روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ موقع بکارگیری و حفظ سیستم‌های سازمانی، منطقی است که افراد متخصص را نیز دخیل کنیم. این متخصصین می‌توانند یا درون‌سازمانی باشند یا از بیرون یاری دهند (ارائه‌دهندگان سرویس یا توسعه‌دهندگان راهکار انتخابی). هرکدام از این رویکردها اما مزایا و معایب خود را دارند. علاوه بر این، بکارگیری سیستم امنیت اطلاعات برای تجارت، پروسه‌ای نسبتاً پیچیده است که جدا از خود ماجرای نصب نرم‌افزار شامل فازهای آماده‌سازی و عملیاتی نیز می‌شود.

1.      تحلیل ریسک‌های امنیت اطلاعات –به منظور شناسایی ابعاد آسیب‌پذیر، ارزیابی احتمال‌پذیری تهدیدها و جمع‌آوری فهرستی از اقدامات لازم.
2.      توسعه‌ی خط‌مشی‌های امنیتی برای تنظیم دسترسی به اطلاعات و تضمین لایه محافظتی و یکپارچگیِ آن.
3.      انتخاب و پیاده‌سازی این راهکار.
4.      ممیزی دوره‌ای برای حصول اطمینان از کارایی آن و تطابقش با الزامات فعلی.
5.      واکنش‌دهی به رخداد سایبری

گسترش درون‌سازمانی

«درون‌سازمانی» به معنای کارمند (یا دپارتمانی) اختصاصی است که در زمینه امنیت اطلاعات تخصص دارد. شرکت سعی دارد در بازار چنین فردی را پیدا کند و یا یکی از اینها را خود آموزش دهد. مزایا و معایب این رویکرد به شرح زیر است:

•         + شرکت پروسه آموزشی را کنترل می‌کند، می‌تواند پروسه را با خواسته‌های خاص شرکت سازگار کند یا کسی را پیدا کند که مهارت‌های لازم را دارد.
•         + یک کارمند درون‌سازمانی با پروسه‌های داخل شرکت بهتر آشناست پس می‌تواند راهکارهای مشخص‌تر و مؤثرتری را ارائه دهد.
•         + یک کارمند درون‌سازمانی خواهد توانست به تهدیدها و مشکلات واکنش سریعتری نشان دهد.
•         + رازهای شرکت به دست افراد غیر نمی‌افتد.
•         + نسبت به آوردن متخصصین برون‌سازمانی هزینه کمتری خواهد داشت؛ خصوصاً اگر کارمند از قبل جزو پرسنل باشد.
•         آموزش، شرایط و وضعیت حرفه‌ای کارمندان را بالا برده و همین میزان وفاداری آن‌ها را به شرکت بیشتر می‌کند.
•         - آموزش زمان بیشتری خواهد برد.
•         - شاید استخدام متخصص از استخدام کنتراکتور گران‌تر شود و زمان بیشتری ببرد.
•         - یک کارمند آموزش‌دیده شاید کمتر از متخصصی مجرب در زمینه امنیت اطلاعات در مورد موضوع مورد بحث دانش داشته باشد.
•         - هیچ تضمینی نیست که چنین پیاده‌سازی در ادامه مفید باشد؛ خصوصاً وقتی این مسئله حقیقت دارد که کارمندی اختصاصی این وظیفه را بر عهده می‌گیرد. بعد از استخدام و استقرار چه خواهند کرد؟
•         - یک کارمند آموزش‌دیده ممکن است ترک کند که در این صورت فرد یا کنتراکتور جدید باید برای حفظ راهکار پیدا شود.

این رویکرد برای کسب و کارهایی هستند که رو به رشد هستند یا قصد دارند خود را به شرکت بزرگ‌تری تبدیل نمایند زیرا فنداسیون آن در آینده پذیرای دپارتمان امنیت اطلاعات خواهد بود. با این حال اگر برنامه‌ای در نظر گرفته نشده یا رشد شرکت به معنای پیشرفت زیرساخت نیست پس سرمایه‌گذاری در مهارت‌های جدید حرفه‌ای چندان سودمند نخواهد بود.

گسترش طرف‌سوم

بازار پر است از ارائه‌دهندگان سرویس که کارشان ارائه‌ی راهکارهای کلید در دست[1] است: ممیزی زیرساخت، اجرا و حفظ سیستم امنیت آی‌تی. مزایا و معایب:

•         + صرفه‌جویی در زمان: دیگر نیازی به آموزش یا پیدا کردن افراد نیست.
•         + یک کنتراکتور تخصصی احتمال دارد در زمینه امنیت اطلاعات تخصص و تجربه داشته باشد.
•         + یک کنتراکتور می‌تواند طیف وسیعی از خدمات را که ورای قابلیت‌های درون‌سازمانی است ارائه دهد.
•         + استفاده‌ی مؤثرتر از منابع شخصی- تمام نگرانی‌های مربوط به اجرا برون‌سپاری می‌شود.
•         + ریسک‌های کمتر به اضافه‌ی توانایی در انتقال این ریسک‌ها به کنتراکتور.
•         - در طولانی‌مدت طرف سوم می‌تواند از درون‌خانگی گران‌تر تمام شود.
•         - یک کنتراکتور شاید پروسه‌های تجاری داخل سازمان را درک نکند و همین موجب می‌شود راهکارها ضعیف باشند.
•         - نبود شفافیت: شما نمی‌توانید مطمئن باشید دانش کنتراکتور در مورد محصولات بکارگرفته‌شده چقدر است.
•         - ممکن است مسائل مربوط به محرمانگی ایجاد شود، زیرا یک کنتراکتور طرف‌سوم به داده‌های شما دسترسی خواهد داشت و این درحالیست که چیزی در مورد سیاست‌های امنیتی داخلی پیمانکار نمی‌د‌‌انید.
•         - شرکت می‌تواند به کنتراکتور وابسته شود.
•         - درک کاملی از آنچه دارد اتفاق می‌افتد نداشته و نیز روی پیاده‌سازی و پروسه پشتیبانی نیز کنترل تجاری ناکافی خواهید داشت.

به طور کلی، درگیر شدن با کنتراکتور روشی معقول و معمول برای استقرار سیستم امنیت اطلاعات است. به طور معمول، چنین ارائه‌دهندگان خدماتی با توسعه‌دهندگان راهکار همکاری می‌کنند، گواهینامه دارند، وضعیت شریک دارند و تضمین می کنند. البته راه سومی هم هست…

دخیل کردن فروشنده

این رویکرد مشابه با رویکرد دوم است و تنها تفاوت در این است که عملیات بکارگیری توسط توسعه‌دهنده‌ی راهکار صورت می‌گیرد که کارمندانشان درک تضمین‌شده دارند. این یعنی:

•         + هیچ‌گونه وابستگی به طرف‌سوم: راهکار مادامیکه توسعه‌دهنده در بازار مانده کار خواهد کرد.
•         + تضمین مستقیم فروشنده در ادامه باعث کاهش ریسک‌ها می‌شود.
•         + تنظیمات و بکارگیری محصولات تا حد امکان کارا و سریع خواهد بود.
•         + زمان خرابی ناشی از تنظیم ناصحیح و راه‌اندازی‌های طولانی کاهش داده می‌شود.
•         + سود سرمایه‌گذاری در امنیت اطلاعات را به حداکثر می‌رسد، زیرا پیکربندی متخصص تضمین می‌کند که محصولات با پتانسیل کامل خود کار می‌کنند.

بیشتر کسب وکارهای کوچک حتی برای حضور در محل به متخصصین طرف‌سوم هم نیاز ندارند- گنجایش‌های سرور معمولاً این روزها بر پایه کلود است و در هر کیس‌سیستمی می‌توانند از راه دور مورد نظارت قرار گیرند. ما راهکار بسته‌ای خود را تحت عنوان  Kaspersky Professional Services برای توسعه‌ی ابزارهای امنیت اطلاعات کسپرسکی پیشنهاد می‌دهیم که شامل طیف وسیعی است از خدمات: تحلیل زیرساخت و خط‌مشی‌های موجود، توسعه‌ی سیاست‌ها و حذف آسیب‌پذیری‌ها، پیاده‌سازی و آپگرید راهکارها، پشتیبانی و رمزگذاری ذخیره‌گاه داده. کسپرسکی همچنین دارای تیم‌های لوکال است که به زبان شما صحبت می‌کنند و تخصص لازم را دارند. راهکار بسته‌ای ما برای کسب و کارهای کوچک بی‌نظیر است زیرا از حجم کار دپارتمان آی‌تی کاسته و حتی نیاز به ادمین تمام‌وقت سیستم را از بین می‌برد.

[1]Turnkey  : کلید در دست پروژه‌ای است کهمسئولیت طراحی و اجرا را به‌طور کامل بر عهده پیمانکار  می گذارد بگونه ای که بعد از تکمیل پروژه ، کارفرما فقط با چرخاندن یک کلید می‌تواند بهره‌برداری از تأسیسات اجراء شده را آغاز نماید .

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.