پیش به سوی مدلی جهت مدیریت امنیت

مدیر انجمن: شورای نظارت

نمایه کاربر
GOD Send
Administrator
پست: 7350
تاریخ عضویت: پنج شنبه 2 اردیبهشت 1389, 11:30 pm
تشکر شده: 5 دفعه

پیش به سوی مدلی جهت مدیریت امنیت

پست توسط GOD Send » سه شنبه 8 آذر 1390, 6:43 pm

       
    پیش به سوی مدلی جهت مدیریت امنیت        
   

● رسیدگی به چالش های امنیتی اقدامات بشر دوستانه

چالش هایی که آژانس های مسئول اقدامات بشر دوستانه با آن در شرایط سخت مواجه شدند بیانگر نیاز آنها به یک سیستم پویا و مسنجم جهت حفظ امنیت آنها است. اقدامات امنیتی نمی تواند به تنهایی پاسخگوی تمام سوالات باشد. بنابراین ما باید یک گام فراتر نهاده و دست به ایجاد یک مدل خاصی برای مدیریت امنیت بزنیم. در این مقاله ما یک قالب کلی برای فرآیند مدیریت امنیت پیشنهاد می کنیم که خود می تواند یک رویکرد سودآور به مدیریت امنیت نیز باشد. هر دو عنوان باید به آژانس ها و کارمندان اجازه دهد که استراتژی هایی امنیتی اقدامات بشر دوستانه را بهتر عهده دار شوند.

● مدیریت امنیت در مقابل نقشه ها و طرح های امنیتی

بعضی از آژانس های بشر دوستانه موثر و با نفوذ یک نقشه امنیتی دارند که در کشوی پنجم میز مدیریت رئیس قرار دارد (البته اکثر آژانس ها کشوی پنجم پر از مدارک دیگر است و هیچ فضایی برای نقشه امنیتی نیست) نقشه امنیتی حتی ممکن است شامل یکسری اقدامات امنیتی، طرح تماس ها و قوانین امنیتی باشد که ممکن است به عنوان خطوط راهنما مفید باشد اما به این اصل که امنیت به یک مدیریت جامع مناسب نیاز دارد نائل نشده باشد و این به این معنی است که ما به چیزی فراتر از نقشه امنیتی نیاز داریم. امنیت از بین تمام جنبه های کاری یک آژانس در یک سناریوی متداخل عبور می کند.

با ارزیابی یک مفهوم در حال تغییر (سناریوهای متضاد می توانند به سرعت تغییر کنند) با جریان اطلاعا (ضبط و ارزیابی رخدادهای امنیتی) با کارکنان ( از نیروی تازه به کار گرفته شده تا نیروهای در حال آموزش و نیروهایی که به شکل تیمی کار می کنند) با بخش بودجه ریزی و هزینه و بقیه بخش ها ( برای یک تحلیل عمیق مدیریت امنیت رجوع کنید به نوشته های مربوطه.

تنها سوال باقیمانده اکنون این است: ما چگونه می توانیم انسجام لازم جهت امنیت را در تمام سطوح مدیریت کار آژانس ایجاد کنیم؟ همان طور که اشاره شد نقشه های امنیتی معمولا جداگانه از طرح های کاری اجرا می شوند و معمولا به صورت یک نوشته یا سند ایستا در می آیند. و همچنان جدا از عملیات آژانس و فعالیت های مدیریت قرارگاه و اقدامات پویای امنیتی قرار می گیرند.

اما داشتن چنین طرح هایی ممکن است یک تمرین خوب امنیتی که از داشتن نگرش های لازم کلی گرایانه به امنیت، آژانس را منع می کند تلقی شود. به عبارت دیگر، آنچه که ما اینجا بیان می کنیم این است که چنین طرح هایی ممکن است در واقع در جهت نیل به سطح واقعی از امنیت در زمان کار کردن در یک محیط تند و خشن باشد. ما نیاز داریم که امنیت را مدیریت کنیم به جای این که طرحی برای آن در نظر بگیریم. اجازه دهید که مطابق شکل زیر آن را تجسم کنیم و ببینیم چطور می توانیم به این هدف دست یابیم.

می توانیم نمودار را از چپ به راست بخوانیم. طبق خطوط استاندارد مدیریت (از تحلیل سناریو تا طرح های کاری، اجرا و ارزشیابی) از این نمودار ما می توانیم بفهمیم چطور امنیت می تواند با فرآیند مدیریت پروژه منسجم شود.

امنیت در زمان تحلیل سناریو و استقرار اهداف و ابزار کار فضای مشخص اشغال می کند به همان میزان که امنیت در طراحی کار، پیگیری آن و ارزیابی نتایج آن نقش دارد. خطوط راهنمای امنیت جایگاه ویژه ای در تمام فرآیند دارد، مخصوصا وقتی که تبدیل به اسناد کاری می شوند که می توان از آنها بازخود استخراج کرد. (از پیگیری تا ارزیابی مراحل) و شاید بتواند فعالیتی را که در اولین مرحله آژانس در حال رخداد بوده متوقف کند.

همچنین می توانیم ببینیم که نمودار به ۳ حلقه امنیتی توجد دارد، که به فرآیند ( سوابق و ارزیابی های اتفاقات امنیتی) خورانده می شود.

حلقه O به این معنی است که بعد از رخداد امنیتی هیچ اتفاقی رخ نمی دهد. ممکن است این قضیه به خاطر این باشد که نیازی به اقدام یا عملی نیست یا بخاطر این باشد که هیچ اتفاقی رخ نداده است. حلقه اساسی به ارزیابی چه در بخش خطوط راهنما یا ترجیحا طرح کاری اجازه خورانده شدن می دهد. (وارد طرح می شود) حلقه اساسی اقدامات امنیتی مشخص و عکس العمل هایی که ممکن است خطوط راهنما را خلق کند یا گسترش دهد تعیین می کند. برای مثال وقتی بعد از یک رخداد امنیتی (مثل تهدید یک بمب) آژانس یک رویه عملیاتی استاندارد برای موجه شدن با بمب آماده می کند. اگر حلقه اساسی به طرح کار خوارنده شود ممکن است به آژانس اجازه دهد که تغییرات و تطابق ها را در محیط در نظر بگیرد. بدین روش می تواند عکس العمل مناسبی در مقابل بمب داشته داشته باشد. حلقه استراتژیک فرآید را یک گام جلوتر می برد. به این صورت که در مرحله استراتژی و تحلیل سناریو به رخداد امنیتی خورانده می شود، اگر بخواهیم مثال قبلی را دنبال کنیم، اگر آژانس مکانیسمی برای حلقه استراتژیک داشته باشد مثل تیم های کاری به آژانس اجازه خواهد داد که تاثیر برنامه آن را روی ابزار و موارد و علایق بازیگران معین و طرح ها و استراتژی adhoc در ادامه برنامه در نظر بگیرد و در غیر این صورت فضای کاری خود را حفظ کند یا برنامه خود را تغییر دهد با در نظر گرفتن بقیه متغیرها (مثل آسیب پذیری) به خوبی اصول و تعهد آن.

همان طور که می بینیم حلقه اصلی فرآیند کمینه ای است برای این که بتواند فرآیند امنیتی اصلی نیز باشد. (بعضی رویه ها و اسناد را ارائه می کند مثل طرح های تماسی یا اقدامات امنیتی موجود و یا ترکیب شده با انواع دیگر)

این حلقه اصلی تنها حلقه ای که شما می توانید بیابید که در این زمینه بتواند در سازمان کارا باشد، بخصوص در یک روش ناقص (به طور مثال طرح های تماسی وجود نداشته باشد یا مکانیسمی برای ارزیابی به منظور خوراندن به طرح کاری وجود نداشته باشد). حلقه اصلی همچنین به این دلیل مهم است که حداقل به آژانس این ا جازه را می دهد که یک فرآیند رو به رشد برای گسترش رویه های امنیتی داشته باشد. همچنان که می بینیم هم اکنون هیچ آژانسی کار خود را همراه با پیشروی فرآیند امنیتی انجام نمی دهد. و ظرفیت برای گسترش آن به تدریج برای نیل به پایه های امنیت اساسی مهم و حیاتی است. حلقه استراتژیک (درنظر بگیرید حلقه اصلی هم کار می کند) ابزار قدرتمندی برای رسیدن آژانس به رویکرد مدیریت امنیت است همچنان که به مدیران اجازه می دهد که تصمیمات درستی درجهت جلوگیری از جنبه های اساسی آسیب پذیری در زمان طراحی برنامه ها (خصوصا در زمان تاثیر برنامه در سناریوی متداخل) اتخاذ نمایند.

لایه های پایین تر شکل به ما اجازه می دهد که ببنیم چه کسی مسئول مدیریت امنیت است، از پایین ترین سطح تا سطح فرمانداری. بعضی اوقات ماموری در آژانس وجود دارد اما کمتر پیش می آید که شما تیم مدیریتی سطح پایینی ببنید و خیلی کمتر پیش می آید که شما تیم مدیریتی در سطح فرمانداری و در سطوح بالا ببنید. این تیم ها نقش اساسی در بازخورد مکانیسم های کاری دارند. توالی زمانی که در شکل نشان داده شده است ممکن است ارائه دهنده این مطلب باشد که تیم مدیریت امنیت فقط می تواند سناریو را یک یا ۲ بار در سال تحلیل کند و تصمیمات مهم اتخاذ نماید. تنها به علت وضح بیشتر، شکل به گونه ای طراحی شده که تنها یک چرخه از فرآیند را نشان دهد. اما البته چرخه می توان (زمان های لازم به طور کامل یا قسمتی از آن) بارها در یک سال تکرار شود. (به طور مثال در منطقه بارسیک بالا) به این معنی که کاربرد بخش حلقه استراتژیک سناریوی مکرر و ارزیابی آسیب پذیری نام دارد. موقعیت آن (در وسط بین سطح برنامه سطح بالای برنامه یا راس و سطح پایین –یا سطح کاری) به این معنی است که چنین ارزیابی هایی ممکن است به مشارکت تیم مدیریت امنیت سطح پایین به عنوان تیم راهنما برای این هدف به همراه مامور امنیتی در راس نیاز داشته باشد.

بررسی چالش های امنیتی : مدیریت امنیت به عنوان یک فرآیند سود ده برحسب این که امنیت زیاد قابل پیش بینی نیست توانایی عملکرد آهسته در زمان رخداد یک اتفاق امنیتی ضروری است. مدیریت امنیت هرگز تمام نمی شود و همیشه ناتما و گزینشی است و به ندرت می تواند مبادرت به یک نمای طولانی مدت و منسجم از خود نماید.

کمک و مشارکت آن بستگی به توانایی آن در پیش بینی رخدادها و خاطرنشان کردن نیاز برای انسجام سازمانی و هماهنگی با رخداد اتفاقات غیرمنتظره دارد. شاید این موضوع خیلی جاه طلبانه نیست اما ما باید این موضوع را در نظر بگیریم که معمولا منابع کمی جهت امنیت استقرار داده می شوند بنابراین ما هرگز نمی توانیم به طور جامع عمل کنیم. مصلحت گرایی یکی از بایدها در مدیریت امنیت است.

همان طور که قبلا اشاره شد، در زمان مرور عملکرد امنیتی یک آژانس شما همیشه نوعی از خطوط راهنمای امنیتی یا طرح ها درباره علمکرد امنیت تا بی تمایلی نسبت به افزایش حجم با استقرار فعالیت های امنیتی جدید. عملکرد امنیتی غالبا به صورت مجزا، پویا و غالبا شهودی است.

در زمینه مدیریت امنیت پیگیری مرحله به مرحله و ایجاد تغییرات پیشبردی به سمت بهبود الزامی است. استراتژی های امنیتی و رویه ها قصد دارند که از دل زیر سیستم های استراتژیک بیرون بیایند که هر کدام از آنها منطقه مشخصی از کار را می پوشاند ( منطقی، تیمی که مشخصا با امنیت سر و کار دارد، یک مدیر فرمانداری تحت فشار الگوهایی برای امنیت) ترقی در مدیریت امنیت در را به روی فرآیندهای غیررسمی می گشاید و فضا را برای تغییرات اساسی لازم جهت کار باز می کند. تسریع بخشیدن به وقایع (مثل وقایع امنیتی) نیاز فوری به تصمیمات موقتی دارد که عملکرد امنیتی را شکل می دهد و البته اگر به درستی مدیریت شده باشد به طور گسترده ای تبدیل به جزئی از توافق اشتراک یافته بین اعضای تیم های مدیریت سطح بالا و سطح پایین می شود. تمام موارد بالا چگونه در جهت رسیدن به علمکرد مدیریتی خوب مدیریت می شود؟

یکسری محدودیت ها وجود دارد که سیستم را محدود می کند. حدود شناختی (تمام عوامل متاثر از امنیت نمی توانند به طور همزمان در جهت رسیدن به یک تصمیم کلی نگر عمل کنند) و حدود فرآیند (زمانبدی و توالی لازم جهت خلق آگاهی توافق را افزایش می دهد، مشارکت مردم را افزایش می دهد و گردش مناسب پرسنل را تامین می کند، فعالیت ها را به کار می برد و...)

بنابراین تقریبا تمام این زیر سیستم ها عملکردها باید مدیریت شود و توسط رویکرد پیشبردی به هم الحاق می شود. امنیت می تواند با منطق هر کدام از زیر سیستم ها سروکار داشته باشد. به این معنی که یک الگوی منسجم می تواند بین تصمیمات امنیتی و فعالیت های اجرا شده در آن زیر سیستم بماند. در سراسر سیستم، اهداف گسترده امنیتی و سیاست ها مستقر خواهند شد، بدین روش آنها می توانند یک سطح گسترده ای از فعالیت های مشخص و پیشنهادات را پوشش دهند، می توانند موضوعات مهم را مستقر کنند به وقایع غیر منتظره پاسخ دهند و به رخدادهای غیر منتظره پاسخ مناسب دهند. مدیریت امنیت مناسب فرآیندهای امنیتی و تصمیمات را با هم هماهنگ می کند. از شکست هایشان یاد می گیرند و خروجی های موفقیت آمیز ارائه می دهد. همان طور که در نمودار قبل نشان داده شد، چنین مدیریت امنیتی یک فرآیند پویا را دنبال می کند که نه آغازی دارند نه پایانی اما موثرترین و صرفه ترین سیستم است.

برای این که یک سیستم مدیریت امنیت سود ده باشدنیاز است که حتما حلقه استراتژیک و حلقه اساسی را داشته باشد. حلقه اساسی می تواند تا حدی گسترده شود که عملکرد امنیتی موجود را نیز بهبود بخشد و اجرای عملکردهای جدید را ارتقا دهد به همان اندازه که فضای مناسبی را ایجاد کند.

برای این حلقه مهم که طرح های کاری خورانده شود (تزریق شود) (یک رویه از پایین و بالا) حلقه استراتژیک نیاز به تصمیمات مدیریت سازمان دارد تا بتواند اجرایی شود. (یک روی از بالا به پایین) در کل بدنه های مدیریتی زیادی درگیر این فرآیند می شوند (سیاست ها، برنامه ها، بخش بودجه ریزی و سایر موارد) این ارتباطات می تواند در ماتریس زیر منعکس شود. همان طور که می بینید سطوح پیشرفت اجرای فعالیت های مدیریتی امنیت به خوبی مشخص شده است.

● نتیجه گیری

مدیریت امنیت با ریسک شدید و تغییر کند سناریوها و محل های آسیب پذیری آژانس های بشر دوستانه در دل چنین ریسکی مواجه است. بنابراین می تواند یک سیستم همیشه سبز و پویا باشد، یک قالب کاری برای راهنمایی و تدارک ابزار لازم برای تصمیمات آتی که منتهی به سود می شود. اگر بخواهیم غیر از این گونه عمل کنیم باید انکار کنیم که اطلاعات اضافی ارزش دارند. مدیریت امنیت تبدیل به یک عامل متداخل می شود، جایی که استراتژی ها و طرح های کاری با چالش های برجسته و سختی مواجه می شوند، این تداخل موجود به آژانس اجازه می دهد که به وقایع غیر منتظره درست در همان زمان که به کار بشردوستانه ثبات می دهد رسیدگی کرده و اقدام نماید.
       
   
   
            ماهنامه فناوری و توسعه صنعت بسته بندی ( www.persiapack.ir )    



بازگشت به “نظام های اطلاعات و مدیریت - Managment Articles”

چه کسی حاضر است؟

کاربران حاضر در این انجمن: کاربر جدیدی وجود ندارد. و 0 مهمان