پرسش از متخصصین: چطور نظر مثبت مدیران ارشد را برای امنیت سایبری جلب کنیم؟

Raymond Evans بنیانگذار CyDefe Labs
Raymond بنیانگذار (CyDefe Labs (labs.cydefe.com یک پلتفرم مخصوص امنیت اطلاعات و میزبان پادکست امنیت سایبری CyDefe است. او چهار سال تجربه تست نفوذ اپلیکیشنهای تحت وب و ارزیابی آسیبپذیری ویندوز و لینوکس را دارد.
Raymond در کنفرانس BSides STL سخنرانی کرده و یکی از توسعه دهندگان (NolaCon CTF (capture the flag است.
دانش، ترس و کمی هوشمندی
من به شخصه معمولاً با استفاده از این سه استراتژی نظر مثبت هیئت مدیره را جلب میکنم. شاید این موارد، عجیب به نظر برسند اما مطالعه کامل این مطلب ذهن شما را بازتر میکند. داشتن اطلاعات از چالش پیش رو و همچنین داشتن اطلاعات کافی از اعضای هیئت مدیره به شما کمک میکند تا آنها را بهخوبی آگاه کنید: ترس باعث میشود که اعضای هیئت مدیره عکسالعمل مناسب را نشان بدهند و هوشمندی کمک میکند تا عکسالعمل آنها را در مسیر مطلوب خودتان قرار بدهید. در ادامه این سه تکنیک را عمیقتر بررسی میکنیم.
دانش
وقتی سعی دارید تائید هیئت مدیره را بگیرید، اول از همه نیاز دارید که اعضای تیم را بهخوبی مطلع و آگاه کنید. یعنی باید مخاطبین خودتان را بشناسید. اصلاً اینطور فکر نکنید که اطلاعات اعضای هیئت مدیره به اندازه اطلاعات خود شماست. اطلاعات فنی مسئله را با اعضا در میان نگذارید. مثلاً اگر سرورهای شما در برابر حمله Heartbleed آسیبپذیر هستند، اینطور به آنها اطلاعرسانی کنید که Heartbleed چطور میتواند برای آنها مشکل و دردسر ایجاد کند و برای پیشگیری از این آسیبپذیری چه اقداماتی باید انجام شود و اینطور با اعضا صحبت نکنید که مثلاً: “کد آسیبپذیری Heartbleed را در این قسمت مشاهده میکنید: hbtype = *p ; n2s(p, payload); pl = p; ” با این کار به سرعت توجه مخاطبتان را از دست داده و خواهید دید که با تعجب به شما خیره میشوند.
ترس
مورد بعدی که برای گرفتن تائید هیئت مدیره نیاز دارید، کمی ترس است. البته منظور این نیست که به آنها بگویید “دنیا به آخر رسیده، تمام سهام شرکت را بفروشید، به دورترین نقطه ممکن فرار کنید و غیره”. سعی کنید از حقایق، استفاده کرده و ترسی مفید و واقعی در آنها ایجاد کنید.
برای آنها کاملاً مشخص کنید که در صورت عدم انجام اقدامات مناسب ممکن است شرایط چقدر وخیم شود و از مثالهای واقعی برای توجیه درخواست خودتان استفاده کنید. معمولاً افراد وقتی مشاهده میکنند که دیگران بشدت تحت تأثیر قرار گرفتهاند، به روشی متفاوت با آنها برخورد میکنند.
برای ارائه اطلاعات، از سرخط اخبار منابع خبری مشهور و معتبر استفاده کنید. همیشه در هر جلسهای که قرار است به نوعی تائید مقامات بالاتر را بگیرید، لیستی از حقایق مرتبط را همراه خودتان داشته باشید. در صورتیکه اطلاعات کافی را از شرایط داشته باشید، میتوانید هر نوع ترس غیرضروری و برداشت غلط را از بین ببرید و اعضا را از تأثیرات احتمالی شرایط موجود مطلع کنید.
هوشمندی
آخرین موردی که میتواند به شما برای گرفتن تائید هیئت مدیره کمک کند، کمی هوشمندی و زیرکی است. هیچوقت فقط یک راهکار برای اعضاء ارائه ندهید و همیشه چند گزینه را مدنظر داشته باشید.
من به شخصه معمولاً تمایل دارم که دو گزینه واقعی به همراه یک گزینه جانبی افراطی داشته باشم. معمولاً همین که اعضا این گزینه افراطی را مشاهده میکنند به سرعت آن را کنار میگذارند. وقتی این شوک به اعضا وارد شد مشاهده گزینههای منطقیتر به آنها آرامش خاطر میدهد.
دقت کنید که معمولاً بزرگترین موانع برای راهکارهایی که ارائه میشوند، موانع مالی هستند. معمولاً راهکارهای خانگی بیشتر مورد تائید هیئت مدیره قرار میگیرند، اما اگر چنین گزینهای در دسترس نبود احتمال انتخاب ارزانترین مورد بیشتر است، بنابراین این لیست را هوشمندانه تهیه کنید.
ممکن است این تکنیکها برای همه کار نکنند. اما طبق تجربه من ترکیبی از دانش، ترس و کمی هوشمندی بهترین راه برای موفقیت هستند.
Chris Diogenous، مدیر ارشد بازرگانی، مرکز امنیت دیجیتال لندن
Chris Diogenous از مؤسسین WhiteRock Partners است و در حال حاضر با مرکز امنیت دیجیتال لندن (LDSC) به عنوان مدیر ارشد بازرگانی همکاری میکند. Chris سرپرست پروژههای ملی در زمینه مقابله با گروههای مجرم سازمان یافته، برقراری ارتباط و به اشتراک گذاری دادههای اطلاعاتی و راهکارهای مقابله با تروریسم است.
چگونگی گرفتن تائید هیئت مدیره سؤالی است که گاهی اوقات ارزش میلیارد دلاری دارد. ما با طیف گستردهای از شرکتهای کوچک و متوسط سر و کار داریم که از یک شرکت کوچک با 5 کارمند گرفته تا یک موسسه مالی بزرگ با 240 کارمند متغیر هستند و بنابراین گرفتن تائید هیئت مدیره گاهی اوقات تبدیل به یک مبارزه سخت میشود.
در وهله اول لازم است که این افراد را از اهمیت امنیت سایبری آگاه کرد. خیلی از مشاغل، امنیت سایبری را به عنوان یکی از مشکلات و مسائل بخش IT و یک هزینه غیرضروری تلقی میکنند یا اینکه چون درک این حوزه و اصطلاحات تخصصی آن برایشان سخت است سعی میکنند آن را نادیده بگیرند.
ما به عنوان متخصصین امنیت سایبری باید از صحبت کردن درباره موارد تخصصی مثل “حملات Waterhole” یا رویکرد ” bite and switch ” دست برداریم و در عوض تمرکزمان را به سمت خطرات کسب و کار متمرکز کنیم. بنابراین لازم است که امنیت سایبری به عنوان یک خطر شغلی مطرح شود نه یک مسئله IT.
با انتقال این مفهوم با چنین قالبی مدیران مشاغل خیلی راحتتر آن را درک میکنند. حکمرانی، خطر و موافقت فرایندهایی هستند که اعضای هیئت مدیره بهتر آنها را درک میکنند و بارها با آنها روبرو شدهاند.
اخبار روزافزونی که درباره رخنههای سایبری یا نقصهای تکنولوژیکی منتشر میشوند و سرمایههای دیجیتال را آسیبپذیر میکنند، به افزایش آگاهی اعضای هیئت مدیره در زمینه امنیت سایبری کمک میکنند. اما سعی کنید خطرات را بیش از حد بزرگ و راهکار خودتان را بشدت خوب جلوه ندهید.
همچنین از بیان عباراتی مثل “ما تنها شرکتی هستیم که میتواند این چالش را حل کند” خودداری کنید. صرف نظر از جنبههای اخلاقی چنین رویکردی (تحقیر رقبا) این روشها معمولاً حاصلی ندارند و به افزایش آگاهی امنیتی اعضای هیئت مدیره کمک نمیکنند و باعث میشوند شما یک شریک قابل اطمینان و اولویت برتر تلقی نشوید.
قانون GDPR (قانون حفاظت از اطلاعات) که بهزودی اجرایی میشود بسیار مفید است و فرصت بسیار مناسبی برای انتقال خطرات سایبری به اعضای هیئت مدیره محسوب میشود. با توجه به پیادهسازی قانون GDPR نیازی به تغییر پیامهای مرتبط به امنیت سایبری نیست اما این قانون ریسک قابل توجهی را برای بعضی سازمانها به همراه میآورد که بدون شک به تمرکز ذهنها کمک میکند.
قانون GDPR (قانون حفاظت از اطلاعات) که بهزودی اجرایی میشود بسیار مفید است و فرصت بسیار مناسبی برای انتقال خطرات سایبری به اعضای هیئت مدیره محسوب میشود.
وقتی قرار است که ما با مدیران یا صاحبان مشاغل صحبت کنیم، باید این صحبتها را از دیدگاه کاری انجام داده و افراد و فرایندها را هم مد نظر داشته باشیم و فقط از دیدگاه تکنولوژیک به قضیه نگاه نکنیم. اعضای هیئت مدیره همیشه مشغول گرفتن تصمیمات سخت درباره سرمایهگذاریهای مختلف هستند بنابراین چرا باید برای امنیت سایبری سرمایهگذاری کنند؟ کمک کنید که این افراد خطرات موجود و تأثیر آنها بر استراتژی کلی شرکت و چگونگی کاهش خطرات را درک کنند، همچنین سعی کنید واضح و شفاف عمل کرده و مزایای داشتن امنیت سایبری خوب را مشخص کنید.
همه ما اطلاع داریم که ضررهای اقتصادی و قانونی و آسیبهایی که به شهرت و اعتبار یک شرکت وارد میشوند میتوانند یک کسب و کار را مختل کنند و مثالهای مختلفی از این موارد وجود دارند اما آهسته و آرام شروع کنید. اطمینان حاصل کنید که اعضا خطرات موجود را درک کنند، توضیحات را تقسیمبندی کنید، گامهای ابتدایی را کوچک بردارید و اصول ابتدایی و مقدماتی را درست تشریح کنید و قبل از اینکه درخواست سرمایهگذاریهای بزرگ داشته باشید مزایای این کار را برای اعضا تشریح کنید.
در نهایت، اگر در سازمان فرد خاصی هست که چالشها را بهخوبی درک میکند با وی همکاری کنید تا موارد لازم را به بهترین شکل برای سایر اعضا بیان کند – قطعاً اعضا با این شخصیت بهتر ارتباط برقرار میکنند و شنیدن حرفهای وی توسط آنها محتملتر است.
Andrew Barratt، مدیر عامل Coalfire
Andrew فعالیت مداومی در پشتیبانی از امنیت سایبری در شرکتهای مختلف دارد. او تجربه فعالیت در بخشهای اقتصادی، نفت و گاز، خرده فروشی، تکنولوژی و محاسبات ابری را دارد. Andrew در حال حاضر سرپرست تیم اعتبار سنجی راهکارهای جهانی شرکت Coalfire است.
گرفتن تائید اعضای هیئت مدیره اغلب اوقات جام مقدس پروژههای امنیت سایبری محسوب میشود. اعضای هیئت مدیره معمولاً کنترل کننده راههای صرف سرمایه و مسیریابی استراتژیک سازمان هستند بنابراین توانایی صحبت کردن، تأثیرگذاری و آگاه کردن آنها برای مدیران و سرپرستان امنیت اطلاعات یک الزام محسوب میشود.
کلید موفقیت، درک کردن نقش و انگیزههای اعضای هیئت مدیره است. اعضای هیئت مدیره وظیفه مدیریت سازمان، تنظیم استراتژی و گزارش دادن معیارهای تجاری مهم و کلیدی به سهامداران و ذینفعان را به عهده دارند.
هر چند دانش و تخصص مورد نیاز برای اعضای هیئت مدیره در سازمانهای مختلف متفاوت است، اما معمولاً مدیران اجرایی یکسری مهارتهای پایه از جمله اقتصاد، مدیریت عملیات، فروش و منابع انسانی را دارند.
در حال حاضر بعضی از سازمانها شروع به استفاده از یک مدیر ارشد فناوری در هیئت مدیره کردهاند یا حداقل چنین فردی را مسئول گزارش دهی به هیئت مدیره کردهاند.
اما در صورتیکه در هیئت مدیرهای که قرار است شما با آن کار کنید چنین فردی وجود ندارد یا نمیدانید که چطور راهکارهای امنیتی را برای اعضا تشریح کنید، بسیار مهم است که اول از همه مشخص کنید چه مواردی برای اعضا در اولویت قرار دارند.
لازم است که شما به عنوان یک متخصص امنیت به این افراد نشان بدهید که مشکلاتشان را درک میکنید و خودتان را به عنوان بخشی از راهکار مشکلاتشان نشان دهید.
از نظر هیئت مدیره این سه معیار مهم یعنی درآمد، هزینه و ریسکهای عملیاتی را در نظر داشته باشید. ممکن است تاکتیک اولیه شما این باشد که موارد پیشنهادی خودتان را برای مدیر عملیات به عنوان راهکاری برای کاهش ریسک نشان دهید. همچنین باید مشخص کنید که راهکار شما چه تأثیراتی بر سایر معیارهای مهم ذکر شده دارد.
ممکن است تاکتیک اولیه شما این باشد که پیشنهاد خودتان را برای مدیر عملیات به عنوان عاملی برای کاهش ریسک نشان دهید.
آیا راهکار امنیتی شما طوری است که به افزایش درآمد کمک میکند؟ آیا مشتریان شما جزئیات امنیتی را به عنوان بخشی از خدمات تلقی میکنند؟ آیا این راهکار طوری است که باعث میشود مشتریان یا شرکای کاری شما نیاز به تجدید کسب و کارشان نداشته باشند؟
در صورتیکه راهکار شما طوری است که خطرات درآمدی ایجاد میکند سعی کنید فقط روی کاهش ریسک تمرکز نکنید. اگر به درآمدزایی یا حفظ درآمدهای فعلی کمک میکند این موضوع را برای افراد مربوطه که معمولاً فروشندههای سطح C و مدیر ارشد اقتصادی هستند، تشریح کنید.
با وجود این افراد و یک مدیر عملیات در هیئت مدیره، سه پشتیبان خواهید داشت که قبل از صحبت با مدیران اجرایی، پیشنهاد خودتان را به چالشهای بیزنسی مورد توجه آنها گره زدهاید.
همین رویکرد برای سایرین هم کار میکند. آیا با نتیجه حاصل از بعضی راهکارهای امنیتی میتوانید هزینهها را کاهش دهید؟ یا این که آیا استراتژی هیئت مدیره، برون سپاری کارها است؟ دانستن استراتژی هیئت مدیره کمک میکند تا شما هم بتوانید راهکارهای امنیتی خودتان را با استراتژی کاری هیئت مدیره همسو کنید.
پیش گرفتن این رویکرد کمک میکند که با شناسایی محرکهای اصلی بدون این که نیاز باشد خطرات آسیبپذیریهای امنیتی را بیش از حد برای آنها بزرگ کنید بتوانید بر موانع غلبه کنید.
به این ترتیب شما با زبان خود آنها صحبت میکنید. اکثر مدیران اجرایی در صورتیکه فقط سعی کنید با صحبت درباره آسیبپذیریهای مختلف آنها را بترسانید، شما را رد میکنند. این افراد اطلاع دارند که کسب و کارشان ایمن نیست (اگر اطلاع ندارند، باید مطلع شوند). اما چیزی که دوست دارند بدانند این است که آیا شما میتوانید بهخوبی با چالشهای امنیتی مقابله کرده و در عین حال معیارهای مهم هیئت مدیره – درآمد، هزینه و ریسک – را پشتیبانی کنید یا خیر.
در صورتیکه بتوانید ثابت کنید راهکارهای شما بازگشت سرمایه مطلوب را دارند، به احتمال خیلی زیاد خواهید توانست توافق آنها برای تخصیص بودجه موردنیاز را جلب کنید. مسلماً از دیدگاه آنها این سرمایهگذاری برای امنیت سایبری نیست بلکه برای کسب و کارشان است.