1396/5/24 سه شنبهشنا بر خلاف جریان رودخانه:
تقابل مقررات و امنیت
در سخنرانی کلیدی همایش Security BSides امسال، به مسئله تقابل امنیت و مقررات پرداخته شد. در این جلسه، از سه مسئله تعدد چارچوب های مقرراتی، پیروی از مقررات به عنوان یک نمایش امنیتی و زیاد از حد وسواس به خرج دادن در بررسی همه چیز به عنوان چالش های اصلی در مسیر حفظ تعادل میان اجرای تجربیات برتر امنیتی و پیروی از مقررات یاد شد.
رابرت وود هنگام ارائه سخنرانی کلیدی در همایش Security BSides 2017 در سانفرانسیسکو، موضوع مبارزه طولانی مدت میان امنیت و مقررات را مطرح کرد و برخی چالش های کلیدی در اجرای تجربیات برتر امنیتی در کنار پیروی از مقررات را مورد بحث قرار داد. در این جلسه که «شنا بر خلاف جریان رودخانه: مقررات در برابر امنیت»  نام داشت، وود به سه مسئله اصلی پرداخت که بسیاری از مشکلات امنیتی و مقرراتی فعلی را ایجاد نموده اند. وود توضیح داد که مسئله اول به این حقیقت مربوط است که در حال حاضر، هزاران هزار چارچوب مقرراتی مختلف وجود دارد و ما «در حال غرق شدن در پیچیدگی های مربوط به پیروی از مقررات» رها شده ایم. این امر باعث می گردد تیم های امنیتی که همین الان نیز تحت فشار کاری فراوانی قرار دارند، با مسائل اضافی بیشتری درگیر شوند.
مسئله دوم، موضوع «پیروی از مقررات به عنوان یک نمایش امنیتی» است. این نمایش در حال حاضر به روالی عادی برای شرکت ها تبدیل شده است تا هنگام مواجهه با ممیزی ها، خود را به بهترین شکل ممکن نمایش دهند و از خود تصویری به عنوان یک شرکت تابع مقررات امنیتی و قانون مدار از نظر موازین کسب وکاری ارائه نمایند. با این حال، نه تنها این تصویر غالباً تصویری واقع گرایانه از میزان تبعیت آنان از مقررات نیست؛ بلکه به علت وجود محدودیت های بودجه ای، چارچوب های کنترلی به کاررفته معمولاً در پوشش دادن برخی بردارهای حمله بسیار رایج، نظیر مهندسی اجتماعی، ناتوان هستند.
در نهایت، وود با این بیان به آخرین مشکل اشاره کرد: وسواسِ «هیچ چیز نباید از چشم پنهان بماند». در این وضعیت، افراد چنان مشتاق و درگیر ردگیری تمامی کنترل ها هستند که تجربیات برتر امنیتی را فراموش می کنند و نسبت به این که آیا کنترل های پیاده سازی شده حقیقتاً کارامد هستند یا خیر، غافل می گردند.
وود ادامه داد: «موقعیت کنونی ما بدین ترتیب است یا حداقل این موقعیتی است که ما در آن قرار داشته ایم. بنابراین اکنون زمان آن فرا رسیده است تا از خود بپرسیم که چگونه می توانیم این شرایط را تغییر دهیم». سپس، موارد زیر را به عنوان راهبردهایی مفید برای ایجاد این تغییر پیشنهاد داد:
• افراد و تشکیلاتی را که می توانند در ایجاد این تغییرات یاری دهنده باشند، بیابید؛
• بفهمید مهمترین مسائل برای آن افراد و تشکیلات چه هستند؛ آیا مسئله تماماً به مقررات مربوط می شود یا وجه امنیت مهمتر است؟
• تلاشها و اقدامات خود را آشکار نمایید. از فعالیت در پشت پرده اجتناب کنید و به افراد نشان دهید که چه مقدار کار باید واقعاً انجام شود و این که پیروی از مقررات کار چندانی پیش نمی برد.
• مسئله پیروی از مقررات را برای افرادی که این مسئله حقیقتاً بر روی آنها تأثیرگذار است، به مسئله ای شخصی تبدیل کنید؛ با آنها با زبان خودشان ارتباط برقرار نمایید.
• مهلت زمانی تعیین کنید و افراد را پاسخگو و مسئول بدارید.
• خودکارسازی را در رویه های پیروی از مقررات و پایش میزان پیروی از مقررات پیاده سازی نمایید؛ هر چه ما بیشتر از خودکارسازی استفاده کنیم، موقعیت ما بهتر خواهد شد.
سپس، وود استدلال نمود که گام بزرگ دیگر در مسیر مقابله با مشکلات، این است که بپذیریم نیاز داریم توصیفی جدید از بحث مخاطره بیان کنیم. او گفت: «ما باید از این که صرفاً به موارد امنیتی عناوینی چون خطر کم، متوسط و زیاد نسبت بدهیم، فاصله بگیریم؛ زیرا این عناوین ممکن است توسط افراد مختلف به شکل کاملاً متفاوتی تفسیر گردند». وود ادامه داد: «من تأکید می کنم که باید هر چه سریع تر به سمت سنجش و آزمون با ارقام و اعداد روی بیاورید. بحث و جدل نمودن و باطل خواندن آمار و ارقام بسیار دشوارتر از باطل خواندن کیفیت هایی نظیر کم، متوسط و زیاد است؛ زیرا هر کسی می تواند تفسیر و نظر خودش را درباره این کیفیت ها داشته باشد».

منبع: http://www.infosecurity-magazine.com

 
امتیاز دهی
 
 

بيشتر

آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.