در سالهای اخیر با توجه به رشد و توسعه چشم گیر فناوری اطلاعات از یک سو و حفظ امنیت این اطلاعات از سویی دیگر، جایگاه شغلی مدیر ارشد امنیت اطلاعات مورد توجه جدی قرار گرفته است. امروزه تداوم کسبوکارها ارتباط مستقیمی با موفقیت امنیت اطلاعات دارد. بنابراین مدیران ارشد امنیت اطلاعات باید ویژگیهای خاصی داشته باشند که با فرایندها و سازوکارهای امنیت اطلاعات همخوانی داشته و بر مبنای نیازها و الزامات مختلف کسبوکارشان رفتار کنند.
در این مطلب از فراست، بعضی از مهمترین مهارتهایی که مدیران ارشد امنیت اطلاعات باید داشته باشند و همچنین نحوه نایل به شدن آنها را بررسی میکنیم.
یک مدیر ارشد امنیت اطلاعات امروزی با زبان کسبوکاری صحبت میکند.
در گذشته معمولاً مدیرعامل سازمان از مدیر ارشد امنیت اطلاعات انتظار داشت که فقط اقدامات فنی و محرمانه را برای حفاظت از سازمان انجام دهد. Dave Stapleton مدیر ارشد امنیت اطلاعات شرکت CyberGRX میگوید: «اکنون مدیران ارشد امنیت اطلاعات نمیتوانند صرفاً یک کارمند فنی باشند بلکه باید کسبوکار و اهداف سازمان شان را درک کرده و نحوه پشتیبانی از این اهداف را تشخیص دهند. آنها باید اطلاعات کاربردی لازم را در اختیار مدیران قرار داده و فرهنگ امنیتی را در کل سازمان ایجاد و گسترش دهند».
Stapleton همچنین میگوید: «اگر مدیران ارشد امنیت اطلاعات، اهداف اصلی کسبوکارشان را به خوبی درک نکرده یا نتوانند تأثیر امنیت بر این اهداف را به درستی تشریح کنند، تلاشهایشان اثر چندانی نخواهند داشت. گاهی وقت ها این ناتوانی در برقراری ارتباط میتواند منجر به تصمیمگیریهای ضعیف توسط مدیر ارشد امنیت اطلاعات یا رهبران سازمان شود که تأثیر منفی بر امنیت سازمان خواهد داشت».
Stapleton معتقد است مدیران ارشد امنیت اطلاعات، مهارتهای ارتباطی کسبوکار محور را با انجام تمرینهای ویژه میتوانند در خودشان پرورش دهند. او میگوید: «همه مدیران ارشد امنیت اطلاعات باید فرصتهایی برای بیان پیام خودشان به مدیرعامل سازمان پیدا کنند؛ حتی اگر سازمان از آنها نظری درخواست نکرده یا به نظرشان اهمیت نمیدهد. تمامی این فرصتها از اهمیت زیادی برخوردار بوده و امکان برقراری ارتباط مؤثر را فراهم میکنند».
Stapleton توصیه میکند که: «مدیران ارشد امنیت اطلاعات بایستی به جز خبرهای فنی و امنیت، مطالب رسانه های خبری معروف همچون وال استریت ژورنال (The Wall Street Journal)، فوربز (Forbes) و بلومبرگ (Bloomberg) را هم مطالعه کنند».
نقش مدیران ارشد امنیت اطلاعات به عنوان یک همکار
مدیران ارشد امنیت اطلاعات امروزی باید علاوه بر قابلیت صحبت کردن به زبان کسبوکار، توانایی برقراری ارتباط در سطوح مختلف سازمان و حفظ آن را داشته باشند. Ian Glover مدیرعامل شرکت CREST که در زمینه صدور گواهینامه و انطباق امنیت اطلاعات به صورت بین المللی فعالیت میکند، در این خصوص میگوید: «بخش امنیت سایبری یک سازمان در صورتی میتواند فعالیت مؤثری داشته باشد که از سوی سایر بخشهای کسبوکار مثل بخش فناوری اطلاعات، بخش ارتباطات، بازرسیهای داخلی، منابع انسانی، بازاریابی و حتی طرحهای تغییر فرهنگ مورد حمایت و پشتیبانی قرار گیرد».
Glover میگوید مدیران ارشد امنیت اطلاعات باید حوزههایی از کسبوکار که امکان جلب پشتیبانی برای آنها وجود دارد را تشخیص داده و تلاش کنند روابط مبتنی بر اعتماد، همدلی و شفافیت را ایجاد کنند.
Mark Nicholls مدیر ارشد امنیت اطلاعات شرکت Chime Group هم دیدگاه مشابهی داشته و بر اهمیت نقش افراد سازمان در هر راهکار امنیتی تأکید میکند. او میگوید: «بدون وجود روابط قوی در یک کسبوکار، اثربخشی عملیات های امنیتی بسیار سخت خواهد بود. همه اعضای تیم امنیت از جمله مدیر ارشد امنیت اطلاعات باید با واحدهای مختلف کسبوکار همکاری کرده تا اهداف سازمان و نقش امنیت در دستیابی به این اهداف برای هر یک از کارکنان سازمان به خوبی تفهیم شود».
وجود فرهنگ عاری از سرزنش که موفقیتها را ستایش کرده و به رفتارهای خوب پاداش میدهد، به برقراری چنین روابطی کمک میکند. Nicholls میگوید: «برقراری ارتباط با یک کسبوکار، یعنی کسبوکار مدنظر از مدیران ارشد امنیت اطلاعات درخواست کمک کرده و آنها را در اولین مراحل پروژه مشارکت میدهد. از این رو به جای تلاش برای پیادهسازی امنیت پس از طراحی، اصول امنیتی از همان مرحله طراحی در نظر گرفته میشوند».
یک مدیر ارشد امنیت اطلاعات از نظر احساسی باهوش است.
بنا بر گفته های Stephen Khan یکی از مدیران شرکت ClubCISO: «مدیران ارشد امنیت اطلاعات باید هوش احساسی داشته باشند. چنین ویژگی هم باعث همدلی با سایر کارکنان شده و هم خودآگاهی را افزایش میدهد». او میگوید: «نیاز به مدیریت یک تیم در محیطهای پرفشار امروزی باعث شده که یکی از مهمترین دغدغههای ما رفاه مدیران بخشهای امنیت و پشتیبانی از آنها باشد. وجود همدلی و درک نگرانیهای آنها و برقراری ارتباط با این افراد منجر به ایجاد پیامدهای مثبت بیشتری خواهد شد».
به طور مشابه به رسمیت شناختن و درک خلأهای اطلاعاتی و جانبداریها جزو مهمترین ویژگیهای مدیران امنیت امروزی محسوب می شوند. Kahn میگوید: «آگاهی از این موضوع به ما اطمینان میدهد که قادر به ایجاد تیمی متنوع و فراگیر بوده و افرادی را استخدام کنیم که مکمل دانش ما و پوشش دهنده نقاط ضعف مان هستند. علاوه بر این با توجه به فشار ناشی از نقش مدیران ارشد امنیت اطلاعات، مراقبت از خود و توانایی برقراری تعادل بین زندگی، خانواده، کار و توجه به خود مانع از خستگی و دلزدگی از کار (که همواره جزو مشکلات مهم مدیران امنیت در سطح جهان است) میشود».
یک مدیر ارشد امنیت اطلاعات مدرن، تمرکز راهبردی دارد.
بر اساس گفته های Emilian Papadopoulos مدیر شرکت مشاوره امنیتی Good Harbor: «یکی از مهمترین ویژگیهای مدیران ارشد امنیت اطلاعات امروزی که اغلب مورد توجه قرار نمیگیرد، تمرکز راهبردی است». او میگوید: «معمولاً عوامل مختلفی از جمله نیاز به اطلاع از جدیدترین روشها، فنون و محصولات، وجود فناوریهایی که همواره به روزرسانی میشوند، تغییر در محیطهای کاری و هجوم پرسشهای مطرح شده از سمت مدیران عامل، نهادهای بالاسری و مشتریان باعث بر هم خوردن تمرکز مدیران ارشد امنیت اطلاعات از این هدف میشود. عموماً مدیران ارشد امنیت اطلاعات به دلیل ماهیت خاص شغلی شان باید به صورت شبانهروزی در دسترس بوده و امکان برقراری تماس با آنها وجود داشته باشد».
از این رو طبق گفته Papadopoulos: «تمرکز بر فرصتهای راهبردی به جای واکنش نشان دادن به اطلاعات داخلی، یکی از چالشهای مهم مدیران ارشد امنیت اطلاعات امروزی است». با این حال مدیرانی هم هستند که به روشهای مختلف همچون طراحی یک راهکار مستندسازی شده و مختصر، تهیه فهرست کوتاهی از فرصتها با کسب رضایت طرفهای ذینفع و ایجاد اولویتهای مشترک (که به جز اولویتهای خودشان به سلایق و اولویتهای دیگران نیز توجه کنند) و گفتگو با سایر مدیران ارشد امنیت اطلاعات در این زمینه توانایی پیدا کردهاند».
یک مدیر ارشد امنیت اطلاعات مدرن، سرسخت و مقاوم است.
در نهایت، یک مدیر ارشد امنیت اطلاعات در دنیای امروزی باید سرسخت بوده تا بتواند در محیط امنیتی چندوجهی و پیچیده امروزی به موفقیت برسد. Stapleton میگوید: «به طور کلی امنیت سایبری فاقد راهکارهای سریع برای رفع مشکل است. در نتیجه هر مدیر ارشد امنیت اطلاعات باید چشمانداز طولانی مدت داشته باشد. چنین تغییراتی نیاز به صرف زمان و منابع دارد».
مدیران ارشد امنیت اطلاعات باید درباره نحوه اصلاح و بهبود امنیت سایبری، یک پیام منسجم داشته باشند. به گفته Stapleton: «بعید است که این افراد با اولین درخواست، پاسخ مثبت بگیرند. بنابراین باید ظرفیت شنیدن جواب منفی و تلاش مجدد برای جلب توجه و سرمایه گذاری را داشته باشند».
Kahn هم با این جمله موافق بوده و میگوید: «گاهی وقت ها فشارهایی از سمت طرفهای ذینفع و دخیل وجود دارد. پس باید تمرکز و اعتمادتان را در مسیر پیش رو حفظ کرده و منطق و تلاش لازم را برای تغییر مسیر داشته باشید. برخلاف تغییر مسیرهای پی در پی بر اساس احساسات دیگران که باعث خسته و دلسرد کردن تیمها میشود حفظ تمرکز می تواند به موفقیت تیم شما کمک کند».