بایگانی برچسب: s

یک مدل بلوغ برای نقش مدیر ارشد امنیت اطلاعات

گزارش شرکت Synopsys در مورد نقش مدیر ارشد امنیت اطلاعات (CISO) که نتیجه مصاحبه با مدیران امنیت ۲۵ شرکت بزرگ دنیا است، منتشر شد. برای دانلود گزارش کافی است فرم ثبت نام را تکمیل کنید.

 

این گزارش با مدیریت دکتر Gary McGraw تهیه شده که معاون فناوری امنیت این شرکت و نویسنده کتاب های مشهور حوزه امنیت نرم افزار و مجری پادکست Silver Bullet Security است.

مدیران امنیت شرکت های مهمی در این گزارش مصاحبه شده اند، از جمله فیسبوک، سیسکو، جی پی مورگان، اچ اس بی سی و استار باکس. نتیجه این گزارش، ارائه یک تقسیم بندی در خصوص نقش امنیت و مدیر ارشد امنیت در سازمان است، که بر این اساس، چهار رده یا نقش برای آن شناسایی شده است:

  1. امنیت به عنوان توانمندساز
  2. امنیت به عنوان فناوری
  3. امنیت به عنوان تطبیق با استانداردها
  4. امنیت به عنوان مرکز هزینه

تقسیم بندی ارائه شده را می شود به نوعی یک مدل بلوغ هم دانست. به همین دلیل مطالعه آن برای کسانی که در این حوزه کار می کنند یا به آن علاقه دارند، مفید است. یک نکته جانبی در این گزارش که برای من جالب بود و سالهای قبل با این موضوع چالش داشتم، تاکید بر این مطلب است که موضوع مدیریت تقلب (Fraud Management) در ۲۳ سازمان از ۲۵ سازمان مطالعه شده، خارج از قلمرو امنیت اطلاعات است.

اشتراک گذاری

واحد امنیت: ناظر یا مجری؟

یادداشت من در شماره ۷۹ ماهنامه بانکداری الکترونیک 

بسیاری از سازمان‌ها صرفنظر از اندازه و ماهیت کسب و کار، به ضرورت تشکیل تیم امنیت اطلاعات پی برده‌ و کم و بیش در این زمینه اقداماتی انجام داده‌اند. در این میان، برخی سازمان‌ها که موضوع امنیت جایگاه حساس‌تری در کسب و کار آنها دارد، فردی را در سطح مدیران ارشد سازمان به عنوان مسئول تیم امنیت انتخاب می‌کنند. این فرد، وظیفه استقرار و راهبری برنامه‌های امنیتی را بر عهده دارد.
CISO عنوانی است که برای اشاره به جایگاه شغلی مسئول امنیت اطلاعات سازمان در منابع مختلف پذیرفته شده است. در شماره‌های پیشین به قابلیت‌ها و مهارت‌های مورد نیاز برای ورود به این جایگاه شغلی اشاره کردیم. فرد مناسب در این جایگاه باید دارای پیش زمینه مرتبط و توانایی¬های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط، اعم از فنی و اجرایی برقرار نماید. به خصوص، CISO باید بتواند با تعامل با مدیریت ارشد سازمان، اهداف استراتژیک امنیت را در راستای استراتژی‌های سازمان، دنبال کند. هدف از تعامل این است که سخن گفتن از امنیت در سطح مدیریت امنیت سازمان، خریدار داشته باشد. نتیجه این تعامل، پشتیبانی مدیریت ارشد از پیشبرد برنامه‌های امنیتی در سطح سازمان است.
پرسشی که بسیاری از سازمان‌ها در طراحی چارت سازمانی با در نظر گرفتن واحد امنیت با آن مواجه می‌شوند این است: CISO به چه کسی پاسخگو باشد؟ این پرسش از آنجا نشأت می‌گیرد که بخش عمده وظائف واحد امنیت، در تعامل با واحدهای دیگر سازمان و در تکمیل وظایف واحدهای دیگر اجرا می‌شود. به عبارت دیگر، جایگاه سازمانی واحد امنیت باید به گونه‌ای باشد که نقش عملیاتی و نظارتی خود را در کنار دیگر واحدهای فنی و برخی واحدهای غیرفنی انجام دهد. این نگرانی وجود دارد که واحد امنیت نتواند نقش نظارتی خود را بر مجموعه‌ای که خود بخشی از آن است، به صورت دقیق انجام دهد. به عنوان مثال، اگر واحد امنیت بخشی از مجموعه مدیریتی فناوری اطلاعات سازمان باشد، چگونه می‌تواند نظارت و کنترل کیفی مناسبی بر عملکرد تیم های داخلی فناوری اطلاعات مثل تولید نرم افزار و شبکه داشته باشد؟ به عبارت دیگر، از این منظر هر قدر که واحد امنیت در چارت سازمانی با واحدهای زیرمجموعه فناوری اطلاعات نزدیک‌تر باشد، ممکن است اثربخشی آن کمتر شود. هرچند این دیدگاه منطقاً صحیح به نظر می‌رسد، اما باید گفت که در همه سازمان‌ها مصداق ندارد.
واحد امنیت: ناظر یا مجری؟
نگاه سنتی به موضوع امنیت، آن را در انجام تست نفوذ و ارزیابی های مختلف امنیت سامانه ها محدود می‌کند. در این نگاه، یک سازمانه از قبل ساخته یا خریداری شده و اکنون بنا به دلیلی از جمله الزام قانونی یا رخداد یک حادثه امنیتی، قرار است از نظر امنیتی تست شود. واحد امنیت، یک واحد کنترل کیفیت است و بخش عمده وظایف آن، از جنس نظارت است. چنین نگاهی درسازمان‌هایی غلبه دارد که از نظر شاخص‌های تعالی یا بلوغ امنیت، در سطح پایینی هستند.
در نگاه مدرن، امنیت بخشی از اکثر فرآیندهای سازمان، به خصوص فرآیندهای فنی است. قرار نیست که در چرخه توسعه سامانه‌ها، صرفاً در مرحله پایانی و از دیدگاه تست به موضوع امنیت پرداخته شود. بلکه از ابتدا به نیازمندی‌های امنیتی توجه شده و طراحی متناسب با این نیازمندی‌ها انجام شده و در اجرا نیز طبق اصول و استانداردهای امنیتی عمل می‌شود. هر چند تست امنیتی نیز به جای خود در زمان لازم انجام می‌شود. در این نگاه، بخش عمده وظائف واحد امنیت، اجرایی و عملیاتی است. این واحد به تیم توسعه نرم‌افزار کمک می‌کند که محصول خود را مبتنی بر متدولوژی توسعه امن، تولید کنند. همچنین برای ایجاد یک شبکه امن و توسعه شبکه مبتنی بر یک معماری امنیتی، در کنار واحدهای مسئول شبکه فعالیت می‌کند. سازمانی که بر این اساس فعالیت می‌کند، در مقایسه با سازمانی که صرفاً نگاه نظارتی به امنیت دارد، از نظر شاخص‌های بلوغ امنیت در وضعیت مطلوب‌تری قرار دارد. در چنین سازمانی، امنیت بخشی از هر یک از فرآیندهای سازمان به خصوص در حوزه فناوری اطلاعات است.
حال به پرسش اصلی بازگردیم: CISO به چه کسی پاسخگو باشد؟ برای پاسخ به این پرسش باید علاوه بر ماهیت کسب و کار سازمان و چارت سازمانی فعلی، سطح بلوغ فعلی سازمان در حوزه امنیت را نیز در نظر گرفت. اگر سازمان در مراحل ابتدایی بلوغ امنیت قرار دارد و در اکثر شاخص‌ها فاصله زیادی با وضع مطلوب دارد، بهتر است CISO در جایی قرار بگیرد که نقش نظارتی پررنگ‌تری داشته باشد. پاسخگویی مستقیم به مدیر عامل یا هیأت مدیره، قوی‌ترین اهرم نظارتی را در اختیار CISO قرار می‌دهد. اما اگر سازمان از نظر شاخص‎‌های بلوغ امنیت در سطح مطلوبی به سر می‌برد، می‌توان CISO را در جایگاهی قرار داد که در عمل، قدرت اجرایی بالایی داشته و بتواند در فرآیندهای توسعه سامانه‌ها، به خصوص در فناوری اطلاعات، به طور فعال مشارکت کند.
نظارت بر ناظر
بدون شک نقش نظارتی واحد امنیت را نمی‌توان و نباید نادیده گرفت. سیاست‌های امنیت سازمان نیاز به ناظری دارد که تنها دغدغه او، اجرای تمام و کمال این سیاست‌ها و عدم انحراف از اهداف استراتژیک امنیت سازمان باشد. حال چگونه می‌توان واحد امنیتی که خود وظائف اجرایی دارد، به عنوان ناظر و مسئول کنترل کیفی امنیت نیز به رسمیت شناخت؟ پاسخ این است که واحد امنیت قرار نیست بر فعالیت‌هایی که خود مجری آن است، نظارت کند. مخاطب سیاست‌های امنیتی، همه واحدهای سازمان هستند. منابع انسانی، امور حقوقی و قراردادها، ارتباط با مشتریان و دیگر واحدهای سازمان تحت نظارت واحد امنیت قرار دارند. همچنین، بخش‌های مختلف فناوری اطلاعات نیز باید نسبت به سیاست‌های امنیتی سازمان، به واحد امنیت پاسخگو باشند. در واقع باید حدی از استقلال واحد امنیت و عدم اشتراک منافع با زیرمجموعه‌های فناوری اطلاعات را حفظ کرد تا این نظارت معنا پیدا کند. به علاوه، نظارت بر امنیت سازمان منحصر در واحد امنیت نیست. سازمان می‌تواند از روش‌های دیگری مثل استخدام پیمانکار تست نفوذ، یا ممیزی‌های رسمی امنیت بر اساس استانداردهای خاص امنیت کسب و کار، این نظارت را به صورت مستقل نیز انجام دهد. بنابراین، اگر CISO زیرمجموعه مدیر ارشد فناوری اطلاعات سازمان باشد، در عین نظارت بر دیگر زیرمجموعه‌های فناوری اطلاعات، می‌تواند اثربخشی بیشتری در ایجاد زیربنای سامانه‌های امن داشته باشد.

جمع بندی
جایگاه مدیر ارشد امنیت یا CISO را باید با توجه به ماهیت کسب و کار، چارت فعلی سازمان و سطح بلوغ امنیت سازمان تعیین کرد. مطمئناً نمی‌توان فرمول ثابتی برای همه سازمان‌ها ارائه کرد، اما با بررسی مزایا و معایب گزینه‌های مختلف، و توجه به وضع موجود سازمان، می‌توان به پاسخ مطلوب برای یک سازمان رسید. تشخیص اینکه وزن فعالیت‌های اجرایی و نظارتی واحد امنیت در سازمان مورد نظر چقدر است، نقش کلیدی در تعیین جایگاه مناسب برای CISO دارد.

اشتراک گذاری

جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

مسئولیت مدیران در چرخه امنیت اطلاعات

برای هر فردی که در حوزه امنیت اطلاعات سازمانی تجربه کار داشته باشد، اهمیت موضوع حمایت واقعی و عملی رهبران سازمان، به طور مشخص مدیران ارشد، از برنامه های امنیتی سازمان امری بدیهی و واضح است. در واقع یکی از بزرگ­ترین چالش­های یک تیم امنیت اطلاعات و به خصوص مدیر امنیت اطلاعات، جلب حمایت کافی این مدیران است که تأثیر مستقیم بر اثربخشی فعالیت­ها و برنامه­ها دارد. بخش عمده­ای از این حمایت ناشی از درک رهبران سازمان نسبت به اهمیت امنیت اطلاعات و نقش آن در پیشبرد اهداف سازمان یا ایجاد مانع برای رسیدن به آن اهداف است. به بیان دیگر، اگر مدیریت سازمان قائل به حداقل­های لازم اولویت و اهمیت برای موضوع امنیت اطلاعات نباشد، طبعاً حمایت مناسبی هم صورت نخواهد گرفت.

اما دلیل تأکید بر حمایت رهبران سازمان و نقش ویژه آن در پیشبرد برنامه­های امنیتی چیست؟ پاسخ این سؤال را باید در ماهیت غیر کارکردی امنیت اطلاعات در اکثر کسب و کارها جستجو کرد. امنیت اساساً از جنس کیفیت است و در اکثر قریب به اتفاق سازمان­ها، نه به عنوان بخشی از کسب و کار اصلی بلکه عاملی برای تضمین کیفیت کسب و کار است. در نتیجه به راحتی می­تواند قربانی اولویت­ها و فوریت­های مربوط به جنبه­های اصلی کسب و کار شود. به عنوان مثال، تعویق چندباره جلسات مربوط به امنیت اطلاعات یا تأخیرهای طولانی در اختصاص هزینه برای کنترل­های امنیتی از نشانه­های عدم حمایت لازم است. به علاوه، بخشی از وظایف امنیت اطلاعات، جنبه ممیزی داشته و با بخش­های مختلف سازمان از دیدگاه ممیزی ارتباط دارد. در نتیجه انواع مقاومت­های سازمانی از این جنبه در برابر برنامه­های امنیت اطلاعات وجود خواهد داشت.

استاندارد ایزو ۲۷۰۰۱:۲۰۱۳ در بخش الزامات عمومی سیستم مدیریت امنیت اطلاعات، بر اهمیت رهبری سازمان در حوزه امنیت اطلاعات تأکید می­کند. در این استاندارد می­بینیم که موضوع حمایت مدیران ارشد از امنیت اطلاعات در سه جنبه اصلی الزام شده است:

۱-    رهبری و تعهد

۲-    خط مشی های امنیتی

۳-    نقش­ها، مسئولیت­ها و اختیارات سازمانی

در اینجا بر اساس متن استاندارد مورد اشاره، برخی از نشانه­های حمایت عملی و موثر رهبران سازمان از موضوع امنیت اطلاعت را بررسی می­کنیم.

در بخش رهبری و تعهد، مدیران ارشد سازمان باید این موضوع را با اقدامات زیر به شکل عملی نشان دهند:

۱-    رهبران باید از همراستا بودن اهداف و برنامه­های امنیت با جهت گیری استراتژیک کل سازمان اطمینان حاصل کنند.

۲-    رهبران باید از دخیل بودن امنیت اطلاعات در همه فرآیندهای  سازمانی اطمینان حاصل نمایند.

۳-    تآمین منابع لازم برای اجرای برنامه­های امنیتی سازمان.

۴-    رهبران باید جایگاه ویژه امنیت اطلاعات را با تعامل در همه بخش­های سازمان مشخص کنند.

 مدیریت ارشد سازمان نقش بسیار حیاتی در استقرار خط­ مشی امنیت اطلاعات دارد:

۱-    مدیران ارشد باید از مناسب بودن خط مشی امنیت برای کسب و کار خود اطمینان حاصل کنند.

۲-    آنها باید از وجود اهداف امنیت اطلاعات در خط مشی یا استقرار روشی برای ایجاد این اهدف اطمینان حاصل کنند.  

۳-    مدیران ارشد باید نسبت به بهبود مستمر امنیت اطلاعات متعهد باشند.

همچنین، مدیران ارشد سازمان باید از تخصیص وظایف، نقش­ها و اختیارات مورد نیاز در حوزه امنیت اطلاعات در زمینه های زیر اطمینان حاصل کنند:

۱-    اطمینان از منطبق بودن سیستم مدیریت امنیت با کلیه الزامات استاندارد ایزو ۲۷۰۰۱ .

۲-    گزارش کارآیی و اثربخشی سیستم مدیریت امنیت اطالعات به مدیران سطح بالای سازمان.

هر یک از آیتم های عنوان شده در بخش رهبری و تعهد در استاندارد ایزو ۲۷۰۰۱، با بخشی از واقعیت های موجود در سازمان­ها منطبق است. به همین دلیل برای افرادی که در حوزه امنیت اطلاعات سازمانی مشغول به کار هستند، هر آیتم دارای ارزش و اهمیت قابل لمس است.

با این حال، این موضوع را نمی­توان یک طرفه و صرفاً از جنبه وظایف رهبران سازمان بررسی کرد. به عبارت دیگر، عملکرد افراد و تیم های امنیت سازمان نیز در نوع نگاه رهبران سازمان بی تأثیر نیست. امنیت اطلاعات به خودی خود نه تنها محصول قابل لمس تولید نمی­کند، بلکه در ظاهر مدام در حال هزینه تراشیدن برای سازمان است. اصلاح این دیدگاه در میان مدیران ارشد سازمان کار ساده ای نیست و اساساً اینکه چگونه و با چه زبانی باید با مدیران ارشد سازمان در خصوص امنیت اطلاعات صحبت کرد تا این دیدگاه در میان آنها رشد نکند، نیاز به تجربه بالایی دارد.

بنابراین اگر بخواهیم  چالش حمایت رهبران و مدیران ارشد سازمان از امنیت اطلاعات را مرتفع کنیم، لازم است هم آن را از دیدگاه وظایف مدیران و هم از دیدگاه مهارت مدیر امنیت اطلاعات بررسی و حل کنیم.

این یادداشت در شماره ۶۶ نشریه بانکداری الکترونیک منتشر شده است. دانلود فایل

اشتراک گذاری

اثربخشی امنیت: بایدها و نبایدها

این یادداشت، برگرفته از ارائه من در دومین سمینار سالانه امنیت در مرکز فابا است که خرداد ۹۴ برگزار شد و در شماره ۶۱ مجله بانکداری الکترونیک هم چاپ شده است. (دانلود فایل مقاله)

اثربخشی امنیت: باید­ها و نبایدها

مقدمه

با وجود اینکه بسیاری از سازمان­ها برای مقابله با تهدیدها و دور ماندن از خطرات موجود در فضای سایبر تلاش می­کنند، اما تعداد کمی می­توانند ادعا کنند که اقداماتشان به اندازه کافی اثربخش است. منظور از اثر بخشی، برآورده ساختن هدف مورد نظر از طریق اجرای اقدامات برنامه ریزی شده است. حوادث متعددی که اخبار آنها هر روز به گوش می­رسد و هر بار نام سازمانی را در فهرست قربانیان حملات هدفمند سایبری قرار می­دهند نشان می­دهد که اثربخشی امنیت یک چالش عمده در حال حاضر است. به عنوان مثال، اخیراً اداره مدیریت پرسنل (OPM) دولت ایالات متحده مورد نفوذ هکرها  قرار گرفت و بیش از بیست میلیون رکورد حاوی پرونده اطلاعات شخصی و اداری پرسنل دولتی به سرقت رفت. دولت ایالات متحده مدعی است که این حمله توسط چین انجام شده، هر چند چین این موضوع را رد می­کند. رئیس این اداره در پی این رسوایی مجبور به استعفا شد. یکی دیگر از موارد قابل توجه، حمله موسوم به Carbanak به بیش از ۱۰۰ بانک در کشورهای مختلف اروپایی و امریکای شمالی است که در فوریه ۲۰۱۵ افشا شد. ویژگی متمایزکننده این حمله نسبت به بسیاری از نفوذهای دیگر در شبکه­ های بانکی، نفوذ به شبکه داخلی بانک­ها است. در حالی که حملات مشابه معمولاً به شرکت­های وابسته به بانک­ها انجام می­شد. در Carbanak ما با طیف وسیعی از روش­های سوء استفاده بر اساس نفوذ به شبکه داخلی و تسخیر کلاینت­های کنترل­ کننده سیستم­های بانکی مواجه هستیم. در این حمله مانند بسیاری از حملات امروزی، از ارسال ایمیل حاوی فایل آلوده برای کارمندان بانک­ها استفاده شده است که در اصطلاح به آن Spear Phishing گفته می شود. علاوه بر حوادث فوق، می­توان به نفوذ به شرکت Target در سال ۲۰۱۳، یکی از بزرگترین فروشگاه­های زنجیره­ای در آمریکا و کانادا نیز اشاره کرد. در این نفوذ، اطلاعات بیش از ۴۰ میلیون کارت مشتریان فروشگاه به علاوه بیش از ۷۰ میلیون رکورد اطلاعات شخصی مشتریان به سرقت رفت. طبق آمارهای اعلام شده سهام این شرکت با افت ۴۶ درصدی روبرو شد و حدود ۲۰۰ میلیون دلار برای ابطال کارت­های به سرقت رفته و صدور کارت­های جدید هزینه گردید. گفته می­شود که حدود ۱۱۰ میلیون نفر از شهروندان ایالات متحده به نوعی در این حادثه درگیر شده­ اند. نکته جالب توجه آن است که مرحله اول این حادثه با نفوذ به شبکه یک شرکت پیمانکار تهویه این فروشگاه­ها و سرقت مجوزهای دسترسی راه دور این شرکت به شبکه داخلی فروشگاه انجام شده است. به نمونه­ های متعدد دیگری مانند بدافزار Backoff مربوط به پایانه­های فروش، بدافزارهای استاکس‌نت و فِلِیم، حملات اکتبر سرخ (Red October) و APT1 نیز می­توان اشاره کرد.

با توجه به مقدمه فوق، و با در نظر داشتن اینکه مشاهدات نگارنده از میانگین وضعیت امنیت در فضای سایبری کشور نشان دهنده امکان رخداد مشابه این حوادث البته در مقیاس بسیار کوچک­تر در داخل کشور است، نگاهی به عوامل اثربخش نبودن اقدامات امنیتی سازمان­ها در ادامه خواهیم داشت.

برخی دلایل موفقیت حملات

“امنیت یک فرآیند است، نه یک محصول” جمله­ ای است که بارها در سال­های گذشته آن را شنیده­ ایم. این جمله توسط Bruce Schneier یکی از صاحبنظران برجسته امنیت اطلاعات در اواخر دهه ۹۰ میلادی به منظور آسیب­شناسی وضعیت امنیت سایبری در آن سال­ها مطرح شد و به شدت مورد توجه نیز قرار گرفت. عدم توجه به فرآیند امنیت و تکیه بر محصولات و فناوری­ها معضلی بود که در ابتدای فراگیر شدن شبکه­ و اینترنت در میان سازمان­ها به شدت احساس می­شد، اما امروزه در دنیای پیشرفته نمی­توان به سادگی چنین ادعایی داشت. تأکید فراوان انواع استانداردهای امنیتی بر موضوع فرآیند امنیت باعث بدیهی شدن آن برای بسیاری از سازمان­ها شده است. اما در کشور ما به نظر میرسد که هنوز در این حوزه ضعف وجود دارد و بسیاری از سازمان­ها عملاً نتوانسته­ اند به درک درستی از این جمله کلیدی دست پیدا کنند.

 

همانگونه که در شکل مشخص است، اگر هدف اقدامات را به سه دسته پیشگیری از حملات، شناسایی نفوذ­ها و حملات و نیز پاسخ به حملات دسته بندی کنیم، آنگاه سه رکن اساسی در موثر بودن این اقدامات ایفای نقش می­کنند:

– فناوری

– نیروی انسانی

– فرآیند

در صورتی که به این سه رکن به صورت متوازن و به اندازه کافی توجه نشود، سازمان نمی­تواند انتظار اثربخشی امنیت را داشته باشد.

یکی از معضلات فعلی در بازار امنیت کشور، توجه بی­رویه به رکن فناوری است که از دو دهه قبل تا امروز همچنان ادامه دارد. روندهایی که در حدود دو دهه گذشته در فناوری­های امنیتی مورد توجه بازار داخلی مشاهده می­شود را می­توان به صورت زیر بیان نمود:

– اواخر دهه ۷۰: آنتی ویروس

– سال ۸۰ تا ۸۵: فایروال و PKI

– سال ۸۴ تا ۸۹: ISMS (سیستم مدیریت امنیت اطلاعات)

– سال ۸۸ تا امروز: SOC (مرکز عملیات امنیت)

نکته جالب توجه اینجا است که در خصوص ISMS و SOC اساساً ما با راه حل­هایی چند لایه شامل انواع فناوری­ها و فرآیندها و نیز نیروی انسانی مواجه هستیم، اما متأسفانه حتی در این دو مورد هم نگاه مبتنی بر محصول به وضوح در بسیاری از سازمان­ها دیده می­شود. بررسی اینکه بازیگران داخلی هر کدام چه نقشی در تغییر این نگاه یا دامن زدن به آن داشته و می­توانند داشته باشند نیاز به فرصتی جداگانه دارد.

در نقطه مقابل، روندهایی که امروزه در دنیای پیشرفته در حال رشد است و شرکت­ها و افراد در تلاش برای توسعه راه­ حل­های مربوط به این روندها هستند، عبارتند از:

– Big Data + Security

– Data Driven Security

– Threat Intelligence

– Next-generation Security Products

در ادامه به برخی نکات کلیدی در سه بخش فناوری، فرآیند و نیروی انسانی امنیت اشاره می­کنیم.

ایجاد شبکه قابل دفاع

بسیاری از سازمان­هایی که مورد نفوذ هکرها قرار می­گیرند بودجه مناسبی را صرف خرید و نصب تجهیزات و نرم­ افزارهای امنیتی کرده­ اند. با این حال، خرید و نصب این فناوری­ها پایان کار نیست. در واقع، شبکه سازمان باید با استفاده از این فناوری­ها به درجه ای برسد که به آن شبکه قابل دفاع (Defensible) گفته می­شود. این اصطلاح اولین بار توسط Richard Bejlitch ، از صاحبنظران برجسته در زمینه امنیت شبکه در سال ۲۰۰۷ به کار گرفته شد و مورد توجه زیادی قرار گرفت. خصوصیات یک شبکه قابل دفاع عبارتند از:

– پایش شده: شبکه­ای قابل دفاع است که رخدادهای آن به طور مداوم تحث پایش امنیتی (Security Monitoring) با استفاده از فناوری­ها و روال­های مربوطه است.

– فهرست شده: شبکه­ای قابل دفاع است که لیست دارایی­های موجود در آن، حتی کوچکترین و کم اهمیت ترین دارایی­ های آن اعم از نرم­ افزارها، سخت افزارها، تجهیزات جانبی و غیره شناخته شده و دائماً به روز شوند.

– تحت کنترل: شبکه قابل دفاع، شبکه­ای به شدت کنترل شده است که عملکرد کلیه اجزای شبکه، دسترسی­ ها، جریان اطلاعات و غیره در آن به طور کامل تحت کنترل، نظارت و مدیریت است.

– کوچک شده: شبکه­ ای قابل دفاع است که ابعاد آن از هر نظر در کوچکترین اندازه مورد نیاز باشد. به عبارت دیگر، تعداد و تنوع اجزا، نرم افزارها، پورت­ها و به طور کلی سطح حمله (Attack Surface) این تا حد امکان کوچک است.

– ارزیابی شده: در یک شبکه قابل دفاع، ارزیابی امنیتی به طور مداوم در کلیه لایه­ها انجام می­شود.

– به روز: در یک شبکه قابل دفاع، به روز رسانی به صورتی یک فرآیند مداوم با اولویت بالا در تمام لایه­ ها شامل برنامه­ های کاربردی، سیستم عامل­ها و غیره چه در سرورها و چه در کلاینت­ ها و تجهیزات انجام می­شود.

تمرکز بر معماری امنیت

معماری امنیت به بیان ساده توصیف کننده اجزای امنیتی و نحوه ارتباط آنها در راستای دستیابی به اهداف امنیت در سطح شبکه (یا کل سازمان) است. یکی از معضلات دیده شده در بسیاری از سازمان­ها، عدم رعایت توازن در چیدمان ابزارهای امنیتی است. به عنوان مثال، توجه صرف بر ایمن­سازی دروازه­های ورودی شبکه (Gateways) و غفلت از ارتباطات داخلی بین سرورها یا عدم توجه به امنیت کلاینت­ها یکی از این خطاها است. اصول الزامی در طراحی و اجرای معماری امنیت عبارتند از:

– ایجاد دفاع چند لایه

– اجرای اصل حداقل دسترسی مورد نیاز

– ایجاد دید جامع (Total Visibility) نسبت به کل شبکه

– بهبود تصویر کلی (Big Picture) امنیت به جای اقدامات پراکنده

اگر بخواهیم به معماری امنیت اطلاعات از جنبه فنی نگاه کنیم، لازم است به ۲۰ کنترل امنیتی پیشنهادی موسسه SANS اشاره کنیم. این ۲۰ کنترل را می­توان فصل مشترکی برای اکثر سازمان­ها در نظر گرفت. بنابراین سازمان می­تواند وضعیت اجرای این کنترل­ها را بررسی نموده و تصویری از معماری امنیت خود به دست آورد.

فرآیند ونیروی انسانی

همانطور که اشاره شد، جنبه­ های فرآیند و نیروی انسانی نیز در جای خود اهمیت ویژه دارند. چند اصل عمومی در این دو جنبه وجود دارند که باید به آنها توجه کرد:

– لازم است اولویت امنیت اطلاعات را در مقایسه با اهداف دیگر کسب و کار افزایش دهیم.

– تلاش کنیم که تقابل میان وظایف اصلی افراد و وظایف امنیتی آنها کاهش یابد.

– امنیت نیاز به برنامه و بودجه مستقل دارد.

– امنیت یک کار تخصصی بوده و نیاز به نیروی تمام­ وقت دارد.

 

 راهکارهایی برای مدیر ارشد امنیت اطلاعات (CISO)

اگر شما مدیر یا مسئول امنیت سازمان خود هستید، احتمالاً با این تجربه روبرو شده­اید که در بسیاری از سناریوها، نقش شما بیشتر مشاوره­ای است تا اجرایی. به طور کلی مدیران امنیت نسبت به دیگر مدیران از جهان­بینی متفاوتی برخوردارند، گفتمان متفاوتی را استفاده کرده و در نتیجه معمولاً قدرت اجرایی کمتری نسبت به دیگر مدیران دارند.

 تعامل با مدیران: شما نیاز دارید که حمایت و نظر مثبت بدنه مدیریتی سازمان را جلب کنید. لذا باید توانایی ایجاد تعامل و گفتمان با همه رده­ های مدیریتی را داشته باشید. همچنین به یاد داشته باشید که باید جزئیات فنی را در حد لازم نگاه داشته و بیشتر با زبان مخاطرات امنیت با آنها صحبت کنید.

توجیه بودجه: برای توجیه هزینه­ های امنیت، بهترین روش آن است که این هزینه­ ها را در قالب هزینه پروژه­ های جاری سازمان بسته­ بندی کنید. در نتیجه، اثر منفی این هزینه­ ها در دیدگاه مدیران کاهش می­یاید. همچنین سازمان­ها و شرکت­های رقیب را در نظر داشته باشید و بدانید که بودجه درخواستی شما منطقاً نباید فاصله خیلی زیادی با سازمان­های مشابه شما داشته باشد.

ثبت و گزارش موفقیت­ها: شما باید دائماً اثر مثبت هزینه­ های انجام شده تا کنون را به مدیران خود یادآوری کنید، البته با ارائه اسناد و خروجی­های مناسب. این کار باعث می­شود که این نتایج به تدریج به عنوان ملاک سنجش عملکرد عادی سازمان پذیرفته شوند.

رابطه مناسب با همه مدیران و بدنه فنی سازمان: این را به یاد داشته باید که این شما هستید که به حمایت دیگر مدیران سازمان نیاز دارید. در صورت بروز اختلاف، معمولاً امنیت جزو اولین گزینه­ های متضرر خواهد بود.

حرکت به صورت آهسته و پیوسته: برنامه­ های امنیتی را به صورت قدم به قدم و آهسته اجرا کنید. به عنوان مثال، پیش از پیشنهاد خرید تجهیزات، اطمینان حاصل کنید که از همه قابلیت­ها تجهیزات موجود استفاده می­کنید. همچنین نمونه­ های رایگان ابزارها را تست کنید.

ایجاد خط­ مشی­ های قابل توجیه: سعی کنید که از یک الگوی ساده، واضح و بومی که مناسب سازمان شما باشد برای تدوین خط مشی­های امنیتی استفاده کنید. همچنین به فرهنگ سازمان و توانایی­ های فنی مخاطب خط­مشی توجه کمنید. در صورتی که خط مشی شما از این ویژگی­ها تبعیت نکند به سرعت با صداهای مخالف مواجه خواهید شد. حتماً سعی کنید که خط­ مشی­ ها را با مشارکت ذینفعان، به خصوص بدنه فنی سازمان، تدوین کنید. سعی کنید نظرات آنها را بشنوید، منطق راه­ حل پیشنهادی خود را توضیح دهید و ابهام­ ها را برطرف کنید، در عین حال شفاف و بدون تعارف عمل کنید.

(دانلود فایل مقاله)

اشتراک گذاری

درآمدزا ترین موقعیت های شغلی امنیت اطلاعات*

(دانلود فایل این یادداشت که در شماره ۶۰ مجله بانکداری الکترونیک چاپ شده است)

اگر به چشم انداز تهدیدهای امنیتی نگاه کنیم، توسعه بازار امنیت اطلاعات موضوع دور از ذهنی نخواهد بود. طبق گزارش منتشر شده توسط Burning Glass Technologies ، تعداد درخواست­های نیروی کار امنیت بین سالهای ۲۰۰۷ تا ۲۰۱۳ به میزان هفتاد و چهار درصد، تقریباً دو برابر بقیه مشاغل فناوری اطلاعات، رشد داشته است. به علاوه، انتظار می­رود که این رشد ادامه پیدا کند، به طوری که طبق پیش بینی مرکز آمار فدرال ایالات متحده، فقط جایگاه تحلیل گر امنیت (Security Analyst) تا سال ۲۰۲۲ با رشد سی و هفت درصدی نسبت به ۲۰۱۲روبرو خواهد شد.

این واقعیت­ها، بازار کاری امنیت اطلاعات را به یکی از جذاب­ترین­ ها در میان مشاغل فناوری اطلاعات تبدیل کرده است. در عین حال، هزینه­ های بالای این صنعت باعث شده که فرآیند انتخاب یک مسیر شغلی در این حوزه دشوار گردد. بر این اساس، تحقیقات ما در زمینه میزان درآمد مشاغل مختلف امنیت اطلاعات، منجر به تهیه لیستی از ۱۰ شغل برتر از نظر میزان درآمد به شرح زیر شده است.

۱-    مدیر ارشد امنیت اطلاعات (CISO)

CISO یک مدیر ارشد اجرایی (در اصطلاح C-Level) است که وظیفه اصلی آن نظارت عالی بر عملکرد واحد امنیت سازمان و پرسنل آن است. وظعیت کلی امنیت سازمان دغدغه اولیه CISO است. در حقیقت، فردی که خواهان چنین جایگاهی است باید بتوانند پیش­ زمینه­­ های قوی در موضوعات راهبردی فناوری اطلاعات و نیز معماری امنیت از خود به نمایش گذارند. همچنین متقاضی این شغل باید مهارت بالایی در تعامل و ارتباطات با افراد باشد، چرا که سازماندهی و مدیریت تیم امنیت و نیز ارتباط با دیگر مدیران سازمان و تعامل با نهادهای دیگر خارج از سازمان از وظایف این جایگاه است.

براساس پیش­بینی PayScale ، میانگین درآمد یک CISO در سال ۲۰۱۵ حدود ۱۳۱ هزار دلار است. در این جایگاه می­توان حداقل انتظار درآمد ۸۱ هزار دلار در سال را داشت. این مبلغ برای سازمان­های بزرگ می­تواند تا ۲۴۰ هزار دلار در سال نیز افزایش یابد.

۲-    معمار امنیت (Security Architect)

معمار امنیت یک کارشناس ارشد است که مسئول ایجاد و نگهداری زیرساخت فنی امنیت سازمان است. این جایگاه نیازمند دارا بودن یک تصویر جامع از زیرساخت فناوری و اطلاعاتی سازمان است، تا فرد را قادر به توسعه و تست ساختارهای امنیتی برای حفاظت از زیرساخت فوق نماید. از معمار امنیت انتظار می­رود که در حیطه­های متنوعی همچون ایزو ۲۷۰۰۱ و ۲۷۰۰۲، ITIL ، COBIT ، روال­های ارزیابی مخاطرات، سیستم عامل­ها و کنترل­های امنیت پیرامونی مهارت داشته باشد.

بر اساس پیش­بینی PayScale، حداقل دریافتی سالانه معمار امنیت حدود ۸۴ هزار دلار، به طور متوسط حدود ۱۰۹ هزار دلار و حداکثر ۱۶۰ هزار دلار است.

۳-    سرپرست امنیت (Security Director)

سرپرست امنیت نیز یک کارمند ارشد است که وظیفه نظارت بر پیاده­ سازی کلیه کنترلهای امنیت فناوری اطلاعات را بر عهده دارد. به بیان دقیق­تر، سرپرست امنیت مسئول طراحی، مدیریت و تخصیص منابع به برنامه­های امنیتی در داخل واحد امنیت است، از جمله: ایجاد برنامه­ های آگاهی رسانی، انطباق با استانداردها، تعامل با کارمندان واحدهای دیگر و نیز کمک به اجرای روال­های قانونی در صورت رخداد یک حادثه امنیتی.

از سرپرست امنیت انتظار می­رود که مهارت­های CISO را در زمینه دانش راهبردی فناوری اطلاعات، معماری سازمان و دیگر مفاهیم امنیت داشته باشد. در حقیقت، سرپرست امنیت مستقیماً به CISO پاسخگو است و به طور کلی در سازمان­های کوچک نقش CISO را ایفا می­کند.

۴-    مدیر امنیت (Security Manager)

مدیر امنیت یک کارمند میانی است که مدیریت خط مشی های امنیتی سازمان را بر عهده دارد. یک مدیر امنیت موفق باید توان ارتباط موثر با افراد و رهبری داشته باشد. کاندیداهای این جایگاه باید خود را برای تدوین و اجرای استراتژی­های ابلاغ شده از سرپرست یا مدیر ارشد امنیت آماده کنند.

مدیر امنیت همچنین موظف است ابزارهای جدید امنیت را تست و پیاده­ سازی کند، برنامه­ های آگاهی­ رسانی را راهبری کرده و بودجه واحد و زمانبندی افراد را مدیریت نماید. لازم است این فرد دارای پیش­ زمینه کافی برنامه نویسی بوده و با معماری سازمان و موضوعات راهبردی فناوری اطلاعات آشنا باشد. با این حال عموماً  وجود دانش عمیق در این زمینه­ ها الزامی نیست.

دستمزد سالانه این جایگاه به طور میانگین ۱۰۲ هزار دلار بوده و میزان حداقل و حداکثر دستمزد مورد انتظار این شغل به ترتیب ۷۱ هزار و ۱۴۳ هزار دلار (در سازمان­های بزرگ) پیش­ بینی می­شود.

۵-    مهندس امنیت (Security Engineer)

مهندس امنیت یک کارشناس میانی است که وظیفه ایجاد و راهبری راه حل­های امنیت فناوری اطلاعات را بر عهده دارد. پیکربندی فایروال، تست ابزارهای جدید، بررسی حوادث و گزارش­دهی به مدیر امنیت از جمله وظایف این جایگاه است. کسانی که مایل به تصدی این شغل هستند باید پیش­زمینه قوی در زمینه ارزیابی آسیب پذیری و تست نفوذ، فناوری مجازی سازی، فناوری­ های کاربردی و رمزنگاری، به علاوه پروتکل­های شبکه  داشته باشند. هر قدر گستره ابزارهایی که مهندس امنیت با آنها آشنا است بیشتر باشد، بیشتر می­تواند به سازمان در رفع مشکلات امنیت کمک کند.

دستمزد میانگین مهندس امنیت سالانه حدود ۸۷ هزار دلار بر اساس پیش­ بینی PayScale در سال ۲۰۱۵ است. حداقل دریافتی مورد انتظار برای این شغل می­تواند ۵۷ هزار دلار و حداکثر ۱۲۸ هزار دلار در سال باشد.

۶-    کارشناس پاسخ به حوادث (Incident Responder)

این کارشناس مسئول رسیدگی به حوادث، تهدیدها و آسیب پذیری­ها است. افراد متقاضی این جایگاه باید برای پایش فعال شبکه سازمان، اجرای تست نفوذ، ممیزی امنیت، تحلیل بدافزار و مهندسی معکوس آن، در راستای جلوگیری از رخداد مجدد حوادث آمادگی و توانایی داشته باشند.

کارشناس مسئول پاسخ به حوادث عموماً عضو تیم گوهر (CSIRT) بوده و به مدیر گوهر پاسخگو است. داشتن مهارت­ در زمینه­های گسترده­ای چون امنیت برنامه­ های مبتنی بر وب و نرم افزارهای فارنزیک الزامی است.

میزان دستمزد میانگین برای این جایگاه بین ۷۰ تا ۹۰ هزار دلار سالانه است. به طور کلی متقاضی این جایگاه می­تواند انتظار دریافتی سالانه بین ۵۰ تا ۱۵۰ هزار دلار را داشته باشد.

۷-    مشاور امنیت (Security Consultant)

مشاور امنیت یک کارشناس بیرون از سازمان است که به سازمان برای اجرای راه حل­های امنیتی کمک می­کند. کسانی که متقاضی جایگاه مشاور امنیت هستند باید طیف گسترده­ای از استانداردها، سیستم­ها و پروتکل­های امنیتی را بشناسد. مشاور امنیت برای موفقیت باید تصویر جامعی از سازمان مربوطه داشته باشد، با مدیران ارشد سازمان تعامل داشته و خط­ مشی­های کسب و کار سازمان را به خوبی بشناسد. در این صورت مشاور می­تواند ابزارها و راه حل­هایی که مناسب وضع موجود سازمان است را پیاده­سازی نماید. همچنین مشاور باید بتواند در صورت نیاز این راه حل­ها را تست و به روز رسانی کند. بر اساس پیش بینی PayScale ، مشاور امنیت می­تواند به طور میانگین ۸۱ هزار دلار درآمد در سال ۲۰۱۵ داشته باشد. حداقل این درآمد ۴۶ هزار دلار و حداکثر مورد انتظار، ۱۴۷ هزار دلار است.

۸-    کارشناس فارنزیک (Computer Forensics Expert)

این کارشناس مسئول تحلیل شواهد جمع­آوری شده از کامپیوترها، شبکه و تجهیزات ذخیره سازی به منظور بازرسی جرائم و حوادث کامپیوتری است. این افراد عموماً همکاری تنگاتنگ با مراجع قانونی داشته و شواهد و گزارش­های فنی را تهیه و ارائه کرده و نیز آموزش­های حقوقی در زمینه امنیت اطلاعات ارائه می­ دهند. بیشترین موقعیت شغلی برای این افراد در سازمان­های حقوقی و حاکمیتی فراهم است.

میزان دستمزد میانگین برای این جایگاه حدود ۷۷ هزار دلار سالیانه بوده و از حداقل ۵۶ هزار دلار تا ۱۱۹ هزار دلار با در نظر گرفتن کمیسیون­ها و اضافه کار در نوسان است.

۹-    تحلیل­گر بدافزار (Malware  Analyst)

تحلیل گر بدافزار به سازمان در زمینه شناخت انواع بدافزارها کمک می­کند. این افراد با کارشناسان فارنزیک ارتباط کاری نزدیکی داشته و به خصوص هنگام حوادث امنیتی برای شناسایی بدافزارها تلاش می­کنند. از جمله کارهای این افراد می­توان به تحلیل استاتیک و پویای کد برنامه ها برای شناسایی امضای بدافزارها و توسعه ابزارهای ضد بدافزار اشاره کرد.

دستمزد میانگین این جایگاه شغلی سالانه ۷۵ هزار دلار بوده و از حداقل ۴۸ هزار دلار تا ۱۰۰ هزار دلار قابل تغییر است.

۱۰- متخصص امنیت (Security Specialist)

متخصص امنیت یک کارشناس سطح پایین تا سطح میانی است که مسئول انجام کارهای مختلفی در زمینه امنیت سازمان می­باشد. اکثراً متخصص امنیت موظف است نیازمندی های امنیتی سیستم های سازمان را تحلیل کند، ابزارهای امنیتی را نصب و پیکربندی کرده و ارزیابی آسیب پذیری انجام دهد. همچنین باید به کارمندان سازمان آموزش­های لازم را نیز ارائه کند. افراد متقاضی این جایگاه باید دارای دانش مناسبی در زمینه نفوذ، شبکه، برنامه نویسی و ابزارهایی مانند SIEM داشته باشند.

دستمزد سالانه متخصص امنیت به طور میانگین حدود ۷۴ هزار دلار بر اساس پیش بینی PayScale در سال ۲۰۱۵ بوده و می­تواند بین ۴۳ هزار تا ۱۱۳ هزار دلار در نوسان باشد.

* این یادداشت از وب سایت شرکت امنیتی Tripwire انتخاب و ترجمه شده است.

اشتراک گذاری

مدیر ارشد امنیت اطلاعات (CISO): نیازها و مهارت ها *

همانگونه که در شماره های پیشین اشاره کردیم، حاکمیت امنیت اطلاعات مستلزم استقرار سازمان امنیت در سطح بانک است. این سازمان در لایه مدیریت ارشد شامل یک کمیته راهبردی است که نقش سیاست‏گذاری و مدیریت کلان امنیت را برعهده دارد. اما امور اجرایی و نظارت فنی امنیت باید بر عهده یک واحد مستقل، ترجیحاً در زیرمجموعه مدیریت فناوری اطلاعات سازمان باشد. این واحد به موازات دیگر واحدهای اجرایی فناوری اطلاعات مانند سخت افزار، شبکه و نرم‏ افزار قرار می­گیرد تا منحصراً به ایفای نقش طراحی، اجرا و نظارت در حوزه امنیت اطلاعات بپردازد. مدیریت واحد امنیت اطلاعات بر عهده مسئول ارشد امنیت اطلاعات است که بسته به ساختار سازمانی موجود می­ تواند به عنوان معاون یا مدیر امنیت اطلاعات نیز شناخته شود. این نقش سازمانی را در اصطلاح Chief Information Security Officer یا CISO می­ نامند. CISO مدیر واحد امنیت و مسئول هماهنگی و راهبری امور فنی امنیت به نمایندگی از مدیریت ارشد سازمان و کمیته راهبردی امنیت است. امروزه CISO یکی از مهم­ترین مشاغل مورد نیاز در بازار فناوری اطلاعات دنیا است و در حوزه امنیت نیز یکی از جذاب­ترین و پردرآمدترین مشاغل به حساب می­آید، البته گزارش­های نشان می­دهند که یافتن افراد مناسب برای این جایگاه دشوار بوده و نگهداشتن آنها برای سازمان­ها دشوارتر است.

توجه به جایگاه موضوع امنیت در لایه­ های  فناوری اطلاعات و فراتر از آن در لایه­ های سازمان تا حدودی به درک اهمیت و تفاوت جایگاه CISO کمک می­کند.  فرد مورد نظر در این شغل باید دارای پیش زمینه مناسب و توانایی­ های فنی و مدیریتی متنوعی باشد تا بتواند از یک طرف تیم کارشناسی امنیت را مدیریت کند و از طرف دیگر ارتباط مناسبی با واحدهای مرتبط برقرار نماید. همچنین باید قابلیت پیشبرد اهداف و برنامه های امنیتی در ارتباط با مدیریت ارشد سازمان را هم داشته باشد.

مهم ترین مهارت­های مورد نیاز برای جایگاه CISOبانک عبارتند از:

  • توانایی تعامل با همه رده ­های سازمان: اجرای وظایف واحد امنیت می­ تواند منجر به ایجاد اصطکاک بین این واحد و بقیه بخش­های بانک به خصوص در زیرمجموعه فناوری اطلاعات شود. در نتیجه مدیر امنیت برای کاهش این مشکلات باید توانایی تفاهم و تعامل با همه سطوح سازمان را داشته باشد. CISO باید بتواند با ایجاد ارتباط مثبت با مدیران دیگر بخش­ها اثر دیدگاه منفی رایج در مورد امنیت را کاهش دهد. قابلیت گفتگو از پایین ترین سطح کارشناسی تا بالاترین سطح مدیریتی از امتیازات ویژه یک CISO موفق است.
  • شناخت کسب و کار: CISO بانک باید با کسب و کار بانک آشنایی داشته باشد تا بتواند مخاطرات خاص این کسب و کار را درک کرده و متناسب با آنها ارائه راه حل نماید. انواع سرویس­هایی که توسط بانک ارائه می­شود، ویژگی­ های برنامه های کاربردی خاص بانک­ها، نیازمندی­های امنیتی مشتریان، انواع نفوذگران و نفوذهای معمول به سیستم­های بانکی از جمله این موارد هستند.
  • عدم تقابل با کسب و کار: واقعیت این است که امنیت می­تواند به راحتی در تقابل با کسب و کار قرار گیرد. امنیت را نباید در خلأ و بدون در نظر گرفتن زمینه کسب و کار در نظر بگیریم. این نقطه ضعف به وضوح در بدنه کارشناسی تیم­های امنیت وجود دارد و تعدیل این نگاه بر عهده CISO است. در واقع CISO بانک باید به جای تمرکز صرف بر ممنوعیت و محدود سازی، امنیت را به فاکتوری برای توانمند سازی کسب و کار تبدیل کند.
  • توانایی حل مسأله:موضوعات امنیتی مسائلی واقعی با پارامترهای تأثیرگذار متعدد هستند. گاه این مسائل موضوعاتی صرفاً فنی و نیازمند آشنایی با انواع فناوری­ ها و قابلیت استفاده مناسب از آنها است. این مسائل گاه دارای ابعاد غیرفنی هم هستند که حل آنها نیاز به برخورداری از نگاه کلان و استراتژیک است. CISO باید توانایی طراحی راه حل، بررسی جایگزین­ها، تحلیل هزینه ـ فایده و اجرای راه حل­ها را داشته باشد.
  • دانش و تجربه: برخورداری از دانش آکادمیک امنیت و گذراندن دوره­های آموزشی تخصصی امنیتی پیش­نیاز حضور در جایگاه CISO است. اما به همین اندازه تجربه عملیاتی در مدیریت پروژه­ های راهبری، ارزیابی و امن­ سازی سیستم­ها و آشنایی با کسب و کار سازمان نیز اهمیت خاص خود را دارد.
  • آشنایی با برنامه ریزی مالی: بودجه یکی از فاکتورهای حیاتی در امور امنیت و از مشکلات معمول این واحدها است. CISO باید به ضوابط و روش­های برنامه ریزی مالی آشنا باشد و بتواند از بودجه امنیت سازمان دفاع کند.

همانطور که ذکر شد فاکتورهای فوق برای فرد متصدی جایگاه CISO از اهمیت بالایی برخوردار هستند. با توجه به نیاز بانک­ها و بسیاری دیگر از سازمان­ها به ایجاد سازمان امنیت و خاص بودن مهارت­های CISO، امروزه بازار امنیت جهانی با تقاضای روزافزون از طرف کارفرمایان برای استخدام در این جایگاه روبرو است و این روند در ایران هم به تدریج در حال شکل گیری است.

* این یادداشت در شماره ۵۷ نشریه بانکداری الکترونیک چاپ شده است. (دنلود فایل)

اشتراک گذاری