تامین امنیت فناوری اطلاعات در گرو همکاری تیم‌ امنیت با مدیریت دارایی فناوری اطلاعات

• شنبه 28 دی 1398
• 0 نظر

تامین امنیت فناوری اطلاعات در گرو همکاری تیم‌ امنیت با مدیریت دارایی فناوری اطلاعات

در کنار این مشکل، شاهد افزایش دارایی‌های فناوری اطلاعات هستیم که در فضای ابری (Cloud) میزبانی می‌شوند و این مسئله کار مدیریت دارایی فناوری اطلاعات را سخت‌تر کرده است. آگاهی از همه این برنامه‌های کاربردی (application) مورد استفاده -چه برنامه‌های معطوف به سرویس‌های وب آمازون (AWS)، چه پلت‌فرم ابری گوگل، چه آزور (Azure) و چه نرم‌افزارهایی که به مثابه‌ یک خدمت (SaaS) ارائه می‌شوند- وضعیت چالش‌برانگیز دیگری برای مدیریت دارایی ایجاد کرده است. یک رویکرد این است که ببینیم چه فرد دیگری در این کسب‌وکار به فهرست دقیق و به‌روز دارایی‎ها نیاز دارد و چرا؟ برای مثال، تیم‌های امنیت فناوری اطلاعات باید بتوانند ایمنی دارایی‌های شرکت را -از داده‌ها و مالکیت معنوی گرفته تا دارایی‌های فناوری اطلاعات- در برابر تهدیدات بیرونی حفظ کنند. همچنین، این تیم‌ها باید فهرست دقیقی از نرم‌افزارها و آسیب‌پذیری‌های حوزه فناوری اطلاعات داشته باشند، و بررسی کنند که آیا آنها ریسکی برای سازمان محسوب می‌شوند یا نه؟ پس از آن، چگونگی نصب یا تعمیر آنها در طی زمان را در اولویت قرار دهند. این داده‌ها به یک اندازه برای تیم‌های مدیریت دارایی درعوض، این تیم‌ها باید با هم همکاری داشته باشند تا مطمئن شوند که از همه با این حال، تیم‌های امنیت فناوری اطلاعات برای استفاده از این داده‌ها برای مدیریت مستمر نرم‌افزار، مجوزها و خدمات داشته باشند. این در عمل بدان معنی است که این تیم‌ها باید در ایجاد فهرست دقیقی از دارایی‌های فناوری اطلاعات و بلادرنگ به‌روز نگه داشتن آنها، با هم همکاری کنند. از نظر منطقی، تیم امنیت باید حافظ و مسئول مدیریت این داده‌ها باشد. دسترسی تیم‌های مدیریت دارایی فناوری اطلاعات و مدیریت امنیت فناوری اطلاعات به این داده‌ها می‌تواند به تغییر در اولویت‌های آنها و شاخص‌های کلیدی عملکرد (KPI) بینجامد. به جای اینکه هدفتان تدارک فهرستی از دارایی‌ها و درست نگه داشتن آن‌ها باشد، تمرکزتان را بیشتر بر نحوه استفاده از این داده‌ها برای انطباق با مجوز، کاهش هزینه و تخصیص مجدد دارایی‌ها در صورت لزوم، قرار بدهید. به‌جای اینکه یک تیم مسئول باشد و سایر افراد برای تهیه اطلاعات از آنها استفاده کنند، باید رویکردی دو سویه وجود داشته باشد. این بدان معناست که هر سیستم امنیتی یا CMDB اجراشده باید بتواند هر سیستم‌ دیگری را که تیم‌های دیگر با داده‌های جدید از آن استفاده می‌کنند، به‌روز کند. این واریانس، مدیریت پیگیری بین تیم‌ها را دشوارتر می‌کند؛ این مسئله روند مدیریت دارایی و انطباق مجوز را برای مدیریت دارایی فناوری اطلاعات پیچیده می‌کند. برای آسان‌تر شدن مدیریت واریانس، داده‌های فهرست دارایی‌ها باید به عنوان بخشی از توسعه‌ داده‌های مربوط به دارایی‌ها، به حالت عادی دربیایند. در حالی که تمرکز داده‌ها بر دارایی‌ها و نحوه استفاده از آنها می‌تواند نیل به این امر را میسر کند، همکاری بین فرآیندهاست که به تیم‌های متعدد کمک می‌کند تا به اهداف متفاوتشان دست یابند.