آرشیو امنیت اطلاعات شماره چهارم

نقش تحول آفرین CISO

CISO
نوشته شده توسط admin

از مدیریت فناوری تا مشاوره مدیریت ریسک

اخیراً مقاله یکی از کارشناسان امنیت اطلاعات را مطالعه کردم که در آن این منطق که تنها بروز مشکلات امنیتی عظیم مانند درز کردن اطلاعات می‌تواند محرکی برای سرمایه‌گذاری‌های بیشتر سازمان‌ها روی امنیت اطلاعات باشد را زیر سؤال برد. بنا بر استدلال این مقاله، هزینه‌های تحمیل‌شده به‌واسطه درز کردن اطلاعات و سپس پاک‌سازی پیامدهای آن قابل مدیریت هستند و در موارد معدودی این هزینه‌ها از جانب طرف‌های سوم ناشی می‌شوند.  درحالی‌که محتوای مقاله در خصوص اینکه چطور مخاطرات معنوی و اخلاقی پای دولت را به مقوله امنیت سایبری باز می‌کند بسیار تأمل‌برانگیز است اما رویکرد من به سمت اهمیت درک ریسک و توانایی به چالش کشیدن این موضوع است.

میزان رو به افزایش و بسیار قابل‌توجه نفوذ غیرقانونی به سیستم‌های امنیتی شرکت‌ها و درز اطلاعات محرمانه آن‌ها، سرعت تحول نقش CISO را از تمرکز روی اجرا و مدیریت تکنولوژی‌های امنیت اطلاعات تا مشاوره فنی مدیریت ریسک‌های سرنوشت‌ساز تسریع می‌بخشد. جامعه CISO ها و infosec همیشه از این مسئله که برنامه‌های امنیت اطلاعات به میزان کافی اطمینان‌بخش و مایه قوت قلب نیستند شکایت داشته‌اند. امنیت اطلاعات خود را به قالب تمرکز بر مدیریت ریسک تغییر شکل داده است و طولی نمی‌کشد که برای اغلب سازمان‌ها این سؤال پیش بیاید که “چرا ما باید سرمایه خود را صرف ارتقاء امنیت کنیم درحالی‌که هیچ تضمینی برای مصونیت داده‌های ما وجود ندارد؟
مراکز تأویل یا ترانسفورماسیون در CISO – یا هرکسی که مسئول تأمین امنیت اطلاعات است – از نقش اولیه مسئولیت اجرا و مدیریت راهکارهای تکنولوژی به نقش کسی که وظیفه مشاوره مدیریت ریسک برای امنیت اطلاعات را بر عهده دارد تغییر جهت می‌دهند.

این نقش جدید بدان معناست که CISO باید از روند ساده دیکته کردن خط‌مشی‌های امنیتی به کلیت کسب‌وکار به سمت‌وسوی تعامل مستقیم و منظم با یک‌به‌یک رهبران کسب‌وکارها روی بیاورد تا بتواند درک بهتری از سازوکارهای کسب‌وکار آن‌ها به دست آورد.

این کار به مهارت‌های ارتباطی قوی مانند نحوه معرفی و ارائه بررسی‌ها و پیشنهاد‌ها به مخاطبین متفاوت با سطوح درک و یادگیری متفاوت یا حتی تمایل به درک جنبه‌های وسیع‌تر نیازمند است. تیم IT بایستی به شاخصه‌های تکنولوژیک مسلط باشد: تعداد حملات بدافزاری که از آن‌ها جلوگیری شده است، عملکرد سیستم‌ها، نیاز کارکنان به کمک بخش IT و غیره. اعضای این تیم و کسانی که بر فرآیندها و سیستم‌های IT تسلط داشته باشند در خط مقدم قرار دارند. مدیریت ریسک معمولاً به بخش‌های مالی یا حقوقی شرکت محول می‌شود. امروزه، مدیر بخش امنیتی درواقع سومین ستون تیم مشاوره مدیریت ریسک است و باید بتواند با دو مبارز دیگر وارد گود مدیریت ریسک شود و از سوی دیگر مدیر شرکت و هیئت‌مدیره باید اهمیت این نقش‌ها را به‌خوبی درک کنند. CISO باید در میز روسا یک صندلی کنار مدیر مالی و حقوقی داشته باشد تا بتواند نظرات کارشناسی در خصوص ریسک‌های مربوط به تصمیم‌گیری‌های کسب‌وکار و نحوه گذر از این ریسک‌ها را ارائه کند. بااین‌وجود CISO را دیگر نمی‌توانیم یک فرد تصور کنیم که فقط در خصوص تکنولوژی‌های جدید برای ما سخنرانی می‌کند بلکه CISO در حال حاضر به کسب‌وکارها برای توانمند شدن درزمینه مدیریت ریسک کمک می‌کند و این درواقع نقش جدید CISO مدرن است.
ما بر این باوریم که تکنولوژی‌های مطلوب امنیتی قادرند وضعیت امنیتی سازمان را ارتقاء ببخشند و آن‌ها را برای تصمیم‌گیری‌های امنیتی بهتر یاری نمایند و نیز نقش CISO مدرن را بارزتر نمایند.

درباره نویسنده

admin

دیدگاهتان را بنویسید