رویکردهای استراتژیک سازمان برای پیاده سازی ISMS – تمرکز بر روی توان داخلی یا استفاده از مشاور؟

در مقاله قبلی سعی کردیم تا بیشتر با استاندارد مرجع و جهانی سیستم مدیریت امنیت اطلاعات یعنی ISO/IEC 27001 آَشنا شویم و سازوکارها و نحوه دریافت گواهینامه مذکور را برای سازمان و یا شرکت به صورت اجمالی مورد بررسی قرار دهیم. اگر تاکنون با استاندارد ISO 27001 آشنا نشده اید، در ابتدا توصیه می‌کنم مقالات معرفی خانواده استانداردهای سیستم مدیریت امنیت اطلاعات و همچنین چگونه گواهینامه ISMS دریافت کنیم؟ از کجا باید شروع کرد؟ را مطالعه نمایید. با توجه به مطالب ارائه شده، درنظر گرفتن یک فاز صفر با عنوان ارزیابی اولیه به منظور ترسیم نقشه راه و برنامه‌ریزی مقدمات پروژه توصیه گردید. اما همان طور که در مقاله پیشین هم بدان اشاره شد، معمولا یکی از مهمترین سوالاتی که در فاز صفر باید به آن پاسخ مناسب داده شود، این است که منابع مورد نیاز (به ویژه منابع انسانی) برای پیاده‌سازی و استقرار این سیستم به چه ترتیبی تامین گردد؟ به زبان ساده آیا نیروهای داخلی شرکت باید الزامات مورد نظر استاندارد را در سازمان پیاده‌سازی نمایند و یا می توان این فعالیت را به مشاوران و پیمانکاران متخصص در این حوزه سپرد؟ از طرف دیگر آیا می‌توان با استفاده از ابزارها و نرم افزارهای استقرار سیستم این چالش را حل نمود؟ در این مقاله  سعی میکنیم گزینه های پیش روی سازمان برای تصمیم گیری در خصوص رویکرد و استراتژی پیاده سازی و استقرار سیستم مدیریت امنیت اطلاعات (ISMS) را در سازمان به همراه مزایا و معایب هر یک مورد بررسی قرار دهیم.

روش های تامین منابع مورد نیاز برای پیاده سازی ISMS

در ابتدا ذکر این نکته ضروری است که کلیات روش ها و رویکردهایی که در این مقاله به آنها اشاره می شود، می توانند برای پیاده‌سازی سایر استانداردهای ایزویی نظیر ISO 9001، ISO 14001، ISO 22301 و ISO 20000 نیز مدنظر قرار بگیرند. به طور کلی رویکردها و گزینه‌های موجود پیش روی سازمان به منظور پیاده سازی ISMS را می توان به سه دسته زیر تقسیم بندی نمود:

• پیاده سازی و استقرار با استفاده از نیروهای داخلی
• واگذاری کل فرآیند به پیمانکار و مشاوران
• پیاده سازی با استفاده از نیروهای داخلی و بهره گیری از مشاوران ISMS

در ادامه هر یک از این رویکردها به همراه مزایا و معایب متصور برایشان مورد بررسی قرار می گیرند.

رویکرد اول: پیاده سازی با استفاده از نیروهای داخلی

در این رویکرد سازمان بدون استفاده از هیچ کدام از گزینه های خارجی نظیر مشاوران و پیمانکاران، اقدام به پیاده سازی الزامات استاندارد می‌نماید. بدین ترتیب سازمان کلیه مراحل مربوط به برنامه‌ریزی، استقرار، پایش و بازنگری را با اتکا به دانش و توان داخلی پیش می برد. این روند معمولا در سازمان به صورت فراواحدی پیگیری می شود، به طوریکه هر یک از بخش های سازمان تحت نظر یک مدیر پروژه (که معمولا مدیر واحد متولی امنیت اطلاعات سازمان است) به صورت تخصصی درگیر فعالیت ها می شوند. واضح است که انتخاب این روش نیازمند آن است که در مرحله اول دانش و مهارت موضوعات تخصصی امنیت اطلاعات در داخل سازمان موجود باشد. برخی مزایا و معایب این رویکرد به شرح  زیر می باشد:

مزایا:

• معمولا ارزان‌ترین گزینه برای استقرار سیستم مدیریت امنیت اطلاعات است زیرا از نیروهای فعلی مورد استفاده قرار می گیرند.
• ریسک نشت اطلاعات محرمانه و داخلی سازمان بسیار کاهش می یابد زیرا عملا این نوع اطلاعات در داخل سازمان باقی می ماند.
• با توجه به اینکه خود کارکنان سازمان مجری فعالیت های مربوط به امنیت اطلاعات خواهند بود، ضمانت اجرایی سیاست ها، دستورالعمل ها و به طور کلی مستندات امنیت اطلاعات بالا خواهد رفت.
• با توجه به شناخت بهتر کارکنان از شرایط موجود سازمان خود، برنامه ریزی ها، طراحی ها و ورودی های اطلاعات دقیق تر خواهند بود و از خطای کمتری برخوردارند.

معایب:

• معمولا زمان‌برترین گزینه است، زیرا تمامی فعالیت ها را خود سازمان (که قاعدتا کارهای دیگری هم دارد) انجام می دهد.
• در مقابل اولین مزیت ذکر شده برای این روش به عنوان ارزان‌ترین روش، این رویکرد در صورتیکه که کارکنان درگیر، از دانش، مهارت و تجربه کافی برخوردار نباشند، ممکن است به گرانترین رویکرد پیش روی سازمان تبدیل شود.
• با توجه به محدودیت دانش کارکنان به سازمان خود و یک پروژه امنیت اطلاعات، ممکن است کارکنان درگیر دیدگاه همه‌جانبه‌گرایانه‌ای را اتخاذ نکنند و این موجب نادیده گرفته شدن برخی موضوعات مهم و اساسی امنیت اطلاعات گردد.

رویکرد دوم: واگذاری کل فرآیند به پیمانکار و یا مشاوران بیرونی

در این رویکرد سازمان تمامی و یا بخش عمده استقرار و پیاده سازی استاندارد را به یک یا مجموعه ای از پیمانکاران واگذار می کند. این پیمانکار معمولا به واسطه تجربه و مهارت خود انتخاب شده و کلیه فعالیت های مورد نیاز را انجام می دهد. البته با توجه به مهارت های متعدد مورد نیاز در بحث پیاده سازی و استقرار سیستم مدیریت امنیت اطلاعات، ممکن است سازمان در این خصوص از مشاوران و پیمانکاران متنوعی در برهه‌های زمانی مختلف بهره گیرد. اما نکته ای که در این رویکرد محوری است این است که سازمان خود نقش اجرایی ندارد و معمولا نقش نظارتی داشته و مدیریت پیمانکاران را بر عهده خواهد داشت.

مزایا:

• بنظر این سریع ترین گزینه برای استقرار سیستم مدیریت امنیت اطلاعات است زیرا مشاور و پیمانکار مورد نظر تجربه خوبی برای پیاده سازی و هماهنگی پروژه دارند و می تواند روند را با سرعت بالاتری طی نماید.
• با توجه به عدم درگیری زیاد کارکنان داخلی در این روش سازمان می تواند از آنها در موضوعات مدنظر خود بهره گیرد.

معایب:

• بکارگیری مشاوران هزینه‌بر خواهد بود و با توجه به تخصصی بودن این خدمات ممکن است این هزینه برای سازمان کم نباشد.
• با توجه به نیازمندی پروژه، مشاوران برای آشنایی با سازمان ممکن است با برخی اطلاعات محرمانه و یا داخلی سازمان روبرو شوند که این امر در برخی مواقع مطلوب سازمان نیست. البته بسیاری از ریسک های این موضوع از طریق امضای توافق نامه محرمانگی (NDA) قابل مدیریت است ولی با این وجود این نوع دسترسی ها برای سازمان قابل تامل است.
• زمانی که سیاست ها، دستورالعمل ها و به طور کلی مستندات امنیت اطلاعات از سوی یک عامل خارجی تهیه گردد ممکن است کارکنان داخلی نتوانند ارتباط مناسب با آن برقرار نمایند. (پایین آمدن ضمانت اجرایی)
• عدم درگیر شدن کارکنان در پروژه ممکن است ریسک عدم پیگیری مناسب فرآیندهای طراحی شده و یا عدم آشنایی کافی آنها با سیستم، به ویژه پس از پایان پروژه و در دوره های بعدی استقرار را به همراه داشته باشد.

رویکرد سوم: پیاده سازی با استفاده از نیروهای داخلی و بهره گیری از مشاوران ISMS

در رویکرد سوم که در سالیان اخیر بسیار محبوب شده است و در واقع روشی ما بین دو رویکرد ذکر شده می باشد، مدیریت و انجام بسیاری از فعالیت ها کماکان با کارکنان سازمان (مشابه روش اول) خواهد بود با این تفاوت که مشاوران نیز در کنار این تیم بسیاری از تجارب، قالب های آماده و مهارت های خود را به اشتراک می گذارند. از طرفی این مشاوران می توانند برخی از فعالیت های تخصصی را نظیر پویش آسیب پذیری و تست نفوذپذیری (برای اطلاعات بیشتر در مورد این فعالیت به این مقاله رجوع شود)، ممیزی داخلی، امن سازی (Hardening) و غیره را بر عهده بگیرند. یکی دیگر از مواردی که می تواند در کنار مشاوران با تجربه در این رویکرد سازمان را کمک نماید، استفاده از نرم افزارها و ابزارهای تسهیل کننده فرآیندهای سیستم مدیریت امنیت اطلاعات (برای اطلاعات بیشتر در این خصوص به این مقاله رجوع شود) است.

مزایا:

• این روش به گرانی بکارگیری صفر تا صد پیمانکاران و مشاوران در فرآیند استقرار و پیاده سازی نیست.
• ریسک نشت اطلاعات محرمانه و داخلی سازمان کاهش می یابد زیرا عملا بسیاری از فعالیت ها و اطلاعات در اختیار کارکنان سازمان باقی خواهد ماند.
• از آنجایی که خود کارکنان متولیان امر و نگارندگان مستندات هستند، ضمانت اجرایی فعالیت بالا رفته و برای اجرای مراحل بعدی اظهار بی اطلاعی نخواهند کرد.
• تقریبا تمامی مزایای ذکر شده در دو روش قبلی قابل حصول است.

معایب:

• در این رویکرد کماکان کارکنان سازمان باید مهارت های ابتدایی را فراگیرند، پس این روش سریع ترین روش ممکن نیست.
• در صورتیکه کارکنان سازمان به فعالیت های دیگر سازمان اختصاص داده شده باشند و فرض این باشد که فرآیند استقرار از آنها زمان زیادی را نمی‌گیرد، این روش ممکن است باعث شکست پروژه شود.

کدام رویکرد را انتخاب کنیم؟

همان طور که پیش از این نیز گفته شد و همچنین از مزایا و معایب ذکر شده برای هر یک از رویکردهای معرفی شده بر می آید، اصولا هیچ یک از روش های ذکر شده به عنوان بهترین رویکرد قلمداد نخواهند شد. المان هایی همچون وضعیت کارکنان (از منظر تخصص، تجربه، مهارت و میزان زمان آزاد)، میزان محرمانگی اطلاعات سازمان، صنعتی که سازمان در آن فعالیت می کند، میزان بودجه اختصاص یافته به حوزه امنیت اطلاعات، محدودیت زمانی در نظر گرفته شده برای پیاده سازی پروژه و دیگر عوامل می توانند سازمان را به سوی هر یک از رویکردهای معرفی شده سوق دهند. بدین ترتیب انتخاب رویکرد استقرار و پیاده سازی سیستم مدیریت امنیت اطلاعات به عنوان یک تصمیم استراتژیک در سازمان قلمداد می گردد. با این وجود عدم درگیر شدن کارکنان سازمان در فرآِیند پیاده سازی یکی از بزرگترین ریسک های مشاهده شده در پروژه های ISMS است که متاسفانه باعث کاهش اثربخشی بسیاری از پروژه های انجام شده و عدم پیگیری فعالیت های تعریف شده در سال های بعدی در سازمان، شده است.

در مقاله بعدی سعی می کنیم روش اولویت بندی پیاده سازی دامنه های کنترلی استاندارد ISO 27001:2013 با استفاده از ارائه یک مدل وابستگی را ذکر نماییم.