آشنایی با مهمترین ویژگی های مدیران موفق در حوزه امنیت اطلاعات

در سال‌های اخیر با توجه به رشد و توسعه چشم گیر فناوری اطلاعات از یک سو و حفظ امنیت این اطلاعات از سویی دیگر، جایگاه شغلی مدیر ارشد امنیت اطلاعات مورد توجه جدی قرار گرفته است. امروزه تداوم کسب‌وکارها ارتباط مستقیمی با موفقیت امنیت اطلاعات دارد. بنابراین مدیران ارشد امنیت اطلاعات باید ویژگی‌های خاصی داشته باشند که با فرایندها و سازوکارهای امنیت اطلاعات همخوانی داشته و بر مبنای نیازها و الزامات مختلف کسب‌وکارشان رفتار کنند.

در این مطلب از فراست، بعضی از مهمترین مهارت‌هایی که مدیران ارشد امنیت اطلاعات باید داشته باشند و همچنین نحوه نایل به شدن آنها را بررسی می‌کنیم.

 

یک مدیر ارشد امنیت اطلاعات امروزی با زبان کسب‌وکاری صحبت می‌کند.

در گذشته معمولاً مدیرعامل سازمان از مدیر ارشد امنیت اطلاعات انتظار داشت که فقط اقدامات فنی و محرمانه را برای حفاظت از سازمان انجام دهد. Dave Stapleton مدیر ارشد امنیت اطلاعات شرکت CyberGRX می‌گوید: «اکنون مدیران ارشد امنیت اطلاعات نمی‌توانند صرفاً یک کارمند فنی باشند بلکه باید کسب‌وکار و اهداف سازمان شان را درک کرده و نحوه پشتیبانی از این اهداف را تشخیص دهند. آنها باید اطلاعات کاربردی لازم را در اختیار مدیران قرار داده و فرهنگ امنیتی را در کل سازمان ایجاد و گسترش دهند».

Stapleton همچنین می‌گوید: «اگر مدیران ارشد امنیت اطلاعات، اهداف اصلی کسب‌وکارشان را به خوبی درک نکرده یا نتوانند تأثیر امنیت بر این اهداف را به درستی تشریح کنند، تلاش‌هایشان اثر چندانی نخواهند داشت. گاهی وقت ها این ناتوانی در برقراری ارتباط می‌تواند منجر به تصمیم‌گیری‌های ضعیف توسط مدیر ارشد امنیت اطلاعات یا رهبران سازمان شود که تأثیر منفی بر امنیت سازمان خواهد داشت».

Stapleton معتقد است مدیران ارشد امنیت اطلاعات، مهارت‌های ارتباطی کسب‌وکار محور را با انجام تمرین‌های ویژه می‌توانند در خودشان پرورش دهند. او می‌گوید: «همه مدیران ارشد امنیت اطلاعات باید فرصت‌هایی برای بیان پیام خودشان به مدیرعامل سازمان پیدا کنند؛ حتی اگر سازمان از آنها نظری درخواست نکرده یا به نظرشان اهمیت نمی‌دهد. تمامی این فرصت‌ها از اهمیت زیادی برخوردار بوده و امکان برقراری ارتباط مؤثر را فراهم می‌کنند».

Stapleton توصیه می‌کند که: «مدیران ارشد امنیت اطلاعات بایستی به جز خبرهای فنی و امنیت، مطالب رسانه های خبری معروف همچون وال استریت ژورنال (The Wall Street Journal)، فوربز (Forbes) و بلومبرگ (Bloomberg) را هم مطالعه کنند».

 

نقش مدیران ارشد امنیت اطلاعات به عنوان یک همکار

مدیران ارشد امنیت اطلاعات امروزی باید علاوه بر قابلیت صحبت کردن به زبان کسب‌وکار، توانایی برقراری ارتباط در سطوح مختلف سازمان و حفظ آن را داشته باشند. Ian Glover مدیرعامل شرکت CREST که در زمینه صدور گواهینامه و انطباق امنیت اطلاعات به صورت بین المللی فعالیت می‌کند، در این خصوص می‌گوید: «بخش امنیت سایبری یک سازمان در صورتی می‌تواند فعالیت مؤثری داشته باشد که از سوی سایر بخش‌های کسب‌وکار مثل بخش فناوری اطلاعات، بخش ارتباطات، بازرسی‌های داخلی، منابع انسانی، بازاریابی و حتی طرح‌های تغییر فرهنگ مورد حمایت و پشتیبانی قرار گیرد».

Glover می‌گوید مدیران ارشد امنیت اطلاعات باید حوزه‌هایی از کسب‌وکار که امکان جلب پشتیبانی برای آنها وجود دارد را تشخیص داده و تلاش کنند روابط مبتنی بر اعتماد، همدلی و شفافیت را ایجاد کنند.

Mark Nicholls مدیر ارشد امنیت اطلاعات شرکت Chime Group هم دیدگاه مشابهی داشته و بر اهمیت نقش افراد سازمان در هر راهکار امنیتی تأکید می‌کند. او می‌گوید: «بدون وجود روابط قوی در یک کسب‌وکار، اثربخشی عملیات های امنیتی بسیار سخت خواهد بود. همه اعضای تیم امنیت از جمله مدیر ارشد امنیت اطلاعات باید با واحدهای مختلف کسب‌وکار همکاری کرده تا اهداف سازمان و نقش امنیت در دستیابی به این اهداف برای هر یک از کارکنان سازمان به خوبی تفهیم شود».

وجود فرهنگ عاری از سرزنش که موفقیت‌ها را ستایش کرده و به رفتارهای خوب پاداش می‌دهد، به برقراری چنین روابطی کمک می‌کند. Nicholls می‌گوید: «برقراری ارتباط با یک کسب‌وکار، یعنی کسب‌وکار مدنظر از مدیران ارشد امنیت اطلاعات درخواست کمک کرده و آنها را در اولین مراحل پروژه مشارکت می‌دهد. از این رو به جای تلاش برای پیاده‌سازی امنیت پس از طراحی، اصول امنیتی از همان مرحله طراحی در نظر گرفته می‌شوند».

 

یک مدیر ارشد امنیت اطلاعات از نظر احساسی باهوش است.

بنا بر گفته های Stephen Khan یکی از مدیران شرکت ClubCISO: «مدیران ارشد امنیت اطلاعات باید هوش احساسی داشته باشند. چنین ویژگی هم باعث همدلی با سایر کارکنان شده و هم خودآگاهی را افزایش می‌دهد». او می‌گوید: «نیاز به مدیریت یک تیم در محیط‌های پرفشار امروزی باعث شده که یکی از مهمترین دغدغه‌های ما رفاه مدیران بخش‌های امنیت و پشتیبانی از آنها باشد. وجود همدلی و درک نگرانی‌های آنها و برقراری ارتباط با این افراد منجر به ایجاد پیامدهای مثبت بیشتری خواهد شد».

به طور مشابه به رسمیت شناختن و درک خلأهای اطلاعاتی و جانبداری‌ها جزو مهمترین ویژگی‌های مدیران امنیت امروزی محسوب می شوند. Kahn می‌گوید: «آگاهی از این موضوع به ما اطمینان می‌دهد که قادر به ایجاد تیمی متنوع و فراگیر بوده و افرادی را استخدام کنیم که مکمل دانش ما و پوشش دهنده نقاط ضعف مان هستند. علاوه بر این با توجه به فشار ناشی از نقش مدیران ارشد امنیت اطلاعات، مراقبت از خود و توانایی برقراری تعادل بین زندگی، خانواده، کار و توجه به خود مانع از خستگی و دلزدگی از کار (که همواره جزو مشکلات مهم مدیران امنیت در سطح جهان است) می‌شود».

 

یک مدیر ارشد امنیت اطلاعات مدرن، تمرکز راهبردی دارد.

بر اساس گفته های Emilian Papadopoulos مدیر شرکت مشاوره امنیتی Good Harbor: «یکی از مهمترین ویژگی‌های مدیران ارشد امنیت اطلاعات امروزی که اغلب مورد توجه قرار نمی‌گیرد، تمرکز راهبردی است». او می‌گوید: «معمولاً عوامل مختلفی از جمله نیاز به اطلاع از جدیدترین روش‌ها، فنون و محصولات، وجود فناوری‌هایی که همواره به روزرسانی می‌شوند، تغییر در محیط‌های کاری و هجوم پرسش‌های مطرح شده از سمت مدیران عامل، نهادهای بالاسری و مشتریان باعث بر هم خوردن تمرکز مدیران ارشد امنیت اطلاعات از این هدف می‌شود. عموماً مدیران ارشد امنیت اطلاعات به دلیل ماهیت خاص شغلی شان باید به صورت شبانه‌روزی در دسترس بوده و امکان برقراری تماس با آنها وجود داشته باشد».

از این رو طبق گفته Papadopoulos: «تمرکز بر فرصت‌های راهبردی به جای واکنش نشان دادن به اطلاعات داخلی، یکی از چالش‌های مهم مدیران ارشد امنیت اطلاعات امروزی است». با این حال مدیرانی هم هستند که به روش‌های مختلف همچون طراحی یک راهکار مستندسازی شده و مختصر، تهیه فهرست کوتاهی از فرصت‌ها با کسب رضایت طرف‌های ذینفع و ایجاد اولویت‌های مشترک (که به جز اولویت‌های خودشان به سلایق و اولویت‌های دیگران نیز توجه کنند) و گفتگو با سایر مدیران ارشد امنیت اطلاعات در این زمینه توانایی پیدا کرده‌اند».

یک مدیر ارشد امنیت اطلاعات مدرن، سرسخت و مقاوم است.

در نهایت، یک مدیر ارشد امنیت اطلاعات در دنیای امروزی باید سرسخت بوده تا بتواند در محیط امنیتی چندوجهی و پیچیده امروزی به موفقیت برسد. Stapleton می‌گوید: «به طور کلی امنیت سایبری فاقد راهکارهای سریع برای رفع مشکل است. در نتیجه هر مدیر ارشد امنیت اطلاعات باید چشم‌انداز طولانی مدت داشته باشد. چنین تغییراتی نیاز به صرف زمان و منابع دارد».

مدیران ارشد امنیت اطلاعات باید درباره نحوه اصلاح و بهبود امنیت سایبری، یک پیام منسجم داشته باشند. به گفته Stapleton: «بعید است که این افراد با اولین درخواست، پاسخ مثبت بگیرند. بنابراین باید ظرفیت شنیدن جواب منفی و تلاش مجدد برای جلب توجه و سرمایه گذاری را داشته باشند».

Kahn هم با این جمله موافق بوده و می‌گوید: «گاهی وقت ها فشارهایی از سمت طرف‌های ذینفع و دخیل وجود دارد. پس باید تمرکز و اعتمادتان را در مسیر پیش رو حفظ کرده و منطق و تلاش لازم را برای تغییر مسیر داشته باشید. برخلاف تغییر مسیرهای پی در پی بر اساس احساسات دیگران که باعث خسته و دلسرد کردن تیم‌ها می‌شود حفظ تمرکز می تواند به موفقیت تیم شما کمک کند».

خروج از نسخه موبایل