از مدیریت فناوری تا مشاوره مدیریت ریسک
اخیراً مقاله یکی از کارشناسان امنیت اطلاعات را مطالعه کردم که در آن این منطق که تنها بروز مشکلات امنیتی عظیم مانند درز کردن اطلاعات میتواند محرکی برای سرمایهگذاریهای بیشتر سازمانها روی امنیت اطلاعات باشد را زیر سؤال برد. بنا بر استدلال این مقاله، هزینههای تحمیلشده بهواسطه درز کردن اطلاعات و سپس پاکسازی پیامدهای آن قابل مدیریت هستند و در موارد معدودی این هزینهها از جانب طرفهای سوم ناشی میشوند. درحالیکه محتوای مقاله در خصوص اینکه چطور مخاطرات معنوی و اخلاقی پای دولت را به مقوله امنیت سایبری باز میکند بسیار تأملبرانگیز است اما رویکرد من به سمت اهمیت درک ریسک و توانایی به چالش کشیدن این موضوع است.
میزان رو به افزایش و بسیار قابلتوجه نفوذ غیرقانونی به سیستمهای امنیتی شرکتها و درز اطلاعات محرمانه آنها، سرعت تحول نقش CISO را از تمرکز روی اجرا و مدیریت تکنولوژیهای امنیت اطلاعات تا مشاوره فنی مدیریت ریسکهای سرنوشتساز تسریع میبخشد. جامعه CISO ها و infosec همیشه از این مسئله که برنامههای امنیت اطلاعات به میزان کافی اطمینانبخش و مایه قوت قلب نیستند شکایت داشتهاند. امنیت اطلاعات خود را به قالب تمرکز بر مدیریت ریسک تغییر شکل داده است و طولی نمیکشد که برای اغلب سازمانها این سؤال پیش بیاید که “چرا ما باید سرمایه خود را صرف ارتقاء امنیت کنیم درحالیکه هیچ تضمینی برای مصونیت دادههای ما وجود ندارد؟
مراکز تأویل یا ترانسفورماسیون در CISO – یا هرکسی که مسئول تأمین امنیت اطلاعات است – از نقش اولیه مسئولیت اجرا و مدیریت راهکارهای تکنولوژی به نقش کسی که وظیفه مشاوره مدیریت ریسک برای امنیت اطلاعات را بر عهده دارد تغییر جهت میدهند.
این نقش جدید بدان معناست که CISO باید از روند ساده دیکته کردن خطمشیهای امنیتی به کلیت کسبوکار به سمتوسوی تعامل مستقیم و منظم با یکبهیک رهبران کسبوکارها روی بیاورد تا بتواند درک بهتری از سازوکارهای کسبوکار آنها به دست آورد.
این کار به مهارتهای ارتباطی قوی مانند نحوه معرفی و ارائه بررسیها و پیشنهادها به مخاطبین متفاوت با سطوح درک و یادگیری متفاوت یا حتی تمایل به درک جنبههای وسیعتر نیازمند است. تیم IT بایستی به شاخصههای تکنولوژیک مسلط باشد: تعداد حملات بدافزاری که از آنها جلوگیری شده است، عملکرد سیستمها، نیاز کارکنان به کمک بخش IT و غیره. اعضای این تیم و کسانی که بر فرآیندها و سیستمهای IT تسلط داشته باشند در خط مقدم قرار دارند. مدیریت ریسک معمولاً به بخشهای مالی یا حقوقی شرکت محول میشود. امروزه، مدیر بخش امنیتی درواقع سومین ستون تیم مشاوره مدیریت ریسک است و باید بتواند با دو مبارز دیگر وارد گود مدیریت ریسک شود و از سوی دیگر مدیر شرکت و هیئتمدیره باید اهمیت این نقشها را بهخوبی درک کنند. CISO باید در میز روسا یک صندلی کنار مدیر مالی و حقوقی داشته باشد تا بتواند نظرات کارشناسی در خصوص ریسکهای مربوط به تصمیمگیریهای کسبوکار و نحوه گذر از این ریسکها را ارائه کند. بااینوجود CISO را دیگر نمیتوانیم یک فرد تصور کنیم که فقط در خصوص تکنولوژیهای جدید برای ما سخنرانی میکند بلکه CISO در حال حاضر به کسبوکارها برای توانمند شدن درزمینه مدیریت ریسک کمک میکند و این درواقع نقش جدید CISO مدرن است.
ما بر این باوریم که تکنولوژیهای مطلوب امنیتی قادرند وضعیت امنیتی سازمان را ارتقاء ببخشند و آنها را برای تصمیمگیریهای امنیتی بهتر یاری نمایند و نیز نقش CISO مدرن را بارزتر نمایند.