Cobit 5 و ارتباط آن با امنیت اطلاعات

Cobit 5 چارچوبي براي حاکميت و نظارت فناوري اطلاعات است. اين چارچوب در آخرين نسخه خود (ويرايش 5) همسويي و تمرکز بيشتري بر امنيت اطلاعات دارد. هر چند Cobit 4 نيز راهمايي‌هايي پيرامون امنيت اطلاعات ارائه نموده است، ولي اين نسخه از چارچوب Cobit انسجام و همپوشاني جامعي با استانداردهاي امنيت اطلاعات ندارد. سازمان ISACA اين موضوع را مدنظر داشت و در به‌روزرساني ويرايش جديد چارچوب Cobit نقص نسخه پيشين را از بين برده است. به عبارت ديگر مي‌توان گفت در Cobit 5، ISACA علاوه بر ارائه چارچوبي براي حاکميت و نظارت فناوري اطلاعات چارچوبي براي امنيت اطلاعات نيز ارائه نموده است. چارچوب Cobit 5 تمامي جوانب امنيت کارآمد و منطقي منابع اطلاعات را تضمين مي‌نمايد. شالوده Cobit 5 مبتني بر اصول پنجگانه‌اي است که سازمان بايد بر اساس آن خط‌مشي‌ها، استانداردها، خطوط راهنما، فرايندها و کنترل‌هاي خود را ايجاد و سنجش نمايد. اين اصول عبارتند از:

• تحقق نيازهاي ذينفعان
• پوشش کامل سازمان
• به کار بردن يک چارچوب منسجم منفرد در سازمان
• توانمند ساختن يک رويکرد جامع در سازمان
• تمايز قائل شدن ميان حاکميت و مديريت

در ادامه هر يک از اصول فوق و ارتباط آن با امنيت اطلاعات شرح داده مي‌شود.

اصل 1: تحقق نيازهاي ذينفعان: تحليل و شناسايي ذينفعان فرايند مهمي در تحقق اين اصل مي‌باشد. با شناسايي درست ذينفعان به راحتي مي‌توان نيازهاي آن‌ها را نيز شناسايي نمود. اين فرايند گام مهمي در برنامه‌ريزي پروژه و مديريت ريسک مي‌باشد. موفقيت در شناسايي و تحليل ذينفعان منتج به حداکثر نمودن سود، بهينه نمودن منابع، افزايش امنيت و حداقل نمودن ريسک‌ها در برابر خروجي‌هاي فراتر از انتظار خواهد شد.

اصل 2: پوشش کامل سازمان: امنيت اطلاعات در سازمان بايد تمامي سطوح مديريتي و حاکميتي و نيز تمامي فعاليت‌هاي برنامه‌ريزي عملياتي و راهبردي کسب‌وکار و فناوري اطلاعات را پوشش دهد و تنها به همسويي عمودي سازمان (براي يک محصول، واحد و … ) اکتفا نمايد. به عبارت ديگر هر تغيير در سازمان بايد از کانال امنيت اطلاعات بگذرد و جوانب امنيتي آن در سرتاسر سازمان به طور کامل سنجش شود.

اصل 3:به کار بردن يک چارچوب منسجم منفرد در سازمان: امنيت اطلاعات نيز بر اين اصل استوار است که يک چارچوب کامل شامل تمامي جوانب ذخيره، جريان، پردازش، ايجاد، کنترل و سنجش اطلاعات در سازمان حاکم باشد و مبنايي براي پياده‌سازي اثربخش‌تر کنترل امنيتي در سازمان ايجاد نمايد.

اصل 4:توانمند ساختن يک رويکرد جامع در سازمان: علاوه بر توسعه يک چارچوب منسجم براي امنيت اطلاعات در سازمان بايد امنيت اطلاعات را همچنين به عنوان مجموعه‌اي از اجزاي به هم مرتبط و در قالب يک رويکرد منسجم نگريست. هر جز به واسطه توانمند سازها و ديگر عوامل متاثر از ريسک اجرايي مي‌شوند. Cobit 5 براي امنيت اطلاعات مجموعه‌اي از توانمند سازها را بيان مي‌دارد و نحوه ارتباط ميان آنها را نيز شرح مي‌دهد. توانمند سازها به سازمان کمک مي‌کنند تا عمليات و امنيت را در قالب خروجي از تمامي اصول و قواعد مورد نياز براي امنيت اطلاعات منسجم نمايد. توانمند سازها عبارتند از:
• فرايندها
• ساختار سازماني
• فرهنگ سازماني
• اصول و قواعد، خط‌مشي‌ها و چارچوب‌ها
• اطلاعات
• خدمات، زيرساخت‌ها و نرم‌افزارهاي کاربردي
• نيروي انساني، مهارت‌ها و شايستگي‌ها

اصل 5: تمايز قائل شدن ميان حاکميت و مديريت: اين اصل خطي ميان تنظيم اهداف و ايجاد استراتژي و سنجش خروجي‌ها ايجاد مي‌کند و ميان اين دو عمل تفاوت قائل مي‌شود. مطابق با چارچوب Cobit 5 براي امنيت اطلاعات حاکميت امنيت فناوري اطلاعات و مديريت آن دو مقوله جدا از يکديگر هستند و در عين حال از يکديگر پشتيباني مي‌کنند. حاکميت خروجي‌هاي مورد انتظار را تعريف و تنظيم مي‌کند و مديريت فناوري‌ها و فرآيندهاي مورد نياز را در راستاي تحقق خروجي‌هاي تعريف شده پياده‌سازي مي‌کند. پس از آن حاکميت بررسي مي‌نمايد که آيا خروجي‌ها مطابق با آنچه که مورد انتظار است، تعيين شده است يا نه و بازخورد هاي لازم را براي تيم مديريت در راستاي کمک به آنها و انجام اقدامات اصلاحي فراهم مي‌آورد.

در انتها مي‌توان موارد فوق را به صورت زير خلاصه نمود:
1. Cobit 5 براي امنيت اطلاعات چارچوبي جامع است که امنيت و فرآيندهاي کسب‌وکار را با يکديگر همسو مي‌نمايد و همچنين مجموعه‌اي از توانمند سازها را در راستاي اجراي اثربخش فعاليت‌هاي کسب‌وکار و نيز تحقق نياز ذينفعان ارائه مي‌نمايد.
2. سازمان‌ها بايد امنيت را در تمام جوانب مديريت و عمليات سازمان منسجم نمايند. اين اقدام در راستاي يافتن تمامي فرآيندهاي کسب‌وکار و ذينفعان مرتبط و ارتباط آن با امنيت اطلاعات تحقق خواهد يافت.
3. سازمان بايد رويکردي جامع براي مديريت امنيت اطلاعات خود بکار بندد و رويکردهاي غير منسجم و مرتبط به هم سازمان را در مسير اهداف خود موفق نمي‌گرداند.

منبع: http://www.techrepublic.com/blog/it-security/cobit-5-for-information-security-the-underlying-principles/