چطور حجم کار CISO و تیم آن را کم کنیم؟

28 شهریور 1402 چطور حجم کار CISO و تیم آن را کم کنیم؟

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ «امنیت» و «اضافه کاری» همیشه دوش به دوش یکدیگرند. طبق آخرین نظرسنجی، از هر 5 CISO، یکی 65 ساعت در هفته کار می‌کند و با توجه به 38 یا 40 ساعت قیدشده در قرارداد این اضافه‌کاری محسوب می‌شود. این برای کارمندان امنیت اطلاعات نیز صادق است. تقریباً نیمی از آن‌ها فرسودگی شغلی‌شان شکایت دارند و می‌گویند دچار استرس دائم و خستگی شده‌اند. در عین حال کمبود نیرو و محدودیت‌های بودجه باعث شده استخدام افرادِ بیشتر، کار سختی باشد. اما گزینه‌های دیگری هم وجود دارد: ما طبق بررسی‌هایمان پی بردیم که تسک‌هایی که از همه وقت‌گیرتر هستند متعلق به تیم امنیتی است و حالا در ادامه قرار است توضیح دهیم چطور می‌شود به این تسک‌ها سرعت بخشید. با ما همراه بمانید.

هشدارهای امنیتی

برنده قطعی دسته‌بندی «زمان‌ هدر ده» می‌رسد به هشدارهایی که سیستم‌های امنیت اطلاعات و آی‌تی شرکت تولید می‌کنند. از آنجایی که این سیستم‌ها اغلب تعدادشان زیاد است هزاران رخداد تولید می‌کنند که نیاز به مدیریت دارند. به طور متوسط یک متخصص امنیتی باید در ساعت 23 هشدار را تحلیل کند (حتی خارج از ساعت). 38 درصد پاسخ‌دهندگان اما اعتراف کردند باید شب‌ها به هشدارها پاسخ دهند.

چه باید کرد؟

  1.      راهکارهای بیشتری از همان فروشنده را استفاده کنید. یک کنسول متمرکز مدیریتی با سیستم منسجم هشدار تعداد هشدارها را کاهش داده و پردازش آن‌ها را سرعت می‌بخشد.
  2.      اتوماسیون اجرایی. برای مثال یک راهکار XDR می‌تواند سناریوهای معمول تحلیل/واکنش‌دهی را خودکار کرده و تعداد هشدارها را با ترکیب رخدادهای مختلف و تبدیلشان به یک رخداد واحد کاهش دهد.
  3.      از یک سرویس MSSP، MDR یا SoC تجاری استفاده کنید. این کارآمدترین راه برای مقیاس انعطاف‌پذیر مدیریت هشدار است. اعضای تیم تمام وقت قادر خواهند بود بر ایجاد امنیت کلی و بررسی حوادث پیچیده تمرکز کنند.

ایمیل‌هایی با هشدار

اعلان‌های فروشندگان و تنظیم‌کننده‌ها و هشدارهای سیستم‌های امنیتی از طریق ایمیل به تیم infosec ارسال می‌شود - اغلب به یک صندوق ورودی مشترک. در نتیجه، پیام‌های مشابه توسط چندین کارمند از جمله CISO خوانده می‌شود و بهای زمانی می‌تواند به 5 تا 10 ساعت در هفته برسد.

چه باید کرد؟

  1.      تا آنجا که ممکن است هشدارها را در سیستم‌های تخصصی بارگذاری کنید. اگر محصولات امنیتی می‌توانند هشدارهایی را به SIEM یا داشبورد ارسال کنند، بهتر از ایمیل است.
  2.      از اتوماسیون استفاده کنید. برخی از ایمیل‌های معمولی را می‌توان با استفاده از اسکریپت‌های ساده تجزیه و تحلیل و در داشبورد به هشدار تبدیل کرد. ایمیل‌هایی که برای این روش مناسب نیستند باید تجزیه و تحلیل شوند، از نظر فوریت و موضوع امتیازدهی گشته و سپس به یک فولدر خاص منتقل شوند یا به یک کارمند تعیین شده اختصاص داده شوند. برای انجام این کار به ربات هوش مصنوعی نیاز ندارید. قوانین پردازش ایمیل یا اسکریپت‌های ساده این کار را انجام می‌دهند.

این رویکردها به طور چشمگیری تعداد ایمیل‌هایی را که نیاز به خواندن و پردازش کاملا دستی توسط متخصصان متعدد دارند، کاهش می‌دهند.

ایمیل‌های پرچم‌گذاری‌شده توسط کارمندان

بگذارید پرونده ایمیل را با نگاهی بر یکی از آخرین دسته‌ از پیام‌های جلب‌توجه ببندیم. اگر شرکت شما آموزش امنیت اطلاعات به کارمندان خود داده باشد یا در حال تجربه حمله‌ای بزرگ باشد بسیاری از کارمندان فوروارد کردن هر ایمیل مشکوکی به تیم امنیت اطلاعات را وظیفه خود می‌دانند. اگر خیلی از کارمندان شرکت شما چشمانی تیز همچون عقاب دارند پس باید اینباکس شما در حال ترکیدن باشد!

چه کار باید کرد؟

  1.      در سطح میل، محافظتی مطمئن به کار گیرید. این کار به طور قابل‌ملاحظه‌ای تعداد ایمیل‌هایی که واقعاً فیشینگ هستند را کاهش می‌دهد. شما با داشتن مکانیزم‌های تخصصی دفاع همچنین می‌توانید با پیچیده‌ترین حملات هدف‌دار مبارزه کنید. البته که این اثری روی تعداد کارمندان تیزچشم شما نخواهد داشت.
  2.      اگر راهکار امنیتی ایمیل شما به کاربران اجازه می‌دهد تا یک ایمیل مشکوک را گزارش کنند، به همکاران خود دستور دهید از آن استفاده کنند تا مجبور نباشند به صورت دستی چنین هشدارهایی را پردازش کنند.
  3.      یک آدرس ایمیل جداگانه برای پیام های مشکوک کارمندان تنظیم کنید تا از ترکیب این دسته از ایمیل ها با سایر هشدارهای امنیتی جلوگیری شود.
  4.      اگر مورد 2 امکان پذیر نیست، تلاش خود را بر جستجوی خودکار ایمیل های امن شناخته شده در میان ایمیل‌هایی که برای پیام های مشکوک به آدرس ارسال می‌شوند متمرکز کنید. اینها درصد زیادی را تشکیل می‌دهند، بنابراین تیم infosec فقط باید موارد واقعاً خطرناک را بررسی کند.

ممنوعیت‌ها، ارزیابی‌های ریسک و مذاکرات ریسک

بخشی از کار  CISO این است که بین امنیت اطلاعات، کارایی عملیاتی، انطباق با مقررات و محدودیت‌های منابع تعادل ایجاد کند. برای ارتقای امنیت، تیم‌های امنیت اطلاعات اغلب فناوری‌ها، سرویس‌های آنلاین، متودهای ذخیره داده خاصی را در شرکت منع می‌کند (البته فهرست به همین‌ها ختم نمی‌شود). گرچه این ممنوعیت‌ها ناگزیر و الزامی‌اند اما مهم است نحوه اثرگذاری‌شان روی کسب و کار که اینکه چطور شرکت خود را با آن‌ها سازگار می‌کند مورد بررسی قرار گرفته شود. به عنوان مثال، ممکن است متوجه شوید که یک سیاست بیش از حد سختگیرانه در مورد پردازش داده‌های شخصی منجر به برون سپاری آن فرآیند شده است، یا اینکه یک سرویس اشتراک‌گذاری فایل امن با چیزی راحت‌تر جایگزین شده است.   در نتیجه، infosec زمان و انرژی گرانبهایی را برای بالا رفتن از موانع تلف می‌کند: ابتدا در مورد «نبایدها» با کسب‌وکار مذاکره می‌کند، سپس راه‌حل‌ها را کشف و سپس رخدادها و مشکلات اجتناب‌ناپذیر را برطرف می‌کند. حتی اگر چنین حوادثی رخ ندهد، فرآیندهای ارزیابی خطرات و الزامات infosec هنگام راه‌اندازی ابتکارهای جدید چند لایه هستند، افراد زیادی را درگیر و زمان زیادی را هم برای CISO و هم برای تیم آنها مصرف می‌کنند.

چه کار باید کرد؟

  1.      از ممنوعیت‌های بیش از حد سخت پرهیز کنید. هرچه ممنوعیت‌ها بیشتر باشد، زمان بیشتری برای تعیین خط‌مشی صرف می‌شود.
  2.      گفتگوی باز و صریح با مشتریان کلیدی در مورد اینکه چگونه کنترل‌های infosec بر فرآیندها و عملکرد آنها تأثیر می‌گذارد، داشته باشید. سازش با فناوری‌ها و رویه‌ها برای جلوگیری از مسائل شرح داده شده در بالا مهم است.
  3.      اسناد و سناریوهای استاندارد برای درخواست‌های تجاری مکرر ("ساخت یک وبسایت"، "جمع‌آوری نوع جدیدی از اطلاعات از مشتریان"، و غیره) تهیه کنید، به بخش های کلیدی روشی ساده و قابل پیش‌بینی برای حل مشکلات تجاری خود با رعایت کامل امنیت اطلاعات ارائه دهید.
  4.      به این درخواست‌های تجاری به صورت موردی رسیدگی کنید. تیم‌هایی که فرهنگ infosec قوی نشان می‌دهند می‌توانند کمتر تحت ممیزی امنیتی قرار گیرند - فقط در بحرانی‌ترین مراحل یک پروژه. این باعث کاهش هزینه‌های زمانی برای کسب و کار و تیم امنیت اطلاعات می‌شود.

چک‌لیست‌ها، گزارشات و اسناد راهنما

امنیت کاغذی –از پر کردن فرم‌ها برای ممیزی گرفته تا دپارتمان‌های انطباق با مقررات برای تحلیل داکیومنت‌های قانونی و ارزیابی کاربردپذیری آن‌ها در بخش اجرایی- زمان زیادی می‌برد. شاید از تیم امنیت اطلاعات خواسته شود به شرکای تجازی خود اطلاعاتی ارائه‌ دهد؛ شرکایی که به طور فزاینده‌ای تمرکزشان بر زنجیره تأمین است و از همتایان خود درخواست امنیت اطلاعات قوی دارند.

چه کار باید کرد؟

  1.      برای ایجاد اسناد «قابل استفاده مجدد»، مانند کاغذ سفید جامع امنیتی، گزارش PCI در مورد انطباق، یا ممیزی SOC2، زمان و تلاش خود را سرمایه‌گذاری کنید. داشتن چنین داکیومنتی نه تنها به رعایت مقررات بلکه به پاسخ سریع به درخواست‌های معمول طرف مقابل نیز کمک می‌کند.
  2.      یک فوق تخصص استخدام کنید (یا فردی از تیم خود را آموزش دهید). بسیاری از تمرین‌کنندگان infosec زمان زیادی را صرف تدوین ایده‌هایی برای کاغذهای سفید می‌کنند. بهتر است آنها را روی کارهای عملی متمرکز کرده و از افراد آموزش دیده ویژه‌ای برای رسیدگی به امور اداری، چک لیست ها و ارائه ها استفاده کنید.
  3.      فرآیندها را خودکار کنید - این نه تنها به انتقال عملیات کنترل معمول به ماشین‌ها، بلکه به مستندسازی صحیح آنها کمک می‌کند. برای مثال، اگر تنظیم‌کننده به گزارش‌های اسکن آسیب‌پذیری دوره‌ای نیاز داشته باشد، سرمایه‌گذاری یکباره منابع در رویه‌ای خودکار برای تولید گزارش‌های سازگار منطقی خواهد بود.

انتخاب فناوری‌های امنیتی

ابزارهای جدید امنیت اطلاعات هر ماه ظهور می‌کنند. خرید هر چند تعداد راهکار نه تنها دخل بودجه را درمی‌آورد و باعث افزایش تعداد هشدارها می‌شود که نیاز برای جداسازی پروسه سختِ ارزیابی و تولید راهکارهای جدید را نیز ایجاد می‌کند. حتی اگر مناقصه‌ها و کاغذبازی‌ها را کنار بگذاریم، تیم باید تحقیقات بازار را انجام دهد، مدعیان را عمیقاً ارزیابی کند و سپس اجرای آزمایشی را انجام دهد.

چه کار باید کرد؟

  1.      سعی کنید تعداد فروشنده‌های امنیت اطلاعاتی که استفاده می‌کنید کم کنید. یک رویکرد تک فروشنده‌ای در بلند مدت راندمان اجرایی را بالا می‌برد.
  2.      بازرسین سیستم را در ارزیابی و تست پروسه موقع خرید راهکارها دخیل کنید؛ همینطور VARها و یا سایر شرکا را. یک شریک مجرب به بریدن هرزه علف‌ها (راهکارهای نامناسب) به طور یکجا و کم کردن بار از شانه‌های تیم امنیت اطلاعات درون سازمانی در طول پیاده‌سازی کمک می‌کند.

آموزش امنیت

گرچه انواع مختلف آموزش امنیت سایبری برای همه کارمندان الزامی است اما پیاده‌سازی ناکارمد می‌تواند تیم امنیت اطلاعات را گیج کند. مشکلات معمول: کل آموزش به طور درون‌سازمانی طراحی و ارائه می‌شود؛ یک حمله شبیه‌سازی فیشینگ می‌تواند موجی از وحشت را برای تیم اینفوسک برانگیزد. آموزشی که متناسب با سطح کارمند نباشد خود احتمال دارد وضعیتی را ایجاد کند که در آن خود تیم امنیت اطلاعات هم به آموزش نیاز داشته باشد!

چه باید کرد؟

استفاده از پلت‌فرم خودکار برای آموزش کارمند می‌تواند سفارشی‌سازی محتوا برای صنعت را ساده‌تر کرده و  جزئیات دپارتمان راحت‌تر آموزش داده شود. از حیث پیچیدگی، هر دو متریال آموزشی و تست‌ها خودکار با سطح کارمند منطبق شده و این باعث می‌شود عامل لذت افزایش یافته و موفقیت دو چندان شود. 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    6,294,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    9,444,000 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    2,361,000 ریال9,444,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    5,670,000 ریال22,680,000 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    62,994,000 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    8,910,000 ریال17,820,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    12,777,000 ریال25,554,000 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    13,668,000 ریال27,336,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد