جایگاه شغلی یک مدیر ارشد امنیت اطلاعات (CISO) در سال‌های اخیر بسیار مورد توجه قرار گرفته است، اما در آینده مسئولیت آنها تا چه حد گسترش پیدا خواهد کرد؟ بسیاری افراد معتقدند آنها یک نقش هدایت کننده داخلی دارند که بیش از هر چیز دیگری عادت به «نه» گفتن دارند. اما واقعا چنین باوری منصفانه است و گویای نقش یک CISO در سازمان می‌تواند باشد؟

اکثر سازمان‌ها برای انعطاف پذیری و حفظ امنیت داده‌های خود و حفظ حریم خصوصی داده‌های مشتریانشان تحت فشار شدید قرار دارند. هر چه پیش می‌رویم، می‌بینیم که رویکردی عملی‌تر لازم است تا بتوان نیازهای کسب و کار را با چالش‌های امنیتی مداوم ترکیب کرد.

خواسته همه سازمان‌ها دستیابی موفقیت آمیز به اهدافشان است. بخشی از چالش آنها اینست که با نگاه دقیق‌تر به ماهیت معنایی امنیت اطلاعات، متوجه می‌شوند که در واقع این بخش به جای انجام کارهای مناسب برای سازمان، بیشتر در پی جلوگیری از رخ دادن اتفاقات بد است. که این کار در حقیقت به جای حرکت بسمت مسیرهای مثبت، خطر تقویت رکود و تقلیل را ایجاد می‌کند.

اصطلاح ” نسل بعد CISO” شاید چندان جدید نباشد، اما همچنان داغ است. این مطلب به روابط در حال توسعه بین کسب و کار و امنیت می‌پردازد و اینکه چگونه CISO می‌تواند با تغییر رفتارها، ارزش واقعی کسب و کار را در کنار امنیت سازمان افزایش دهد.

 

بیشتر بخوانید  چهار راهکار اساسی برای حفظ امنیت اطلاعات در فضای سایبری

 

مشخصات نسل بعد یک مدیر ارشد امنیت اطلاعات (CISO)

مواجهه خارجی

اولین ویژگی که یک مدیر ارشد امنیت اطلاعات (CISO) نسل بعدی باید داشته باشد، مواجهه خارجی است. البته این امر به شدت به آگاهی بیشتر از چالش‌های دیگر سازمان‌ها و تغییر چشم انداز کمک می‌کند. آنها باید با مشتریان سازمان خود ارتباط برقرار کنند و بخوبی آنها را درک کنند. باید در کنار نیروی فروش و شرکای کانال های توزیع و فروش کار کنند. چرا؟ برای اینکه بتوانند چالش‌های تجاری را در مورد هر مسئله امنیتی سازمانی، و تاثیر آن بر مشتریان بخوبی درک کنند.

خطر زمینه‌ای

یک مدیر ارشد امنیت اطلاعات (CISO) خوب باید خطراتی که سازمانش با آنها مواجه است را بشناسد و از آسیب پذیری‌های سازمان در مقابل آنها هم آگاهی کامل داشته باشد. اما عمدتا تصمیم گیری در مورد اینکه آیا این خطرات قابل قبولند یا تأثیر مهمی بر کسب و کار دارند یا نه با آنها نیست. این نکته را در نظر داشته باشید که بهتر است این تصمیم به عهده کسانی نباشد که مسئولیت اجرایی کسب و کار را بدون اطلاع کامل از حقایق انجام می‌دهند.

مدیر ارشد امنیت اطلاعات (CISO) باید بتواند خطرات و پیامدهای انجام یا عدم انجام یک کار را بخوبی و با توجه به عواقب آن برای کسب و کار بشناسد و گزارشی از آنها به دیگر مدیران ارائه دهد. اینکه صرفا اطلاعات ساده‌ای در مورد سرعت پچ، تعداد حملات فیشینگ و یا سطح مواجهه با خطر بدافزار ارائه دهند کافی نخواهد بود. درست است که این موارد شاخص‌های عملکرد مربوطه در عملکرد امنیتی هستند، اما نقش کلی آنها در زمینه کسب و کار بسیار اهمیت دارد. بعلاوه مدیران ارشد امنیت اطلاعات نباید خطراتی که با آن مواجهند را پنهان کنند یا دست کم بگیرند. نکته مهم توضیح واضح و شفاف اثراتی است که مسائل امنیتی مختلف می‌تواند بر جنبه‌های مختلف کسب و کار داشته باشد. پس موضوع اصلی، پرداختن به نکات امنیتی و خطرات موجود در یک کسب و کار به شیوه‌ای روشن و قابل درک است.

ارتباط با کارکنان

مدیر ارشد امنیت اطلاعات (CISO) علاوه بر برقراری ارتباط با مشتریان و همکارانشان در سطح اجرایی، باید بتواند با تمام کارکنان در کل سازمان ارتباط برقرار کند. امنیت یک مسئله جزئی نیست که فقط به چند فرد یا فرایند خاص تجاری مربوط شود. تمام نقش‌ها در سازمان با مولفه امنیت و خطر مرتبط هستند و باید تا حدی مسئولیت آن را هم بپذیرند. در یک نگاه اجمالی شاید بنظر برسد یک فرد می‌تواند این مسئولیت را به تنهایی بعهده بگیرد، اما باید بدانید مسئولیت بسیار سنگینی است. این احتمال وجود دارد که اگر فرد به تنهایی تمام امور را بعهده بگیرد بیش از حد در لاک دفاعی فرو رفته و اغلب در جواب اقدامات اجرایی “نه” می‌گوید.

یک مدیر ارشد امنیت اطلاعات (CISO) باید پیشرفت‌های کسب و کار را بخوبی درک کند و با چالش‌هایی که با آن‌ها مواجه است بخوبی کنار بیاید. این کار به مشارکت بیشتر، درک اهمیت امنیت، تعیین وظیفه هر فرد در سازمان و درنتیجه دستیابی به اهداف بیشتر کمک می‌کند. یک مدیر ارشد امنیت اطلاعات (CISO)  نسل بعدی با ارتباط و مشارکت با همکارانشان، اطلاعات خود را در زمینه تهدید داده و تاثیر ارزیابی شبکه اطلاعاتی افزایش می‌دهد.

درونی شدن مفاهیم

کم کم درک و تغییر رفتارها برای حفظ امنیت در سراسر سازمان، تبدیل به یک هدف واقع گرایانه می‌شود. اما این کار با یک ارزیابی ساده و یا دوره‌های آموزشی خسته کننده محقق نمی‌شود. آموزش مداوم به روش های مدرن در این زمینه می‌تواند نقش مهمی در افزایش آگاهی افراد داشته باشد و ریسک تهدیدهای امنیتی خاص را کاهش می‌دهد. یک مدیر ارشد امنیت اطلاعات (CISO) نسل بعدی با استفاده از مدل‌های آموزشی فراگیرتری فعالیت خواهد کرد. این فعالیت شامل شبیه سازی و بازی در قالب نقش (Role Play) می‌شود تا از آموزش و اطلاع رسانی در مورد امنیتی داخلی سازمان و درونی شدن مفاهیم آن در فرهنگ سازمانی اطمینان کامل حاصل شود.

نتیجه گیری

نقش یک مدیر ارشد امنیت اطلاعات (CISO)  ممکن است با اطلاعات و امنیت مرتبط باشد، اما باید برای حفاظت از سیستم بصورت متناسب و هم راستا با نیازهای کسب و کار تلاش کند. یک مدیر ارشد امنیت اطلاعات (CISO)  نسل بعدی باید ویژگی‌های زیادی داشته باشد و وظایف متنوعی را باهم ترکیب کند تا بتواند در تحقق اهداف سازمانی مدیران نقش خود را ایفا کند. همچنین توانایی ارزیابی جنبه‌های فنی، و درک اینکه موفقیت به نقش انسانی بستگی دارد را باید داشته باشد.