بایگانی برچسب: s

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.

 

این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های مشهور حوزه امنیت نرم افزار و مجری پادکست Silver Bullet Security است.

مدیران امنیت شرکت های مهمی در این گزارش مصاحبه شده اند، از جمله فیسبوک، سیسکو، جی پی مورگان، اچ اس بی سی و استار باکس. نتیجه این گزارش، ارائه یک تقسیم بندی در خصوص نقش امنیت و مدیر ارشد امنیت در سازمان است، که بر این اساس، چهار رده یا نقش برای آن شناسایی شده است:

  1. امنیت به عنوان توانمندساز
  2. امنیت به عنوان فناوری
  3. امنیت به عنوان تطبیق با استانداردها
  4. امنیت به عنوان مرکز هزینه

تقسیم بندی ارائه شده را می شود به نوعی یک مدل بلوغ هم دانست. به همین دلیل مطالعه آن برای کسانی که در این حوزه کار می کنند یا به آن علاقه دارند، مفید است. یک نکته جانبی در این گزارش که برای من جالب بود و سالهای قبل با این موضوع چالش داشتم، تاکید بر این مطلب است که موضوع مدیریت تقلب (Fraud Management) در ۲۳ سازمان از ۲۵ سازمان مطالعه شده، خارج از قلمرو امنیت اطلاعات است.

اشتراک گذاری

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

درآمدزا ترین موقعیت های شغلی امنیت اطلاعات*

(دانلود فایل این یادداشت که در شماره ۶۰ مجله بانکداری الکترونیک چاپ شده است)

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای ۲۰۰۷ تا ۲۰۱۳ به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال ۲۰۲۲ با رشد سی و هفت درصدی نسبت به ۲۰۱۲روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از ۱۰ شغل برتر از نظر میزان درآمد به شرح زیر شده است.

۱-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال ۲۰۱۵ حدود ۱۳۱ هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد ۸۱ هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا ۲۴۰ هزار دلار در سال نیز افزایش یابد.

۲-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو ۲۷۰۰۱ و ۲۷۰۰۲، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود ۸۴ هزار دلار، به طور متوسط حدود ۱۰۹ هزار دلار و حداکثر ۱۶۰ هزار دلار است.

۳-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

۴-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین ۱۰۲ هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب ۷۱ هزار و ۱۴۳ هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

۵-    مهندس امنیت (Security Engineer)

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود ۸۷ هزار دلار بر اساس پیش­ بینی PayScale در سال ۲۰۱۵ است. حداقل دریافتی مورد انتظار برای این شغل می­تواند ۵۷ هزار دلار و حداکثر ۱۲۸ هزار دلار در سال باشد.

۶-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین ۷۰ تا ۹۰ هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین ۵۰ تا ۱۵۰ هزار دلار را داشته باشد.

۷-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین ۸۱ هزار دلار درآمد در سال ۲۰۱۵ داشته باشد. حداقل این درآمد ۴۶ هزار دلار و حداکثر مورد انتظار، ۱۴۷ هزار دلار است.

۸-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود ۷۷ هزار دلار سالیانه بوده و از حداقل ۵۶ هزار دلار تا ۱۱۹ هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

۹-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه ۷۵ هزار دلار بوده و از حداقل ۴۸ هزار دلار تا ۱۰۰ هزار دلار قابل تغییر است.

۱۰- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود ۷۴ هزار دلار بر اساس پیش بینی PayScale در سال ۲۰۱۵ بوده و می­تواند بین ۴۳ هزار تا ۱۱۳ هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

اشتراک گذاری

مدیر ارشد امنیت اطلاعات (CISO): نیازها و مهارت ها *

همانگونه که در شماره های پیشین اشاره کردیم، حاکمیت امنیت اطلاعات مستلزم استقرار سازمان امنیت در سطح بانک است. این سازمان در لایه مدیریت ارشد شامل یک کمیته راهبردی است که نقش سیاست‏گذاری و مدیریت کلان امنیت را برعهده دارد. اما امور اجرایی و نظارت فنی امنیت باید بر عهده یک واحد مستقل، ترجیحاً در زیرمجموعه مدیریت فناوری اطلاعات سازمان باشد. این واحد به موازات دیگر واحدهای اجرایی فناوری اطلاعات مانند سخت افزار، شبکه و نرم‏ افزار قرار می­گیرد تا منحصراً به ایفای نقش طراحی، اجرا و نظارت در حوزه امنیت اطلاعات بپردازد. مدیریت واحد امنیت اطلاعات بر عهده مسئول ارشد امنیت اطلاعات است که بسته به ساختار سازمانی موجود می­ تواند به عنوان معاون یا مدیر امنیت اطلاعات نیز شناخته شود. این نقش سازمانی را در اصطلاح Chief Information Security Officer یا CISO می­ نامند. CISO مدیر واحد امنیت و مسئول هماهنگی و راهبری امور فنی امنیت به نمایندگی از مدیریت ارشد سازمان و کمیته راهبردی امنیت است. امروزه CISO یکی از مهم­ترین مشاغل مورد نیاز در بازار فناوری اطلاعات دنیا است و در حوزه امنیت نیز یکی از جذاب­ترین و پردرآمدترین مشاغل به حساب می­آید، البته گزارش­های نشان می­دهند که یافتن افراد مناسب برای این جایگاه دشوار بوده و نگهداشتن آنها برای سازمان­ها دشوارتر است.

توجه به جایگاه موضوع امنیت در لایه­ های  فناوری اطلاعات و فراتر از آن در لایه­ های سازمان تا حدودی به درک اهمیت و تفاوت جایگاه CISO کمک می­کند.  فرد مورد نظر در این شغل باید دارای پیش زمینه مناسب و توانایی­ های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط برقرار نماید. همچنین باید قابلیت پیشبرد اهداف و برنامه های امنیتی در ارتباط با مدیریت ارشد سازمان را هم داشته باشد.

مهم ترین مهارت­های مورد نیاز برای جایگاه CISOبانک عبارتند از:

  • توانایی تعامل با همه رده ­های سازمان: اجرای وظایف واحد امنیت می­ تواند منجر به ایجاد اصطکاک بین این واحد و بقیه بخش­های بانک به خصوص در زیرمجموعه فناوری اطلاعات شود. در نتیجه مدیر امنیت برای کاهش این مشکلات باید توانایی تفاهم و تعامل با همه سطوح سازمان را داشته باشد. CISO باید بتواند با ایجاد ارتباط مثبت با مدیران دیگر بخش­ها اثر دیدگاه منفی رایج در مورد امنیت را کاهش دهد. قابلیت گفتگو از پایین ترین سطح کارشناسی تا بالاترین سطح مدیریتی از امتیازات ویژه یک CISO موفق است.
  • شناخت کسب و کار: CISO بانک باید با کسب و کار بانک آشنایی داشته باشد تا بتواند مخاطرات خاص این کسب و کار را درک کرده و متناسب با آنها ارائه راه حل نماید. انواع سرویس­هایی که توسط بانک ارائه می­شود، ویژگی­ های برنامه های کاربردی خاص بانک­ها، نیازمندی­های امنیتی مشتریان، انواع نفوذگران و نفوذهای معمول به سیستم­های بانکی از جمله این موارد هستند.
  • عدم تقابل با کسب و کار: واقعیت این است که امنیت می­تواند به راحتی در تقابل با کسب و کار قرار گیرد. امنیت را نباید در خلأ و بدون در نظر گرفتن زمینه کسب و کار در نظر بگیریم. این نقطه ضعف به وضوح در بدنه کارشناسی تیم­های امنیت وجود دارد و تعدیل این نگاه بر عهده CISO است. در واقع CISO بانک باید به جای تمرکز صرف بر ممنوعیت و محدود سازی، امنیت را به فاکتوری برای توانمند سازی کسب و کار تبدیل کند.
  • توانایی حل مسأله:موضوعات امنیتی مسائلی واقعی با پارامترهای تأثیرگذار متعدد هستند. گاه این مسائل موضوعاتی صرفاً فنی و نیازمند آشنایی با انواع فناوری­ ها و قابلیت استفاده مناسب از آنها است. این مسائل گاه دارای ابعاد غیرفنی هم هستند که حل آنها نیاز به برخورداری از نگاه کلان و استراتژیک است. CISO باید توانایی طراحی راه حل، بررسی جایگزین­ها، تحلیل هزینه ـ فایده و اجرای راه حل­ها را داشته باشد.
  • دانش و تجربه: برخورداری از دانش آکادمیک امنیت و گذراندن دوره­های آموزشی تخصصی امنیتی پیش­نیاز حضور در جایگاه CISO است. اما به همین اندازه تجربه عملیاتی در مدیریت پروژه­ های راهبری، ارزیابی و امن­ سازی سیستم­ها و آشنایی با کسب و کار سازمان نیز اهمیت خاص خود را دارد.
  • آشنایی با برنامه ریزی مالی: بودجه یکی از فاکتورهای حیاتی در امور امنیت و از مشکلات معمول این واحدها است. CISO باید به ضوابط و روش­های برنامه ریزی مالی آشنا باشد و بتواند از بودجه امنیت سازمان دفاع کند.

همانطور که ذکر شد فاکتورهای فوق برای فرد متصدی جایگاه CISO از اهمیت بالایی برخوردار هستند. با توجه به نیاز بانک­ها و بسیاری دیگر از سازمان­ها به ایجاد سازمان امنیت و خاص بودن مهارت­های CISO، امروزه بازار امنیت جهانی با تقاضای روزافزون از طرف کارفرمایان برای استخدام در این جایگاه روبرو است و این روند در ایران هم به تدریج در حال شکل گیری است.

* این یادداشت در شماره ۵۷ نشریه بانکداری الکترونیک چاپ شده است. (دنلود فایل)

اشتراک گذاری