امنیت اطلاعات شماره چهارم

CISO از آغاز تا اکنون

CISO از آغاز تا اکنون
نوشته شده توسط admin

سیر تکاملی حضور و پذیرش مدیر امنیت اطلاعات در سازمان‌ها

اگر نگاهی به خبرهای مرتبط با افشای ناخواسته اطلاعات داشته باشیم، به این نکته پِی می‌بریم که مدیر امنیت اطلاعات هیچ‌گاه به‌اندازه امروز در موفقیت و ثبات یک مجموعه نقش نداشته است. به دنبال افزایش اهمیت مدیر امنیت اطلاعات در سازمان‌ها، موضوعات و مسائل جانبی این حوزه شغلی ازجمله: محل استقرار این بخش در سازمان و نحوه ارائه گزارش‌ها توسط کارمندان محافظت اطلاعات نیز مرکز توجه قرارگرفته است. از همین رو، یکی از موضوعات اساسی که در تمامی بحث‌های پیرامون نقش مدیر امنیت اطلاعات می‌شود، به محل استقرار و اجرای برنامه‌های امنیت اطلاعات مرتبط می‌شود. با این‌حال، تصمیم‌گیری در مورد بخش مدیریت امنیت اطلاعات یکی از چالش‌های همیشگی سازمان‌هاست، زیرا اغلب بحث‌ها در این حوزه به عبارت «بستگی دارد» ختم می‌شود. بنابراین، می‌توان از این بحث‌های تکراری و بی‌نتیجه گذر کرد و به دنبال راهکاری عملی برای افزایش کارایی این بخش در سازمان‌ها گشت. راهکاری که بدون شناخت کامل از ضرورت‌ها و الزامات وجود بخشی به نام مدیریت امنیت اطلاعات در سازمان میسر نمی‌شود.
حقیقت این است که وجود مدیر امنیت اطلاعات به چند دلیل عمده برای سازمان‌ها اهمیت دارد؛ اما شاید اولین و ابتدایی‌ترین نقشی که این مدیر می‌تواند در سازمان ایفا کند، کشف و بیان خبرهای افشای اطلاعات باشد. مسئله‌ای که به‌نوبه خود یکی از حساس‌ترین رویدادهای هر مجموعه‌ای به حساب می‌آید و بیش‌ازپیش ضرورت وجود مدیر امنیت اطلاعات و نقش آن‌ها در تصمیم‌گیری‌ها را یادآور می‌شود. ازآنجایی‌که بخش مدیریت امنیت اطلاعات یکی از شریان‌های اصلی سازمان‌هاست، در ادامه به سه مبحث مهم در این خصوص اشاره می‌شود:
پیش از هر چیز نباید فراموش کرد که محافظت از سیستم‌های اطلاعاتی و داده‌ها بخش جدایی‌ناپذیر عملیات کسب‌وکار است؛ درست مانند اینکه منابع انسانی و قسمت مالی از اجزای جدایی‌ناپذیر تمامی سازمان‌ها هستند. علاوه بر این، نباید چنین تصور شود که مدیر امنیت اطلاعات مسئول تمامی کارها و خطاهای افراد مرتبط با بخش محافظت اطلاعات است. همان‌طور که یک مدیر مالی یا اداری وظیفه ندارد برای هر اقدامی از جانب کارمندان توضیح بدهد، مدیر امنیت اطلاعات نیز ملزم به ارائه توضیح در هر زمینه‌ای نیست. این مقام مسئول مانند دیگر مدیران شاغل در سازمان، کارشناسی حرفه‌ای در حوزه مربوط به کار خودش است که اغلب به تفسیر مقررات، پایه‌گذاری سیاست‌ها، اثرگذاری بر رفتار کارمندان و نظارت برای حصول بهترین نتیجه ممکن می‌پردازد.
در وهله دوم، به یاد داشته باشید امنیت اطلاعات یک مشکل فناورانه صرف نیست. بنا به گزارش انجمن ملی مدیران شرکت‌ها، امنیت سایبری یک مسئله مهم و حساس در سطح مدیریتی است که تنها به بخش فناوری اطلاعات مربوط نمی‌شود. نکته حائز اهمیت اینجاست که شرکت‌ها می‌توانند با تخصیص سهام بیشتری برای شخص ثالث بخش بزرگی از مدیریت سیستم‌ها و داده‌های حساس و حیاتی را به آن‌ها واگذار کنند.
سومین مبحث مهم این است که اگر مدیر امنیت اطلاعات در زمان بحرانی افشای ناخواسته اطلاعات باید از اقتدار لازم برای تأثیرگذاری بر دیگر بخش‌ها ازجمله: مدیر فناوری اطلاعات، مدیر مالی و دیگران مدیران کلیدی را برخوردار باشد. این موضوع مستلزم برقراری ارتباطی مستقیم میان مدیر امنیت اطلاعات با مدیرعامل و سایر اعضای هیئت‌مدیره است. به‌علاوه، مدیر امنیت اطلاعات باید بتواند بودجه پیشنهادی خود را برای پیاده‌سازی برنامه‌های امنیتی در تمامی بخش‌هایی که در معرض تهدیدهای سایبری هستند مطرح کند.
پس از همه این مباحث نوبت به عمل می‌رسد، به‌عنوان یک حرفه محافظت از اطلاعات فرایندی نسبتاً نابالغ است. درواقع، همچنان نسخه یکسانی برای توصیف این حوزه کاری و جزئیات آن وجود ندارد و حتی نمی‌توان ساختار مشابهی برای نحوه گزارش دهی مدیر امنیت اطلاعات بیان کرد. بر همین اساس، هر مدیری با توجه به استراتژی‌های سازمانی می‌تواند شیوه‌های گزارش دهی متفاوتی انتخاب کند؛ مدیر امور مالی، مدیر اجرایی و مدیر ارشد اداری همگی در فهرست افراد منتخب برای ارائه گزارش قرار می‌گیرند. علاوه بر این، اگر میران ارشد امنیت اطلاعات را گروهی با ویژگی‌های مشابه در نظر بگیریم بازهم نمی‌توانیم از تفاوت‌های تحصیلی، مهارت‌های کاری و دانشی آن‌ها با یکدیگر چشم‌پوشی کنیم.
با توجه به کمبود افراد ماهر و حرفه‌ای درزمینه امنیت اطلاعات، اجازه دهید این‌چنین بگوییم که هیچ معیار مشخصی برای تضمین موفقیت یک مدیر امنیت اطلاعات و گزارشی که ارائه می‌دهد وجود ندارد.
بااین‌حال، بنا بر بحث‌های مختلفی که در این حیطه انجام‌شده است، برنامه ارائه‌شده برای محافظت از اطلاعات سازمان باید هم‌راستا با استراتژی‌های کلی مجموعه باشد. برای رسیدن به این نقطه، مدیر امنیت اطلاعات باید مشارکتی همه‌جانبه و اثربخش با مدیران دیگر بخش‌ها داشته باشد، او باید از قدرت تأثیرگذاری بر رفتارهای سازمانی دیگر کارکنان بهره‌مند باشد، اقتدار لازم برای گزارش پیشرفت‌ها یا چالش‌ها را داشته باشد و درنهایت بتواند حمایت لازم برای اجرایی کردن برنامه‌های امنیتی را دریافت کند. بر طبق آنچه در گزارش انجمن ملی مدیران شرکت‌ها آمده است، تمامی سازمان‌ها باید تهدیدهای امنیتی را هم‌رده با تهدیدهای مالی و اقتصادی بدانند.
در شرایطی که هر سازمانی می‌تواند برنامه‌ای مختص به خود برای اجرایی کردن سیاست‌های امنیت اطلاعات داشته باشد، اما رعایت برخی نکات کلیدی برای موفقیت‌آمیز بودن این برنامه‌ها ضروری است. به همین منظور به معرفی سه اصل ابتدایی اما کلیدی در این حوزه می‌پردازیم:
سازمان‌ها وظیفه‌دارند، گزارش‌های ارائه‌شده راجع به سیستم‌های امنیت اطلاعات و میزان دسترسی مدیران اجرایی به این سیستم‌ها را موردسنجش قرار دهند. شرکت‌ها همواره باید نحوه مدیریت امنیت اطلاعات و اولویت‌بندی‌ها بررسی کنند و بودجه لازم برای فعالیت‌های کاهش‌دهنده ریسک در این محیط را تأمین کنند.

شرکت‌ها، دانشگاه‌ها و بخش صنعتی امنیت اطلاعات باید درزمینه آموزش و هدایت نسل آینده رهبران امنیتی با یکدیگر همکاری و مشارکت داشته باشند. در این زمینه باید به نحوه برقراری ارتباط و مشارکت ذی‌نفعان در شرکت‌های بزرگ و هیئت‌مدیره توجه ویژه‌ای شود.

ازآنجایی‌که اغلب مهاجمان سایبری درنهایت به صفحه اول وب‌سایت سازمان‌ها نفوذ پیدا می‌کنند، مدیران محافظت اطلاعات باید اطمینان حاصل کنند که سرفصل‌ها مهاجمان را به سمت برنامه‌های امنیت اطلاعات هدایت نمی‌کند. درواقع، مشکل اساسی محافظت مناسب از سیستم‌های اطلاعاتی نیست، بلکه سازمان‌ها آن‌قدر هوشمند باشند که درزمانی مقتضی بتوانند سرمایه گذران را برای توسعه استراتژی‌های امنیتی راضی کنند.
علی‌رغم همه آنچه گفته شد، نقش مدیر امنیت اطلاعات همواره در حال تغییر و تکامل است و تا اثربخشی حداکثری این بخش راهی طولانی در پیش است. پیش از هر اقدامی، باید از توانایی ادغام و مشارکت مدیر امنیت اطلاعات با سایر بخش‌ها و استراتژی‌های مجموعه اطمینان پیدا کرد، فراموش نکنید هیچ‌چیز مهم‌تر از تربیت یک نیروی توانمند برای مدیریت امنیت اطلاعات نیست؛ بنابراین، اگر می‌خواهید در جامعه اطلاعاتی مجموعه‌ای موفق به حساب بیایید باید راهکاری برای مقابله و مدیریت با تهدیدهای فضای مجازی داشته باشید و اهمیت نقش مدیر امنیت اطلاعات در رونق کسب‌وکارتان را دست‌کم نگیرید.
منبع: ماهنامه CSO

درباره نویسنده

admin

دیدگاهتان را بنویسید