اشتباهات رایج کارشناسان امنیت اطلاعات در ارایه گزارش

عدم گفتگو و بحثهای چالشبرانگیز با هیئت مدیره میتواند منجر به ایجاد ابهام، سرخوردگی و ناهماهنگی در بین مدیران، بخش امنیت و سایر بخشهای سازمان گردد. بنابراین وضعیت مخاطرات و گزارش امنیت سایبری در شرکتها معمولاً توسط مدیران ارشد امنیت اطلاعات به مدیران سازمانها اطلاعرسانی میشود.
در این مطلب از فراست یکسری از اشتباهات رایجی را که مدیران ارشد امنیت اطلاعات در هنگام گفتگو با هیئت مدیره مرتکب میشوند مورد بررسی قرار داده و در آخر توصیههایی را جهت اجتناب از چنین اشتباهاتی مطرح میکنیم.
1. استفاده از اصطلاحات به شدت تخصصی
Michael Tamir مدیر ارشد امنیت شرکت Cyren میگوید: «مدیران سازمانها معمولاً آشنایی چندان زیادی با اصطلاحات تخصصی امنیتی ندارند. از این رو استفاده بیش از حد از عبارتها و کلمات تخصصی توسط مدیران ارشد امنیت اطلاعات در گزارش امنیت سایبری ممکن است نتیجه عکس داشته و منجر به از دست دادن توجه مخاطب شود».
بنا به گفته او: «با توجه به مشغله فراوان اعضای هیئت مدیره، این افراد معمولاً علاقهای به شنیدن یا خواندن صحبتهای غیرقابل درک نداشته و بازه توجه آنها نیز بسیار محدود و کوتاه است». Paul Watts تحلیلگر ارشد انجمن امنیت اطلاعات و مدیر ارشد امنیت اطلاعات سابق نیز با این دیدگاه موافق بوده و میگوید: «مدیران ارشد امنیت اطلاعات باید تا جایی که ممکن است اصطلاحات فنی را به اصطلاحات کاری ترجمه کنند و در صورت لزوم نیز توضیحات تکمیلی را هم ارایه دهند. آنها همچنین باید تا حد امکان مختصر صحبت نموده، سرعت مناسبی در گفتار داشته و به جای کلمات از مصورسازی استفاده کنند».
2. تمرکز بر روی پیامدهای منفی مخاطرات امنیتی
Dave Stapleton مدیر ارشد امنیت اطلاعات شرکت CyberGRX میگوید: «نباید در گفتگو راجع به تهدیدات از پیامدهای شغلی و تجاری آنها فاصله زیادی بگیرید. مدیر ارشد امنیت اطلاعات میداند که چرا یک وابستگی به کدی خاص برای یک دستگاه متصل به اینترنت تهدید محسوب میشود اما ارایه توضیح آن به هیئت مدیره بیربط است».
Sounil Yu مدیر ارشد امنیت اطلاعات شرکت JupiterOne ضمن تأیید این دیدگاه میگوید: «مدیران ارشد امنیت اطلاعات معمولاً جنبه علمی و تخصصی مسائل را مورد بررسی قرار میدهند در حالی که سایر اعضای هیئت مدیره بر حسب دلار و موضوعات عمومی صحبت میکنند. مدیران ارشد امنیت اطلاعات در هنگام گفتگو با مدیران سازمانها باید به صحبت درباره موضوعاتی همچون مزایای امنیت سایبری برای کسبوکار (مثل تأثیرات امنیت سایبری برای ورود به بازارهای جدید، اجرای طرحهای جدید و کاهش مخارج سالیانه) بپردازند».
در چنین شرایطی آشنایی با شاخصهای کلیدی عملکرد مورد استفاده مدیران و توانایی ارزیابی پیامدهای تهدیدات بر حسب این شاخصها میتواند تأثیرگذار باشد. بنا به گفته Rob Dartnall رئیس بخش انگلیسی مؤسسه CREST: «قابلیت تشخیص پیامدهای تهدیدات سایبری برای سرویسهای کاری، استراتژیهای اصلی هیئت مدیره و اهداف آن از اهمیت بسیار زیادی برخوردار است».
Yu میگوید: «در این گفتگوها مدیران سازمانها باید متقاعد شوند که عدم رسیدگی به مسائل امنیتی ممکن است مانع از رشد کسبوکار یا ایجاد مخاطرات شغلی و عملیاتی شود».
Stapleton معتقد است که ارایه صحبتهایی از سوی مدیران امنیت درباره مخاطرات زنجیره تأمین نرمافزار سازمانی و بازگشت سرمایه مورد انتظار از پیادهسازی یک نرمافزار تحلیل وابستگیهای کد منجر به جلب توجه مدیران سازمان میشود.
3. بکارگیری گزارش امنیت سایبری آماده
مدیران ارشد امنیت اطلاعات گزارش امنیت سایبری را معمولاً بر اساس اطلاعاتی که از ابزارهای امنیتی دریافت میکنند ارایه میدهند. بنابراین تمرکز آنها عموماً بر روی فعالیتهای عملیاتی، تلاش در جهت رفع آسیبپذیری یا راهکارهایی است که به صورت کلی و عمومی تجویز میشوند. Peter Prizio مدیرعامل بخش SnapAttack شرکت Booz Allen Hamilton میگوید: «مخاطرات مشابه و یکسان نیستند. بنابراین اطلاعاتی که توسط نرمافزارها و ابزارهای امنیتی ارایه میشوند چندان قابل اعتماد نمیباشند».
Prizio میگوید: «مدیران ارشد امنیت اطلاعات باید بر روی مسائلی مثل حفظ اعتبار و نام سازمان، حفاظت از داراییهای مهم و تداوم کسبوکار که از اهمیت نسبتاً زیادی برای سازمان برخوردار هستند تمرکز کنند. بنابراین آنها باید از ابزارهایی استفاده کنند که دستیابی به چنین اهدافی را برایشان میسر نمایند». همچنین او هشدار میدهد که نباید از استانداردهای قانونی برای ارزیابی و سنجش مخاطرات استفاده کرد چون میزان پیشرفتی که نسبت به این استانداردهای قانونی صورت گرفته با مخاطرات واقعی که یک کسبوکار با آنها مواجه است تناسب چندان زیادی ندارد.
4. عدم آمادگی برای پاسخدهی به سؤالات
James Nelson معاون امنیت اطلاعات شرکت Illumio میگوید: «جلسات هیئت مدیره محل مناسب برای غافلگیر شدن نبوده و مدیران ارشد امنیت اطلاعات نباید با پرسشهایی مواجه شوند که قادر به پاسخگوییشان نیستند». از این رو این افراد باید در هنگام مشخص نمودن موضوعات مورد بحث و تهیه محتوای اسلایدها به پرسشهای احتمالی که ممکن است از مدیران سازمانها مطرح شوند فکر کرده و پاسخهایشان را نیز دریابند».
Nelson توصیه میکند که یکسری اطلاعات کلی درباره مطالبی که آماده کردهاید، پرسشهایی که ممکن است مطرح شوند و همچنین برنامهای که برای پاسخ به آنها دارید را در اختیار مدیران سازمانها قرار دهید. بنا به گفته او: «آنها میدانند که نمیتوانید همه مواردی را که در جلسه مطرح میشوند حدس بزنید اما انجام این فرایند منجر به اعتمادسازیشان نسبت به شما میشود».
5. ترساندن بیش از حد دیگران و تلاش افراطی برای ایجاد و تقسیم نگرانیها
Watts میگوید: «در جلسات گزارش امنیت سایبری ممکن است وسوسه شده و بار تهدیدات سایبری را از روی دوشتان بردارید در حالی که حضور هیئت مدیره در جلسه به معنی کاهش بار کاری شما نیست». او میگوید: «در استفاده از ترس و تردید و بیاعتمادی به عنوان سلاح احتیاط کنید چون ممکن است همین سلاح بر علیه شما عمل کند».
یه جای شانه خالی کردن از زیر بار مسئولیت بهتر است مشکلات، راهحلهای پیشنهادی، توصیهها و مزایایشان را توضیح دهید. براساس گفته Watts: «میتوانید این اطلاعات را در قالب یک پکیج ارایه دهید».
همچنین از ورود بیمقدمه و ناگهانی به بحثهای جنجالی جداً خودداری کنید. Watts میگوید: در صورت لزوم یادداشت برداری کرده، اطلاعات مورد نیاز را نگه داشته و سپس به آنها مراجعه کنید. همچنین در هنگام بیان اخبار بد از اتهامزنی یا درگیری اجتناب کنید و پیش از بیان صریح اخبار ناگوار، آمادگیهای لازم را در مخاطبان ایجاد نمایید. اعضای هیئت مدیره علاقه چندانی به غافلگیری بهویژه در رابطه با اخبار بد ندارند.
6. جلوه امنیت سایبری به عنوان یک هزینه بزرگ
Mandy Andress مدیر ارشد امنیت اطلاعات شرکت Elastic معتقد است که یکی از اشتباهات رایج مدیران ارشد امنیت اطلاعات در هنگام گفتگو با اعضای هیئت مدیره عدم تلاش جهت تغییر این دیدگاه منسوخ که «امنیت سایبری از جمله منابع مهم ایجاد هزینه برای سازمانها است» میباشد. مدیران سازمان باید بپذیرند که تأمین و حفظ امنیت منجر به توانمندسازی کسبوکارها، رشد و ترویج ابتکار میشود».
Jasmine Henry مدیر امنیت شرکت JupiterOne و مدیر ارشد امنیت اطلاعات سابق میگوید: «مدیران امنیت معمولاً جلسات بحث و گفتگو با مدیران سازمانها را فقط با هدف دریافت بودجه و منابع بیشتر برگذار میکنند». ممکن است شما نیز با ارایه یک فهرست پیچیده از نیازهای فنی، توجه مدیران را برای سرمایهگذاری امنیتی جلب کنید اما باید بدانید که ابتدا باید دیدگاه هیئت مدیره نسبت به امنیت سایبری تغییر نموده و آن را به عنوان یک عامل پرهزینه تلقی نکنند».
مدیران ارشد امنیت اطلاعات با ارایه شواهدی مبنی بر اینکه امنیت سایبری ابزاری برای درآمدزایی و حفظ سرمایه سازمان است نه ایجاد هزینه، میتوانند نظر هیئت مدیره را جلب کنند. انجام چنین کاری با مشخص نمودن پیامدهای امنیت بر روی سود و زیان کسبوکارها امکانپذیر است. بنا به گفته Henry: «میتوانید جهت متقاعد نمودن هیئت مدیره در پذیرش امنیت به عنوان یک عامل درآمدزا، به نقش امنیت سایبری در فرایند فروش و درآمد کل حاصل از همه قراردادهایی که شامل الزامات امنیتی و استانداردهای قانونی امنیتی بودهاند، اشاره کنید».
Dartnall میگوید:«اگر تهدیدی منجر به ایجاد هزینه یا از کار افتادگی میشود، مشخص نمودن میزان افزایش سود در اثر حذف آن تهدید میتواند مفید باشد. برای مثال سازمان در اثر وقوع حمله Y باید غرامتی به مبلغ X را به مشتریان پرداخت کند در حالی که با پیادهسازی کنترل امنیتی مربوطه، بخشی از درآمد از دست رفتهمان به ارزش Z را جبران میکنیم».
7. عدم توجه به روابط خارج از جلسه هیئت مدیره
Matthew Smith مدیر بخش امنیت اطلاعات و سایبری Place Wealth Management میگوید: «مدیران ارشد امنیت اطلاعات معمولاً هیچگونه تلاشی برای برقراری ارتباط دوستانه با اعضای هیئت مدیره در محیطهای غیررسمی و خارج از جلسات نمیکنند. بنا به گفته او: «درک انگیزههای حرفهای و شخصی مخاطبانتان به شما کمک میکند که با نیازهای آنها آشنا شده و یک گزارش امنیت سایبری مناسب و تأثیرگذار را برای آنها تولید کنید. همچنین میتوانید پیام یا محتوای مدنظرتان را به راحتی منتقل کنید».
Watts نیز با این عقیده موافق بوده و میگوید: «درباره اعضای هیئت مدیره تحقیق کنید؛ انگیزههای آنها را بشناسید و در بین این گروه (بهویژه افراد غیرفنی که شما را با شرایط جلسه آشنا میکنند) برای خودتان همراه و متحد پیدا کنید. میتوانید در زمان صحبت با این افراد درباره طرحهای تجاری از روش تقسیم و غلبه استفاده کنید؛ یعنی کارهای بزرگ و پیچیده را به صورت شخصی با آنها مطرح نموده و موانع مهم را از بین ببرید».
سپس میتوانید از نتیجه گفتگوهایی که با آنها انجام دادهاید برای تشخیص مخالفان و موافقان استفاده کنید. بنا به گفته Watts: «باید همزمان یک سیاستمدار، فروشنده، مدیر حساب، دلال و میانجی بوده و آنها را متقاعد کنید که در تصمیمگیریها نقش دارند».
منبع: csoonline