سال گذشته وقتی به بازخوردهای مربوط به مشکلات و محوریتِ صنعت امنیت سایبری نگاه می‌کردیم هم احساس خوبی داشتیم و هم بد. یک سال بعد، مشخص شد که نتایج بررسی‌های جدیدمان حتی از قبلی هم جالب‌تر از آب درآمده. نام گزارش کامل «امنیت سایبری از دریچه‌ی نگاهِ مدیر ارشد امنیت اطلاعات: چشم‌اندازهایی بر این سِمَت» بود که متخصصینِ ما آن را با مشارکت 451 پاسخ‌دهنده انجام دادند. در ادامه با ما همراه باشید تا مبسوط به این گزارش بپردازیم.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با اولین نگاه به نتایج این دو تحقیق در طول این دو سال چنین حسی به آدم دست می‌دهد: امنیت اطلاعات و به طور خاص نقش مدیر ارشد امنیت اطلاعات (CISO) دارد روز به روز نزد کسب و کارها اهمیت بیشتری پیدا می‌کند- دست‌کم این را حدود 300 متخصص حوزه‌ی امنیت اطلاعات گروه ما تأیید می‌کنند. خوب این نشانه‌ی خوبیست. همچنین اینکه شرکت‌کنندگان پژوهشی بیش از قبل، سِمَت‌های «مدیریت ریسک» و سایر مهارت‌های کسب و کار را از میان پُست‌های مهم دیگر فهرست می‌کنند را نیز به فال نیک می‌گیریم.

با این حال برخی هنوز هم می‌گویند مهارت‌های فنی و اشراف روی سیستم‌های آی‌تیِ شرکت از جمله مهارت‌های کلیدی هم در حیطه‌ی کاری و هم برای پیشرفتِ آتی به حساب می‌آید. گرچه دانش فنی، برای هر مدیر ارشد امنیت اطلاعات، رکنی اساسی است (و گرچه CISOها باید در مواجهه با فناوری‌های جدید با احتیاط و ملاحظه رفتار کنند) اما این صنعت می‌بایست این را هم در نظر داشته باشد که سیستم‌های مدرن آی‌تی (حتی به طور بالقوه از حیث بخش تکنیکی) برای CISOها بسیار پیچیده‌تر از اینها هستند.

افزون بر این، سیستم‌های اطلاعاتی دارند همینطور پیچیده‌تر نیز می‌شوند (که خیلی از شرکت‌کنندگانِ تحقیقات انتظارش را دارند). بنابراین، مهارت‌های فنی یک CISO در عین حال که مهمند اما باز، مهارت‌های دیگری چون مدیریت ریسک، مدیریت مؤثر تیم و ارتباطات کسب و کار مقدم‌ترند. امروزه پرسنل یک کسب و کار حرف اول را می‌زند.

مردم را درک کنید نه سیستم‌ها را

در حقیقت، هر دو سیستم‌های آی‌تی و فناوری‌های امنیتی اکنون آنقدری پیچیده هستند که دست افراد حرفه‌ایِ بسیار متخصص را برای اتخاذ تصمیماتی که رگ حیاتی شرکت است باز بگذارند. البته، این تغییر باعث می‌شود اعتماد به تیم حتی از قبل هم اهمیت بیشتری پیدا کند. از طرفی، مدیر دپارتمان امنیت اطلاعات باید بتواند به متخصصینِ تیمش اعتماد کند و از طرفی دیگر آن‌ها نیز باید به قضاوت‌ها و تصمیم‌های CISO اعتماد کنند- و کورکورانه یا بدون توانایی بیان نظرات خود آن‌ها را بپذیرند. البته این رابطه باید مبتنی بر دغدغه‌ای مشترک و با احترام متقابل صورت گیرد.

به نقل از شرکت‌کنندگان در تحقیق، تقبلِ خرید سیستم‌ها که قیمتشان پیوسته بالا می‌رود برخی‌اوقات آسانتر از استخدام متخصصین امنیت اطلاعات بیشتر است. شاید خریدن سیستم‌های جدید و پرزرق و برق ایده‌ی بسیار هیجان‌انگیزی باشد اما این خیلی مهمتر است که بتوان مهارت‌ها و شایستگی‌های کلیدی را که برای متخصصین درون‌سازمانی (و آن‌هایی که می‌شود برون‌سپاری کرد) از واجبات است، شناسایی کرد. در حقیقت، با توجه به کمبود متخصصین در بازار، به گمان ما خوب است اگر برون‌سپاری را به چشم یک فرصت برای ارتقای قابلیت‌های دپارتمان دیده و به نیازهای کسب و کار واکنش‌های سریعتری نشان دهیم.

از واکنش به رخداد تا مدیریت ریسک

هرچند نقش CISO در نظر سهامداران– بعنوان مثال هیئت مدیره یا مدیر اجرایی-، دیگر پررنگ شده و اهمیت خاصی پیدا کرده است؛ اما مثل سابق هنوز هم وقتی رخدادی صورت می‌گیرد  تماس می‌گیرند و درخواست کمک می‌کنند. (خوشبختانه این بیشتر برای رقبا یا همتاهای صنعتی پیش می‌آید. با این وجود، نشان می‌دهد بسیاری از شرکت‌ها امنیت اطلاعات را به عنوان ابزاری برای مدیریت ریسک نمی‌دانند). و وقتی ازشان می‌پرسند مدیریت، کارکردِ امنیت سایبری را با چه شاقُلی می‌سنجد، خیلی از CISOها همچنان تعداد رخدادها یا زمان واکنش به رخداد را شاخص‌های کلیدی می‌دانند. البته که اینها مؤلفه‌های مهمی‌اند اما در مفهوم جامعه‌ی امروزیِ سایبریِ کسپرسکی، یک شرکتِ بخوبی محافظت‌شده آنی نیست که صرفاً تعداد حملات را پایین می‌آورد و یا به سرعت به رخدادهای واکنش نشان می‌دهد؛ بلکه آنیست که کسب و کارش با وجود چنین رخدادهایی به طور موفقیت‌آمیزی پیشرفت کند.

از اینها گذشته، ریسک‌های قابل‌تحمل و خسران‌هایی که پذیرششان آسانتر از سایر خسران‌هاست از شرکتی به شرکت دیگر متفاوت است. برخی‌اوقات ارزشش را دارد که محض رونق بخشیدن به کسب و کار کمی جوانب حفاظتی را شُل‌تر گرفت. در برخی مواقع هم شاید این کار، گزینه‌ی خوبی نباشد. تعداد رخدادها نمی‌تواند سنگ محک دقیقی برای عملکرد امنیت اطلاعات باشد. نحوه‌ی تأثیر اقدامات امنیت اطلاعات بر سرعت پردازش امور و هزینه‌ها هم حائز اهمیت می‌باشد. بنابراین به زعم ما مدیران ارشد امنیت اطلاعات باید اول از همه بتوانند به جای تمرکز بیش از حد روی حفاظتِ رخدادها به حد کافی ریسک‌ها را مدیریت نموده و سیستم‌های امنیت اطلاعات را به طور بی‌نقصی سازگار با شرکت‌ها و پروسه‌های تجاری خود طراحی نمایند.

تعامل بیشتر با مشاورین حقوقی

چیز دیگری که از میان پاسخ‌های شرکت‌کنندگان در تحقیق توجه ما را به خود جلب کرد، اهمیت تعامل با سایر دپارتمان‌های داخل شرکت بود. به مشاورین حقوقی باید خیلی بیشتر از اینها اولویت داده شود. امروزه، پیچیدگی‌های رو به فزونیِ سیستم‌های آی‌تی و ارتطابات بینابینی‌شان با سرویس‌های خارجی از طرفی و قوانین بین‌المللی از طرفی دیگر به این معناست که نمی‌شود پیامدهای قانونی‌ای که تصمیمات متخصصین امنیت اطلاعات می‌تواند داشته باشد نادیده گرفت.

پاسخ‌دهندگانِ پژوهش تماس با مشاورین حقوقی را - بعد از مدیران مالی، هیئت مدیره و همکاران دپارتمان آی‌تی- در رتبه‌ی چهارم قرار دادند. به عقیده‌ی ما تعامل با مشاورین حقوقی می‌بایست دست‌کم بر تماس با مدیران مالی مقدم باشد. تنها زمانی غیر این معقول است که امنیت اطلاعاتی‌ را به چشم ابزاری برای مدیریت کسب و کار ببینید.