نقش مدیر ارشد امنیت اطلاعات (CISO) در نظر عموم چندان خوشنام و جذاب نیست. بخش روشن صحنه نمایش، گویای نشتهای اطلاعاتی بسیار چشمگیر و گستردهای در شرکتهای بزرگ است که درواقع کارکرد درونی برنامههای امنیت اطلاعاتی قربانیان را به تصویر میکشد.
بسیاری از بنگاههای بازرگانی و تجاری هنوز هم در بروزرسانی برنامههای امنیتی خود و اختصاص یک مدیریت متمرکز برای این مقوله کوتاهی میکنند. به خطر افتادن تأییدیههای دو فاکتوری RSA’s SecureID در سال 2011 و Linkedin’s stolen passwords در سال 2012 را به یاد میآورید؟ هیچ سازمانی اختصاصاً یک CISO ندارد. هردوی این شرکتها فاقد چنین جایگاهی در سازمان خود بودند.
در سال گذشته چندین شرکت نامآشنا با مخاطرات امنیتی گسترده روبرو شدند که از آن جمله میتوان به Target و JPMorgan Chase اشاره کرد که نهتنها یک CISO در شرکت خود نداشتند بلکه از اختصاص یک مدیر تماموقت به بخش راهبری برنامههای ریسک و امنیتیشان کوتاهی کرده بودند. دراینبین نهتنها مشتریها، بلکه قانونگذاران، بانکها، فروشگاههای زنجیرهای و صادرکنندههای کارتهای اعتباری رضایتی از خود بروز نمیدهند.
شغل CISO با میزان حقوق بیشتر و چالشهای پیچیدهتر، فرصتی برای افرادی با ظرفیت بالاتر در مسائل استرسزاست که بتوانند برنامههای مدیریت امنیت و ریسک را توسعه داده و شکاف بین مدیران اجرایی و مهندسان را پوشش دهند و نیز جزئیات مبهم کنترلهای تکنولوژی و چارچوبهای صلاحیتی را بررسی نمایند. بالا رفتن از نردبام CISO غالباً برخورداری از پایه علوم کامپیوتر یا بودن در نیروهای ارتشی اطلاعاتی یا قانونی را میطلبد. این نقش همچنان در حال دگرگونی است و باوجود افراد زیادی که در این زمینه مشغول به کار کارند تعریف خاصی برای آن وجود ندارد. شرکت تارگت که در طول تعطیلات سال 2013 صدها میلیون به سبب سرقت اطلاعاتش متضرر شد اخیراً نخستین CISO خود با نام براد مایورینو را استخدام کرده است. CISO سابق و مدیر ارشد ریسک در شرکت جنرال موتورز در مصاحبه با نیویورکتایمز عنوان کرد که “در حال حاضر ما فرصت تعریف CISO و اینکه به چه کسی گزارش بدهیم را در اختیار داریم و قرار گرفتن در این نقش فرصت هیجانانگیزی است”.
ایجاد توازن با تغییر نقش
اخیراً نقش CISO کموبیش چیزی شبیه به یک مدیر ارشد یا به بیانی دیگر کسی است که در پس سازمان روی سیستمها و اساس ساختاربندی فایروال کار میکند. بوروس برودی، استراتژیست ارشد امنیت سایری در شرکت کوبیک که 15 سال در دپارتمان امور بازنشستگان ارتش در سازمان انرژی و تکنولوژیهای DRS دفاعی در جایگاه شغلی CISO مشغول به کار بوده است دراینباره میگوید” در این شغل سطح C یا سطح اجرایی وجود ندارد”.
این نقش در حال تغییر است. با اوج گرفتن مسائل مربوط به حوزههای امنیت و حفاظت اطلاعات، نقش CISO اکنون حول مسائلی مانند IT، تداوم کسبوکار، پرسنل و امکانات گردش میکند که بهاینترتیب تصمیمگیری در خصوص اینکه این جایگاه کجای سازمان یا یک شرکت تجاری قرار گیرد بسیار چالشبرانگیز است. برودی دراینباره میگوید” ازآنجاکه این جایگاه شغلی در همه حوزههای یک سازمان میتواند نقش داشته باشد باید رهبر سازمان یک صندلی در هیئتمدیره به این بخش اختصاص دهد”.
برخی شرکتها در تمرکز روی امنیت سایبری تجدیدنظر کردهاند و برای مواجهه با دورنمای تهدیدآمیز و در حال دگرگونی آینده، منابع بیشتری را به نقش CISO اختصاص دادهاند. سیندی میسلی، مدیر ارشد استخدامی در شرکت آلتا اسوشییتس، یک موسسه استخدامی در فلمینگتون نیوجرسی، دراینباره میگوید “مشتریهای ما برای آمادگی بیشتر در برابر تهدیدات نقش CISO را تا سطح مدیر اجرایی واقعی ارتقاء دادهاند که با جایگاه مدیری که به مدیر سطح C گزارش میدهد متفاوت است و همچنین پیشبینیهایی مانند افزایش بودجه و سرمایهگذاری روی کارکنان و تکنولوژی برای این بخش صورت گرفته است”.
شرکت آلتا اسوشییتس یک موسسه تحقیقات اجرایی باسابقه 25 ساله و تجارب طولانیمدت در زمینه امنیت و مدیریت ریسک IT است. بنا بر اظهارت میسلی، اکنون انتظار میرود که CISOها گزارشهای مستقیم و تخصصیتری بامهارت فنی بیشتر در حوزههایی مانند کارشناسی IT، پاسخگویی به حوادث ناگهانی، عملکردهای اجرایی و بازدارندگی امنیتی و مدیریت ریسک IT را شاهد باشند. در چنین شرایطی این فرصت در اختیار مدیران بخشهای امنیت قرار خواهد گرفت تا برنامههای جدیدی ورای برنامههای امنیت اطلاعات قدیمی در ارتباط با ادغام و یکپارچهسازی، فراگیری و استراتژی محصولی را بیازمایند. به گفته او “ما شاهد هستیم که مشتریهایمان به سمت گزینههایی که نهتنها در امر تکنولوژی مهارت تخصصی دارند بلکه استراتژیک هم هستند و نیز به سمت رهبران توانمند کسب کارهایی که توانایی جذب، توسعه و حفظ استعدادهای برتر رادارند و میتواند از برند و سرمایههای شرکت محافظت کنند درحرکتاند. این عامل کلیدی با همراهی ابعاد و گسترده سازمان بین 300 تا 500 هزار دلار برای یک شرکت هزینه در بردارد”.
گزارش ارزیابی کاری 133 CISO در سال 2013، توسط موسسه پونمون
نقش CISO معمولاً در سازمانهایی با تعداد 1000 کارمند یا بیشتر تعریف میشود اما محققان بازار در شرکت گارتنر به سازمانهای با 150 کارمند نیز پیشنهاد میکنند که یک CISO داشته باشند. پائول ای پروکتور درگزارشی که سال 2012 تحت عنوان “نمونه سازمانهایی که مدیر ارشد امنیت اطلاعات را به کار گرفتهاند” نوشت سازمانهای فاقد CISO طیفی از شرکتهای بیاهمیت به مسئله امنیت و شرکتهایی که کنترل امنیتی فوقالعادهای دارند را در برمیگیرد که بنابراین نیازی به مدیریت امنیت مرکزی ندارند. سایر شرکتها از نقش CISO فقط نام آن را یدک میکشند و بخش امنیت را به IT یا یک مجمع قانونی واگذار کردهاند و به گفته پروکتور زمانی برای ایفای این نقش ندارند.
برودی تأیید میکند که این نقش پدیدهای است که فقط در سطح سازمانهای تجاری و دولتی اتفاق میافتد. او میگوید” اغلب سازمانها زمانی که موردتهاجم برخی بدافزارها یا تهدیدات دیرپا و همیشگی قرار میگیرند اتفاقات بدی برای زیرساختهایشان میافتد. تنها چیزی که میتوانند بگویند این است که آنها یک CISO دارند که یک باکس را چک میکند و به آنها اجازه میدهد تا به هیئتمدیره و سرمایهگذاران بگویند بله ما یک مدیر ارشد امنیت اطلاعات داریم.” اینکه آنها به خودشان زحمت دادهاند و فردی را برای این نقش در نظر گرفتهاند و منابعی را برای حقوق او اختصاص دادهاند متأسفانه هیچ مشکلی را حل نمیکند”.
عملکرد CISO علیرغم مسئولیتهای روزافزون و بسیار جدی، در بسیاری از شرکتها هنوز هم به بخش تکنولوژی و کمترین صرف زمان برای استراتژی و توسعه خطمشیها محدود است. موسسه پونمون اطلاعات مربوط به 133 CISO را به لحاظ حقوق دریافتی در سال 2013 موردبررسی قرار دارد. زمانی که از CISO ها خواسته شد در یک مقیاس 100 درجهای میزان زمانی را که صرف میکنند درجهبندی کنند نظارت و بازبینی با بالاترین نمره (24) و سیاستگذاری و بسط آن (16)، مدیریت حوادث (12)، مدیریت تداوم کسبوکار (11) و ارزیابی ریسک با نمره (10) در انتهای فهرست قرار داشتند. برنامهریزی (5) و تدارکات (4) نیز به نسبت نمره پایینی داشتند. توسعه خطمشی (2)، تدوین استراتژی (1) و ارتباطات سازمانی (1) کمترین نمره را در این بررسی به خود اختصاص دادند.
حقایق تاکتیکی در تغییر نقش
به گفته لری پونمون، مؤسس و رئیس موسسه تحقیقاتی پونمون، که برای نخستین بار این یافتهها را ارائه میداد “این یافتهها مستقیماً به عقاید مرسوم در خصوص نقش CISO در تدوین استراتژی و توسعه خطمشی برمیگردد. به نظر میرسد که CISO نهتنها یک افسانه و شگفتی نیست بلکه نقشی کاملاً تاکتیکی است”.
133 CISO از شرکتهایی با تعداد 1000 کارمند یا بیشتر، گزارش ارزیابی کاری، موسسه پونمون
همچنین تحقیقات پونمون بیانگر آن است که ارتباطات مدیران امنیتی (که در شکل مشخصشدهاند) در شرکتهای با بیش از 1000 کارمند با عملکردهای مربوط به IT (78%)، مدیریت مرکز داده (55%)، قوانین شرکتی (39%)، مدیریت تداوم کسبوکار (36%)، مدیر بخش حفاظت (28%) و مدیریت ریسک سازمان (16%) میباشد و ارتباط آن با منابع انسانی و مالی شرکت در پایینترین حد قرار دارد.
کیفیت و شرایط این بررسیها با هم متفاوت است: 34% مدیران امنیتی دارای زمینه آشنایی با علوم کامپیوتر و MIS(مدیریت سیستمهای اطلاعاتی) هستند، 20% از مأمورین قانون هستند، 16% دارای سابقه در ارتش و 14% تجربیات جاسوسی و اطلاعاتی دارند.
برودی دراینباره میگوید: “شما میتوانید هر فرد باهوشی را گزینش کرده و او را پس از گذراندن آموزشهای مناسب بهعنوان یک کارورز بخش امنیت اطلاعات به کار بگیرید. آنچه این افراد برای طی کردن پلههای ترقی و رسیدن به پست رئیس ارشد امنیت اطلاعات نیاز دارند یک پوستکلفت، توانایی سازماندهی بینظمیها و آشفتگیها، توانایی برقراری ارتباط مؤثر با مدیران و مهندسان ارشد و احساس راحتی با کتوشلوار و کراوات در اتاق هیئتمدیره به همان اندازه لباس اسپرت در خارج از اداره و دپارتمان IT است.
به عقیده برودی “اینها مهارتهایی هستند که هیچ معلمی ندارند” و کسی که وارد مسائل جاسوسی و امنیتی میشود به سمت دنیای دستور و کنترل حرکت میکند و به حیطه امنیت اطلاعات (امنیت چند سطحی در تمام دامنهها) وارد میشود و درنهایت پس از گذراندن چندین نقش مدیریتی به جایگاه CISO دست مییابد. “شما باید هر چه که میخواهید را فقط از این افراد فرابگیرید. لازم است که مشکل را پیداکرده، آن را حل کنید و به سراغ مشکل بعدی بروید و درنهایت رزومه خود را بر اساس آن شکل بدهید.”
توصیه پراکتر به سازمانهای بزرگتر این است که ابتدا نقش را تعریف کنند و سپس “کسی که در وهله نخست از کسبوکار و در وهله دوم از تکنولوژی امنیتی سررشته داشته باشد را برای آن در نظر بگیرند”.
برودی معتقد است “چنانچه فکر میکنید تکنولوژی مشکل شما را حل میکند پس بهاحتمالزیاد درک درستی از مشکل ندارید. آنچه باید انجام شود یک رویکرد همهجانبه و کلیگرایانه است. مسئولیت اجرایی بسیار مهم است اما نباید شما را از جنبههای فنی غافل کند. بخشی از شغل شما تعریف جایگاه کنترل و مدیریت فنی است که به چارچوب قانونی و مدون شرکت ربط پیدا میکند و لازم است که تمام این جریانات زیر نظر شما قرار داشته باشند”.
حفظ ثبات جریان کنترلهای جدید امنیتی، انتخاب تکنولوژی که با نیازهای ساختاری شما در تناسب باشد وظیفه دلهرهآوری است که میتواند یکی از دشوارترین جنبههای شغل شما باید. به عقیده برودی “ایدههای خوب زیادی برای انجام این وظیفه وجود دارند” و یک ارزیابی کلی از تمام کنترلهای تکنولوژی چیزی است که در فضای امنیت اطلاعات به فراموشی سپردهشده است.
هریک از مدیران امنیت اطلاعات تصمیمگیریها را رأساً انجام میدهند و متأسفانه برخی از بهترین ایدهها یک راهکار جزئی و پیشپاافتاده هستند. او میگوید: “زمانی که در تمام بخشهای مختلف، تأمین امنیت کلیت ساختار مدنظر قرار گیرد مدیر ارشد امنیت اطلاعات قادر به تمرکز روی راهکارهای جزئی هم نیست. این راهکارهای جزئی حتی 1% از کل مشکلات را حل نمیکنند و شما همیشه باید به دنبال راهکارهای سازمانی گستردهای باشید که ظرفیت ریسک کردن را بهبود ببخشند”.
روش شغلی نامعین
علیرغم ماهیت بسیار حیاتی این شغلها، روش انجام وظیفه امنیت اطلاعات تعریف بسیار ضعیفی دارد و به همین دلیل به کارکنان زیادی برای انجام آن نیاز است. چهارچوب کاری ملی نیروهای شاغل در امنیت سایبری دپارتمان امنیت ملی که در ماه جولای سال 2013 منتشر شد بهمنظور آموزش وظایف و نقشها، مهارتها و روش انجام وظیفه به نیروی کار طراحی شد. این طرح توسط موسسه ملی استانداردها و تکنولوژی (NIST) و ابداعات ملی در زمینه آموزش امینت سایبری (NICE) و همراهی با دولت و مؤسسات خصوصی توسعه پیدا کرد. بنا بر چهارچوب مدون نیروی کار، CISO یکی از جایگاههای شغلی مدیر امنیت سیستمهای اطلاعاتی، مدیر IT و ریسک است که در کل وظیفه مدیریت برنامههای امنیتی را بر عهده دارد.CISO درواقع مدیریت هر آنچه در یک سازمان به امنیت اطلاعات مرتبط باشد، برنامههای خاص یا سایر حوزههایی که مسئولیت آنها با مسائل استراتژیک، پرسنل، زیرساخت، سیاستگذاری، برنامهریزیهای اضطراری، مراقبتهای امنیتی و سایر منابع در ارتباط است را بر عهده دارد.
با بروز نگرانیها پیرامون امنیت سایبری، مدیر ارشد اطلاعات بنا بر چهارچوب کاری تعریفشده با برنامهریزی استراتژی و سیاستگذاری در این زمینه دستبهگریبان است. قانون کلینگر-کوئن (سابقاً قانون اصلاح مدیریت تکنولوژی اطلاعات 1996) نقش CIO را برای دولت تعریف کرده بود. قانون مدیریت امنیت اطلاعات فدرال (FISMA) در سال 2002 مدیر ارشد آژانس امنیت اطلاعات را تعریف کرد که امروزه بهعنوان مدیر ارشد امنیت اطلاعات تبدیلشده است. هردوی این نقشها در حال دگرگونی هستند.
از زمانی که CIO و CISO در هر سازمان باهم همکار شدهاند، شغل CIO بنا بر اظهارنظر برودی، اساساً یک power ping and pipe (تأمین تجهیزات، کنترل از راه دور کامپیوترها و ارتباط اینترنتی) است. نقش CISO نیز در قالب حفاظت، دفاع، واکنش، پاسخگویی و بازیابی تعریفشده است که تداوم زنجیره امنیت اطلاعات ممکن است با اولویتهای بودجهای CIO و میل به حفظ جریان عملکرد سیستمها در تلاقی باشد. بنا بر بررسیهای موسسه پونمون، کانالهای گزارش دهی که CIO را نادیده گرفته و مستقیماً به هیئتمدیره و مدیران سطح C هدایت میشوند غالباً هزینههای بیشتری در پی دارند.
نحوه گزارش دهی CISO به هیئتمدیره
133 CISO، گزارش ارزیابی کار 2013، موسسه پونمون
“هردوی این نقشها در حال تغییر هستند” و باید به فکر آینده تکنولوژی IT بود. به عقیده برودی درصورتیکه هر سازمان از شما بخواهد ابزارهای شخصی خود را به سرکار ببرید و بهاینترتیب از هزینههای زیرساختی خود بکاهد و همه اطلاعاتش را در ابر ذخیره کند، خیلی زود نقش CIO و مدیر ارشد امینت تغییر خواهد کرد.
یکی از نیازمندیهای بخش صنعت، تدوین یک روش کار برای کارورزان امنیت اطلاعات و انجام بهتر کارها و به حرکت واداشتن آنها در مسیر تعیینشده است. به گفته برودی، شغل CISO اکنون خودش را تعریف میکند. “CISO یک زمینه شغلی است که معمولاً موفقیتهای آن به چشم نمیآیند اما ناکامیهای آن بهسرعت به تیتر اول روزنامههایی چون واشنگتنپست تبدیل میشوند. اما هیجان درونی این شغل از احساس انجام شدن کارها در پایان روز بسیار لذتبخش است. در کار مدیریت امنیت اطلاعات هیچ کار روتین و روزمرهای وجود ندارد”.
منبع: سکیوریتی تارگت