  فعاليت انجام شده است؟
امروزه دزدان اطلاعات در همه جا پرسه مي زنند.  بنابر اعلام دو شرکت SANS و ISC2 ریسک خطر و نیز تقاضا برای امن کردن برنامه های کاربردی Web-facing و نیز توسعه چرخه های زندگی ، افزایش پیدا کرده است.

چگونه مدل كسب و كار شما با مدل امنيتي لازم براي كارتان منطبق خواهد شد.

برنامه هاي عملي خود را بر اساس نتايج خروجي ها، باز خورد سرمايه گذاران و سرمایه هایتان و تحليل هاي SWOT تعريف كنيد.

براي اين كار، يك دوره زماني 12 ماهه را در نظر بگيريد. چنانچه از قبل ، برای این دوره زمانی استراتژی مشخصی داشته اید، مدت زمان آنرا به 24 تا 36 ماه افزايش داده استراتژی و اهداف خود را بر اساس آن ، توسعه داده و سازماندهی کنید.
پيش نويسي از  تحولات اساسی و مبتکرانه ای که باید پیاده سازی شوند و اهدافي كه آنها را پشتيباني مي كنند، ارائه دهيد.
باز خورد سرمايه گذاران را به دقت مورد بررسي قرار داده و سپس طرحها، برنامه هایتان رابر اساس آن، از بالا به پايين رتبه بندی کنید.

استراتژي هاي خود را ثبت و مستند كنيد.

از قوانین و بندهای موجود طرحهای نوشته شده خود،  استفاده كنيد و يا در صورت نیاز قوانین و بندهای جدیدی ايجاد كنيد.
بندهای جدید را به صورت خلاصه و اجرايي بنويسيد.
اهدافتان را با كلمات كاملا روان، واضح و موجز نوشته و چیزی را در لفافه بیان نکنید.

آیا شما یک مدیر عالی رتبه هستید؟ چنانچه شما مدير يك شركت و يا مالك يك سازمان نيستيد، مي بايستي مهارت هاي اجتماعي تان را مرور کرده و ياد بگيريد چگونه از كلمات استفاده كنيد.
پس از تهیه برنامه هایتان بصورت مستند:

نکات کلیدی آنها را را براي سرمايه گذارانتان ارسال كرده و يا حتي آنها را در وب سايت داخلي سازمانتان قرار دهيد. سپس آنها را به اطلاع كليه كاركنان سازمانتان در تمامي سطوح، برسانید.
هر ساله، يك گزارش مشروح امنيتي از وضعيت سازمانتان تهیه کرده و منتشر کنید و یا آن را در یک جلسه ویژه ارائه دهید.

به خاطر داشته باشيد كه موفقيت شما بستگي به وسعت دید، پشتيباني و باز خورد سرمايه گذاران شما دارد و شما بايد راهي براي رسيدن به خواسته هاي آنان ايجاد كنيد.
چنانچه شورا و يا کمیته راهبري امنيتي نداريد، با دقت کافی و در کمترین زمان آین کمیته را تشکیل دهید. سرمايه گذاران بايد در اين كميته عضو باشند. مي توانيد مطمئن باشيد كه تصميمات اين كميته در سطوح بالايي ارائه خواهد شد.

چنانچه شما مي بايستي به سازمان هاي مسئول در امر فناوري اطلاعات گزارش بدهيد، سعي كنيد نمايندگاني كه اين كار ار بر عهده دارند از دو نفر بيشتر نباشند. واحدهای تجارتي،باید در ايده آل ترين حالت اولويت هاي کاری خود را بر اساس ميزان ريسك در تجارت تنظيم کنند که  اين امربدلیل ضرورت رعايت اصول كسب و كار و تاکید بر اين اصول، از اهمیت بسزایی برخوردار است. سپس باید پشتیبانهایی برای امنیت در نظر گرفت و از بکار بردن شیوه های نادرستی که از میزان امنیت می کاهند، خودداری کرد. اين موضوع با تمركز بر منابعي كه از بیشترین اهميت برخوردارند، ريسك تجاری امنيت شما را متعادل خواهد كرد.

بمنظور مديريت بهتر دستاوردها، برنامه های خود را مورد ارزیابی و سنجش قرار دهید.

بالا بردن استانداردها، میدان دید و ميزان تمركز شما را بر كسب و كارتان افزايش داده و تغييرات درست رفتاري را در پی خواهد داشت.  شما باید یک دید معقول و منطقی،برای مدیریت امنیتی خود انتخاب کنید. سپس تمامي استانداردهاي لازم را با زبان مديريتي و نه زبان خودتان به كار ببريد

حال تصاویری برای شما ایجاد می شوند که بصورت واضح نشان می دهند چطور برنامه های شما، از بالا به پایین، بر ریسکهای امنیتی تاثیر می گذارند.  حال در این مرحله باید مشخص كنيد در کجا و در چه مرحله ای ، ایستاده اید، شكاف ها را شناسایی كنيد ومیزان  تغييرات را اندازه گیری کنید. توجه کنید که  تمامي اين مباحث را به طور منظم و پيوسته به سرمايه گذاران گزارش كنيد.

برنامه هايتان را به روز نگه داريد.

يادداشت كردن برنامه ها نيمي از مبارزه شما در ميدان تجارت محسوب مي شود. پس از نوشتن حالا نوبت به اجراي آن برنامه هاست. استراتژي هاي خود را حداقل هر سه ماه يكبار مرور كرده و با همکاری و مشورت سرمایه گذارانتان، آنها را بطور سالیانه، مورد بررسی  و تغییر قرار دهید.

ايجاد استراتژي هاي امنيتي بطور معمول براي شما هزينه اي در بر نخواهد داشت.

اين استراتژي حتي يك ريال هم براي شما هزينه اي به دنبال ندارد، در عوض ارزش دستاوردهاي آن در شغل و برنامه هاي امنيتي شما به ميليون ها دلار هم می تواند برسد. امنيت، تجارت شما را در بر مي گيرد نه تكنولوژي شما را. حیاتی ترین نکته در این پروسه، متمرکز ماندن، مدیریت امنیت بعنوان یک تجارت و کسب و کار، و شکستن و از بین بردن بارهایی است که بر دوش کسب و کار شماست.