مدیریت ریسک، مهارتی لازم برای هر CISO
سال گذشته وقتی به بازخوردهای مربوط به مشکلات و محوریتِ صنعت امنیت سایبری نگاه میکردیم هم احساس خوبی داشتیم و هم بد. یک سال بعد، مشخص شد که نتایج بررسیهای جدیدمان حتی از قبلی هم جالبتر از آب درآمده. نام گزارش کامل «امنیت سایبری از دریچهی نگاهِ مدیر ارشد امنیت اطلاعات: چشماندازهایی بر این سِمَت» بود که متخصصینِ ما آن را با مشارکت 451 پاسخدهنده انجام دادند. در ادامه با ما همراه باشید تا مبسوط به این گزارش بپردازیم.
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با اولین نگاه به نتایج این دو تحقیق در طول این دو سال چنین حسی به آدم دست میدهد: امنیت اطلاعات و به طور خاص نقش مدیر ارشد امنیت اطلاعات (CISO) دارد روز به روز نزد کسب و کارها اهمیت بیشتری پیدا میکند- دستکم این را حدود 300 متخصص حوزهی امنیت اطلاعات گروه ما تأیید میکنند. خوب این نشانهی خوبیست. همچنین اینکه شرکتکنندگان پژوهشی بیش از قبل، سِمَتهای «مدیریت ریسک» و سایر مهارتهای کسب و کار را از میان پُستهای مهم دیگر فهرست میکنند را نیز به فال نیک میگیریم.
با این حال برخی هنوز هم میگویند مهارتهای فنی و اشراف روی سیستمهای آیتیِ شرکت از جمله مهارتهای کلیدی هم در حیطهی کاری و هم برای پیشرفتِ آتی به حساب میآید. گرچه دانش فنی، برای هر مدیر ارشد امنیت اطلاعات، رکنی اساسی است (و گرچه CISOها باید در مواجهه با فناوریهای جدید با احتیاط و ملاحظه رفتار کنند) اما این صنعت میبایست این را هم در نظر داشته باشد که سیستمهای مدرن آیتی (حتی به طور بالقوه از حیث بخش تکنیکی) برای CISOها بسیار پیچیدهتر از اینها هستند.
افزون بر این، سیستمهای اطلاعاتی دارند همینطور پیچیدهتر نیز میشوند (که خیلی از شرکتکنندگانِ تحقیقات انتظارش را دارند). بنابراین، مهارتهای فنی یک CISO در عین حال که مهمند اما باز، مهارتهای دیگری چون مدیریت ریسک، مدیریت مؤثر تیم و ارتباطات کسب و کار مقدمترند. امروزه پرسنل یک کسب و کار حرف اول را میزند.
مردم را درک کنید نه سیستمها را
در حقیقت، هر دو سیستمهای آیتی و فناوریهای امنیتی اکنون آنقدری پیچیده هستند که دست افراد حرفهایِ بسیار متخصص را برای اتخاذ تصمیماتی که رگ حیاتی شرکت است باز بگذارند. البته، این تغییر باعث میشود اعتماد به تیم حتی از قبل هم اهمیت بیشتری پیدا کند. از طرفی، مدیر دپارتمان امنیت اطلاعات باید بتواند به متخصصینِ تیمش اعتماد کند و از طرفی دیگر آنها نیز باید به قضاوتها و تصمیمهای CISO اعتماد کنند- و کورکورانه یا بدون توانایی بیان نظرات خود آنها را بپذیرند. البته این رابطه باید مبتنی بر دغدغهای مشترک و با احترام متقابل صورت گیرد.
به نقل از شرکتکنندگان در تحقیق، تقبلِ خرید سیستمها که قیمتشان پیوسته بالا میرود برخیاوقات آسانتر از استخدام متخصصین امنیت اطلاعات بیشتر است. شاید خریدن سیستمهای جدید و پرزرق و برق ایدهی بسیار هیجانانگیزی باشد اما این خیلی مهمتر است که بتوان مهارتها و شایستگیهای کلیدی را که برای متخصصین درونسازمانی (و آنهایی که میشود برونسپاری کرد) از واجبات است، شناسایی کرد. در حقیقت، با توجه به کمبود متخصصین در بازار، به گمان ما خوب است اگر برونسپاری را به چشم یک فرصت برای ارتقای قابلیتهای دپارتمان دیده و به نیازهای کسب و کار واکنشهای سریعتری نشان دهیم.
از واکنش به رخداد تا مدیریت ریسک
هرچند نقش CISO در نظر سهامداران– بعنوان مثال هیئت مدیره یا مدیر اجرایی-، دیگر پررنگ شده و اهمیت خاصی پیدا کرده است؛ اما مثل سابق هنوز هم وقتی رخدادی صورت میگیرد تماس میگیرند و درخواست کمک میکنند. (خوشبختانه این بیشتر برای رقبا یا همتاهای صنعتی پیش میآید. با این وجود، نشان میدهد بسیاری از شرکتها امنیت اطلاعات را به عنوان ابزاری برای مدیریت ریسک نمیدانند). و وقتی ازشان میپرسند مدیریت، کارکردِ امنیت سایبری را با چه شاقُلی میسنجد، خیلی از CISOها همچنان تعداد رخدادها یا زمان واکنش به رخداد را شاخصهای کلیدی میدانند. البته که اینها مؤلفههای مهمیاند اما در مفهوم جامعهی امروزیِ سایبریِ کسپرسکی، یک شرکتِ بخوبی محافظتشده آنی نیست که صرفاً تعداد حملات را پایین میآورد و یا به سرعت به رخدادهای واکنش نشان میدهد؛ بلکه آنیست که کسب و کارش با وجود چنین رخدادهایی به طور موفقیتآمیزی پیشرفت کند.
از اینها گذشته، ریسکهای قابلتحمل و خسرانهایی که پذیرششان آسانتر از سایر خسرانهاست از شرکتی به شرکت دیگر متفاوت است. برخیاوقات ارزشش را دارد که محض رونق بخشیدن به کسب و کار کمی جوانب حفاظتی را شُلتر گرفت. در برخی مواقع هم شاید این کار، گزینهی خوبی نباشد. تعداد رخدادها نمیتواند سنگ محک دقیقی برای عملکرد امنیت اطلاعات باشد. نحوهی تأثیر اقدامات امنیت اطلاعات بر سرعت پردازش امور و هزینهها هم حائز اهمیت میباشد. بنابراین به زعم ما مدیران ارشد امنیت اطلاعات باید اول از همه بتوانند به جای تمرکز بیش از حد روی حفاظتِ رخدادها به حد کافی ریسکها را مدیریت نموده و سیستمهای امنیت اطلاعات را به طور بینقصی سازگار با شرکتها و پروسههای تجاری خود طراحی نمایند.
تعامل بیشتر با مشاورین حقوقی
چیز دیگری که از میان پاسخهای شرکتکنندگان در تحقیق توجه ما را به خود جلب کرد، اهمیت تعامل با سایر دپارتمانهای داخل شرکت بود. به مشاورین حقوقی باید خیلی بیشتر از اینها اولویت داده شود. امروزه، پیچیدگیهای رو به فزونیِ سیستمهای آیتی و ارتطابات بینابینیشان با سرویسهای خارجی از طرفی و قوانین بینالمللی از طرفی دیگر به این معناست که نمیشود پیامدهای قانونیای که تصمیمات متخصصین امنیت اطلاعات میتواند داشته باشد نادیده گرفت.
پاسخدهندگانِ پژوهش تماس با مشاورین حقوقی را – بعد از مدیران مالی، هیئت مدیره و همکاران دپارتمان آیتی- در رتبهی چهارم قرار دادند. به عقیدهی ما تعامل با مشاورین حقوقی میبایست دستکم بر تماس با مدیران مالی مقدم باشد. تنها زمانی غیر این معقول است که امنیت اطلاعاتی را به چشم ابزاری برای مدیریت کسب و کار ببینید.