بایگانی برچسب: s

جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

خرید Resilient Systems توسط IBM

شرکت Resilient Systems که به صورت تخصصی بر محصولات و خدمات پاسخ به حوادث (Incident Response) تمرکز دارد توسط IBM خریداری شده و از این به بعد جزئی از IBM X-Force خواهد بود. پیوستن Bruce Schneier (مدیر فنی Resilient) به IBM که از بزرگترین و شناخته شده ترین فعالان صنعت امنیت اطلاعات است یکی از نتایج این معامله است. 

اشتراک گذاری

قابل توجه متقاضیان کار

لطفاً افرادی که متقاضی کار تمام وقت بوده و حداقل دارای یکی از تخصص های زیر هستند، رزومه خود را به ایمیل من که  در همین وبلاگ وجود دارد ارسال کنند. بدیهی است که ارسال رزومه الزاماً منجر به دریافت پاسخ و … نخواهد شد.

۱- راهبری و پیکربندی راه حل های امنیتی (فایروال، آنتی ویروس، IDS، و …)

۲-  طراحی و اجرای راه حل های امنیت شبکه (سیسکو و …)

۳- ارزیابی امنیتی و تست نفوذ نرم افزار

۴- ارزیابی امنیتی و تست نفوذ شبکه (به خصوص تجهیزات سیسکو)

۵- توسعه راه حل های امنیتی مبتنی بر لینوکس

اشتراک گذاری

درباره فرصت های شغلی و بازار آینده امنیت اطلاعات

وضعیت بازار و فرصت های شغلی امنیت اطلاعات یکی از پربحث ترین موضوعاتی بوده که افراد چه به صورت حضوری در محافل مختلف و چه از طریق ایمیل از من سوال می کنند. همینطور وقتی با دوستان و آشنایانم از همکاران قدیمی و جدید که بعضی از آنها سال ها در این بازار سابقه فعالیت داشته و از افراد شناخته شده هستند صحبت می کنیم، معمولاً یکی از موضوعات بسیار مورد توجه، مربوط به بازار و فرصت های شغلی می شود.

اگر به بخش بازار و مشاغل در این وبلاگ مراجعه کنید، مطالب مختلفی از جمله گزارش های مربوط به روندها و جهت گیری های بازار امنیت اطلاعات در دنیا را خواهید یافت که من معمولاً در صورت مشاهده، سعی می کنم در اینجا معرفی کنم.

کمبود نیروی متخصص نسبت به نیاز بازار امنیت، یک روند جهانی است و معمولاً اینگونه روندها به فاصله چند سال، در ایران هم تکرار خواهد شد. به این گزارش نگاه کنید.

اشتراک گذاری

چند موضوع پراکنده

اگر سیستم شما آلوده به یکی از بدافزارهای باجگیر Coinvault یا Bitcryptor شده، با این ابزار کسپرسکی می توانید به رایگان فایل های خود را نجات دهید.

گزارش تحلیلی Burning-Glass از بازار امنیت سایبری در ایالات متحده حاوی اطلاعات جالبی از جایگاه های شغلی، میزان درآمد، دوره های آموزشی و زمینه های کاری امنیت سایبری است. سهم بالایی از جایگاه های شغلی مورد نیاز، به امنیت اطلاعات سلامت (Healthcare Cyber Security) اختصاص دارد.

یک هکر آلمانی روشی برای نفوذ به خودپردازهای شرکت Wincor Nixdorf معرفی کرده که از طریق آن به اطلاعات حساس داخلی خودپرداز دست پیدا کرده است. اهمیت این موضوع آنجاست که گویا محصولات این شرکت در ایران هم استفاده می شود. جزئیات در اینجا.

اشتراک گذاری

امنیت با چاشنی پسا تحریم

این یادداشت درباره بازار امنیت اطلاعات در دوران پساتحریم، در شماره ۶۲ نشریه بانکداری الکترونیک (مرکز فابا) منتشر شده است.(مشاهده فایل)

توافق احتمالی میان کشورمان و قدرت­های جهانی می­تواند فرصت­های متعددی را برای توسعه کسب و کارها ایجاد نماید. بازار امنیت سایبری نیز از این قاعده مستثنی نیست و می­ توان انتظار داشت که تأثیرات مثبت این رویداد به تدریج نمایانگر شود. از یک منظر می­توانیم این تأثیرات را به دو بخش مستقیم و غیر مستقیم تقسیم بندی نماییم. اثر غیرمستقیم احتمالی، همان است که در بسیاری از کسب و کارهای دیگر نیز شاهد خواهیم بود، یعنی رونق کسب و کار به واسطه باز شدن فضای اقتصادی و ایجاد فرصتهای جدید برای شرکت­های ارائه دهنده خدمات و محصولات امنیت چه در زمینه مشتریآن داخلی و چه ارتباطات بین المللی. فعالان این عرصه، سال­های فاجعه بار اواسط  و اواخر دهه ۸۰ را به خوبی به یاد دارند، جایی که پتانسیل عظیم شرکت های نوپای فعال در بازار امنیت، به واسطه فشار اقتصادی ناشی از تحریم­ها و کاهش شدید میانگین بودجه سازمان­های دولتی در زمینه امنیت، نتوانست تبدیل به شکل گیری بازیگران توانمند و پایدار در این عرصه شود. متأسفانه در دوران تنگنای اقتصادی، بازار امنیت اطلاعات یکی از اولین اولویت­ها برای صرفه جویی است و این به واسطه ماهیت موضوع امنیت، امری جهانشمول بوده و نوپا بودن این صنعت در کشور ما نیز مزید بر علت است.

اثر غیر مستقیم دیگر این توافق احتمالی، حفظ و گسترش توان نیروی انسانی در داخل کشور است. متأسفانه موج عظیمی از مهاجرت نخبگان این حوزه به خارج از کشور همانند بسیاری از حوزه های دیگر، در دهه اخیر ایجاد شده است. امروز یکی از معضلات این بازار، کمبود نیروی انسانی متخصص و با تجربه است، به طوری که جایگاه­های شغلی متعددی به ویژه در شرکت­های خصوصی خالی مانده است. مشاهدات نگارنده از روند مهاجرت فارغ التحصیلان رشته های مربوط به این بازار، و نیز همکاران و دوستانی که در چند سال اخیر در این بازار کوچک فعال بوده اند نشان از روند خروج بیش از پنجاه درصدی افراد تأثیرگذار این بازار از کشور را دارد. در صورت باز شدن فضا و گسترش کسب و کار امنیت، این معضل بیش از پیش نمایان خواهد شد.

اما در بخش اثرات مستقیم توافق احتمالی و باز شدن فضای کسب و کار، می­توان به موارد متعددی اشاره کرد. یکی از این اثرات، امکان حضور رسمی برندهای مطرح دنیا در داخل کشور است. این حضور باعث ارتقاء کیفیت همه بازیگران این عرصه خواهد شد. از یک طرف، شرکت­های امنیتی با یک فضای رقابتی مواجه می­شوند که ادامه حضور در این فضا نیازمند ارائه محصولات و خدماتی نزدیک به کلاس جهانی خواهد شد. البته این موضوع می­تواند زنگ خطر برای شرکت­هایی باشد که با استفاده از رانت ناشی از فضای تحریم در چند سال اخیر در این بازار یکه تازی کرده اند. علاوه بر این، فرصت مذکور می­تواند به تهدیدی برای بازیگرانی که نتوانند با شرایط کیفی جدید منطبق شوند نیز تبدیل شود. از طرف دیگر، سطح توقع مشتریان این بازار نیز متناسب با کیفیت محصولات و خدمات در کلاس بین المللی، به روز خواهد شد.

شاید یکی از مهم ترین مزایای رفع موانع ناشی از تحریم­ها، امکان پیوستن فعالان این عرصه به اجتماعات تخصصی جهانی و امکان ارتباط های علمی و پژوهشی بین کارشناسان و فعالان بازار با منابع شناخته شده و مطرح جهانی است. متأسفانه در حال حاضر، حتی مشاهده برخی وب سایت­های مرجع تخصصی برای افراد از داخل ایران فراهم نیست. همچنین بسیاری از ابزارها و پروژه­ های امنیت اطلاعات از داخل کشور در دسترس نیست. این موضوع در زمینه فعالیت­های پژوهشی دانشگاهی در بخش امنیت نیز مشکلات متعددی ایجاد کرده است. همچنین امکان شرکت کردن در دوره­ های تخصصی امنیت و آزمون­های بین المللی این دوره­ ها و دریافت گواهی با دشواری­ها و هزینه­های نامتعارفی رو به رو است. تصور اینکه مدرسان مشهور جهانی بتوانند برای ارائه دوره های تخصصی به ایران رفت و آمد کنند و نیز کارشناسان داخلی بتوانند با هزینه معقول و متعارف در کنفرانس­ها و نمایشگاه های معتبر امنیتی شرکت کنند، با ادامه شرایط فعلی به هیچ وجه با واقعیت منطبق نیست.

مزیت­های یک توافق احتمالی برای بازار امنیت کشور آنقدر هست که در برابر تهدیدهای احتمالی این موضوع به روشنی برتری داشته باشد. باید توجه داشت که وقتی از امنیت سایبری صحبت می­کنیم، همیشه یک حس عدم اعتماد کامل و حفظ جوانب احتیاط به خصوص در برابر بیگانگان باید وجود داشته باشد. به طور مثال، اینکه سازمان­های اطلاعاتی برخی کشورها از طریق رخنه در محصولات امنیتی به صورت هدفمند سعی در نفوذ به پشت مرزهای داخلی ما دارند، امری واضح است. اما منشأ گسترش این تهدید را نباید باز شدن فضای کسب و کار و ارتباطات بین المللی در بخش امنیت دانست، کمااینکه اینگونه محصولات در حال حاضر هم به وفور در بازار کشور به صورت غیررسمی و کنترل نشده در حال استفاده هستند. همچنین، راه حل این تهدید نیز از یک طرف به اعمال سیاست­ها و محدودیت­های حاکمیتی هدفمند و توجیه پذیر، و از طرف دیگر به توانمندسازی شرکت­های داخلی بازمی­گردد که این توانمند سازی نه با ایجاد رانت­های خاص، بلکه مستقیماً با تقویت نیروی انسانی متخصص و جلوگیری از مهاجرت این نیروها ایجاد می­ شود.

اشتراک گذاری

مهاجرت متخصصان امنیت

استاد ارجمندم آقای دکتر رسول جلیلی در مصاحبه ای که با نشریه بانکداری الکترونیک داشتند، در زمینه مهاجرت متخصصان امنیت به خارج گفته اند:

در موضوع ماندگاری من آمار دقیقی ندارم که الان ارائه کنم، اما می‌توان این قضاوت را داشت که شیب مهاجرت نیروی انسانی در حوزه امنیت از متوسط نرخ مهاجرت در کل ICT کمتر است. دلیل آن هم این است که کسانی که به سراغ موضوع امنیت در کشور می‌روند، نوعاً به نسبت متوسط افرادی که در کل حوزه ICT هستند، دغدغه ملی، ارزشی و تعلق خاطر بیشتری به کشور دارند. یعنی بخشی از نیروها صرفاً به خاطر درآمد و آینده کاری وارد این حوزه نشده‌اند،‌ بلکه به این فکر بوده‌اند که چه چیزی بخوانند که مؤثرتر باشد، چون این مسائل خاستگاه ورود آنها به این حوزه بوده، ماندگاری این طیف نیروها بیشتر بوده است، در عین حال که برخی ممکن است به دلیل ادامه تحصیل یا دلایل دیگر مهاجرت کرده‌اند و برخی هم پس از چند سال تجربه کاری مهاجرت کرده‌اند. در حوزه‌های تحصیلی هم وضعیت به همین ترتیب است، ولی این کل ماجرا نیست. از آن طرف به کسی که می‌خواهد امنیت بخواند، در کشورهای دیگر نگاه خاص‌تری وجود دارد و نوعاً محدودیت‌هایی برای آنها قائل هستند. وقتی این مسائل را با وضع داخلی، انگیزه‌ها و قدرت جذب داخلی و بیرونی تلفیق کنیم،‌ مصالحه‌ای شکل گرفته است که شیب مهاجرت در حوزه امنیت به نسبت کمتر بوده است. البته در این حوزه ما برون‌رفت نیرو داریم، اما جذب نیرو از خارج نداشته‌ایم و برای انجام پروژه‌ها معمولاً از نیروهای داخلی استفاده کردیم و نزدیک به صد درصد نیاز داخلی را با توان داخلی مرتفع کردیم.

اشتراک گذاری

درآمدزا ترین موقعیت های شغلی امنیت اطلاعات*

(دانلود فایل این یادداشت که در شماره ۶۰ مجله بانکداری الکترونیک چاپ شده است)

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای ۲۰۰۷ تا ۲۰۱۳ به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال ۲۰۲۲ با رشد سی و هفت درصدی نسبت به ۲۰۱۲روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از ۱۰ شغل برتر از نظر میزان درآمد به شرح زیر شده است.

۱-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال ۲۰۱۵ حدود ۱۳۱ هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد ۸۱ هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا ۲۴۰ هزار دلار در سال نیز افزایش یابد.

۲-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو ۲۷۰۰۱ و ۲۷۰۰۲، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود ۸۴ هزار دلار، به طور متوسط حدود ۱۰۹ هزار دلار و حداکثر ۱۶۰ هزار دلار است.

۳-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

۴-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین ۱۰۲ هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب ۷۱ هزار و ۱۴۳ هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

۵-    مهندس امنیت (Security Engineer)

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود ۸۷ هزار دلار بر اساس پیش­ بینی PayScale در سال ۲۰۱۵ است. حداقل دریافتی مورد انتظار برای این شغل می­تواند ۵۷ هزار دلار و حداکثر ۱۲۸ هزار دلار در سال باشد.

۶-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین ۷۰ تا ۹۰ هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین ۵۰ تا ۱۵۰ هزار دلار را داشته باشد.

۷-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین ۸۱ هزار دلار درآمد در سال ۲۰۱۵ داشته باشد. حداقل این درآمد ۴۶ هزار دلار و حداکثر مورد انتظار، ۱۴۷ هزار دلار است.

۸-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود ۷۷ هزار دلار سالیانه بوده و از حداقل ۵۶ هزار دلار تا ۱۱۹ هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

۹-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه ۷۵ هزار دلار بوده و از حداقل ۴۸ هزار دلار تا ۱۰۰ هزار دلار قابل تغییر است.

۱۰- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود ۷۴ هزار دلار بر اساس پیش بینی PayScale در سال ۲۰۱۵ بوده و می­تواند بین ۴۳ هزار تا ۱۱۳ هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

اشتراک گذاری