اهمیت تجمیع داده‌های امنیت سایبری سازمانی و تبدیل آن به شاخص‌های قابل اندازه‌گیری

مقدمه

در عصر تهدیدات پیچیده سایبری، سازمان‌ها با حجم عظیمی از داده‌های مرتبط با امنیت مواجه هستند. این داده‌ها شامل جزئیاتی مانند آسیب‌پذیری‌ها، پیکربندی‌های نادرست سیستم‌ها، اهمیت دارایی‌ها و اطلاعات چشم‌انداز تهدیدات است که هر کدام در ابزارها و گزارش‌های مجزایی ذخیره می‌شوند. بدون یکپارچه‌سازی و تحلیل ساخت‌یافته‌ی این اطلاعات، درک وضعیت کلی امنیت سایبری سازمان دشوار می‌گردد. در واقع، وضعیت امنیتی یک سازمان نشان‌دهنده میزان آمادگی و توان دفاعی آن در برابر تهدیدات است

نهاد استانداردهای فناوری آمریکا (NIST) وضعیت امنیت سایبری را به صورت «وضعیت امنیتی شبکه‌ها، اطلاعات و سیستم‌های یک سازمان بر اساس منابع و قابلیت‌های امنیتی موجود برای دفاع و واکنش در برابر شرایط متغیر» تعریف می‌کند

برای دستیابی به تصویری شفاف از این وضعیت، سازمان‌ها نیازمند آن هستند که داده‌های پراکنده امنیتی خود را تجمیع کرده و آن‌ها را به شاخص‌های کمّی تبدیل کنند. در چنین شرایطی، تبدیل داده‌های توزیع‌شده امنیتی به یک فرمت واحد و قابل سنجش اهمیت می‌یابد. این مقاله به طور فنی و تحلیلی به بررسی ارزش تجمیع و همگن‌سازی اطلاعات امنیتی سازمان و تبدیل آن‌ها به شاخص‌های قابل اندازه‌گیری می‌پردازد. همچنین شاخص‌های معتبری نظیر Secure Score (امتیاز امنیتی)، شاخص تاب‌آوری سایبری (Cyber Resilience Index) و امتیاز بلوغ امنیت سایبری به عنوان نمونه‌هایی از این رویکرد معرفی شده و نقش آن‌ها در سنجش وضعیت کلی امنیتی سازمان‌ها بحث می‌شود.

اهمیت تجمیع و تحلیل یکپارچه داده‌های امنیتی

برای دستیابی به درک دقیقی از وضعیت امنیتی سازمان، اطلاعات پراکنده باید به‌صورت منسجم گردآوری و تحلیل شوند. پژوهشگران بر این باورند که معیارهای امنیتی ابزارهایی هستند که از طریق جمع‌آوری، تحلیل و گزارش‌دهی داده‌های مرتبط، تصمیم‌گیری و بهبود عملکرد امنیتی را تسهیل می‌کنند

در واقع، شاخص‌های امنیتی را می‌توان «سامانه‌ای برای اندازه‌گیری کمّی وضعیت امنیتی یک سازمان» تلقی کرد که وجود آن‌ها برای مدیریت همه‌جانبه امنیت شبکه ضروری است

بدون برخورداری از متریک‌های مناسب، تحلیل‌گران نمی‌توانند به بسیاری از پرسش‌های حیاتی پاسخ دهند؛ پرسش‌هایی نظیر این‌که “آیا شبکه‌ی ما امروز امن‌تر از گذشته است؟” یا “آیا تغییرات در تنظیمات شبکه، وضعیت امنیتی ما را بهبود داده است؟”

تجمیع ساخت‌یافته‌ی داده‌های امنیتی همچنین امکان ارزیابی واقع‌بینانه ریسک‌های سایبری را فراهم می‌سازد. به عنوان نمونه، چارچوب امتیازدهی ریسک NIST بر تلفیق اطلاعات آسیب‌پذیری با اطلاعات زمینه ای دارایی‌ها تأکید دارد؛ به‌طوری که داده‌های آسیب‌پذیری در محاسبه‌ی امتیاز ریسک یکپارچه شده و می‌توان ریسک را در سطوح مختلف سازمان مشاهده کرد و وضعیت ضعف‌های امنیتی هر دارایی را به تفکیک بررسی نمود

بدین‌ترتیب مشخص می‌شود کدام دارایی‌ها همراه با آسیب‌پذیری‌هایشان ریسک بالاتری را متوجه سازمان می‌کنند. در نتیجه، منابع و تلاش‌های امنیتی می‌توانند به سوی حوزه‌هایی هدایت شوند که بیشترین مخاطره را دارند. برای ارزیابی جامع، لازم است تمام ابعاد امنیت اطلاعات در نظر گرفته شود؛ از ضعف‌های فنی و تنظیمات گرفته تا ارزش دارایی‌ها و فرآیندهای کنترلی

تنها زمانی که مشخص شود «چه چیزی باید اندازه‌گیری شود» و متغیرهای مربوطه به شکل معناداری سازمان‌دهی شوند، می‌توان با استفاده از فرمول‌های قابل‌تکرار نمایی لحظه‌ای از سطح امنیتی سازمان و روند تغییرات آن در طول زمان ترسیم کرد

چنین رویکردی به سازمان‌ها امکان می‌دهد پیشرفت یا پسرفت وضعیت امنیتی خود را به‌طور دوره‌ای پایش کنند و اثربخشی اقدامات امنیتی را به شکل کمّی بسنجند

به بیان دیگر، شاخص‌های کمّی به مدیران این دید را می‌دهند که وضعیت امنیتی با گذشت زمان در حال بهبود است، رو به افول است یا نسبتاً ثابت باقی مانده است

در نهایت، هدف غایی از یکپارچه‌سازی داده‌ها و ایجاد شاخص‌های قابل سنجش آن است که سازمان اطمینان یابد در صورت وقوع حوادث سایبری نیز می‌تواند مأموریت‌های حیاتی خود را ادامه دهد و خسارات بالقوه را به حداقل برساند

این رویکرد داده‌محور همچنین پاسخ‌گویی مدیران امنیتی در برابر هیئت‌مدیره و کسب‌وکار را تسهیل می‌کند؛ زیرا ارائه‌ی اعداد و شاخص‌های مشخص، زبان مشترکی میان تیم‌های فنی و مدیران ارشد برقرار می‌سازد که فهم آن برای همگان ممکن است

شاخص‌های کمّی برای سنجش وضعیت امنیت سایبری

یکی از رویکردهای مؤثر در ارزیابی وضعیت کلی امنیت، تبدیل نتایج و داده‌های امنیتی به شاخص‌ها و امتیازهای عددی است. این شاخص‌های کمّی با خلاصه‌سازی وضعیت سازمان در قالب یک نمره یا رتبه، درک و مقایسه‌ی سطح امنیت را آسان‌تر می‌کنند

در ادامه به چند نمونه از معیارهای مطرح در این زمینه اشاره می‌کنیم:

امتیاز امنیت (Secure Score): یک نمونه، مفهوم Secure Score یا Secure Index است که وضعیت امنیتی را بر اساس میزان اجرای کنترل‌ها و تنظیمات توصیه‌شده محاسبه می‌کند. در این رویکرد جوانب مختلفی نظیر تنظیمات امنیتی، رفتارهای کاربران، کنترل‌های دسترسی و سایر مؤلفه‌های کلیدی بررسی شده و به هر یک امتیازی تخصیص می‌یابد؛ مجموع این امتیازها در نهایت نمره‌ی کلی امنیت سازمان را تشکیل می‌دهد

این عدد به مدیران نشان می‌دهد سازمان چه مقدار از اقدامات امنیتی پیشنهادی را به کار بسته است و چه حوزه‌هایی نیاز به بهبود دارند.

شاخص تاب‌آوری سایبری (Cyber Resilience Index – CRI): این شاخص توسط مجمع جهانی اقتصاد توسعه یافته و با سنجش عملکرد سازمان در برابر بهترین رویه‌های امنیتی، میزان تاب‌آوری آن در برابر حملات را به صورت کمّی مشخص می‌کند

CRI به سازمان‌ها امکان می‌دهد سطح آمادگی و مقاومت خود را در برابر اختلالات سایبری ارزیابی کرده و در مسیر افزایش تاب‌آوری گام بردارند

خروجی این شاخص یک نمره یا رتبه است که بیانگر میزان نزدیکی وضعیت امنیتی سازمان به وضعیت مطلوب از دیدگاه استانداردهای جهانی است.

امتیاز بلوغ امنیت سایبری: بسیاری از مدل‌های بلوغ امنیت (نظیر چارچوب‌های CMMI یا برنامه‌های ارزیابی دولتی) سطح توانمندی امنیتی سازمان را به صورت امتیاز بلوغ بیان می‌کنند. برای مثال، ابتکار شاخص بلوغ امنیت سایبری ایالت کالیفرنیا میزان اثربخشی برنامه امنیتی هر نهاد را به‌طور عینی اندازه‌گیری کرده و به آن یک نمره‌ی بین 0 (بلوغ بسیار پایین) تا 4 (بلوغ بسیار بالا) اختصاص می‌دهد

این امتیاز پس از انجام ارزیابی مستقل امنیتی تعیین و به مدیران سازمان ارائه می‌شود تا دید روشنی از وضعیت بلوغ و کاستی‌های برنامه امنیتی خود داشته باشند

چنین نظام امتیازدهی‌ای با ثابت نگه‌داشتن معیارها در دوره‌های زمانی مشخص، امکان مقایسه روند پیشرفت را نیز فراهم می‌کند که برای برنامه‌ریزی بلندمدت حائز اهمیت است

شایان ذکر است که مفهوم شاخص‌های کلان امنیتی در مقیاس‌های بزرگ‌تر نیز به‌کار گرفته شده است. برای مثال، آژانس امنیت سایبری اتحادیه اروپا (ENISA) شاخصی به نام EU Cybersecurity Index (EU-CSI) را برای توصیف وضعیت امنیت سایبری کشورهای عضو توسعه داده است

این شاخص دربرگیرنده‌ی معیارهایی از بلوغ امنیتی تا وضعیت اجرای سیاست‌های سایبری بوده و نمایانگر نقاط قوت و ضعف هر کشور در حوزه امنیت سایبری است

هرچند EU-CSI در سطح ملی به کار می‌رود، اما ایدهٔ اساسی آن با شاخص‌های سازمانی مشترک است: ساده‌سازی وضعیت پیچیده‌ی امنیتی در قالب اعدادی قابل مقایسه که امکان تصمیم‌گیری و سرمایه‌گذاری هدفمندتر را فراهم می‌آورند.

مزایای تبدیل داده‌های پراکنده به شاخص‌های یکپارچه

تبدیل داده‌های امنیتی توزیع‌شده به شاخص‌های یکپارچه و کمّی مزایای متعددی برای سازمان‌ها در پی دارد:

ارزیابی دقیق‌تر و تعیین اولویت ریسک‌ها: با در اختیار داشتن شاخص‌های کلان، سازمان می‌تواند سطح امنیت خود را به صورت واقع‌بینانه ارزیابی کرده و حوزه‌های پرخطر را شناسایی کند. برای مثال، امتیاز ریسک ترکیبی به‌روشنی نشان می‌دهد کدام نقاط ضعف (مانند یک آسیب‌پذیری روی یک سرور حیاتی) بیشترین تهدید را ایجاد می‌کنند تا اولویت‌بندی اقدامات بر آن اساس صورت گیرد

بدین ترتیب تصمیم‌گیران می‌توانند منابع محدود را به مؤثرترین شکل به حوزه‌های بحرانی اختصاص دهند.

پایش پیشرفت امنیتی در گذر زمان: وقتی وضعیت امنیتی به صورت عددی بیان شود، امکان مشاهده روند تغییرات آن در طول زمان فراهم می‌شود. سازمان‌ها می‌توانند به‌طور دوره‌ای شاخص‌های خود را رصد کرده و تشخیص دهند که آیا سرمایه‌گذاری‌های امنیتی و سیاست‌های پیاده‌شده موجب بهبود شاخص‌ها شده‌اند یا خیر

این رویکرد فرهنگ بهبود مستمر را تقویت می‌کند؛ هر افت یا بهبود در شاخص‌ها به‌وضوح قابل مشاهده است و در نتیجه تیم‌ها می‌توانند اقدامات اصلاحی را به‌موقع انجام دهند

بهبود ارتباطات و پاسخ‌گویی مدیریتی: شاخص‌های کمّی زبانی مشترک میان تیم‌های فنی و مدیریت ارشد ایجاد می‌کنند. مدیران ارشد که ممکن است با جزئیات فنی امنیت آشنا نباشند، می‌توانند یک امتیاز یا رتبه را به‌سادگی درک کرده و آن را در تصمیم‌گیری‌های راهبردی لحاظ کنند

به این ترتیب، تیم امنیتی نیز می‌تواند نشان دهد که تلاش‌هایشان چه ارزش قابل سنجشی به همراه داشته است (برای مثال کاهش تعداد رخدادهای امنیتی یا بهبود زمان واکنش) و بدین‌وسیله حمایت مدیریتی و بودجه‌ای لازم را جلب کند

تسهیل انطباق با مقررات و استانداردها: گزارش‌دهی وضعیت امنیتی در قالب شاخص‌های عددی، نشان دادن انطباق با الزامات قانونی و استانداردها را ساده‌تر می‌کند. داشتن اعداد مشخص برای مواردی چون نرخ اعمال وصله‌ها، درصد سامانه‌های دارای احراز هویت چندعاملی یا میزان پوشش رمزنگاری، شواهد مستندی فراهم می‌آورد که ممیزان و ناظران به‌راحتی می‌توانند آن را بررسی کنند

بدین ترتیب سازمان به جای گردآوری پراکنده اطلاعات در زمان بازرسی، یک تصویر کلان و مستند از وضعیت امنیتی خود در اختیار دارد که می‌تواند در هر زمان ارائه دهد.

نتیجه‌گیری

در مجموع، تبدیل داده‌های گسترده و متنوع امنیت سایبری سازمان به شاخص‌ها و امتیازهای کمّی یکپارچه، یک راهبرد کارآمد برای ارزیابی و بهبود وضعیت امنیتی به‌شمار می‌رود. حتی نهادهای پژوهشی مانند MITRE نیز چارچوب‌هایی برای امتیازدهی وضعیت تاب‌آوری سایبری توسعه داده‌اند تا اثربخشی راهکارهای امنیتی را در سناریوهای مختلف تهدید به‌صورت کمّی مقایسه و ارزیابی کنند

این رویکردها به سازمان‌ها امکان می‌دهد تا از سطح جزئیات فنی فراتر رفته و یک درک کلان و قابل اندازه‌گیری از میزان امنیت خود به دست آورند. شاخص‌های سنجش وضعیت امنیتی نه تنها نقاط قوت و ضعف فعلی را آشکار می‌سازند، بلکه با گذشت زمان اثربخشی اقدامات امنیتی را نیز نمایش می‌دهند. در دنیایی که تهدیدات سایبری پیوسته در حال تغییر و تکامل هستند، داشتن معیارهای کمّی و مستمر برای سنجش تاب‌آوری و آمادگی سایبری سازمان‌ها نقشی تعیین‌کننده در حفاظت از دارایی‌های اطلاعاتی و تداوم کسب‌وکار ایفا می‌کند

به بیان ساده، هرچه داده‌های امنیتی ساخت‌یافته‌تر و قابل‌اندازه‌گیری‌تر شوند، تصمیم‌گیری‌های امنیتی دقیق‌تر، پاسخ‌گویی سازمانی بیشتر و مقاومت در برابر حملات سایبری پایدارتر خواهد بود.