پرسش از متخصصین: چطور نظر مثبت مدیران ارشد را برای امنیت سایبری جلب کنیم؟

Raymond Evans بنیان‌گذار CyDefe Labs

Raymond بنیان‌گذار  (CyDefe Labs (labs.cydefe.com یک پلتفرم مخصوص امنیت اطلاعات و میزبان پادکست امنیت سایبری CyDefe است. او چهار سال تجربه تست نفوذ اپلیکیشن‌های تحت وب و ارزیابی آسیب‌پذیری ویندوز و لینوکس را دارد.

Raymond در کنفرانس BSides STL سخنرانی کرده و یکی از توسعه دهندگان (NolaCon CTF (capture the flag است.

دانش، ترس و کمی هوشمندی

من به شخصه معمولاً با استفاده از این سه استراتژی نظر مثبت هیئت مدیره را جلب می‌کنم. شاید این موارد، عجیب به نظر برسند اما مطالعه کامل این مطلب ذهن شما را بازتر می‌کند. داشتن اطلاعات از چالش پیش رو و همچنین داشتن اطلاعات کافی از اعضای هیئت مدیره به شما کمک می‌کند تا آن‌ها را به‌خوبی آگاه کنید: ترس باعث می‌شود که اعضای هیئت مدیره عکس‌العمل مناسب را نشان بدهند و هوشمندی کمک می‌کند تا عکس‌العمل آن‌ها را در مسیر مطلوب خودتان قرار بدهید. در ادامه این سه تکنیک را عمیق‌تر بررسی می‌کنیم.

دانش

وقتی سعی دارید تائید هیئت مدیره را بگیرید، اول از همه نیاز دارید که اعضای تیم را به‌خوبی مطلع و آگاه کنید. یعنی باید مخاطبین خودتان را بشناسید. اصلاً این‌طور فکر نکنید که اطلاعات اعضای هیئت مدیره به اندازه اطلاعات خود شماست. اطلاعات فنی مسئله را با اعضا در میان نگذارید. مثلاً اگر سرورهای شما در برابر حمله Heartbleed آسیب‌پذیر هستند، این‌طور به آن‌ها اطلاع‌رسانی کنید که Heartbleed چطور می‌تواند برای آن‌ها مشکل و دردسر ایجاد کند و برای پیشگیری از این آسیب‌پذیری چه اقداماتی باید انجام شود و این‌طور با اعضا صحبت نکنید که مثلاً: “کد آسیب‌پذیری Heartbleed را در این قسمت مشاهده می‌کنید: hbtype = *p ; n2s(p, payload); pl = p; ” با این کار به سرعت توجه مخاطبتان را از دست داده و خواهید دید که با تعجب به شما خیره می‌شوند.

ترس

مورد بعدی که برای گرفتن تائید هیئت مدیره نیاز دارید، کمی ترس است. البته منظور این نیست که به آن‌ها بگویید “دنیا به آخر رسیده، تمام سهام شرکت را بفروشید، به دورترین نقطه ممکن فرار کنید و غیره”. سعی کنید از حقایق، استفاده کرده و ترسی مفید و واقعی در آن‌ها ایجاد کنید.

برای آن‌ها کاملاً مشخص کنید که در صورت عدم انجام اقدامات مناسب ممکن است شرایط چقدر وخیم شود و از مثال‌های واقعی برای توجیه درخواست خودتان استفاده کنید. معمولاً افراد وقتی مشاهده می‌کنند که دیگران بشدت تحت تأثیر قرار گرفته‌اند، به روشی متفاوت با آن‌ها برخورد می‌کنند.

برای ارائه اطلاعات، از سرخط اخبار منابع خبری مشهور و معتبر استفاده کنید. همیشه در هر جلسه‌ای که قرار است به نوعی تائید مقامات بالاتر را بگیرید، لیستی از حقایق مرتبط را همراه خودتان داشته باشید. در صورتیکه اطلاعات کافی را از شرایط داشته باشید، می‌توانید هر نوع ترس غیرضروری و برداشت غلط را از بین ببرید و اعضا را از تأثیرات احتمالی شرایط موجود مطلع کنید.

هوشمندی

آخرین موردی که می‌تواند به شما برای گرفتن تائید هیئت مدیره کمک کند، کمی هوشمندی و زیرکی است. هیچ‌وقت فقط یک راهکار برای اعضاء ارائه ندهید و همیشه چند گزینه را مدنظر داشته باشید.

من به شخصه معمولاً تمایل دارم که دو گزینه واقعی به همراه یک گزینه جانبی افراطی داشته باشم. معمولاً همین که اعضا این گزینه افراطی را مشاهده می‌کنند به سرعت آن را کنار می‌گذارند. وقتی این شوک به اعضا وارد شد مشاهده گزینه‌های منطقی‌تر به آن‌ها آرامش خاطر می‌دهد.

دقت کنید که معمولاً بزرگ‌ترین موانع برای راهکارهایی که ارائه می‌شوند، موانع مالی هستند. معمولاً راهکارهای خانگی بیشتر مورد تائید هیئت مدیره قرار می‌گیرند، اما اگر چنین گزینه‌ای در دسترس نبود احتمال انتخاب ارزان‌ترین مورد بیشتر است، بنابراین این لیست را هوشمندانه تهیه کنید.

ممکن است این تکنیک‌ها برای همه کار نکنند. اما طبق تجربه من ترکیبی از دانش، ترس و کمی هوشمندی بهترین راه برای موفقیت هستند.

Chris Diogenous، مدیر ارشد بازرگانی، مرکز امنیت دیجیتال لندن

Chris Diogenous از مؤسسین WhiteRock Partners است و در حال حاضر با مرکز امنیت دیجیتال لندن (LDSC) به عنوان مدیر ارشد بازرگانی همکاری می‌کند. Chris سرپرست پروژه‌های ملی در زمینه مقابله با گروه‌های مجرم سازمان یافته، برقراری ارتباط و به اشتراک گذاری داده‌های اطلاعاتی و راهکارهای مقابله با تروریسم است.

چگونگی گرفتن تائید هیئت مدیره سؤالی است که گاهی اوقات ارزش میلیارد دلاری دارد. ما با طیف گسترده‌ای از شرکت‌های کوچک و متوسط سر و کار داریم که از یک شرکت کوچک با 5 کارمند گرفته تا یک موسسه مالی بزرگ با 240 کارمند متغیر هستند و بنابراین گرفتن تائید هیئت مدیره گاهی اوقات تبدیل به یک مبارزه سخت می‌شود.

در وهله اول لازم است که این افراد را از اهمیت امنیت سایبری آگاه کرد. خیلی از مشاغل، امنیت سایبری را به عنوان یکی از مشکلات و مسائل بخش IT و یک هزینه غیرضروری تلقی می‌کنند یا اینکه چون درک این حوزه و اصطلاحات تخصصی آن برایشان سخت است سعی می‌کنند آن را نادیده بگیرند.

ما به عنوان متخصصین امنیت سایبری باید از صحبت کردن درباره موارد تخصصی مثل “حملات Waterhole” یا رویکرد ” bite and switch ” دست برداریم و در عوض تمرکزمان را به سمت خطرات کسب و کار متمرکز کنیم. بنابراین لازم است که امنیت سایبری به عنوان یک خطر شغلی مطرح شود نه یک مسئله IT.

با انتقال این مفهوم با چنین قالبی مدیران مشاغل خیلی راحت‌تر آن را درک می‌کنند. حکمرانی، خطر و موافقت فرایندهایی هستند که اعضای هیئت مدیره بهتر آن‌ها را درک می‌کنند و بارها با آن‌ها روبرو شده‌اند.

اخبار روزافزونی که درباره رخنه‌های سایبری یا نقص‌های تکنولوژیکی منتشر می‌شوند و سرمایه‌های دیجیتال را آسیب‌پذیر می‌کنند، به افزایش آگاهی اعضای هیئت مدیره در زمینه امنیت سایبری کمک می‌کنند. اما سعی کنید خطرات را بیش از حد بزرگ و راهکار خودتان را بشدت خوب جلوه ندهید.

همچنین از بیان عباراتی مثل “ما تنها شرکتی هستیم که می‌تواند این چالش را حل کند” خودداری کنید. صرف نظر از جنبه‌های اخلاقی چنین رویکردی (تحقیر رقبا) این روش‌ها معمولاً حاصلی ندارند و به افزایش آگاهی امنیتی اعضای هیئت مدیره کمک نمی‌کنند و باعث می‌شوند شما یک شریک قابل اطمینان و اولویت برتر تلقی نشوید.

قانون GDPR (قانون حفاظت از اطلاعات) که به‌زودی اجرایی می‌شود بسیار مفید است و فرصت بسیار مناسبی برای انتقال خطرات سایبری به اعضای هیئت مدیره محسوب می‌شود. با توجه به پیاده‌سازی قانون GDPR نیازی به تغییر پیام‌های مرتبط به امنیت سایبری نیست اما این قانون ریسک قابل توجهی را برای بعضی سازمان‌ها به همراه می‌آورد که بدون شک به تمرکز ذهن‌ها کمک می‌کند.

قانون GDPR (قانون حفاظت از اطلاعات) که به‌زودی اجرایی می‌شود بسیار مفید است و فرصت بسیار مناسبی برای انتقال خطرات سایبری به اعضای هیئت مدیره محسوب می‌شود.

وقتی قرار است که ما با مدیران یا صاحبان مشاغل صحبت کنیم، باید این صحبت‌ها را از دیدگاه کاری انجام داده و افراد و فرایندها را هم مد نظر داشته باشیم و فقط از دیدگاه تکنولوژیک به قضیه نگاه نکنیم. اعضای هیئت مدیره همیشه مشغول گرفتن تصمیمات سخت درباره سرمایه‌گذاری‌های مختلف هستند بنابراین چرا باید برای امنیت سایبری سرمایه‌گذاری کنند؟ کمک کنید که این افراد خطرات موجود و تأثیر آن‌ها بر استراتژی کلی شرکت و چگونگی کاهش خطرات را درک کنند، همچنین سعی کنید واضح و شفاف عمل کرده و مزایای داشتن امنیت سایبری خوب را مشخص کنید.

همه ما اطلاع داریم که ضررهای اقتصادی و قانونی و آسیب‌هایی که به شهرت و اعتبار یک شرکت وارد می‌شوند می‌توانند یک کسب و کار را مختل کنند و مثال‌های مختلفی از این موارد وجود دارند اما آهسته و آرام شروع کنید. اطمینان حاصل کنید که اعضا خطرات موجود را درک کنند، توضیحات را تقسیم‌بندی کنید، گام‌های ابتدایی را کوچک بردارید و اصول ابتدایی و مقدماتی را درست تشریح کنید و قبل از اینکه درخواست سرمایه‌گذاری‌های بزرگ داشته باشید مزایای این کار را برای اعضا تشریح کنید.

در نهایت، اگر در سازمان فرد خاصی هست که چالش‌ها را به‌خوبی درک می‌کند با وی همکاری کنید تا موارد لازم را به بهترین شکل برای سایر اعضا بیان کند – قطعاً اعضا با این شخصیت بهتر ارتباط برقرار می‌کنند و شنیدن حرف‌های وی توسط آن‌ها محتمل‌تر است.

Andrew Barratt، مدیر عامل Coalfire

Andrew فعالیت مداومی در پشتیبانی از امنیت سایبری در شرکت‌های مختلف دارد. او تجربه فعالیت در بخش‌های اقتصادی، نفت و گاز، خرده فروشی، تکنولوژی و محاسبات ابری را دارد. Andrew در حال حاضر سرپرست تیم اعتبار سنجی راهکارهای جهانی شرکت Coalfire است.

گرفتن تائید اعضای هیئت مدیره اغلب اوقات جام مقدس پروژه‌های امنیت سایبری محسوب می‌شود. اعضای هیئت مدیره معمولاً کنترل کننده راه‌های صرف سرمایه و مسیریابی استراتژیک سازمان هستند بنابراین توانایی صحبت کردن، تأثیرگذاری و آگاه کردن آن‌ها برای مدیران و سرپرستان امنیت اطلاعات یک الزام محسوب می‌شود.

کلید موفقیت، درک کردن نقش و انگیزه‌های اعضای هیئت مدیره است. اعضای هیئت مدیره وظیفه مدیریت سازمان، تنظیم استراتژی و گزارش دادن معیارهای تجاری مهم و کلیدی به سهامداران و ذینفعان را به عهده دارند.

هر چند دانش و تخصص مورد نیاز برای اعضای هیئت مدیره در سازمان‌های مختلف متفاوت است، اما معمولاً مدیران اجرایی یکسری مهارت‌های پایه از جمله اقتصاد، مدیریت عملیات، فروش و منابع انسانی را دارند.

در حال حاضر بعضی از سازمان‌ها شروع به استفاده از یک مدیر ارشد فناوری در هیئت مدیره کرده‌اند یا حداقل چنین فردی را مسئول گزارش دهی به هیئت مدیره کرده‌اند.

اما در صورتیکه در هیئت مدیره‌ای که قرار است شما با آن کار کنید چنین فردی وجود ندارد یا نمی‌دانید که چطور راهکارهای امنیتی را برای اعضا تشریح کنید، بسیار مهم است که اول از همه مشخص کنید چه مواردی برای اعضا در اولویت قرار دارند.

لازم است که شما به عنوان یک متخصص امنیت به این افراد نشان بدهید که مشکلاتشان را درک می‌کنید و خودتان را به عنوان بخشی از راهکار مشکلاتشان نشان دهید.

از نظر هیئت مدیره این سه معیار مهم یعنی درآمد، هزینه و ریسک‌های عملیاتی را در نظر داشته باشید. ممکن است تاکتیک اولیه شما این باشد که موارد پیشنهادی خودتان را برای مدیر عملیات به عنوان راهکاری برای کاهش ریسک نشان دهید. همچنین باید مشخص کنید که راهکار شما چه تأثیراتی بر سایر معیارهای مهم ذکر شده دارد.

ممکن است تاکتیک اولیه شما این باشد که پیشنهاد خودتان را برای مدیر عملیات به عنوان عاملی برای کاهش ریسک نشان دهید.

آیا راهکار امنیتی شما طوری است که به افزایش درآمد کمک می‌کند؟ آیا مشتریان شما جزئیات امنیتی را به عنوان بخشی از خدمات تلقی می‌کنند؟ آیا این راهکار طوری است که باعث می‌شود مشتریان یا شرکای کاری شما نیاز به تجدید کسب و کارشان نداشته باشند؟

در صورتیکه راهکار شما طوری است که خطرات درآمدی ایجاد می‌کند سعی کنید فقط روی کاهش ریسک تمرکز نکنید. اگر به درآمدزایی یا حفظ درآمدهای فعلی کمک می‌کند این موضوع را برای افراد مربوطه که معمولاً فروشنده‌های سطح C و مدیر ارشد اقتصادی هستند، تشریح کنید.

با وجود این افراد و یک مدیر عملیات در هیئت مدیره، سه پشتیبان خواهید داشت که قبل از صحبت با مدیران اجرایی، پیشنهاد خودتان را به چالش‌های بیزنسی مورد توجه آن‌ها گره زده‌اید.

همین رویکرد برای سایرین هم کار می‌کند. آیا با نتیجه حاصل از بعضی راهکارهای امنیتی می‌توانید هزینه‌ها را کاهش دهید؟ یا این که آیا استراتژی هیئت مدیره، برون سپاری کارها است؟ دانستن استراتژی هیئت مدیره کمک می‌کند تا شما هم بتوانید راهکارهای امنیتی خودتان را با استراتژی کاری هیئت مدیره همسو کنید.

پیش گرفتن این رویکرد کمک می‌کند که با شناسایی محرک‌های اصلی بدون این که نیاز باشد خطرات آسیب‌پذیری‌های امنیتی را بیش از حد برای آن‌ها بزرگ کنید بتوانید بر موانع غلبه کنید.

به این ترتیب شما با زبان خود آن‌ها صحبت می‌کنید. اکثر مدیران اجرایی در صورتیکه فقط سعی کنید با صحبت درباره آسیب‌پذیری‌های مختلف آن‌ها را بترسانید، شما را رد می‌کنند. این افراد اطلاع دارند که کسب و کارشان ایمن نیست (اگر اطلاع ندارند، باید مطلع شوند). اما چیزی که دوست دارند بدانند این است که آیا شما می‌توانید به‌خوبی با چالش‌های امنیتی مقابله کرده و در عین حال معیارهای مهم هیئت مدیره – درآمد، هزینه و ریسک – را پشتیبانی کنید یا خیر.

در صورتیکه بتوانید ثابت کنید راهکارهای شما بازگشت سرمایه مطلوب را دارند، به احتمال خیلی زیاد خواهید توانست توافق آن‌ها برای تخصیص بودجه موردنیاز را جلب کنید. مسلماً از دیدگاه آن‌ها این سرمایه‌گذاری برای امنیت سایبری نیست بلکه برای کسب و کارشان است.