جایگاه و وظایف مدیر ارشد امنیت اطلاعات (CISO)

[این یادداشت در شماره ۷۲ ماهنامه بانکداری الکترونیک منتشر شده است. دانلود فایل]

مدیر ارشد امنیت اطلاعات (CISO) [1] بالاترین مقام اجرایی در حوزه امنیت سازمان است که مدیریت و راهبری کلیه مسائل فنی و اجرایی امنیت را برعهده دارد. آمارهای جهانی نشان از رشد تقاضا برای به خدمت گرفتن افراد در جایگاه CISO داشته و پیش بینی می­شود که این رشد در چند سال آینده نیز ادامه داشته باشد.

به طور کلی CISO یک شغل تمام وقت با اختیارات کامل در حوزه امنیت فناوری و نیز مدیریت ریسک­های امنیتی و مسائل اجرایی امنیت است. در برخی سازمان­ها، CISO مستقیماً به بالاترین مقام اجرایی یعنی مدیر عامل یا پاسخ می­دهد. در برخی دیگر از سازمان­ها این جایگاه می­تواند ذیل CTO یا CIO تعریف شود. طبعاً یک فرمول ثابت برای تعیین جایگاه CISO وجود ندارد و هر سازمانی بر اساس ماهیت کسب و کار، اندازه سازمان و چارت سازمانی فعلی خود باید در این خصوص تصمیم گیری کند.

یک پرسش اساسی این است که بر اساس استاندارد ایزو ۲۷۰۰۱ ، جایگاه و شرح وظایف CISO کدام است؟ شاید در نگاه اول عجیب به نظر برسد، اما باید اذعان کرد که ایزو ۲۷۰۰۱ هیچ الزامی برای وجود جایگاه CISO در چارت سازمانی در نظر نگرفته است. اما دلیل این موضوع چیست؟ همواره تأکید شده که این استاندارد برای تمام سازمان­ها مستقل از ماهیت، اندازه و دیگر ویژگی­های کسب و کار تدوین شده است. در نتیجه، منطقی نیست که یک  سازمان­ کوچک را مجبور به ایجاد یک جایگاه مستقل در سطح معاونت یا مدیریت ارشد به عنوان CISO کرد.

در سازمان­های کوچک، نقش CISO را باید به یکی از مدیران موجود در چارت سازمانی تخصیص داد. به عنوان مثال، برای یک سازمان ۱۰ تا ۱۰۰ نفری، راهبر شبکه یا مدیر فناوری اطلاعات می­تواند این نقش را در کنار دیگر وظایف خود ایفا کند. اما اگر سازمان شما صدها یا چندهزار پرسنل دارد، به طور طبیعی باید فردی به صورت تمام وقت و اختصاصی به مدیریت امنیت بپردازد.

وظایف عمومی CISO

از آنجا که ایزو ۲۷۰۰۱ توصیه صریحی برای ایجاد جایگاه CISO ندارد، این بر عهده خود سازمان است که چگونه و تحت چه جایگاهی به مدیریت امنیت اطلاعات بپردازد. با این حال، می­توان بر اساس الزامات مختلف ایزو ۲۷۰۰۱، وظایف CISO را در عنوان­های زیر دسته بندی کرد:

  • سازگاری و تطبیق
    • تعیین و مستندسازی ذینفعان امنیت و انتظارات آنها
    • برقراری ارتباط دائمی با ارگان­های حاکمیتی و ذینفعان خاص
    • ایجاد هماهنگی در اجرای الزامات حریم خصوصی
  • مستندسازی
    • پیشنهاد الگوی مستندات اصلی ایزو ۲۷۰۰۱
    • مسئولیت بازبینی و بروزرسانی دائمی مستندات
  • مدیریت مخاطرات
    • تدوین و آموزش روش ارزیابی ریسک
    • راهبری فرآیند ارزیابی ریسک
    • پیشنهاد کنترل­های امنیتی
    • زمانبندی پیاده سازی کنترل­های امنیتی
  • مدیریت منابع انسانی
    • طرحریزی آموزش و فرهنگ سازی امنیت
    • پیشنهاد نحوه برخورد با موارد نقض امنیت توسط پرسنل
    • انجام بررسی پیشینه افراد برای استخدام
  • ارتباط با مدیریت ارشد
    • تعامل با مدیران ارشد در خصوص آثار مثبت امنیت
    • پیشنهاد و تدوین اهداف امنیت
    • گزارش سنجش­ها و اندازه گیری­ها
    • پیشنهاد اقدامات اصلاحی و بهبودها در حوزه امنیت
    • پیشنهاد بودجه امنیت
    • هشدار به مدیران ارشد درباره مهم­ترین ریسک­ها
    • مشاوره به مدیران ارشد درباره کلیه موضوعات امنیت
  • مدیریت دارایی­ها
    • نگهداری سیاهه (لیست) دارایی­های حیاتی سازمان
    • راهبری شیوه امحاء امن دارایی­ها
  • مدیریت حوادث امنیتی
    • طراحی و اجرای ملزومات جمع آوری حوادث امنیتی
    • راهبری پاسخ به حوادث
    • جمع­آوری شواهد برای ارائه به مراجع قانونی
    • تحلیل حوادث
  • تداوم کسب و کار
    • راهبردی طرح تداوم کسب و کار
    • راهبری تست­ها و مانورها
  • موضوعات فنی
    • تایید روش محافظت از دارایی­ها
    • پیشنهاد روش­های احراز هویت، محافظت از اطلاعات، رمزنگاری و غیره
    • پیشنهاد قواعد امنیتی دورکاری
    • تدوین اصول توسعه امن سامانه­ها

ویژگی­های یک کاندیدای مناسب برای CISO

بدون شک تسلط بر مفاهیم فنی و تکنیکی امنیت و دارا بودن سوابق کاری لازم برای فردی که در این جایگاه قرار می­گیرد ضروری است. با این حال، معیارهای فنی برای CISO کافی نیست. حتی می­توان گفت که شناخت و تسلط بر فرآیندها و ماهیت کسب و کار سازمان از اهمیت بیشتری برخواردار است. مهم­ترین کار CISO در یک جمله این است که ذهنیت و فرهنگ امنیت مبتنی بر مفهوم ریسک را در تمام لایه­های سازمان ایجاد و تقویت کند. این فرد باید بتواند پیچیدگی­ها و چالش­های فنی امنیت را در قالب مدیریت ریسک در سطح مدیریت سازمان حل و فصل کند. این قابلیت علاوه بر دانش فنی مناسب، نیاز به دانش مدیریت و توانایی گفتگو و تعامل در همه لایه­های سازمان دارد.  در واقع CISO باید قابلیت تفکر استراتژیک، رهبری، برنامه ریزی و بودجه را در کنار تمام قابلیت های فنی داشته باشد.

[۱] Chief Information Security Officer

اشتراک گذاری

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.