سیر تکاملی حضور و پذیرش مدیر امنیت اطلاعات در سازمانها
اگر نگاهی به خبرهای مرتبط با افشای ناخواسته اطلاعات داشته باشیم، به این نکته پِی میبریم که مدیر امنیت اطلاعات هیچگاه بهاندازه امروز در موفقیت و ثبات یک مجموعه نقش نداشته است. به دنبال افزایش اهمیت مدیر امنیت اطلاعات در سازمانها، موضوعات و مسائل جانبی این حوزه شغلی ازجمله: محل استقرار این بخش در سازمان و نحوه ارائه گزارشها توسط کارمندان محافظت اطلاعات نیز مرکز توجه قرارگرفته است. از همین رو، یکی از موضوعات اساسی که در تمامی بحثهای پیرامون نقش مدیر امنیت اطلاعات میشود، به محل استقرار و اجرای برنامههای امنیت اطلاعات مرتبط میشود. با اینحال، تصمیمگیری در مورد بخش مدیریت امنیت اطلاعات یکی از چالشهای همیشگی سازمانهاست، زیرا اغلب بحثها در این حوزه به عبارت «بستگی دارد» ختم میشود. بنابراین، میتوان از این بحثهای تکراری و بینتیجه گذر کرد و به دنبال راهکاری عملی برای افزایش کارایی این بخش در سازمانها گشت. راهکاری که بدون شناخت کامل از ضرورتها و الزامات وجود بخشی به نام مدیریت امنیت اطلاعات در سازمان میسر نمیشود.
حقیقت این است که وجود مدیر امنیت اطلاعات به چند دلیل عمده برای سازمانها اهمیت دارد؛ اما شاید اولین و ابتداییترین نقشی که این مدیر میتواند در سازمان ایفا کند، کشف و بیان خبرهای افشای اطلاعات باشد. مسئلهای که بهنوبه خود یکی از حساسترین رویدادهای هر مجموعهای به حساب میآید و بیشازپیش ضرورت وجود مدیر امنیت اطلاعات و نقش آنها در تصمیمگیریها را یادآور میشود. ازآنجاییکه بخش مدیریت امنیت اطلاعات یکی از شریانهای اصلی سازمانهاست، در ادامه به سه مبحث مهم در این خصوص اشاره میشود:
پیش از هر چیز نباید فراموش کرد که محافظت از سیستمهای اطلاعاتی و دادهها بخش جداییناپذیر عملیات کسبوکار است؛ درست مانند اینکه منابع انسانی و قسمت مالی از اجزای جداییناپذیر تمامی سازمانها هستند. علاوه بر این، نباید چنین تصور شود که مدیر امنیت اطلاعات مسئول تمامی کارها و خطاهای افراد مرتبط با بخش محافظت اطلاعات است. همانطور که یک مدیر مالی یا اداری وظیفه ندارد برای هر اقدامی از جانب کارمندان توضیح بدهد، مدیر امنیت اطلاعات نیز ملزم به ارائه توضیح در هر زمینهای نیست. این مقام مسئول مانند دیگر مدیران شاغل در سازمان، کارشناسی حرفهای در حوزه مربوط به کار خودش است که اغلب به تفسیر مقررات، پایهگذاری سیاستها، اثرگذاری بر رفتار کارمندان و نظارت برای حصول بهترین نتیجه ممکن میپردازد.
در وهله دوم، به یاد داشته باشید امنیت اطلاعات یک مشکل فناورانه صرف نیست. بنا به گزارش انجمن ملی مدیران شرکتها، امنیت سایبری یک مسئله مهم و حساس در سطح مدیریتی است که تنها به بخش فناوری اطلاعات مربوط نمیشود. نکته حائز اهمیت اینجاست که شرکتها میتوانند با تخصیص سهام بیشتری برای شخص ثالث بخش بزرگی از مدیریت سیستمها و دادههای حساس و حیاتی را به آنها واگذار کنند.
سومین مبحث مهم این است که اگر مدیر امنیت اطلاعات در زمان بحرانی افشای ناخواسته اطلاعات باید از اقتدار لازم برای تأثیرگذاری بر دیگر بخشها ازجمله: مدیر فناوری اطلاعات، مدیر مالی و دیگران مدیران کلیدی را برخوردار باشد. این موضوع مستلزم برقراری ارتباطی مستقیم میان مدیر امنیت اطلاعات با مدیرعامل و سایر اعضای هیئتمدیره است. بهعلاوه، مدیر امنیت اطلاعات باید بتواند بودجه پیشنهادی خود را برای پیادهسازی برنامههای امنیتی در تمامی بخشهایی که در معرض تهدیدهای سایبری هستند مطرح کند.
پس از همه این مباحث نوبت به عمل میرسد، بهعنوان یک حرفه محافظت از اطلاعات فرایندی نسبتاً نابالغ است. درواقع، همچنان نسخه یکسانی برای توصیف این حوزه کاری و جزئیات آن وجود ندارد و حتی نمیتوان ساختار مشابهی برای نحوه گزارش دهی مدیر امنیت اطلاعات بیان کرد. بر همین اساس، هر مدیری با توجه به استراتژیهای سازمانی میتواند شیوههای گزارش دهی متفاوتی انتخاب کند؛ مدیر امور مالی، مدیر اجرایی و مدیر ارشد اداری همگی در فهرست افراد منتخب برای ارائه گزارش قرار میگیرند. علاوه بر این، اگر میران ارشد امنیت اطلاعات را گروهی با ویژگیهای مشابه در نظر بگیریم بازهم نمیتوانیم از تفاوتهای تحصیلی، مهارتهای کاری و دانشی آنها با یکدیگر چشمپوشی کنیم.
با توجه به کمبود افراد ماهر و حرفهای درزمینه امنیت اطلاعات، اجازه دهید اینچنین بگوییم که هیچ معیار مشخصی برای تضمین موفقیت یک مدیر امنیت اطلاعات و گزارشی که ارائه میدهد وجود ندارد.
بااینحال، بنا بر بحثهای مختلفی که در این حیطه انجامشده است، برنامه ارائهشده برای محافظت از اطلاعات سازمان باید همراستا با استراتژیهای کلی مجموعه باشد. برای رسیدن به این نقطه، مدیر امنیت اطلاعات باید مشارکتی همهجانبه و اثربخش با مدیران دیگر بخشها داشته باشد، او باید از قدرت تأثیرگذاری بر رفتارهای سازمانی دیگر کارکنان بهرهمند باشد، اقتدار لازم برای گزارش پیشرفتها یا چالشها را داشته باشد و درنهایت بتواند حمایت لازم برای اجرایی کردن برنامههای امنیتی را دریافت کند. بر طبق آنچه در گزارش انجمن ملی مدیران شرکتها آمده است، تمامی سازمانها باید تهدیدهای امنیتی را همرده با تهدیدهای مالی و اقتصادی بدانند.
در شرایطی که هر سازمانی میتواند برنامهای مختص به خود برای اجرایی کردن سیاستهای امنیت اطلاعات داشته باشد، اما رعایت برخی نکات کلیدی برای موفقیتآمیز بودن این برنامهها ضروری است. به همین منظور به معرفی سه اصل ابتدایی اما کلیدی در این حوزه میپردازیم:
سازمانها وظیفهدارند، گزارشهای ارائهشده راجع به سیستمهای امنیت اطلاعات و میزان دسترسی مدیران اجرایی به این سیستمها را موردسنجش قرار دهند. شرکتها همواره باید نحوه مدیریت امنیت اطلاعات و اولویتبندیها بررسی کنند و بودجه لازم برای فعالیتهای کاهشدهنده ریسک در این محیط را تأمین کنند.
شرکتها، دانشگاهها و بخش صنعتی امنیت اطلاعات باید درزمینه آموزش و هدایت نسل آینده رهبران امنیتی با یکدیگر همکاری و مشارکت داشته باشند. در این زمینه باید به نحوه برقراری ارتباط و مشارکت ذینفعان در شرکتهای بزرگ و هیئتمدیره توجه ویژهای شود.
ازآنجاییکه اغلب مهاجمان سایبری درنهایت به صفحه اول وبسایت سازمانها نفوذ پیدا میکنند، مدیران محافظت اطلاعات باید اطمینان حاصل کنند که سرفصلها مهاجمان را به سمت برنامههای امنیت اطلاعات هدایت نمیکند. درواقع، مشکل اساسی محافظت مناسب از سیستمهای اطلاعاتی نیست، بلکه سازمانها آنقدر هوشمند باشند که درزمانی مقتضی بتوانند سرمایه گذران را برای توسعه استراتژیهای امنیتی راضی کنند.
علیرغم همه آنچه گفته شد، نقش مدیر امنیت اطلاعات همواره در حال تغییر و تکامل است و تا اثربخشی حداکثری این بخش راهی طولانی در پیش است. پیش از هر اقدامی، باید از توانایی ادغام و مشارکت مدیر امنیت اطلاعات با سایر بخشها و استراتژیهای مجموعه اطمینان پیدا کرد، فراموش نکنید هیچچیز مهمتر از تربیت یک نیروی توانمند برای مدیریت امنیت اطلاعات نیست؛ بنابراین، اگر میخواهید در جامعه اطلاعاتی مجموعهای موفق به حساب بیایید باید راهکاری برای مقابله و مدیریت با تهدیدهای فضای مجازی داشته باشید و اهمیت نقش مدیر امنیت اطلاعات در رونق کسبوکارتان را دستکم نگیرید.
منبع: ماهنامه CSO