پس از معرفی مختصری از آسیبپذیری، نوبت به آشنایی با نجوه مدیریت آن در پروژهها میرسد تا با این عمل بتوانیم کیفیت خدمات و محصولات را مدیریت نماییم
مدیریت آسیبپذیری یک عملیات چرخهای برای شناسایی، طبقهبندی، جبران خسارت و رفع آسیبپذیری است. اغلب این آسیبپذیری را در سیستمهای رایانهای، منتسب به نرمافزار میدانند.
برنامههای مدیریت آسیبپذیری
معمولا برای تعریف برنامههای این فرآیند تعریف مشخصی وجود ندارد، اما شرکت گارتنر (Gartner) شش گام اساسی را مدیریت آسیبذیری تعریف میکند.
تعیین سیاست
فعالیت سازمانها برای شروع باید از ترسیم چشمانداز خود از وضعیت امنیتی محیطشان آغاز شود. این چشمانداز شامل تعیین تجهیزات مطلوب، پیکربندی خدمات و قواعد کنترل دسترسی برای تخصیص دسترسی کاربران به منابع، میشود.
محیط مبنا
پس از تعیین و تعریف سیاستهای کلان، سازمان برای آگاهی از وضعیت امنیتی جاری اقدام به ارزیابی محیط نماید و نقاطی را که نمونههایی از نقض سیاست رخ میدهد را مشخص نماید.
اولویتبندی آسیبپذیریها
هر نقض سیاست آسیبپذیری محسوب میشود. این آسیبپذیریها براساس ریسک و شرایط کاری اولویتندی میشوند.
رفع آسیبپذیری
در نهایت ریشهها و سرچشمهی علت آسیبپذیری باید برطرف گردد. این فعالیت معمولا با اعمال وصله برای خدمات، تغییر پیکربندی آسیبپذیر و یا بروزرسانی کد برنامهی کاربردی در جهت حذف آسیبپذیر انجام میشود.
پشتیبانی و نظارت
همانند نیازمندیهای سیاستی امنیتی، محیطهای اجرایی سازمانها پویا هستند و به مرور زمان توسعه مییابند و همواره آسیبپذیریهای امنیتی جدیدی کشف میشود. بنابراین مدیریت آسیبپذیری به جای یک فعالیت مقطعی، باید یک فرآیند جاری در نظر گرفته شود.
پیادهسازی مدیریت آسیبپذیری
تلفیق محیطهای پیچیده، سطوح دسترسی، برنامههای کاربردی و تهدیدات را به موجودیتهایی ناپایدار برای پشتیبانی و تامین امنیت تبدیل نموده است. اما با درک صحیح، برنامهزیری مناسب و برنامه امنیتی که اجرا و پیگیری می شود میتوان راحتتر به مدیریت آنها پرداخت.
امنیت اطلاعات یک فرآیند نوظهور در کسب و کار محسوب میشود و نیازمند آن است که به صورت بالا به پایین در یک سازمان، درک و پیادهسازی شود. مدیریت آسیبپذیری یکی از اجزای مهم امنیت اطلاعات است. مدیریت آسیبپذیری مطلوب ترکیبی از نیروی انسانی، فرآیندها و فناوری است که یک بستری امن را برای سازمان فراهم و پشتیبانی می کند. همانگونه که پیشتر اشاره شد، مدیریت آسیبپذیری شامل کشف آسیبپذیری، تحلیل تهدید، گامهای رفع و زیرساخت است که توسعه و نظارت مداوم و مناسب را فراهم میآورد.
چرخه حیات مدیریت آسیبپذیری
مدیریت آسیبپذیری باید دارای یک رهیافت سیستماتیک باشد تا تهدیدات سازمانهای معظم را شناسایی و اولویتبندی کند و تمرکز بودجه و تلاش سازمان را به بزرگترین تهدیدات رهنمون سازد. در همین راستا چرخهی حیات مدیریت آسیبپذیری مطرح میشود.
چرخهی حیات مدیریت آسیبپذیری
در ادامه ۱۲ گام مهم که در هر چرخهی حیات مدیریت آسیبپذیری لازم است آورده شده است. البته پرواضح است که براساس محیطها و سازمانهای مختلف، گامها و رویکردها گوناگون هستند. در بازار ابزارهای جدید و خودکار برای پوشش بسیاری از این گامها وجود دارد اما باید همواره و همیشه این نکته را مدنظر داشت که مدیریت آسیبپذیری یک پروژه و یا محصول نیست. مدیریت آسیبپذیری یک روش و متدولوژی است که باید هم گام با سایر فرآیندهای جاری کسب و کار پیادهسازی و پشتیبانی شود. اگر حتی محصولی هم برای پوشش بخش یا اکثر فعالیتها وجود دارد، شما و تیم شما باید همواره و همیشه در نظر داشته باشید که این گامها برای حصول اطمینان از بکارگیری صحیح محصول تهیه شده است بجای آن که فکر کنید که همه چیز در جای خود است و به درستی کار میکند.
در بخشهای آتی به بررسی گامهای ششگانه خواهم پرداخت
دیدگاه ها