امنیت اطلاعات شماره چهارم

آیا کسی به تغییر نقش CISO توجه می‌ کند ؟

تغییر نقش CISO
نوشته شده توسط admin

نقش مدیر ارشد امنیت اطلاعات (CISO) در نظر عموم چندان خوشنام و جذاب نیست. بخش روشن صحنه نمایش، گویای نشت‌های اطلاعاتی بسیار چشمگیر و گسترده‌ای در شرکت‌های بزرگ است که درواقع کارکرد درونی برنامه‌های امنیت اطلاعاتی قربانیان را به تصویر می‌کشد.
بسیاری از بنگاه‌های بازرگانی و تجاری هنوز هم در بروزرسانی برنامه‌های امنیتی خود و اختصاص یک مدیریت متمرکز برای این مقوله کوتاهی می‌کنند. به خطر افتادن تأییدیه‌های دو فاکتوری RSA’s SecureID در سال 2011 و Linkedin’s stolen passwords در سال 2012 را به یاد می‌آورید؟ هیچ سازمانی اختصاصاً یک CISO ندارد. هردوی این شرکت‌ها فاقد چنین جایگاهی در سازمان خود بودند.
در سال گذشته چندین شرکت نام‌آشنا با مخاطرات امنیتی گسترده روبرو شدند که از آن جمله می‌توان به Target و JPMorgan Chase اشاره کرد که نه‌تنها یک CISO در شرکت خود نداشتند بلکه از اختصاص یک مدیر تمام‌وقت به بخش راهبری برنامه‌های ریسک و امنیتی‌شان کوتاهی کرده بودند. دراین‌بین نه‌تنها مشتری‌ها، بلکه قانون‌گذاران، بانک‌ها، فروشگاه‌های زنجیره‌ای و صادرکننده‌های کارت‌های اعتباری رضایتی از خود بروز نمی‌دهند.
شغل CISO با میزان حقوق بیشتر و چالش‌های پیچیده‌تر، فرصتی برای افرادی با ظرفیت بالاتر در مسائل استرس‌زاست که بتوانند برنامه‌های مدیریت امنیت و ریسک را توسعه داده و شکاف بین مدیران اجرایی و مهندسان را پوشش دهند و نیز جزئیات مبهم کنترل‌های تکنولوژی و چارچوب‌های صلاحیتی را بررسی نمایند. بالا رفتن از نردبام CISO غالباً برخورداری از پایه علوم کامپیوتر یا بودن در نیروهای ارتشی اطلاعاتی یا قانونی را می‌طلبد. این نقش همچنان در حال دگرگونی است و باوجود افراد زیادی که در این زمینه مشغول به کار کارند تعریف خاصی برای آن وجود ندارد. شرکت تارگت که در طول تعطیلات سال 2013 صدها میلیون به سبب سرقت اطلاعاتش متضرر شد اخیراً نخستین CISO خود با نام براد مایورینو را استخدام کرده است. CISO سابق و مدیر ارشد ریسک در شرکت جنرال موتورز در مصاحبه با نیویورک‌تایمز عنوان کرد که “در حال حاضر ما فرصت تعریف CISO و اینکه به چه کسی گزارش بدهیم را در اختیار داریم و قرار گرفتن در این نقش فرصت هیجان‌انگیزی است”.

  ایجاد توازن با تغییر نقش 
اخیراً نقش CISO کم‌وبیش چیزی شبیه به یک مدیر ارشد یا به بیانی دیگر کسی است که در پس سازمان روی سیستم‌ها و اساس ساختاربندی فایروال کار می‌کند. بوروس برودی، استراتژیست ارشد امنیت سایری در شرکت کوبیک که 15 سال در دپارتمان امور بازنشستگان ارتش در سازمان انرژی و تکنولوژی‌های DRS دفاعی در جایگاه شغلی CISO مشغول به کار بوده است دراین‌باره می‌گوید” در این شغل سطح C یا سطح اجرایی وجود ندارد”.
این نقش در حال تغییر است. با اوج گرفتن مسائل مربوط به حوزه‌های امنیت و حفاظت اطلاعات، نقش CISO اکنون حول مسائلی مانند IT، تداوم کسب‌وکار، پرسنل و امکانات گردش می‌کند که به‌این‌ترتیب تصمیم‌گیری در خصوص اینکه این جایگاه کجای سازمان یا یک شرکت تجاری قرار گیرد بسیار چالش‌برانگیز است. برودی دراین‌باره می‌گوید” ازآنجاکه این جایگاه شغلی در همه حوزه‌های یک سازمان می‌تواند نقش داشته باشد باید رهبر سازمان یک صندلی در هیئت‌مدیره به این بخش اختصاص دهد”.
برخی شرکت‌ها در تمرکز روی امنیت سایبری تجدیدنظر کرده‌اند و برای مواجهه با دورنمای تهدیدآمیز و در حال دگرگونی آینده، منابع بیشتری را به نقش CISO اختصاص داده‌اند. سیندی میسلی، مدیر ارشد استخدامی در شرکت آلتا اسوشییتس، یک موسسه استخدامی در فلمینگتون نیوجرسی، دراین‌باره می‌گوید “مشتری‌های ما برای آمادگی بیشتر در برابر تهدیدات نقش CISO را تا سطح مدیر اجرایی واقعی ارتقاء داده‌اند که با جایگاه مدیری که به مدیر سطح C گزارش می‌دهد متفاوت است و همچنین پیش‌بینی‌هایی مانند افزایش بودجه و سرمایه‌گذاری روی کارکنان و تکنولوژی برای این بخش صورت گرفته است”.
شرکت آلتا اسوشییتس یک موسسه تحقیقات اجرایی باسابقه 25 ساله و تجارب طولانی‌مدت در زمینه امنیت و مدیریت ریسک IT است. بنا بر اظهارت میسلی، اکنون انتظار می‌رود که CISOها گزارش‌های مستقیم و تخصصی‌تری بامهارت فنی بیشتر در حوزه‌هایی مانند کارشناسی IT، پاسخگویی به حوادث ناگهانی، عملکردهای اجرایی و بازدارندگی امنیتی و مدیریت ریسک IT را شاهد باشند. در چنین شرایطی این فرصت در اختیار مدیران بخش‌های امنیت قرار خواهد گرفت تا برنامه‌های جدیدی ورای برنامه‌های امنیت اطلاعات قدیمی در ارتباط با ادغام و یکپارچه‌سازی، فراگیری و استراتژی محصولی را بیازمایند. به گفته او “ما شاهد هستیم که مشتری‌هایمان به سمت گزینه‌هایی که نه‌تنها در امر تکنولوژی مهارت تخصصی دارند بلکه استراتژیک هم هستند و نیز به سمت رهبران توانمند کسب کارهایی که توانایی جذب، توسعه و حفظ استعدادهای برتر رادارند و می‌تواند از برند و سرمایه‌های شرکت محافظت کنند درحرکت‌اند. این عامل کلیدی با همراهی ابعاد و گسترده سازمان بین 300 تا 500 هزار دلار برای یک شرکت هزینه در بردارد”.

1

  گزارش ارزیابی کاری 133 CISO در سال 2013، توسط موسسه پونمون
نقش CISO معمولاً در سازمان‌هایی با تعداد 1000 کارمند یا بیشتر تعریف می‌شود اما محققان بازار در شرکت گارتنر به سازمان‌های با 150 کارمند نیز پیشنهاد می‌کنند که یک CISO داشته باشند. پائول ای پروکتور درگزارشی که سال 2012 تحت عنوان “نمونه سازمان‌هایی که مدیر ارشد امنیت اطلاعات را به کار گرفته‌اند” نوشت سازمان‌های فاقد CISO طیفی از شرکت‌های بی‌اهمیت به مسئله امنیت و شرکت‌هایی که کنترل امنیتی فوق‌العاده‌ای دارند را در برمی‌گیرد که بنابراین نیازی به مدیریت امنیت مرکزی ندارند. سایر شرکت‌ها از نقش CISO فقط نام آن را یدک می‌کشند و بخش امنیت را به IT یا یک مجمع قانونی واگذار کرده‌اند و به گفته پروکتور زمانی برای ایفای این نقش ندارند.
برودی تأیید می‌کند که این نقش پدیده‌ای است که فقط در سطح سازمان‌های تجاری و دولتی اتفاق می‌افتد. او می‌گوید” اغلب سازمان‌ها زمانی که موردتهاجم برخی بدافزارها یا تهدیدات دیرپا و همیشگی قرار می‌گیرند اتفاقات بدی برای زیرساخت‌هایشان می‌افتد. تنها چیزی که می‌توانند بگویند این است که آن‌ها یک CISO دارند که یک باکس را چک می‌کند و به آن‌ها اجازه می‌دهد تا به هیئت‌مدیره و سرمایه‌گذاران بگویند بله ما یک مدیر ارشد امنیت اطلاعات داریم.” اینکه آن‌ها به خودشان زحمت داده‌اند و فردی را برای این نقش در نظر گرفته‌اند و منابعی را برای حقوق او اختصاص داده‌اند متأسفانه هیچ مشکلی را حل نمی‌کند”.
عملکرد CISO علی‌رغم مسئولیت‌های روزافزون و بسیار جدی، در بسیاری از شرکت‌ها هنوز هم به بخش تکنولوژی و کمترین صرف زمان برای استراتژی و توسعه خط‌مشی‌ها محدود است. موسسه پونمون اطلاعات مربوط به 133 CISO را به لحاظ حقوق دریافتی در سال 2013 موردبررسی قرار دارد. زمانی که از CISO ها خواسته شد در یک مقیاس 100 درجه‌ای میزان زمانی را که صرف می‌کنند درجه‌بندی کنند نظارت و بازبینی با بالاترین نمره (24) و سیاست‌گذاری و بسط آن (16)، مدیریت حوادث (12)، مدیریت تداوم کسب‌وکار (11) و ارزیابی ریسک با نمره (10) در انتهای فهرست قرار داشتند. برنامه‌ریزی (5) و تدارکات (4) نیز به نسبت نمره پایینی داشتند. توسعه خط‌مشی (2)، تدوین استراتژی (1) و ارتباطات سازمانی (1) کمترین نمره را در این بررسی به خود اختصاص دادند.

  حقایق تاکتیکی در تغییر نقش 
به گفته لری پونمون، مؤسس و رئیس موسسه تحقیقاتی پونمون، که برای نخستین بار این یافته‌ها را ارائه می‌داد “این یافته‌ها مستقیماً به عقاید مرسوم در خصوص نقش CISO در تدوین استراتژی و توسعه خط‌مشی برمی‌گردد. به نظر می‌رسد که CISO نه‌تنها یک افسانه و شگفتی نیست بلکه نقشی کاملاً تاکتیکی است”.

2
  بازدارنده‌های تبهکاری

133 CISO از شرکت‌هایی با تعداد 1000 کارمند یا بیشتر، گزارش ارزیابی کاری، موسسه پونمون
همچنین تحقیقات پونمون بیانگر آن است که ارتباطات مدیران امنیتی (که در شکل مشخص‌شده‌اند) در شرکت‌های با بیش از 1000 کارمند با عملکردهای مربوط به IT (78%)، مدیریت مرکز داده (55%)، قوانین شرکتی (39%)، مدیریت تداوم کسب‌وکار (36%)، مدیر بخش حفاظت (28%) و مدیریت ریسک سازمان (16%) می‌باشد و ارتباط آن با منابع انسانی و مالی شرکت در پایین‌ترین حد قرار دارد.
کیفیت و شرایط این بررسی‌ها با هم متفاوت است: 34% مدیران امنیتی دارای زمینه آشنایی با علوم کامپیوتر و MIS(مدیریت سیستم‌های اطلاعاتی) هستند، 20% از مأمورین قانون هستند، 16% دارای سابقه در ارتش و 14% تجربیات جاسوسی و اطلاعاتی دارند.
برودی دراین‌باره می‌گوید: “شما می‌توانید هر فرد باهوشی را گزینش کرده و او را پس از گذراندن آموزش‌های مناسب به‌عنوان یک کارورز بخش امنیت اطلاعات به کار بگیرید. آنچه این افراد برای طی کردن پله‌های ترقی و رسیدن به پست رئیس ارشد امنیت اطلاعات نیاز دارند یک پوست‌کلفت، توانایی سازمان‌دهی بی‌نظمی‌ها و آشفتگی‌ها، توانایی برقراری ارتباط مؤثر با مدیران و مهندسان ارشد و احساس راحتی با کت‌وشلوار و کراوات در اتاق هیئت‌مدیره به همان اندازه لباس اسپرت در خارج از اداره و دپارتمان IT است.
به عقیده برودی “این‌ها مهارت‌هایی هستند که هیچ معلمی ندارند” و کسی که وارد مسائل جاسوسی و امنیتی می‌شود به سمت دنیای دستور و کنترل حرکت می‌کند و به حیطه امنیت اطلاعات (امنیت چند سطحی در تمام دامنه‌ها) وارد می‌شود و درنهایت پس از گذراندن چندین نقش مدیریتی به جایگاه CISO دست می‌یابد. “شما باید هر چه که می‌خواهید را فقط از این افراد فرابگیرید. لازم است که مشکل را پیداکرده، آن را حل کنید و به سراغ مشکل بعدی بروید و درنهایت رزومه خود را بر اساس آن شکل بدهید.”
توصیه پراکتر به سازمان‌های بزرگ‌تر این است که ابتدا نقش را تعریف کنند و سپس “کسی که در وهله نخست از کسب‌وکار و در وهله دوم از تکنولوژی امنیتی سررشته داشته باشد را برای آن در نظر بگیرند”.
برودی معتقد است “چنانچه فکر می‌کنید تکنولوژی مشکل شما را حل می‌کند پس به‌احتمال‌زیاد درک درستی از مشکل ندارید. آنچه باید انجام شود یک رویکرد همه‌جانبه و کلی‌گرایانه است. مسئولیت اجرایی بسیار مهم است اما نباید شما را از جنبه‌های فنی غافل کند. بخشی از شغل شما تعریف جایگاه کنترل و مدیریت فنی است که به چارچوب قانونی و مدون شرکت ربط پیدا می‌کند و لازم است که تمام این جریانات زیر نظر شما قرار داشته باشند”.
حفظ ثبات جریان کنترل‌های جدید امنیتی، انتخاب تکنولوژی که با نیازهای ساختاری شما در تناسب باشد وظیفه دلهره‌آوری است که می‌تواند یکی از دشوارترین جنبه‌های شغل شما باید. به عقیده برودی “ایده‌های خوب زیادی برای انجام این وظیفه وجود دارند” و یک ارزیابی کلی از تمام کنترل‌های تکنولوژی چیزی است که در فضای امنیت اطلاعات به فراموشی سپرده‌شده است.
هریک از مدیران امنیت اطلاعات تصمیم‌گیری‌ها را رأساً انجام می‌دهند و متأسفانه برخی از بهترین ایده‌ها یک راهکار جزئی و پیش‌پاافتاده هستند. او می‌گوید: “زمانی که در تمام بخش‌های مختلف، تأمین امنیت کلیت ساختار مدنظر قرار گیرد مدیر ارشد امنیت اطلاعات قادر به تمرکز روی راهکارهای جزئی هم نیست. این راهکارهای جزئی حتی 1% از کل مشکلات را حل نمی‌کنند و شما همیشه باید به دنبال راهکارهای سازمانی گسترده‌ای باشید که ظرفیت ریسک کردن را بهبود ببخشند”.

  روش شغلی نامعین
علی‌رغم ماهیت بسیار حیاتی این شغل‌ها، روش انجام وظیفه امنیت اطلاعات تعریف بسیار ضعیفی دارد و به همین دلیل به کارکنان زیادی برای انجام آن نیاز است. چهارچوب کاری ملی نیروهای شاغل در امنیت سایبری دپارتمان امنیت ملی که در ماه جولای سال 2013 منتشر شد به‌منظور آموزش وظایف و نقش‌ها، مهارت‌ها و روش انجام وظیفه به نیروی کار طراحی شد. این طرح توسط موسسه ملی استانداردها و تکنولوژی (NIST) و ابداعات ملی در زمینه آموزش امینت سایبری (NICE) و همراهی با دولت و مؤسسات خصوصی توسعه پیدا کرد. بنا بر چهارچوب مدون نیروی کار، CISO یکی از جایگاه‌های شغلی مدیر امنیت سیستم‌های اطلاعاتی، مدیر IT و ریسک است که در کل وظیفه مدیریت برنامه‌های امنیتی را بر عهده دارد.CISO درواقع مدیریت هر آنچه در یک سازمان به امنیت اطلاعات مرتبط باشد، برنامه‌های خاص یا سایر حوزه‌هایی که مسئولیت آن‌ها با مسائل استراتژیک، پرسنل، زیرساخت، سیاست‌گذاری، برنامه‌ریزی‌های اضطراری، مراقبت‌های امنیتی و سایر منابع در ارتباط است را بر عهده دارد.
با بروز نگرانی‌ها پیرامون امنیت سایبری، مدیر ارشد اطلاعات بنا بر چهارچوب کاری تعریف‌شده با برنامه‌ریزی استراتژی و سیاست‌گذاری در این زمینه دست‌به‌گریبان است. قانون کلینگر-کوئن (سابقاً قانون اصلاح مدیریت تکنولوژی اطلاعات 1996) نقش CIO را برای دولت تعریف کرده بود. قانون مدیریت امنیت اطلاعات فدرال (FISMA) در سال 2002 مدیر ارشد آژانس امنیت اطلاعات را تعریف کرد که امروزه به‌عنوان مدیر ارشد امنیت اطلاعات تبدیل‌شده است. هردوی این نقش‌ها در حال دگرگونی هستند.
از زمانی که CIO و CISO در هر سازمان باهم همکار شده‌اند، شغل CIO بنا بر اظهارنظر برودی، اساساً یک power ping and pipe (تأمین تجهیزات، کنترل از راه دور کامپیوترها و ارتباط اینترنتی) است. نقش CISO نیز در قالب حفاظت، دفاع، واکنش، پاسخگویی و بازیابی تعریف‌شده است که تداوم زنجیره امنیت اطلاعات ممکن است با اولویت‌های بودجه‌ای CIO و میل به حفظ جریان عملکرد سیستم‌ها در تلاقی باشد. بنا بر بررسی‌های موسسه پونمون، کانال‌های گزارش دهی که CIO را نادیده گرفته و مستقیماً به هیئت‌مدیره و مدیران سطح C هدایت می‌شوند غالباً هزینه‌های بیشتری در پی دارند.

  نحوه گزارش دهی CISO به هیئت‌مدیره

Untitled-3

  133 CISO، گزارش ارزیابی کار 2013، موسسه پونمون
“هردوی این نقش‌ها در حال تغییر هستند” و باید به فکر آینده تکنولوژی IT بود. به عقیده برودی درصورتی‌که هر سازمان از شما بخواهد ابزارهای شخصی خود را به سرکار ببرید و به‌این‌ترتیب از هزینه‌های زیرساختی خود بکاهد و همه اطلاعاتش را در ابر ذخیره کند، خیلی زود نقش CIO و مدیر ارشد امینت تغییر خواهد کرد.
یکی از نیازمندی‌های بخش صنعت، تدوین یک روش کار برای کارورزان امنیت اطلاعات و انجام بهتر کارها و به حرکت واداشتن آن‌ها در مسیر تعیین‌شده است. به گفته برودی، شغل CISO اکنون خودش را تعریف می‌کند. “CISO یک زمینه شغلی است که معمولاً موفقیت‌های آن به چشم نمی‌آیند اما ناکامی‌های آن به‌سرعت به تیتر اول روزنامه‌هایی چون واشنگتن‌پست تبدیل می‌شوند. اما هیجان درونی این شغل از احساس انجام شدن کارها در پایان روز بسیار لذت‌بخش است. در کار مدیریت امنیت اطلاعات هیچ کار روتین و روزمره‌ای وجود ندارد”.
منبع: سکیوریتی تارگت

درباره نویسنده

admin

دیدگاهتان را بنویسید