مجله علمی تفریحی بیبیس

پست های اخیر

0

دانلود کتاب گام در مدیریت ریسک امنیت سایبری

بازدید 882
  • عنوان کتاب: Stepping Through Cybersecurity Risk Management
  • نویسنده/انتشارات: Eugene H. Spafford
  • حوزه: مدیریت مخاطرات
  • سال انتشار: 2024
  • تعداد صفحه: 335
  • زبان اصلی: انگلیسی
  • نوع فایل: pdf
  • حجم فایل: 11.9 مگابایت

در طول حرفه‌ام، من برای یافتن راه‌هایی برای ارائه امنیت رایانه، سپس امنیت اطلاعات، و اکنون چشم‌انداز امنیت سایبری به کسانی که خارج از این حرفه هستند، به چالش کشیده شده‌ام. تازه واردان به حوزه امنیت سایبری معمولاً در موقعیت‌های سطح پایین شروع می‌کنند، جایی که برایشان دشوار است که دسترسی همه‌جانبه یک برنامه امنیت سایبری در شرکت بزرگ‌تر را ببینند. یکی از اولین تلاش های من برای توضیح این موضوع در یک محیط رسمی در شکل 1 نشان داده شده است (بایوک 1996). دایره بیرونی شکل مؤلفه‌هایی را نشان می‌دهد که می‌توانند برای انواع حوزه‌های مدیریتی به‌طور کل‌نگر در سطح فرآیند کسب‌وکار قابل اجرا باشند، با دایره داخلی پشتیبانی عملیات امنیت سایبری که به طور محکم درون آن قرار دارد. این نمودار توسط انجمن حسابرسی و کنترل سیستم های اطلاعاتی (ISACA) زمانی که برنامه مدیر امنیت اطلاعات گواهی شده (CISM) را توسعه داد، اتخاذ شد و برخی از اشکال آن از آن زمان در مواد آموزشی ISACA CISM وجود داشته است (Bayuk 2004). مانند هر رشته مدیریت ریسک (مثلاً ریسک اعتباری)، ترکیب برنامه امنیت سایبری با استراتژی شروع می شود. با مشورت با اهداف تجاری، نقش‌ها و مسئولیت‌هایی برای کاهش ریسک امنیت سایبری تعیین می‌شود و رهبری کسب‌وکار در آن حوزه‌ها استراتژی را برای تحقق آن تدوین می‌کند. این استراتژی به ذینفعان ابلاغ می شود تا به طور رسمی همکاری خود را جلب کنند، و مانند هر رشته مدیریت ریسک دیگری، این امر به عنوان دستورات مدیریت در یک سیاست امنیت سایبری ختم می شود. سپس آن خط مشی با فعالیت های آگاهی (به عنوان مثال، آموزش) تکمیل می شود تا افرادی که نیاز به اجرای این خط مشی دارند، چه کارکنان امنیت سایبری و چه دیگران، بفهمند که برای پیروی از این خط مشی باید چه کاری انجام دهند. پس از اجرای یک خط مشی، فرآیندهای عملیاتی برای حمایت از کسب و کار با استانداردها، اتوماسیون و رویه هایی که کاهش ریسک را انجام می دهند، توسعه می یابند. فعالیت‌ها برای اطمینان از اینکه عملیات امنیت سایبری تأثیر مطلوبی در تحقق سیاست امنیت سایبری و کاهش خطر امنیت سایبری دارد، نظارت می‌شود. اگر خط‌مشی‌ها از نظر شکاف‌ها، مانند نقض آشکار خط‌مشی و/یا حملات موفقیت‌آمیز امنیت سایبری، هنگام کشف شکاف‌ها، نظارت می‌شوند، تیم امنیت سایبری باید در حالت انطباق یا فرآیند اصلاح قرار گیرد. اصلاح ممکن است مستلزم تعمیر ساده نرم افزار خراب باشد تا اطمینان حاصل شود که شرکت با خط مشی مطابقت دارد و در معرض خطر کمتری برای نقض امنیتی است. در موارد جدی تر، ممکن است سیاست اتخاذ شده در سطح اجرایی منجر به راهبردی نشده باشد که کارآمد باشد. بنابراین ممکن است مجبور شویم به عقب برگردیم و به استراتژی خود نگاه کنیم. این چرخه تکراری در هر عملیات تجاری یکسان است، که توسط استراتژی آشنای دراکر و دمینگ که در مدارس کسب و کار تدریس می شود، یعنی مدیریت برنامه ریزی، انجام، بررسی و عمل با مشاهده، فرآیند و کنترل بیان شده است. امنیت سایبری از همه استراتژی‌های مشترک برای هر نوع فعالیت مدیریتی استفاده می‌کند. از این نظر منحصر به فرد است که دامنه از نظر فنی چالش برانگیز است و دائماً در حال تغییر است و هدف حفظ امنیت سایبری و ایمنی اینترنت است.

Throughout my career, I have been challenged to find ways to present the computer security, then the information security, and now the cybersecurity landscape to those outside the profession. Newcomers to the field of cybersecurity generally start in low-level positions where it is hard for them to see the ubiquitous reach of a cybersecurity program within the larger enterprise. One of my first attempts to explain this in a formal setting is illustrated in Figure 1 (Bayuk 1996). The outer circle of the figure depicts components that would be applicable to a variety of management domains holistically at the business process level, with the inner circle of cybersecurity operations support nested firmly within it. This diagram was adopted by the Information Systems Audit and Control Association (ISACA) when it developed the Certified Information Security Manager (CISM) program, and some form of it has been in ISACA CISM training materials ever since (Bayuk 2004). As in any risk management discipline (credit risk, for example), a cybersecurity program composition starts with strategy. In consultation with business objectives, roles and responsibilities for accomplishing cybersecurity risk reduction will be assigned, and business leadership in those areas will formulate a strategy for making it happen. That strategy is communicated to stakeholders to formally enlist their cooperation, and, just as with any other risk management discipline, this ends up as management mandates in a cybersecurity policy. That policy is then supplemented with awareness activities (e.g., training) so that people who need to implement the policy, both cybersecurity staff and others, understand what they need to do to comply with the policy. Following the implementation of a policy, operations processes are developed to support the business with standards, automation, and procedures that accomplish risk reduction. Activities are monitored to make sure the cybersecurity operations have the desired effect of accomplishing cybersecurity policy and reducing cybersecurity risk. If policies are monitored for gaps, such as blatant violations of policy and/or successful cybersecurity attacks, when gaps are discovered, the cybersecurity team should fall into a compliance mode or a remediation process. A remediation might entail a simple fix of broken software to ensure the enterprise is in compliance with policy and at lower risk for a security breach. In more serious cases, it may be that the policy adopted at the executive level did not result in a strategy that worked. So we may have to go back and look at our strategy. This iterative cycle is the same in any business operations, articulated by the familiar Drucker and Deming strategy taught in business schools, namely, plan-do- check- act management by observation, process, and controls. Cybersecurity uses all the same strategies common to any type of management activity. It is unique in that the domain is technically challenging and constantly changing, and the goal is to maintain cybersecurity and internet safety.

این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:

Download: Stepping Through Cybersecurity Risk Management

مشاهده بیشتر

نظرات کاربران

  •  چنانچه دیدگاه شما توهین آمیز باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه تبلیغاتی داشته باشد تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

مطالب تصادفی ماه گذشته

بیشتر بخوانید

آهنگ خارجی
کتب علمی
رمان انگلیسی
کتب عمومی