چارچوب CIS (Center for Internet Security Controls) مجموعه‌ای از ۱۸ کنترل امنیتی شناخته‌شده و اولویت‌بندی‌شده است که به سازمان‌ها کمک می‌کند تا تهدیدات سایبری را به‌صورت عملیاتی، هدفمند و مؤثر مدیریت کنند. این کنترل‌ها، حاصل همکاری متخصصان امنیت سایبری در سراسر جهان هستند و به‌عنوان یک مرجع معتبر برای پیاده‌سازی امنیت لایه‌به‌لایه شناخته می‌شوند. CIS به سازمان‌ها این امکان را می‌دهد که با شناسایی دارایی‌ها، مدیریت دسترسی‌ها، مقابله با بدافزارها و ایجاد فرآیند واکنش به رخداد، سطح تاب‌آوری امنیتی خود را به‌صورت مستند و قابل اندازه‌گیری ارتقاء دهند. جزییات بیشتر…

رویکردی مبتنی بر استانداردهای بین‌المللی برای ارتقاء امنیت سایبری 📌 شرکت مدانت – ارائه‌دهنده راهکارهای جامع امنیت اطلاعات در عصر دیجیتال که تهدیدات سایبری روزبه‌روز پیچیده‌تر و گسترده‌تر می‌شوند، حفظ امنیت اطلاعات، زیرساخت‌ها و داده‌های سازمانی به یکی از اولویت‌های اصلی کسب‌وکارها بدل شده است.CIS Controls یا «کنترل‌های امنیتی مرکز امنیت اینترنت»، مجموعه‌ای از اقدامات استاندارد، عملی و اولویت‌بندی‌شده برای مدیریت و کاهش ریسک‌های امنیتی محسوب می‌شوند. شرکت مدانت، به عنوان ارائه‌دهنده خدمات حرفه‌ای در حوزه امنیت سایبری، این کنترل‌ها را به عنوان یکی از مؤثرترین چارچوب‌ها در پیاده‌سازی سیاست‌های امنیتی سازمانی معرفی می‌کند. تعریف کنترل‌های CIS CIS Controls مجموعه‌ای از ۱۸ گروه کنترلی است که توسط مرکز امنیت اینترنت (Center for Internet Security) تدوین شده‌اند. هدف اصلی این کنترل‌ها، کمک به سازمان‌ها در شناسایی و کاهش آسیب‌پذیری‌ها، مقابله با تهدیدات رایج و حفظ یکپارچگی اطلاعاتی است. این کنترل‌ها در سه سطح اجرایی بنام IG تقسیم‌بندی می‌شوند: IG (Implementation Guidance) در کنترل‌های CIS به معنای راهنمای پیاده‌سازی است. این راهنما شامل دستورالعمل‌ها، توضیحات، و بهترین شیوه‌هایی است که سازمان‌ها می‌توانند برای پیاده‌سازی هر کدام از ۱۸ کنترل امنیتی CIS در سیستم‌های خود به‌کار گیرند. هدف اصلی IG کمک به سازمان‌ها برای اجرای مؤثر و استاندارد کنترل‌ها با توجه به نیازهای خاص آنها است. این راهنما به‌طور دقیق شرح می‌دهد که چگونه هر کنترل باید پیاده‌سازی شود تا بهترین نتایج حاصل گردد. علاوه بر این، IG معمولاً شامل مثال‌ها و ابزارهایی است که سازمان‌ها می‌توانند برای ارزیابی و نظارت بر فرآیندهای امنیتی خود استفاده کنند. با استفاده از IG، سازمان‌ها می‌توانند اطمینان حاصل کنند که اقدامات امنیتی آنها با الزامات و استانداردهای بین‌المللی هم‌راستا است. سناریو کاربردی: تجربه یک شرکت نرم‌افزاری شرکت نرم‌افزاری ایکس، که در حوزه توسعه اپلیکیشن‌های مالی فعالیت می‌کند، طی سال‌های اخیر تمرکز خود را بر توسعه سریع محصول و جذب بازار گذاشته بود، اما از پیاده‌سازی اصول امنیتی غافل مانده بود. سیستم‌های عامل و نرم‌افزارهای سروری به‌روزرسانی نشده بودند، و حساب‌های کاربری با دسترسی‌های وسیع و بدون کنترل متمرکز در محیط باقی مانده بودند. در یکی از روزهای کاری، یک بدافزار از طریق یک پیوست ایمیل وارد شبکه داخلی شد و به‌سرعت، به دلیل نبود سامانه‌های کنترل دسترسی و مدیریت وصله‌ها، در سراسر سرورها گسترش یافت. مهاجم توانست از طریق این بدافزار به پایگاه داده مشتریان دسترسی پیدا کند و اطلاعات مالی، شماره تماس و مشخصات هویتی هزاران مشتری به بیرون نشت کرد. علاوه بر خسارت شدید اعتباری، شرکت با شکایت‌های قانونی و جریمه‌های مالی مواجه شد. بررسی‌های بعدی نشان داد که اگر تنها چند کنترل اولیه CIS مانند Inventory Control، Patch Management، Access Control و Malware Defense فعال می‌بودند، این حمله تا حد زیادی قابل پیشگیری بود.تحلیل کارشناسی نشان می‌دهد که عدم اجرای حداقل کنترل‌های پایه CIS، عامل اصلی این رخداد بوده است. با استفاده از مهم‌ترین کنترل‌های CIS عنوان کنترل شرح مختصر شناسایی و کنترل دارایی‌ها ثبت و مدیریت کلیه تجهیزات و سیستم‌های فعال در سازمان پیکربندی امن سیستم‌ها و نرم‌افزارها استفاده از تنظیمات پیش‌فرض امن به جای تنظیمات کارخانه‌ای یا آسیب‌پذیر مدیریت دسترسی کاربران تعیین دسترسی‌ها بر اساس اصل «حداقل دسترسی مورد نیاز» مدیریت گزارش‌های سیستمی (Log Management) فعال‌سازی، ذخیره‌سازی و تحلیل لاگ‌های سیستم جهت تشخیص رخدادهای مشکوک دفاع در برابر بدافزارها استقرار ابزارهای مقابله با ویروس‌ها، باج‌افزارها و بدافزارهای ناشناخته خدمات مدانت در حوزه پیاده‌سازی کنترل‌های CIS شرکت مدانت با بهره‌گیری از تیم متخصص، توانایی پیاده‌سازی دقیق، مرحله‌به‌مرحله و متناسب با نوع سازمان را دارد. ما با ارزیابی سطح امنیت موجود و نیازهای خاص هر مشتری، کنترل‌های مناسب را انتخاب کرده و فرآیند امن‌سازی را به‌صورت مستند و قابل‌پایش اجرا می‌کنیم. شرکت مدانت با بهره‌گیری از تجربیات گسترده در پیاده‌سازی کنترل‌های CIS، به‌طور خاص تمرکز خود را بر یکپارچه‌سازی این کنترل‌ها با فرآیندهای […]

چه در عالم سیاست و چه در انقلاب‌ها و چه در کاروکسب همیشه هر چیز جدید و نوآورانه‌ای وقتی عرضه شود با واکنش چندین گروه مختلف مواجهه می‌شود. برخی با قبول ریسک فوراً خود را وفق می‌دهند، برخی تا شواهد و تجربیات دیگران را مشاهده نکنند، اقدامی نمی‌کنند، برخی دیگر تنها زمانی تغییر را می‌پذیرند که به نوعی فشار اجتماعی یا اقتصادی به آن‌ها وارد شود، و گروهی نیز به‌شدت در برابر تغییر مقاومت می‌کنند و ترجیح می‌دهند همچنان به روش‌های قدیمی پایبند بمانند. این پدیده نه تنها در عرصه فناوری، بلکه در سیاست و انقلاب‌ها نیز به‌وضوح قابل مشاهده است. به‌عنوان مثال، در هنگام وقوع یک انقلاب، ابتدا گروهی از افراد که به تغییرات و تحولات جدید علاقه‌مند هستند، پیشقدم می‌شوند و ایده‌های انقلابی را با اشتیاق می‌پذیرند. این افراد معمولاً به‌عنوان پیشروان در مسیر تحول شناخته می‌شوند. سپس، گروهی از افراد که به‌طور طبیعی محافظه‌کارتر هستند و تمایل دارند تا شواهد بیشتری ببینند، به تدریج به حرکت می‌پیوندند. آن‌ها وقتی مطمئن شوند که تغییرات به‌طور عملی کار می‌کنند و در حال تحقق هستند، به صفوف انقلابیون می‌پیوندند. اما در کنار این گروه‌ها، برخی دیگر که به‌شدت در برابر تغییر مقاومت می‌کنند، ممکن است تنها زمانی که دیگر راهی جز پذیرش تغییر نداشته باشند، به آن تن دهند. در نهایت، گروهی نیز به‌طور کامل از تغییر دوری می‌کنند و ترجیح می‌دهند به روش‌های سنتی خود پایبند بمانند، حتی اگر روند زمان آن‌ها را به حاشیه براند. این واکنش‌ها در دنیای کسب‌وکار هم مشاهده می‌شود. در پی معرفی یک محصول جدید، برخی از مشتریان که جرات ریسک کردن دارند و همیشه به دنبال تجربه‌های جدید هستند، اولین کسانی هستند که محصول را خریداری کرده و در مورد آن صحبت می‌کنند. سپس، اکثریت بازار که بیشتر تمایل به مشاهده موفقیت دیگران دارند، به تدریج به سمت پذیرش محصول جدید حرکت می‌کنند. اما آن دسته از مصرف‌کنندگان که عادت به روش‌های قدیمی دارند و نسبت به تغییرات حساس هستند، ممکن است مدت‌ها بعد از دیگران به استفاده از آن محصول روی آورند. در این بین، مدل‌هایی مثل مدل پذیرش نوآوری راجرز می‌توانند به‌طور ویژه در درک و پیش‌بینی این رفتارها کمک کنند. با شناخت دقیق گروه‌های مختلف و رفتارهایشان، می‌توان استراتژی‌های مؤثری برای معرفی نوآوری‌ها و مدیریت تغییرات طراحی کرد. به‌طور کلی، واکنش‌های مختلف به نوآوری‌ها بستگی به عوامل فردی، اجتماعی، و فرهنگی دارد و موفقیت هر نوآوری، به توانایی مدیریت این واکنش‌ها و استفاده از آن‌ها برای پیشبرد تغییرات بستگی دارد. پذیرش نوآوری‌ها و تغییرات تکنولوژیکی برای هر سازمانی حیاتی است بخصوص امروزه که اکثریت ماهیت موجودی هر کسب‌وکاری بر فناوری و نوآوری است. این تغییرات می‌توانند از سیستم‌های نرم‌افزاری جدید تا فرآیندهای بهبود یافته متغیر باشند. برای موفقیت در پیاده‌سازی این نوآوری‌ها، ضروری است که بدانیم اعضای سازمان چگونه به این تغییرات واکنش نشان می‌دهند و در کدام دسته از پذیرش قرار می‌گیرند. مدل پذیرش نوآوری راجرز به همین منظور طراحی شده است. مدل پذیرش نوآوری راجرز (Rogers’ Diffusion of Innovations) این مدل توضیح می‌دهد که افراد چگونه و با چه سرعتی نوآوری‌ها را پذیرفته و آن‌ها را در زندگی روزمره خود به کار می‌برند. در این مدل، افراد به پنج گروه تقسیم می‌شوند که هر گروه ویژگی‌ها و رفتارهای خاص خود را دارد. گروه درصد جمعیت ویژگی‌ها و رفتارها مثال‌ها نوآوران (Innovators) ۲.۵٪ ریسک‌پذیر، علاقه‌مند به تجربیات جدید، سریع در پذیرش تغییر اولین کسانی که ابزار جدید را تست می‌کنند. پذیرندگان اولیه (Early Adopters) ۱۳.۵٪ افراد با نفوذ که دیگران به آنها نگاه می‌کنند کسانی که بعد از تحقیق، مشتاق استفاده از سیستم جدید می‌شوند. اکثریت اولیه (Early Majority) ۳۴٪ محتاط، ولی با مشاهده دیگران، تغییر را می‌پذیرند افرادی که وقتی ببینند دیگران از سیستم جدید استفاده می‌کنند، پیوسته […]

مدل انتقال ویلیام بریجز (Bridges Transition Model) به فرآیند تغییرات روانی افراد در مواجهه با تغییرات سازمانی یا زندگی اشاره دارد. این مدل از سه مرحله اصلی تشکیل شده است: پایان، گذار و آغاز دوباره. در مرحله اول، افراد باید با وضعیت قبلی خود خداحافظی کنند و احساساتی مانند ناامیدی یا از دست دادن را تجربه کنند. مرحله دوم، که به عنوان “گذر” شناخته می‌شود، زمانی است که افراد به عدم قطعیت و آشفتگی می‌افتند و در حال جست‌وجوی معنا برای وضعیت جدید هستند. در نهایت، در مرحله آغاز دوباره، افراد به شرایط جدید عادت می‌کنند و تغییرات به‌طور کامل پذیرفته می‌شود. این مدل به مدیران کمک می‌کند تا درک کنند که تغییرات سازمانی نیاز به زمان و حمایت‌های روانی دارند. جزییات بیشتر…

نگاهی روان‌شناختی به مدیریت تغییر در محیط‌های IT بسیاری از چارچوب‌های مدیریت تغییر، برای اجرای موفقیت‌آمیز تغییرات بر اساس چارچوب ITIL، علاوه بر سایر متدهای روانشناسی تغییر نظیر: مدل ADKAR و مدل تغییر کرت لوین (Lewin’s Change Model) و مدل Kubler-Ross همگی عمدتاً بر فرآیندها، ابزارها و ساختارهای اجرایی تغییر تمرکز دارند؛ اما مدل انتقال ویلیام بریجز، با رویکردی متمایز، بر بُعد روان‌شناختی و عاطفی افراد در مواجهه با تغییر تأکید دارد. این مدل، تغییر را نه تنها یک واقعه فیزیکی، بلکه سفری درونی برای افراد تلقی می‌کند که در سه مرحله اصلی رخ می‌دهد. ۱. پایان دادن، از دست دادن، و رها کردن (Ending, Losing, and Letting Go) تغییر همواره با نوعی پایان همراه است. در این مرحله، افراد ناگزیرند برخی نقش‌ها، عادت‌ها، روابط یا باورهای قبلی خود را کنار بگذارند. این فرآیند اغلب با احساساتی نظیر سوگواری، اضطراب یا مقاومت همراه است. به عنوان نمونه، در یک پروژه فناوری اطلاعات، کنار گذاشتن سیستم قدیمی ممکن است برای کاربران به معنای از دست دادن حس امنیت، تسلط و دانش قبلی باشد. ۲. منطقه‌ی خنثی (Neutral Zone) در این مرحله، افراد هنوز به طور کامل با وضعیت جدید تطبیق نیافته‌اند، در حالی که وضعیت پیشین نیز دیگر قابل اتکا نیست. منطقه‌ی خنثی، دوره‌ای موقت و غالباً دشوار است که با سردرگمی، بی‌ثباتی و کاهش بهره‌وری همراه می‌شود. در این بازه زمانی، سازمان‌ها باید حمایت روانی و ارتباط مؤثر را افزایش دهند تا افراد بتوانند این گذار را با حداقل تنش طی کنند. ۳. شروعی دوباره (New Beginning) پس از عبور از منطقه‌ی خنثی، افراد آمادگی پذیرش وضعیت جدید را پیدا می‌کنند. در این مرحله، احساس مالکیت، انگیزه و هویت جدید شکل می‌گیرد. در یک محیط IT، این می‌تواند به معنای تسلط بر ابزار جدید، افزایش بهره‌وری و ارائه پیشنهادهایی برای بهبود مستمر سیستم باشد. اهمیت مدل بریجز در مدیریت تغییر بر خلاف سایر مدل‌ها مانند ADKAR یا Lewin که بیشتر به مراحل عینی و عملیاتی تغییر می‌پردازند، مدل بریجز به اهمیت سازگاری روانی-عاطفی افراد در مسیر تغییر توجه دارد. این رویکرد به مدیران یادآور می‌شود که موفقیت در پیاده‌سازی هرگونه تغییر، مستلزم درک و مدیریت احساسات انسانی، پذیرش سوگ تغییر، و حمایت مستمر از کارکنان است. سناریو واقعی پیاده‌سازی یک سیستم نرم‌افزاری جدید در سازمان سازمان شما قصد دارد یک سیستم جدید در سازمان پیاده و استقرار دهد؛ در اینجا سناریویی بر اساس مدل انتقال ویلیام بریجز برای راه‌اندازی سیستم نرم‌افزاری جدید آورده شده: 1. پایان دادن (Endings): در این مرحله، اطلاع‌رسانی رسمی به کارکنان در مورد تغییر سیستم نرم‌افزاری صورت می‌گیرد. کارکنان باید آگاه شوند که سیستم قبلی به‌زودی کنار گذاشته خواهد شد و سیستم جدید جایگزین آن خواهد شد. این مرحله ممکن است با مقاومت‌های اولیه روبه‌رو شود، زیرا افراد با سیستم قدیمی راحت‌تر هستند و ممکن است احساس نگرانی و اضطراب نسبت به سیستم جدید داشته باشند. 2. منطقه خنثی خالی (The Neutral Zone): پس از اعلام تغییر، سازمان وارد مرحله‌ای می‌شود که سیستم جدید به‌طور کامل پیاده‌سازی نمی‌شود و سیستم قدیمی و جدید به‌طور همزمان در حال استفاده هستند. در این مرحله، کارکنان با مشکلات و سردرگمی‌هایی مواجه می‌شوند، زیرا هنوز عادت به سیستم جدید نکرده‌اند و سیستم قدیمی هنوز موجود است. این دوره ممکن است دشوار باشد و چالش‌هایی از نظر پذیرش و یادگیری به وجود آید. 3. شروعی جدید (The New Beginning): در این مرحله، کارکنان به طور کامل به سیستم جدید انتقال یافته و از آن استفاده می‌کنند. پذیرش سیستم جدید بهبود یافته و فرآیندها به تدریج به روال عادی خود باز می‌گردند. کارکنان دیگر با مشکلات اولیه مواجه نیستند و استفاده از سیستم جدید برایشان عادی شده است. با پیروی از این سناریو، سازمان می‌تواند فرآیند تغییر سیستم نرم‌افزاری را به طور […]