کانبان و اسکرام

#scrum

راهنمای اسکرام 2020 - بصورت کلی

#scrum
@unixmens

راهنمای نکسوس

چارچوب توسعه مقیاس پذیر

#scrum
#agile
#devops
@unixmens

عبارت «امنیت اطلاعات»، تنها به موضوع ساده حفاظت از نام کاربری و رمز عبور ختم نمی‌شود؛ مقررات و حریم خصوصی یا خط مشی‌های حفاظت از اطلاعات مختلف، یک تعهد پویا برای سازمان‌ها به وجود می‌آورد. در عین حال ویروس‌ها، تروژان‌ها، فیشرها و… برای سازمان تهدید به حساب می‌آیند. همچنین هکرها باعث به وجود آمدن خسارات زیادی برای سازمان می‌شوند، مانند دزدی اطلاعات مشتریان، جاسوسی استراتژی‌های کسب و کار به نفع رقبا، از بین بردن اطلاعات مهم سازمان که هر یک از آنها به تنهایی می‌تواند صدمات جبران‌ناپذیری را متوجه سازمان‌ها کند. از این رو استفاده از یک سیستم مدیریت امنیت اطلاعات(ISMS ) مناسب برای مدیریت موثر دارایی‌های اطلاعاتی سازمان الزامی به نظر می‌رسد.

ا ISMS شامل مجموعه‌ای از خط مشی‌ها به منظور فراهم کردن مدلی برای ایجاد، توسعه و نگهداری امنیت منابع اطلاعاتی از جمله دارایی‌های نرم‌افزاری و سخت‌افزاری است. این خط مشی‌ها به منزله راه‌های امنی هستند که از طریق آنها منابع اطلاعاتی می‌توانند مورد استفاده قرار گیرند.
استانداردهای مختلفی در زمینه فناوری اطلاعات و ارتباطات وجود دارد که منجر به امنیت اطلاعات می‌شوند، مانند: PRINCE2, OPM3, CMMI, P-CMM, PMMM, ISO27001, PCI DSS, COSO, SOA, ITIL و COBIT. اما بعضی از این استانداردها به دلایل مختلف چندان مورد استقبال سازمان‌ها قرار نگرفته است. در اینجا به بررسی چهار استاندارد برتر دنیا می‌پردازیم که به طور گسترده در زمینه چارچوب، ساختار و امنیت فناوری اطلاعات مورد استفاده قرار می‌گیرند. این چهار استاندارد برتر شامل ISO27001,PCI DSS, ITIL و COBIT هستند. در ادامه به بررسی اجمالی کلیات هر یک از این چهار استاندارد می‌پردازیم:
ISO27001

استاندارد بین‌المللی ISO27001 الزامات ایجاد، پیاده‌سازی، پایش، بازنگری، نگهداری و توسعه ISMS در سازمان را مشخص می‌کند. این استاندارد برای ضمانت انتخاب کنترل‌های امنیتی بجا و مناسب برای حفاظت از دارایی‌های اطلاعاتی، طراحی شده است. زمانی که یک سازمان موفق به دریافت گواهینامه مربوط به استاندارد ISO27001 می‌شود، به این معنی است که آن سازمان توانسته امنیت را در زمینه اطلاعات خود مطابق با بهترین روش‌های ممکن مدیریت کند. این استاندارد (به خصوص نسخه ۲۰۱۳ آن) برای پیاده‌سازی در انواع سازمان‌های دولتی، خصوصی، بزرگ یا کوچک مناسب است. در ایران با توجه به تصویب سند افتا توسط دولت و الزامات سازمان‌های بالادستی در صنعت‌های مختلف، کلیه سازمان‌ها و نهادهای دولتی، ملزم به پیاده‌سازی ISMS شدند و اکثر این سازمان‌ها به پیاده‌سازی الزامات استاندارد ISO27001 رو آوردند.علاوه بر اینکه استاندارد ISO27001 خود حاوی کنترل‌های امنیتی جامعی جهت تضمین امنیت سازمان است، همچنین می‌تواند به عنوان یک بستر مدیریتی جهت پیاده‌سازی کنترل‌های امنیتی بیشتری که در استانداردهای دیگر وجود دارد، مورد استفاده قرار گیرد.
PCI DSS

استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS) یک استاندارد امنیت اطلاعات جهانی است که توسط انجمن استانداردهای امنیت صنعت کارت پرداخت برای افزایش امنیت کارت‌های اعتباری ایجاد شد. این استاندارد به طور اختصاصی برای سازمان‌هایی مفید است که در زمینه کارت‌های اعتباری، کیف الکترونیکی، ATM، POS و… اطلاعات مشتریان را نگهداری، پردازش یا مبادله می‌کنند.
اعتبار این استاندارد به صورت سالیانه بررسی می‌شود. برای سازمان‌های بزرگ بررسی انطباق توسط یک ارزیاب مستقل انجام می‌شود اما سازمان‌های کوچک‌تر می‌توانند انطباق خود را توسط پرسشنامه خود ارزیابی و بررسی کنند.
ITIL

ا ITILیک چارچوب عمومی است که بر پایه تجارب موفق در مدیریت سرویس‌های آی‌تی در سازمان‌های دولتی و خصوصی در سطح بین‌المللی به وجود آمده است. ITIL در اصل یک استاندارد نیست بلکه چارچوبی است با نگاهی نوین برای بهبود ارائه و پشتیبانی خدمات فناوری اطلاعات که امروزه از سوی سازمان‌های ارائه‌دهنده خدمات فناوری اطلاعات بسیار مورد توجه قرار گرفته است. هدف اولیه این چارچوب این است که مطمئن شود سرویس‌های آی‌تی با نیازهای کسب و کار سازمان منطبق، و در زمانی که کسب و کار به آن نیاز دارد پاسخگوی این نیاز است.
ا ITIL به عنوان مجموعه‌ای از کتاب‌ها به وجود آمده و بر پایه مدل دمینگ و چرخه PDCA ایجاد شده، نسخه فعلی ITIL که مورد استفاده قرار می‌گیرد، نسخه سوم است که پنج بخش اصلی را دربر دارد: استراتژی خدمات، طراحی خدمات، تحویل خدمات، اداره خدمات و بهینه‌سازی پیوسته خدمات.
همان‌طور که بیان شد، ITIL بیشتر در شرکت‌هایی که کسب و کار آی‌تی دارند، مورد توجه قرار گرفته است.
COBIT

ا COBITیک گواهینامه است که توسط ISACA و موسسه مدیریت آی تی (ITGI) در سال ۱۹۹۶ به وجود آمد. این استاندارد چارچوبی برای مدیریت فناوری اطلاعات است. این استاندارد با رویکردی فرآیندگرا در چهار دامنه و ۳۴ فرآیند و مجموعه‌ای از ۳۱۸ هدف کنترلی در حوزه ارزیابی فناوری اطلاعات تدوین شده است و مجموعه‌ای از سنجه‌ها، شاخص‌ها، فرآیندها و بهترین ‌تجارب را برای کمک به مدیران، ممیزان و کاربران آی‌تی ارائه می‌دهد. COBIT دارای پنج حوزه تمرکز بر مدیریت فناوری اطلاعات است: تنظیم استراتژیک، تحویل ارزش، مدیریت منابع، مدیریت ریسک و اندازه‌گیری کارایی. پیاده‌سازی و به‌کارگیری COBIT در سازمان‌ها، برای مدیران چارچوبی را فراهم می‌آورد تا به کمک آن بتوانند برنامه استراتژیک آی‌تی، معماری اطلاعاتی، نرم‌افزارها و سخت‌افزارهای مورد نیاز آی‌تی و کنترل عملکرد سیستم‌های آی‌تی سازمان خود را طراحی کنند و با کمک این ابزارها به تصمیم‌گیری و سرمایه‌گذاری‌های مرتبط با فناوری اطلاعات بپردازند.
همپوشانی حوزه‌های امنیتی

در سال ۲۰۰۹، یازده حوزه کنترلی اساسی شکل گرفت که به ۱۱EC معروف شد. این کنترل‌ها می‌بایست توسط سازمان‌هایی که می‌خواهند امنیت اطلاعات را پیاده‌سازی کنند، پیاده‌سازی شوند، اگر این کنترل‌ها را به عنوان معیاری برای تحقق امنیت اطلاعات در نظر بگیریم حاصل مقایسه چهار استاندارد مذکور، با توجه به این معیارها به شکل جدول روبه رو خواهد بود

#security
🌎@unixmens

مفهوم soc-cmm چیست ؟‌


مدل SOC-CMM یک ابزار مدیریت و سنجش بلوغ SOC است که می­تواند برای تعیین نقاط قوت و ضعف SOC مورد استفاده قرار گیرد و با ارزیابی و اندازه ­گیری توانایی و بلوغ SOC، می­توان بیشترین ارزش افزوده را برای سازمان فراهم کرد.

برای ادامه مطلب پست های کانال را دنبال کنید ...

#security
🌎 @unixmens

همانطور که در شکل مشخص است، این مدل از 5 دامنه و 25 جنبه مختلف تشکیل شده است. دامنه ­های "سازمان" ، "افراد" و "فرایند" فقط برای بلوغ (رنگ آبی) و دامنه­ های "فناوری" و "خدمات" از نظر بلوغ و قابلیت (رنگ بنفش) ارزیابی می­شوند.

مستند ارزیابی بلوغ مرکز عملیات امنیت.
که با پاسخ گویی به سوالات میتوانید سطح بلوغ سازمانی خود در حوزه soc پی ببرید

ver 2.0

#security

version 2.1

version 2.1 advanced

مدل SOC-CMM با ارزیابی علمی و غیر علمی برای تعیین ویژگی‌ها و ویژگی‌های SOCها، مانند فناوری‌ها یا فرآیندهای خاص، ایجاد شد. سپس این ویژگی ها و ویژگی ها در حوزه های مربوطه جمع آوری شدند. سپس نظرسنجی در بین SOCها برای تعیین وجود عناصر مهم شناسایی شد و در موقعیت های عملی انجام شد. نتیجه آن نظرسنجی، همراه با مرور اولیه و افزوده شده با مرور مدل‌های بلوغ، برای ایجاد مدل SOC-CMM استفاده شد. مدل در سمت چپ نشان داده شده است. این مدل از 5 حوزه و 25 جنبه تشکیل شده است. دامنه‌های «کسب و کار»، «مردم» و «فرایند» فقط برای بلوغ (رنگ آبی)، دامنه‌های «تکنولوژی» و «خدمات» برای بلوغ و قابلیت (رنگ بنفش) ارزیابی می‌شوند.

بلوغ (Maturity)

ا SOC-CMM از مراحل بلوغ مبتنی بر CMMI استفاده می کند:
که شامل مباحث زیر است :‌
ا - Non-existent. در این سطح، جنبه ناقص است
- ا Initial جنبه به صورت موقت ارائه می شود
- ا Defined جنبه مستند شده و به طور مداوم ارائه می شود
- ا Managed این جنبه با استفاده از بازخورد موقت در مورد کیفیت و به موقع بودن محصولات قابل تحویل مدیریت می شود
ا - Quantitatively Managed مدیریت کمی این جنبه به طور سیستماتیک برای کیفیت، کمیت و به موقع بودن محصولات قابل تحویل اندازه گیری می شود
ا-Optimizing این جنبه به طور مداوم در حال بهینه سازی و بهبود است

بر خلاف CMMI، SOC-CMM یک مدل سررسید پیوسته است. بنابراین، بهبود مستمر است و می تواند در همه جنبه ها به طور همزمان و مستقل انجام شود.

قابلیت (Capability)

ا SOC-CMM از یک رویکرد مستمر برای اندازه‌گیری قابلیت فنی در حوزه‌های فناوری و خدمات استفاده می‌کند. اینها می توانند ویژگی های فنی مانند وجود گزینه های ابزار خاص یا ویژگی های دیگر مانند مصنوعات خدماتی باشند. درست مانند امتیازدهی بلوغ، امتیازدهی قابلیت پیوسته است. مشابه CMMI، SOC-CMM از 4 سطح قابلیت پشتیبانی می کند:
- Incomplete
- Performed
- Defined
- Managed
قابلیت ها را می توان در هر سطح بلوغ بیان کرد. بنابراین، قابلیت ها به سطوح بلوغ بستگی ندارند و می توانند به طور مستقل بهبود یابند.

یعنی domain ها مستقل هم هستند (به عکس مراجعه شود (بالا) )

روش شناسی - متادولوژی (Methodology)

روش مورد استفاده برای ایجاد SOC-CMM یک رویکرد تحقیقاتی علمی به نام طراحی علمی تحقیقات است . DSR این نوع تحقیقات بر پر کردن شکاف بین تئوری و عمل تمرکز دارد و برای حوزه‌هایی که به طور گسترده (علمی) مطالعه نشده و به وضوح تعریف نشده‌اند، به خوبی کار می‌کند، همانطور که در مورد قابلیت و بلوغ SOC وجود دارد. هدف پژوهش طراحی ایجاد یک نتیجه ملموس از تلاش تحقیقاتی است. در این مورد، دو مصنوع ایجاد شد: مدل SOC-CMM، که یک نمایش انتزاعی از SOCها است و ابزار خود ارزیابی بر اساس آن مدل برای ارزیابی بلوغ قابلیت در یک SOC هست .

https://www.soc-cmm.com/downloads/

ا CMMI چیست؟

یکپارچه‌ سازی مدل بلوغ توانایی (Capability Maturity Model Integration) مدل فرآیندی است برای تعریف و ترویج رفتارهای سازمانی که منجر به بهبود کارایی می‌گردد. با پنج “سطح بلوغ” و یا سه “سطح توانایی”، CMMI مهم‌ترین المان‌های موردنیاز برای تهیه محصولات خوب یا ارائه خدمات خوب را در قالب یک مدل مختصر و مفید ارائه می‌کند. این مدل به‌عنوان یکی از ماژول‌های راهکار زیست‌ بوم امنیت شرکت پویه گام استفاده می‌شود.

ا CMMI به ما کمک می‌کند تا به سوالات زیر پاسخ دهیم:

چگونه متوجه شویم که در چه چیزی توانمند هستیم؟
چگونه متوجه شویم که آیا در حال بهبود هستیم یا خیر؟
چگونه متوجه شویم که آیا فرآیندهایی که در حال استفاده هستیم کارایی لازم را دارند یا خیر؟
چگونه متوجه شویم که آیا محصولات ما به آن خوبی که می‌توانند باشند هستند یا خیر؟

این مدل همچنین به ما کمک می‌کند تا اهداف کسب و کار و معیارهای اندازه‌گیری آن‌ها را شناسایی کنیم و به آن اهداف دست پیدا کنیم محصولات بهتری را بسازیم و ارائه کنیم
میزان رضایت مشتریان را افزایش دهیم
از کارکرد بهینه همه افراد مطمئن باشیم

این مدل از تعدادی “بخش‌های فرآیندی” تشکیل شده است. قابل ذکر است که این مدل خود یک فرآیند نیست. در واقع این مدل در مورد “چه چیزی” سوال می‌کند و نه در مورد “چگونه”.

سازمان‌ها می‌توانند بر اساس بیش از ۳۰۰ معیار دقیق و مشخص در توانایی و بلوغ سطح‌بندی شوند. با توجه به مفهوم گسترده این مدل، CMMI یک استاندارد نیست. رتبه‌بندی آن به معنای گواهی‌نامه نیست و صرفا به معنای سطح‌بندی است.

پیشینه

مدل CMMI در دانشکده مهندسی نرم‌افزار دانشگاه Carnegie Mellon با پشتوانه دولت، سازمان‌های نظامی، صنایع و مراکز علمی ایجاد شد. در حال حاضر توسط انیستیتو CMMI که بخشی از دانشگاه Carnegie Mellon است، اداره می‌شود.

این مدل برای مقاصد مختلف، نسخه‌های مختلفی دارد. برخی از پرکاربردترین‌ آن‌ها عبارتند از:

CMMI for Development (CMMI-DEV)
CMMI for Services (CMMI-SVC)
CMMI for Acquisition (CMMI-ACQ)

این سه نسخه شامل ۱۶ بخش فرآیندی مرکزی می‌باشند و به ترتیب بالا به پایین بیشترین محبوبیت را دارند.
تکامل CMMI

نسخه ۱٫۱ در سال ۲۰۰۲، آن نسخه ۱٫۲ در سال ۲۰۰۶ و نسخه ۱٫۳ در سال ۲۰۱۰ منتشر شد. نسخه ۱٫۳ در حال جایگزینی با نسخه ۲٫۰ است که از ماه مارس ۲۰۱۸ در حال انتشار است.

در نسخه‌ی اولیه به نام Software CMM، تمرکز بر روی مهندسی نرم‌افزار بود. در نسخه‌های جدیدتر، CMMI کلان‌تر و مفهومی‌تر شده است. در نسخه‌های جدیدتر این اجازه را می‌دهد تا در حوزه‌های سخت‌افزار، نرم‌افزار و خدمات در تمام صنایع استفاده شود.

با هر نسخه جدید، سعی می‌شود فهم و کاربرد آن برای کسب و کارها ساده‌تر شود. هر مدل جدیدتر به نحوی طراحی می‌شود که پیاده‌سازی و استفاده از آن آسان‌تر و مقرون به صرفه‌تر باشد. در واقع این مدل به کسب و کارها کمک می‌کند علاوه بر کمیت روی کیفیت نیز تمرکز کنند. تمرکز روی کیفیت در گام اول با تدوین معیارهای ارزیابی پیمانکاران و تامین کنندگان اتفاق می‌افتد. در گام بعدی با تشخیص و برطرف کردن مشکلات فرآیندی صورت می‌گیرد. در نهایت با کاهش ریسک‌ها و بهبود رفتار سازمانی سرانجام می‌یابد.
مدل CMMI

مدل CMMI با یک فرآیند ارزیابی آغاز می‌شود که سه بخش خاص را مورد بررسی قرار می‌دهد:

ساخت و توسعه فرآیندها و سرویس‌ها
پیاده‌سازی و مدیریت سرویس‌ها
حاکمیت سرویس‌ها و محصولات

ا CMMI تلاش می‌کند عملکرد سازمان‌ها را با بیان آنچه برای ارائه محصولات و خدمات بهتر لازم است، بهبود بخشد. باید دقت داشت که CMMI فراتر از یک مدل فرآیندی است و علاوه بر آن یک مدل رفتاری نیز هست. کسب و کارها می‌توانند از این مدل برای تدوین معیارهای ارزیابی قابل اندازه‌گیری در راستای بهبود کارایی استفاده کنند. علاوه بر آن، CMMI می‌تواند ساختاری برای افزایش بهره‌وری رفتار در کل سازمان ایجاد کند.

خلاصه :‌



مدل CMMI بلوغ سازمان‌ها را در ۵ سطح تعریف می‌کند. سازمان‌هایی که این مدل را می‌پذیرند هدف‌شان افزایش سطوح بلوغ سازمان است. قابل ذکر است با رسیدن به سطح ۵ یعنی “Optimizing”، نباید این مدل را کنار گذاشت. در این مرحله سازمان‌ها باید روی بهبود منظم متمرکز باشند. ۵ سطح بلوغ به شرح زیر است:



ا Initial: در این سطح فرآیندها غیرقابل پیش‌بینی و به صورت واکنشی هستند. معمولا کارها دیرتر از زمان مقرر و با هزینه‌ی بیشتر از بودجه مقرر انجام می‌شوند. در سطح Initial، فضای سازمان غیرقابل پیش‌بینی است و ریسک‌ها و ناکارآمدی افزایش می‌یابد.
ا Managed: در این سطح اقدامات اولیه مدیریت پروژه صورت می‌گیرد. پروژه‌ها برنامه‌ریزی، اجرا، ارزیابی و کنترل می‌شوند اما همچنان مشکلات زیادی وجود دارد.
ا Defined: در این سطح سازمان‌ها به جای رفتار واکنشی بیشتر به سمت پیش‌بینی و برنامه‌ریزی حرکت می‌کنند. مجموعه‌ای از “استانداردهای سازمانی” برای راهنمایی در اجرای پروژه‌ها و برنامه‌ها وجود دارد. در سطح Defined کسب و کارها نواقص خود، روش برطرف کردن آن و اهداف در راستای بهبود را می‌شناسند.
ا Quantitatively managed: در این سطح کنترل و ارزیابی بیشتری وجود دارد. سازمان با استفاده از داده‌های کمی، فرآیندهای مورد نیاز ذینفعان را پیش‌بینی می‌کند. کسب و کار، جلوتر از ریسک‌ها در حرکت است.
ا Optimizing: در این سطح فرآیندهای سازمان منعطف و پایدار هستند. در سطح پایانی، سازمان در وضعیت بهبود منظم و استفاده از فرصت‌ها خواهد بود. در سطح Optimizing سازمان پایدارتر و پیش‌بینی‌پذیرتر است که این امر فضا را برای چابکی و خلاقیت باز می‌کند.