پس از معرفی مختصری از آسیب‌پذیری، نوبت به آشنایی با نجوه مدیریت آن در پروژه‌ها می‌رسد تا با این عمل بتوانیم کیفیت خدمات و محصولات را مدیریت نماییم

مدیریت آسیب‌پذیری یک عملیات چرخه‌ای برای شناسایی، طبقه‌بندی، جبران خسارت و رفع آسیب‌پذیری است. اغلب این آسیب‌پذیری را در سیستمهای رایانه‌ای، منتسب به نرم‌افزار می‌دانند.

برنامه‌های مدیریت آسیب‌پذیری

معمولا برای تعریف برنامه‌های این فرآیند تعریف مشخصی وجود ندارد، اما شرکت گارتنر (Gartner) شش گام اساسی را مدیریت آسیب‌ذیری تعریف می‌کند.

تعیین سیاست

فعالیت سازمان‌ها برای شروع باید از ترسیم چشم‌انداز خود از وضعیت امنیتی محیطشان آغاز شود. این چشم‌انداز شامل تعیین تجهیزات مطلوب، پیکربندی خدمات و قواعد کنترل دسترسی برای تخصیص دسترسی کاربران به منابع، می‌شود.

محیط مبنا

پس از تعیین و تعریف سیاست‌های کلان، سازمان برای آگاهی از وضعیت امنیتی جاری اقدام به ارزیابی محیط نماید و نقاطی را که نمونه‌هایی از نقض سیاست رخ می‌دهد را مشخص نماید.

اولویت‌بندی آسیب‌پذیری‌ها

هر نقض سیاست آسیب‌پذیری محسوب می‌شود. این آسیب‌پذیری‌ها براساس ریسک و شرایط کاری اولویت‌ندی می‌شوند.

رفع آسیب‌پذیری

در نهایت ریشه‌ها و سرچشمه‌ی علت آسیب‌پذیری باید برطرف گردد. این فعالیت معمولا با اعمال وصله برای خدمات، تغییر پیکربندی آسیب‌پذیر و یا بروزرسانی کد برنامه‌ی کاربردی در جهت حذف آسیب‌پذیر انجام می‌شود.

پشتیبانی و نظارت

همانند نیازمندی‌های سیاستی امنیتی، محیط‌های اجرایی سازمان‌ها پویا هستند و به مرور زمان توسعه می‌یابند و همواره آسیب‌پذیری‌های امنیتی جدیدی کشف می‌شود. بنابراین مدیریت آسیب‌پذیری به جای یک فعالیت مقطعی، باید یک فرآیند جاری در نظر گرفته شود.

پیاده‌سازی مدیریت آسیب‌پذیری

تلفیق محیط‌های پیچیده، سطوح دسترسی، برنامه‌های کاربردی و تهدیدات را به موجودیت‌هایی ناپایدار برای پشتیبانی و تامین امنیت تبدیل نموده است. اما با درک صحیح، برنامه‌زیری مناسب و برنامه امنیتی که اجرا و پیگیری می ‌شود می‌توان راحت‌تر به مدیریت آن‌ها پرداخت.

امنیت اطلاعات یک فرآیند نوظهور در کسب و کار محسوب می‌شود و نیازمند آن است که به صورت بالا به پایین در یک سازمان، درک و پیاده‌سازی شود. مدیریت آسیب‌پذیری یکی از اجزای مهم امنیت اطلاعات است. مدیریت آسیب‌پذیری مطلوب ترکیبی از نیروی انسانی، فرآیندها و فناوری است که یک بستری امن را برای سازمان فراهم و پشتیبانی می کند. همان‌گونه که پیش‌تر اشاره شد، مدیریت آسیب‌پذیری شامل کشف آسیب‌پذیری، تحلیل تهدید، گام‌های رفع و زیرساخت است که توسعه و نظارت مداوم و مناسب را فراهم می‌آورد.

چرخه حیات مدیریت آسیب‌پذیری

مدیریت آسیب‌پذیری باید دارای یک ره‌یافت سیستماتیک باشد تا تهدیدات سازمان‌های معظم را شناسایی و اولویت‌بندی کند و تمرکز بودجه و تلاش سازمان را به بزرگ‌ترین تهدیدات رهنمون سازد. در همین راستا چرخه‌‌ی حیات مدیریت آسیب‌پذیری  مطرح می‌شود.

چرخه‌‌ی حیات مدیریت آسیب‌پذیری

در ادامه ۱۲ گام مهم که در هر چرخه‌‌ی حیات مدیریت آسیب‌پذیری لازم است آورده شده است. البته پرواضح است که براساس محیط‌ها و سازمان‌های مختلف، گام‌ها و رویکردها گوناگون هستند. در بازار ابزارهای جدید و خودکار برای پوشش بسیاری از این گام‌ها وجود دارد اما باید همواره و همیشه این نکته را مدنظر داشت که مدیریت آسیب‌پذیری یک پروژه و یا محصول نیست. مدیریت آسیب‌پذیری یک روش و متدولوژی است که باید هم گام با سایر فرآیندهای جاری کسب و کار پیاده‌سازی و پشتیبانی شود. اگر حتی محصولی هم برای پوشش بخش یا اکثر فعالیت‌ها وجود دارد، شما و تیم شما باید همواره و همیشه در نظر داشته باشید که این گام‌ها برای حصول اطمینان از بکارگیری صحیح محصول تهیه شده است بجای آن که فکر کنید که همه چیز در جای خود است و به درستی کار می‌کند.

در بخش‌های آتی به بررسی گام‌های شش‌گانه خواهم پرداخت