اشتباهات رایج کارشناسان امنیت اطلاعات در ارایه گزارش

عدم گفتگو و بحث‌های چالش‌برانگیز با هیئت مدیره می‌تواند منجر به ایجاد ابهام، سرخوردگی و ناهماهنگی در بین مدیران، بخش امنیت و سایر بخش‌های سازمان گردد. بنابراین وضعیت مخاطرات و گزارش امنیت سایبری در شرکت‌ها معمولاً توسط مدیران ارشد امنیت اطلاعات به مدیران سازمان‌ها اطلاع‌رسانی می‌شود.

در این مطلب از فراست یکسری از اشتباهات رایجی را که مدیران ارشد امنیت اطلاعات در هنگام گفتگو با هیئت مدیره مرتکب می‌شوند مورد بررسی قرار داده و در آخر توصیه‌هایی را جهت اجتناب از چنین اشتباهاتی مطرح می‌کنیم.

1. استفاده از اصطلاحات به شدت تخصصی

Michael Tamir مدیر ارشد امنیت شرکت Cyren می‌گوید: «مدیران سازمان‌ها معمولاً آشنایی چندان زیادی با اصطلاحات تخصصی امنیتی ندارند. از این رو استفاده بیش از حد از عبارت‌ها و کلمات تخصصی توسط مدیران ارشد امنیت اطلاعات در گزارش امنیت سایبری ممکن است نتیجه عکس داشته و منجر به از دست دادن توجه مخاطب شود».

بنا به گفته او: «با توجه به مشغله فراوان اعضای هیئت مدیره، این افراد معمولاً علاقه‌ای به شنیدن یا خواندن صحبت‌های غیرقابل درک نداشته و بازه توجه آنها نیز بسیار محدود و کوتاه است». Paul Watts تحلیلگر ارشد انجمن امنیت اطلاعات و مدیر ارشد امنیت اطلاعات سابق نیز با این دیدگاه موافق بوده و می‌گوید: «مدیران ارشد امنیت اطلاعات باید تا جایی که ممکن است اصطلاحات فنی را به اصطلاحات کاری ترجمه کنند و در صورت لزوم نیز توضیحات تکمیلی را هم ارایه دهند. آنها همچنین باید تا حد امکان مختصر صحبت نموده، سرعت مناسبی در گفتار داشته و به جای کلمات از مصورسازی استفاده کنند».

2. تمرکز بر روی پیامدهای منفی مخاطرات امنیتی

Dave Stapleton مدیر ارشد امنیت اطلاعات شرکت CyberGRX می‌گوید: «نباید در گفتگو راجع به تهدیدات از پیامدهای شغلی و تجاری آنها فاصله زیادی بگیرید. مدیر ارشد امنیت اطلاعات می‌داند که چرا یک وابستگی به کدی خاص برای یک دستگاه متصل به اینترنت تهدید محسوب می‌شود اما ارایه توضیح آن به هیئت مدیره بی‌ربط است».

Sounil Yu مدیر ارشد امنیت اطلاعات شرکت JupiterOne ضمن تأیید این دیدگاه می‌گوید: «مدیران ارشد امنیت اطلاعات معمولاً جنبه علمی و تخصصی مسائل را مورد بررسی قرار می‌دهند در حالی که سایر اعضای هیئت مدیره بر حسب دلار و موضوعات عمومی صحبت می‌کنند. مدیران ارشد امنیت اطلاعات در هنگام گفتگو با مدیران سازمان‌ها باید به صحبت درباره موضوعاتی همچون مزایای امنیت سایبری برای کسب‌وکار (مثل تأثیرات امنیت سایبری برای ورود به بازارهای جدید، اجرای طرح‌های جدید و کاهش مخارج سالیانه) بپردازند».

در چنین شرایطی آشنایی با شاخص‌های کلیدی عملکرد مورد استفاده مدیران و توانایی ارزیابی پیامدهای تهدیدات بر حسب این شاخص‌ها می‌تواند تأثیرگذار باشد. بنا به گفته Rob Dartnall رئیس بخش انگلیسی مؤسسه CREST: «قابلیت تشخیص پیامدهای تهدیدات سایبری برای سرویس‌های کاری، استراتژی‌های اصلی هیئت مدیره و اهداف آن از اهمیت بسیار زیادی برخوردار است».

Yu می‌گوید: «در این گفتگوها مدیران سازمان‌ها باید متقاعد شوند که عدم رسیدگی به مسائل امنیتی ممکن است مانع از رشد کسب‌وکار یا ایجاد مخاطرات شغلی و عملیاتی شود».

Stapleton معتقد است که ارایه صحبت‌هایی از سوی مدیران امنیت درباره مخاطرات زنجیره تأمین نرم‌افزار سازمانی و بازگشت سرمایه مورد انتظار از پیاده‌سازی یک نرم‌افزار تحلیل وابستگی‌های کد منجر به جلب توجه مدیران سازمان می‌شود.

3. بکارگیری گزارش‌ امنیت سایبری آماده

مدیران ارشد امنیت اطلاعات گزارش امنیت سایبری را معمولاً بر اساس اطلاعاتی که از ابزارهای امنیتی دریافت می‌کنند ارایه می‌دهند. بنابراین تمرکز آنها عموماً بر روی فعالیت‌های عملیاتی، تلاش در جهت رفع آسیب‌پذیری یا راهکارهایی است که به صورت کلی و عمومی تجویز می‌شوند. Peter Prizio مدیرعامل بخش SnapAttack شرکت Booz Allen Hamilton می‌گوید: «مخاطرات مشابه و یکسان نیستند. بنابراین اطلاعاتی که توسط نرم‌افزارها و ابزارهای امنیتی ارایه می‌شوند چندان قابل اعتماد نمی‌باشند».

Prizio می‌گوید: «مدیران ارشد امنیت اطلاعات باید بر روی مسائلی مثل حفظ اعتبار و نام سازمان، حفاظت از دارایی‌های مهم و تداوم کسب‌وکار که از اهمیت نسبتاً زیادی برای سازمان برخوردار هستند تمرکز کنند. بنابراین آنها باید از ابزارهایی استفاده کنند که دستیابی به چنین اهدافی را برای‌شان میسر نمایند». همچنین او هشدار می‌دهد که نباید از استانداردهای قانونی برای ارزیابی و سنجش مخاطرات استفاده کرد چون میزان پیشرفتی که نسبت به این استانداردهای قانونی صورت گرفته با مخاطرات واقعی که یک کسب‌وکار با آنها مواجه است تناسب چندان زیادی ندارد.

4. عدم آمادگی برای پاسخ‌دهی به سؤالات

James Nelson معاون امنیت اطلاعات شرکت Illumio می‌گوید: «جلسات هیئت مدیره محل مناسب برای غافلگیر شدن نبوده و مدیران ارشد امنیت اطلاعات نباید با پرسش‌هایی مواجه شوند که قادر به پاسخگویی‌شان نیستند». از این رو این افراد باید در هنگام مشخص نمودن موضوعات مورد بحث و تهیه محتوای اسلایدها به پرسش‌های احتمالی که ممکن است از مدیران سازمان‌ها مطرح شوند فکر کرده و پاسخ‌های‌شان را نیز دریابند».

Nelson توصیه می‌کند که یکسری اطلاعات کلی درباره مطالبی که آماده کرده‌اید، پرسش‌هایی که ممکن است مطرح شوند و همچنین برنامه‌ای که برای پاسخ به آنها دارید را در اختیار مدیران سازمان‌ها قرار دهید. بنا به گفته او: «آنها می‌دانند که نمی‌توانید همه مواردی را که در جلسه مطرح می‌شوند حدس بزنید اما انجام این فرایند منجر به اعتمادسازی‌شان نسبت به شما می‌شود».

5. ترساندن بیش از حد دیگران و تلاش افراطی برای ایجاد و تقسیم نگرانی‌ها

Watts می‌گوید: «در جلسات گزارش امنیت سایبری ممکن است وسوسه شده و بار تهدیدات سایبری را از روی دوش‌تان بردارید در حالی که حضور هیئت مدیره در جلسه به معنی کاهش بار کاری شما نیست». او می‌گوید: «در استفاده از ترس و تردید و بی‌اعتمادی به عنوان سلاح احتیاط کنید چون ممکن است همین سلاح بر علیه شما عمل کند».

یه جای شانه خالی کردن از زیر بار مسئولیت بهتر است مشکلات، راه‌حل‌های پیشنهادی، توصیه‌ها و مزایای‌شان را  توضیح دهید. براساس گفته Watts: «می‌توانید این اطلاعات را در قالب یک پکیج ارایه دهید».

همچنین از ورود بی‌مقدمه و ناگهانی به بحث‌های جنجالی جداً خودداری کنید. Watts می‌گوید: در صورت لزوم یادداشت برداری کرده، اطلاعات مورد نیاز را نگه داشته و سپس به آنها مراجعه کنید. همچنین در هنگام بیان اخبار بد از اتهام‌زنی یا درگیری اجتناب کنید و پیش از بیان صریح اخبار ناگوار، آمادگی‌های لازم را در مخاطبان ایجاد نمایید. اعضای هیئت مدیره علاقه چندانی به غافلگیری به‌ویژه در رابطه با اخبار بد ندارند.

6. جلوه امنیت سایبری به عنوان یک هزینه بزرگ

Mandy Andress مدیر ارشد امنیت اطلاعات شرکت Elastic معتقد است که یکی از اشتباهات رایج مدیران ارشد امنیت اطلاعات در هنگام گفتگو با اعضای هیئت مدیره عدم تلاش جهت تغییر این دیدگاه منسوخ که «امنیت سایبری از جمله منابع مهم ایجاد هزینه برای سازمان‌ها است» می‌باشد. مدیران سازمان باید بپذیرند که تأمین و حفظ امنیت منجر به توانمندسازی کسب‌وکارها، رشد و ترویج ابتکار می‌شود».

Jasmine Henry مدیر امنیت شرکت JupiterOne و مدیر ارشد امنیت اطلاعات سابق می‌گوید: «مدیران امنیت معمولاً جلسات بحث و گفتگو با مدیران سازمان‌ها را فقط با هدف دریافت بودجه و منابع بیشتر برگذار می‌کنند». ممکن است شما نیز با ارایه یک فهرست پیچیده از نیازهای فنی، توجه مدیران را برای سرمایه‌گذاری امنیتی جلب کنید اما باید بدانید که ابتدا باید دیدگاه هیئت مدیره نسبت به امنیت سایبری تغییر نموده و آن را به عنوان یک عامل پرهزینه تلقی نکنند».

مدیران ارشد امنیت اطلاعات با ارایه شواهدی مبنی بر اینکه امنیت سایبری ابزاری برای درآمدزایی و حفظ سرمایه سازمان است نه ایجاد هزینه، می‌توانند نظر هیئت مدیره را جلب کنند. انجام چنین کاری با مشخص نمودن پیامدهای امنیت بر روی سود و زیان کسب‌وکارها امکان‌پذیر است. بنا به گفته Henry: «می‌توانید جهت متقاعد نمودن هیئت مدیره در پذیرش امنیت به عنوان یک عامل درآمدزا، به نقش امنیت سایبری در فرایند فروش و درآمد کل حاصل از همه قراردادهایی که شامل الزامات امنیتی و استانداردهای قانونی امنیتی بوده‌اند، اشاره کنید».

Dartnall می‌گوید:«اگر تهدیدی منجر به ایجاد هزینه یا از کار افتادگی می‌شود، مشخص نمودن میزان افزایش سود در اثر حذف آن تهدید می‌تواند مفید باشد. برای مثال سازمان در اثر وقوع حمله Y باید غرامتی به مبلغ X را به مشتریان پرداخت کند در حالی که با پیاده‌سازی کنترل امنیتی مربوطه، بخشی از درآمد از دست رفته‌مان به ارزش Z را جبران می‌کنیم».

7. عدم توجه به روابط خارج از جلسه هیئت مدیره

Matthew Smith مدیر بخش امنیت اطلاعات و سایبری Place Wealth Management می‌گوید: «مدیران ارشد امنیت اطلاعات معمولاً هیچ‌گونه تلاشی برای برقراری ارتباط دوستانه با اعضای هیئت مدیره در محیط‌های غیررسمی و خارج از جلسات نمی‌کنند. بنا به گفته او: «درک انگیزه‌های حرفه‌ای و شخصی مخاطبانتان به شما کمک می‌کند که با نیازهای آنها آشنا شده و یک گزارش امنیت سایبری مناسب و تأثیرگذار را برای آنها تولید کنید. همچنین می‌توانید پیام یا محتوای مدنظرتان را به راحتی منتقل کنید».

Watts نیز با این عقیده موافق بوده و می‌گوید: «درباره اعضای هیئت مدیره تحقیق کنید؛ انگیزه‌های آنها را بشناسید و در بین این گروه (به‌ویژه افراد غیرفنی که شما را با شرایط جلسه آشنا می‌کنند) برای خودتان همراه و متحد پیدا کنید. می‌توانید در زمان صحبت با این افراد درباره طرح‌های تجاری از روش تقسیم و غلبه استفاده کنید؛ یعنی کارهای بزرگ و پیچیده را به صورت شخصی با آنها مطرح نموده و موانع مهم را از بین ببرید».

سپس می‌توانید از نتیجه گفتگوهایی که با آنها انجام داده‌اید برای تشخیص مخالفان و موافقان استفاده کنید. بنا به گفته Watts: «باید همزمان یک سیاستمدار، فروشنده، مدیر حساب، دلال و میانجی بوده و آنها را متقاعد کنید که در تصمیم‌گیری‌ها نقش دارند».

منبع: csoonline