روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ در بخش اول این مقاله به جایگاه شغلی مدیر ارشد امنیت اطلاعات (CISO) پرداختیم و اهمیت این جایگاه شغلی را در بخش امنیتی سازمان‌ها -با نگاهی پژوهشی- مورد بررسی قرار دادیم. امروز هم قصد داریم در بخش دوم به طور ریزبینانه‌تری ادامه‌ی این بحث را پیش بگیریم. پس با ما تا انتهای این پست همراه باشید.

امنیت اطلاعات تمامیت هویت کاری یک مدیر ارشد امنیت اطلاعات را فرا می‌گیرد. از همین روست که CISO‌ها می‌بایست با تمامی دپارتمان‌های آی‌تی و هر پروژه‌ی آی‌تی-محوری مشارکت داشته باشد. مدیران امنیت سایبری باید ظرفیت اِعمال خط‌مشی و سیاست‌های خود را داشته باشند و بتوانند روی دیگر مدیران ارشد (آن‌هایی که در حوزه‌ی آی‌تی کار می‌کنند) تأثیر بگذارند. برای کسب چنین مهارت‌هایی یک CISO باید در سطح "ارشدِ" مدیریت قرار بگیرد.

از جمله وظایف اکثر CISOها:

• تعریف و پیشبرد اهداف امنیتی-تجاری، تهدیدهات و خطرات. و همچنین رسیدن به اهداف امنیتی مورد نظر.
• برپایی و عملکرد واحد سازمانی به منظور پیاده‌سازی‌ چنین اهدافی.
• ساخت و بروزرسانی پروسه‌ها، قوانین و رهنمون‌های امنیتی و درجه‌ی فنی.
• ظاهر شدن در قالب مشاور برای مشورت دادن به سایر واحدهای تجاری با در اختیار داشتن منابع و متخصصین خارجی.
• رسیدگی به واحدهای عملیاتی از ابتدای امر تا پیشبرد امور و نظارت بر قوانین و ضوایط امنیتی.
• ایجاد هوش امنیت (آگاهی نسبت به امور امنیتی) در کارمند از طریق دوره‌ها و کمپین‌های آموزشی.
• تعریف فرآیندهای تجاری امنیت‌محور و انتخاب سرویس‌ها و راه‌حل‌های امنیتی.
• مدیریت عملکردهای امنیت سایبری.

صلاحیت و تجربه

CISO برای رسیدن به بالاترین میزان صلاحیت و شیاستگی در چنین جایگاه شغلی‌ای، باید از فرهنگ، فرآیندها کارمندان کلیدی سازمان باخبر باشد و خود را در تمامی پروژه‌هایی که ممکن است امنیت شرکت را تحت‌الشعاع قرار دهد دخیل کند. بر اساس پژوهش‌های انجام شده 52 درصد از CISOها وقتی در این سمت شروع به فعالیت می‌کنند تا بیش از 5 سال جایگاه خود را حفظ می‌کنند؛ این در حالیست که تنها 12 درصد از آن‌ها هستند که عمر فعالیت‌شان در این رده‌ی شغلی بین 1 تا 2 سال می‌شود. البته تفاوت‌های منطقه‌ای را نیز باید مد نظر قرار داد. در آمریکای شمالی 64 درصد CISO‌ها بیش از 5 سال شغل خود را حفظ کردند و در آفریقا و خاورمیانه این رقم تنها 33 درصد بوده است (آن‌هایی 53 درصدی بودند که بین دو تا پنج سال این جایگاه را نگه داشتند). مؤلفه‌ی مهم دیگر سایز شرکت است؛ بدین‌گونه هرقدر شرکت بزرگ‌تر، ماندگاری CISO‌ها بیشتر (بیش از 5 سال). نکته‌ی مهمی که در اینجا باید بدان اشاره کنیم: CISOهایی که بیش از5 سال در این سمت مشغول به کار می‌باشند فکر می‌کنند به حد کافی خود را در تصمیم‌گیری‌های تجاری دخیل کرده‌اند؛ این درحالیست که 36 درصد از CISOها -با سابقه‌ای یکسان- خود را با مناسبات سازمانی مرتبط نمی‌دانند. این نشان می‌دهد هر قدر فرد در این سمت بخصوص سابقه کار بیشتری داشته باشد پیوندش با شغلی که دارد بیشتر می‌شود. از این روست که از نظر متخصصین امنیت سایبری، تجربه حرف اول را می‌زند.

مدت‌زمان حفظ سمت شغلی

آبی‌پررنگ: بیش از 5 سال

آبی کم‌رنگ: 2 تا 5 سال

سبز: 1 تا 2 سال 

بالاترین مدرک تحصیلی

آبی‌پررنگ: دکترا

آبی کم‌رنگ: فوق‌لیسانس

سبز: لیسانس

 آیا صلاحیت و مدارکِ تخصصی خاصی دارید؟ برای مثال CISSP, ISO27001؟

آبی‌پررنگ: کامل

آبی کم‌رنگ: بیش از 5 سال در سمت تصمیم‌گیرنده‌ی امنیتی آی‌تی سازمان

سبز: 2 تا 5 سال سابقه‌ی کاری در سمت تصمیم‌گیرنده‌ی امنیتی آی‌تی سازمان

عوامل خارجی که روی نقش یک CISO تأثیر می‌گذارد

اگرچه CISO‌ها خواهان ترسیم تصویری شفاف از نقششان در سازمان‌اند اما این شغل، ثابت نیست و مدام به فراخور شرایط دستخوش تغییرات می‌شود. اوایل سواد فنی برای فعالیت در عرصه‌ی امنیت آی‌تی مهم‌ترین شرط بود -البته هنوز هم منکر اهمیت بالای آن نیستیم- اما امروز آنچه در این حوزه از هر چیز دیگری بیشتر اهمیت دارد مدیریت خطر[1] است. در حقیقت یک مدیر ارشد اطلاعات امنیتی اکنون حکم مدیر ریسک‌های سایبری را دارد. بنابراین واضح است که حوزه‌ی وظایف گسترده می‌شود و در چنین شرایطی طبیعتاً نیاز به تخصص فنی کمتر احساس می‌شود.

در چند سال اخیر، سمت CISO از چه جوانبی دچار تغییر شده است؟

آبی‌پررنگ: بسیار مهم

آبی کم‌رنگ: اهمیت نسبی

سبز: اهمیت کم 

تأثیر CISO روی شرکت

 برای پوشش‌دهی کامل رسالت امنیت آی‌تی، CISO‌ و شرکتش باید در تمامی تصمیم‌گیری‌های شرکت، خود را دخیل کنند و برای تأثیرگذاری کافی روی پروسه‌ها و فناوری‌ها سعی کنند -با در نظر همه‌ی شرایط- نهایتاً خود به نتیجه‌گیری نهایی برسند.  درحالیکه میزان دخالت‌دهی در فرآیندها اهمیت دارد، از طرفی رده‌بندی سازمانی نیز برای خود موضوعی قابل‌بحث است. معمولاً CISO‌ها هم‌ردیف سمت‌های C دارِ دیگر هستند: CEO، COO، CFO، CMO، CIO و غیره. 

چرا متخصصین امنیتی کمیاب‌اند و آنقدر سخت استخدام می‌شوند؟

این مسئله برای بسیاری از مدیران امنیت سایبری اگر مهم‌ترین نباشد، یکی از مهم‌ترین دغدغه‌هاست. همه‌ی عوامل دخیل در بازار به دنبال منابع امنیت سایبری‌اند و این قحطی نیروی امنیت سایبری دارد پروژه‌های امنیت سایبری را نیز تحت تأثیر خود قرار می‌دهد. از این روست که استفاده از منابع از هر زمان دیگر پرهزینه‌تر شده است. در تحقیقی که روی CISO‌ها انجام شده بود نشان داده شد که برای 62 درصد آن‌ها استخدام فردی که در حوزه‌ی امنیت استعداد داشته باشد بسیار سخت است. این معضل در آمریکای شمالی کمتر (39 درصد) می‌باشد.

اوایل که چنین سمتی اختراع شد، خیلی از افراد دارای این جایگاه شغلی نمی‌توانستند تغییرات را هضم کنند، با این حال با گذر زمان انعظاف‌پذیری CISO‌ها بیشتر و بیشتر شد. LoBها باید چابک‌تر[2] باشند؛ آن‌ها در حقیقت این قدرت را دارند تا چنان روی حوزه‌ی آی‌تی و دپارتمان‌های امنیت آی‌تی تأثیر بگذارند که نهایتاً به محیط و شرایط مطلوبشان برسند. امنیت‌ سایبری باید تا حد امکان دوشادوش LoB‌ها و ساختارهای جدید آی‌تی قدم بردارد. در عین حال، شرکت‌ها نیز دیگر پی برده‌اند که بدون امنیت سایبری در پروسه‌ی تحول دیجیتالی خود موفق عمل نخواهند کرد. امنیت آی‌تی دیگر ماهیت محصورکننده ندارد بلکه آمده است تا کلیدگشای قفل تحول دیجیتالی باشد.

[1] Risk Management

[2] Agile