رفقای خوب و عزیزم! بدنیست این نکات رو به هنگام کد زدن در نظر داشته باشیم تا علاوه بر افزودن به کیفیت کد و محصول نهایی، از لحاظ امنیتی هم گام مناسبی برداشته باشیم.
منبع این مطلب یکی از معتبرترین مراجع امنیت حوزه نرمافزار یعنی CERT دانشگاه کارنگی ملون است.
خب، ایندفعه میخوام یه فهرستی برای ارزیابی یه مدیر پروژه خوب رو عنوان کنم. البته نکات فراوانی رو میشه در ذهن پروروند، اما خب به عنوان معیار اولیه میشه روی این نکات، تاکید کرد.
همونطوری که همه میدونیم اگر جلودار و مدیر یک گروه، به وظایف خودش آگاه باشه و درست عمل بکنه (V&V)، میشه سرانجام خوبی رو برای اون گروه متصور بود. البته از همکاری و تعامل سایر اعضای گروه نباید غافل بود و اونها رو در نظر نگرفت اما هماهنگیهای اصلی و آمادگی گروه برای چالشهای بزرگ رو میشه از وظایف اصلی مدیر، با بهرهگیری از حداکثر ظرفیت امکانات و منابع، در نظر داشت
بالاخره بعد از مدتها دوباره فرصت شد تا ادامه کار رو روی سایت قرار بدم. نمیخواستم این همه فاصله بیافته؛ اما چه کنیم که نمیشه.
خب، در گامهای قبلی فهرستی از داراییها تهیه کردید و نقش و تاثیر هر کدام را از منظر سازمان معین نمودید. حال باید معیارهای سنجش رو نیز مشخص کنید که در ادامه به آن اشاره میکنم.
بسیار خب در گام قبلی فهرست کاملی از تمامی داراییهای سازمان تهیه کردیم. در این گام فعالیت اصلی، تعیین نقش هر یک داراییها است. در دنیای امروز که اکثر فعالیتها ماشینی شده است، پرواضح است که میتوان اهمیتی خاصی را برای هر یک از تجهیزات قایل شد و در برخی از موارد (که اگر از کلمه اکثر استفاده کنم اغراق نکردهام) دارای درجه اهمیت بالاتری هست.
پس در این گام باید نقش(های) هر دارایی در سازمان مشخص شود که در ادامه نقش هر یک به درک تاثیر بر روی کسب و کار کمک شایانی خواهد کرد. برای مثال اگر یک وب سرور از کار بیافتد نسبت به آن که سیستم Core Banking از کار بیافتد تاثیر بسیار کمتری خواهد داشت. البته تاثیرات برای هر سازمان متفاوت است.
Continue reading “گام سوم مدیریت آسیبپذیری – نقش داراییها” »
پس از تعیین نقشها و مسئولیتها در گام اول مدیریت آسیبپذیری نوبت به تهیه فهرست داراییها (asset) میرسه
در این گام شما مشخص میکنید که چه دارید و از همه مهمتر مشخص میکنید که چه باید امن شود و سپس به نحوهی چگونگی امن کردن آن میپردازید. شاید در وحلهی اول آن را فعالیتی ساده تلقی کنید اما برعکس میتواند عملی عظیم برای بسیاری از سازمانها باشد[۱]. معمولا دادههای مهم در مکانهای پراکندهای از شبکهی سازمان قرار دارند و شبکه به صورت نامناسب و مستند نشده رشد میکند که میتواند به این سختی بیافزارد.
Continue reading “گام دوم مدیریت آسیبپذیری – تهیه فهرست داراییها” »
