بلوغ ، سنجش توانایی یک سازمان برای بهبود مستمر در یک موضوع خاص است. هرچه سطح بلوغ سازمانی بالاتر باشد ، احتمال آنکه شرکت در هنگام بروز حوادث و خطاها بهتر عمل نموده و کییفیف کار بالاتری داشته باشد بیشتر است.
مدل بلوغ امنیت سایبری مسیری را برای تعالی و پیشرفت سازمان مشخص نموده و همچنین این امکان را فراهم میسازد تا به طور دورهای جایگاه سازمان در این مسیر را بررسی نماییم. استفاده از مدل نه تنها ابزار قدرتمندی را جهت بهبود امنیت سایبری و جهت دهی مناسب در اختیار ما قرار میدهد بلکه زبان مشترکی جهت تعامل بامدیران ارشد سازمان جهت بدست آوردن پشتیبانی آنان فراهم میسازد.
به طور کلی ، مدل بلوغ امنیتسایبری مجموعه ای از خصوصیات ، ویژگی ها ، شاخص ها یا الگوهایی است که بیانگر توانایی و پیشرفت سازمان در ضمینه امنیتسایبری میباشد. محتوای مدل حاصل تجربه،best practice ها، استانداردها و اصول حوزه امنیت است. در نتیجه، مدل بلوغ امنیت هم میزان قابلیت فرآیندها، شیوهها و روشها را میسنجد و هم مسیر بهبود امنیتسایبری سازمان را هدف گذاری و الویت بندی مینماید. برای اندازهگیری پیشرفت سازمان، مدلهای امنیت معمولا سطوحی را در مقایسهای مختلف ارائه مینمایند
استانداردهای سنتی مدیریت امنیت
در گذشته بهمنظور مدیریت امنیتسایبری در سازمان از استانداردها و چارچوبهایی استفاده میگردید که ما آنها را استانداردهای سنتی مدیریت امنیت مینامیم، از مشهورترین این استانداردها میتوان به موارد زیر اشاره نمود:
- ISMS (ISO/IEC 27001) استاندارد نیازمندیهای فناوری اطلاعات، فناوری امنیت، سیستمهای مدیریت امنیت اطلاعات که به طور مشترک توسط موسسه بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیکال (IEC) تدوین شده است.
- چارچوب بهبود امنیت سایبری زیرساختهای حیاتی، تدوین شده توسط موسسه ملی استاندارد و تکنولوژی ایالات متحده (NIST Framework).
- دیگر استانداردهای مشهور مدیریت امنیت عبارتند از SOC2، PCI DSS و Info-sec
مشکل کجا بود؟
مشکلی اصلی که وجود داشت این بود که این استانداردهای بعضا دست و پا گیر، عملکرد مطلوب مورد نظر را فراهم نمیکرد و پیادهسازی کامل کنترلها تعریف شده در هرکدام از این استانداردها به معنی دستیابی به امنیت نبود، به عبارتی:
- نفوذهای مکرر در فضای سایبری به سازمان و زیرساختهای حیاتی در کشور،
- تجربیات ناموفق و ناتمام در الزام استانداردها و نظامهای امنیتی مانند ISMS،
- نیاز به درونی شدن امنیت و حاکم شدن فرهنگ امنیت در سازمان،
- نیاز به رویکردی متفاوت به روشهای امنسازی رایج،
- نیاز به نگاهی نو و پیشرفته به امنیت سایبری.
ما را به سمت این نکته هدایت مینمود که «مدلهای سنتی خوب هستند ولی کافی نیستند»
راهکار چیست
نکتهی مغفولی که در این بین وجود داشت این بود که ما نمیتوانیم سازمانی را وادار نماییم تا کنترلهای امنیتی و فرایندهای مربوط را پیاده نماید در حالی که سازمان در اصل توانایی انجام برخی از موارد را ندارد و بهعبارتی به سطح بلوغ کافی برای پیاده سازی آن فرایندها نرسیده است. در سازمانی که اهمیت مخفی ماندن رمزعبور شخصی هر فرد هنوز برای افراد جا نیفتاده و افراد رمز عبور خودرا به راحتی در اختیار یکدیگر قرار میدهند اجبار آنها به استفاده از رمز عبور پیچیده و چندعاملی، عملا کارمندان را به دور زدن دستورالعملها و شانهخالی کردن از قوانین سوق میدهد. در واقع:
- امنیت یک فرهنگ است قبل از آنکه یک فناوری باشد
- پیش از آنکه تجهیزاتی خریداری شود یا سرمایهگذاری صورت پذیرد؛ میبایست راهبرد امنیتی مشخص شود
- امنیت تداوم میخواهد زیرا ناامنی تداوم دارد
- بنابراین؛ امن سازی و تفکر امنیت در همه شئون سازمان باید تداوم داشته
انواع مدلهای بلوغ:
– مدل بلوغ پیشرفت (Progression)
– مدل بلوغ قابلیت (Capability)
– مدل بلوغ ترکیبی (Hybrid)
مدل بلوغ پیشرفت
مدلهای بلوغ پیشرفت فنی تر بوده و به انجام کار با فناوری بالاتر و پیشرفتهتر میپردازد
مدل بلوغ پیشرفت حوزه امنیت
مدل بلوغ قابلیت
مدلهای بلوغ قابلیت بر کیفیت کار تمرکز کرده و به انجام کار مشابه با قابلیتهای بیشتر میپردازد
مقیاسه مدلهای بلوغ
برخی از مدلهای بلوغ امنیت
سند امن سازی زیرسختهای حیایت کشور (افتا)
CERT-RMM
CERT-CRR
C2M2
OISM3
COBIT 5 for Information Security
OpenSAMM
IAMM
BSIMM
CySAFE
مزایای مدل بلوغ امنیت سایبری
- تقویت امنیت فضای مجازی در سازمانها
- مطابقت با نیازهای امنیتی زیرساخت های حیاتی
- کمک به ارتقاء فرهنگ امنیت سایبری در سازمان
- درونی سازی امنیت در سازمان به عنوان زیربنای فعالیت های امن سازی
- فراهم سازی امکان فعالیت های اولویت بندی شده و سرمایه گذاری بهینه در حوزه امنیت