مباحث امنیتی زیادی وجود دارد که وقتی شخصی آنها را مطرح میکند بحث و گفتگو زیادی در رابطه با آن ایجاد میشود. متأسفانه، معیارهای امنیتی جزو این مباحث نیست.
باید دید چرا معیارها تقریباً همیشه متوقف کننده مکالمه در این باره هستند؟ دلایل زیادی وجود دارد. ما متوجه شدیم که مردم از بحث در مورد موضوعاتی که به آنها علاقه مندند، تجربشان د و یا درباره مسائلی که نسبت به آنها آگاهی دارند، لذت بیشتری میبرند و مطمئناً، معیارها ی امنیتی تقریباً هرگز در هیچ یک از این دستهها قرار نمیگیرند.
گفته میشود، هنوز یکسری اصول بنیادی وجود دارد که در طی سالیان متمادی کمک کرده است تا معیارهای معنادار و نسبی ایجاد شوند. امیدواریم که سازمانها با تلاش در جهت ساختن و بهبود معیارهای خاص خود، این پیشنهادات را پیگیری کنند.
با این روال، پنج نکته مفید برای ایجاد معیارهای امنیتی معنادار ارایه میدهیم:
ارزیابی آنچه که مهم است: یکی از قانونهای مهم هنگام ساختن معیارهای معنی دار، ارزیابی مواردی است که مهم هستند. اما این را از چه کسی باید بپرسید؟ از ذینفعانی که معیارهای شما را بکار خواهند برد. به عبارت دیگر، مخاطبان خود را بشناسید و بدانید که آنها به چه چیزی علاقه دارند. به عنوان یک تاکتیک متفاوت، هشدارهای ویژهای را که مخاطبانتان را در معرض خطر قرار میدهد در نظر بگیرید. پس از انجام این کار، می توانید ارزیابی کنید و نشان دهید که برنامه نظارت امنیتی شما نسبت به آن خطرات چه دیدگاهی دارد و آیا به موقع آنها را کنترل کرده است یا خیر.
برای چه؟: بدترین سؤالی که یک متخصص امنیتی پس از نشان دادن یک معیار میتواند دریافت کند این است؟ “برای چه؟ وقتی مخاطبان معیارها این سؤال را میپرسند، بدان معنی است که آنها ارتباط آنچه را که به آنها گزارش میدهید را درک نمیکنند. به عبارت دیگر، آن مخاطب اهداف خاصی دارد که به دنبال دستیابی به آن است. آنچه به آنها گزارش میشود، با این اهداف همخوانی نداشته و به آنها اجازه نمیدهد پیشرفت تیم امنیتی را در برابر آن اهداف ارزیابی کنند. معیارهای معقول با پیش بینی سؤال برای چه؟ و توسعه راههایی برای گزارش پیشرفت در مقابل اهداف به روشی که مخاطبان معیارها را درک کنند، به وجود میآیند.
کمتر بیشتر است: مدتهاست که فلسفه کمتر بیشتر است (Less is more)، طرفداران زیادی پیدا کرده است. چرا وقتی میتوان آن را به راحتی حل کرد، کاری را پیچیده میکنیم؟ دشوارترین بخش در مورد ایجاد یک برنامه موفق ارزیابی، چیزی است که اهمیت دارد، و اینکه اهمیت آن برای مخاطب مورد نظر چه قدر بوده و نحوه اندازه گیری صحیح آن چیست. پس از استقرار این عناصر اساسی، گزارش نتایج باید تا حد امکان ساده سازی شود. نیازی به اضافه کردن چیز پیچیدهای نیست. اگر یک معیار مطلوب باشد، پس گزارش آن به روشی صریح و با تعداد اندک کلمات لازم برای نمایش دقیق آن، ارایه میشود.
آماده، هدف، آتش: بارها و بارها این عبارت مناسب را شنیدهایم و کاملاً هم منطقی به نظر میرسد. در تلاش برای ایجاد معیارهای ارزشمند، اغلب تمایل به گزارش بیش از حد دادههای خیلی سریع وجود دارد. بدون وجود یک رویکرد رسمی، بسیاری از سازمانها تمایل دارند تا آنجا که میتوانند به آن فکر کنند و نکات مورد نظر را گزارش دهند. زمان زیادی لازم است تا اطمینان حاصل شود که معیارهای تولید شده و گزارش شده دارای معنی و ارزش هستند. در غیر این صورت، دادههایی که گزارش میدهید احتمالاً تعداد زیادی سؤال در ذهن مخاطبانتان ایجاد میکنند در حالی که هیچ پاسخی به آنها ندارید.
همه اینها نسبی هستند: اگر کار را به درستی انجام داده و معیارهای مطلوبی را ایجاد کردهاید که پیشرفت برنامه امنیتی را در برابر اهداف و تلاشها برای کاهش ریسک ارزیابی میکنند، کمی دست نگه دارید. یک نکته بسیار مهم برای یادآوری در اینجا وجود دارد. معیارها باید نسبی باشند؛ ولی معنی آن چیست؟ این بدان معناست که سازمانهای امنیتی در خلاء نیستند و یک شبه رشد نمیکنند. به این ترتیب، نشان دادن پیشرفت با استفاده از معیارهای تنظیم شده برای سازمانی که نماینده آنهاست، بسیار مهم است. هدف تمام این معیارها این است که یک تیم امنیتی را از نشان دادن تعداد مطلقی که به مخاطب امکان مقایسه و تضاد عملکرد فعلی و گذشته را نمیدهد، و همچنین از جبرگرایی دور نگه دارد. مهمتر از همه، این همان چیزی است که کاربران این معیارها انتظارش را دارند؛ یعنی چگونه میتوان موفقیت را به بهترین وجه اندازه گرفت.