مروری بر نقش مدیر ارشد امنیت اطلاعات1395/8/19 چهارشنبه
 
مروری بر نقش مدیر ارشد امنیت اطلاعات

چکیده

 

کسب‌وکارهای بلوغ‌یافته‌ نیازمند نقشی هستند که قادر باشد برنامه امنیت اطلاعات را تهیه و مدیریت ‌کرده و میان دو نیازمندی‌ «محافظت از کسب‌وکار» و «گرداندن کسب‌وکار» توازن ایجاد کند. ایفای این نقش که با عنوان «مدیریت ارشد امنیت اطلاعات» در سازمان شناخته می­شود، باید توسط راهبری معتبر، مقبول و سرشناس که از کسب‌وکار سازمان به‌خوبی آگاه است، صورت پذیرد. مدیر ارشد امنیت اطلاعات برای برقراری ارتباط مؤثر با مدیران ارشد سازمان و راهبران کسب‌وکار نیازمند مهارت­های ارتباطی، ارائه مطلب و تسهیلگری بسیار قوی است. تصمیم­گیری دربارۀ جایگاه سازمانی این نقش، نیازمند درک انتظارات سازمان از تعاملات مدیر ارشد امنیت اطلاعات با سایر بخش­های سازمانی و درک مسئولیت‌ها و اختیارات وی در سازمان است و به‌شدت به میزان بلوغ فرآیندهای اساسی امنیت اطلاعات در سازمان وابسته است.

واژه‌های کلیدی:

مدیر ارشد امنیت اطلاعات، راهبر امنیت، سازمان‌دهی امنیت اطلاعات، برنامه امنیت اطلاعات، نقش، مسئولیت، پاسخگویی

1-       چرا کسب­وکارها به مدیر ارشد امنیت اطلاعات نیازمند هستند؟

امروزه می­توان گفت سازمانی که در آن نقشی با عنوان مدیر ارشد امنیت اطلاعات[1] یا نقشی معادل آن وجود ندارد، از استانداردهای محافظتی حوزه امنیت اطلاعات خارج بوده، در برابر تهدیدها، جرائم و انطباق[2] با الزامات مقرراتی و قراردادی آسیب­پذیرتر است. این مسئله ،آسیب­پذیری، تنها به دلیل نبود جایگاه سازمانی با عنوان مدیر ارشد امنیت اطلاعات نیست؛ بلکه - فارغ از اینکه این نقش با چه عنوانی در سازمان خطاب می­شود یا به چه جایگاهی گزارش می­دهد - نیاز است تا مدیری، برنامه امنیت اطلاعات سازمان را مدیریت کرده، میان نیازمندی‌های محافظت از کسب‌وکار و گرداندن کسب‌وکار توازن ایجاد کند.

در حقیقت، در سازمان­هایی که شمار کارکنان بخش فناوری اطلاعات آن بیش از 150 نفر است، وجود فردی تمام‌وقت با عنوان شغلی مدیر ارشد امنیت اطلاعات توجیه اقتصادی یافته و ضروری به نظر می­رسد. از دیگر ضرورت­ها برای وجود نقش مذکور می­توان به موارد زیر اشاره نمود:

  • حصول اطمینان از استقرار مناسب امنیت در سازمان و توازن بهینه میان هزینه و عملکرد؛
  •  مطرح شدن امنیت فناوری اطلاعات به عنوان یکی از مسائل و مفاهیم ذاتی کسب­وکار؛
  •  نقش مدیر ارشد امنیت اطلاعات به‌منزله پلی میان کسب‌وکار و امنیت فناوری اطلاعات است.

2-      مدیر ارشد امنیت اطلاعات در دستیابی به اهداف کسب­وکار چه نقشی دارد؟

نقش مدیر ارشد امنیت اطلاعات را می‌توان با استفاده از ارتباطاتش با مدیریت متمرکز برنامه امنیت اطلاعات سازمانی[3] و جامع، تعریف نمود. مدیر ارشد امنیت اطلاعات یا نقشی معادل آن، مسئولیت تمام‌وقت مدیریت برنامه امنیت اطلاعات، اخذ تصمیم­های مرتبط و هم­راستاسازی فعالیت­های امنیت با نیازمندی­های کسب‌وکار را بر عهده دارد. مدیر ارشد امنیت اطلاعات به‌طور فعال با واحدهای کسب‌وکار در به‌کارگیری و اجرای خط­مشی­ها و استانداردهای تعریف‌شدۀ امنیت اطلاعات همکاری می­کند.

مخاطرات اطلاعات

مخاطرات  کسب و کار

درواقع، مدیر ارشد امنیت اطلاعات در بهترین جایگاه سازمانی برای ایجاد ارتباطی قوی میان مخاطره[4] اطلاعات و مخاطره  کسب‌وکار قرار دارد. وی، راهبران کسب‌وکار را از باقی ماندن سطح مخاطره‌های فناوری اطلاعات در میزان قابل‌پذیرش سازمان مطمئن ساخته و بدین ترتیب، در محوریت قرار گرفتن فناوری اطلاعات در کسب‌وکار سازمان نقش مهمی ایفا می­کند. مدیر ارشد امنیت اطلاعات باید با هوشیاری از فرصت­هایی نظیر تغییر نگرش به مخاطره انتقال نگرش از مخاطره عملکرد سامانه­های اطلاعاتی به‌سوی مخاطره عملکرد کسب‌وکار - در سازمان بهره­برداری کند.

مدیر ارشد امنیت اطلاعات می­تواند باهدف ایجاد پیوندهایی قدرتمند میان اهداف امنیت اطلاعات و کسب‌وکار و یاری‌رساندن به مدیران ارشد اجرایی در نظارت مؤثر بر مخاطرات، اقداماتی را در سازمان به انجام رساند. نخستین اقدام، شناسایی مزایای تجاری سرمایه­گذاری در حاکمیت امنیت و مخاطرات اطلاعات و معرفی آن به مالکان کسب‌وکار است. اقدام دوم، تعامل با مدیران ارشد و برگزاری نشست­هایی با ایشان به‌منظور مقابله با منشأ مخاطرات اطلاعاتی است. بدین ترتیب، واحدهای اجرایی که در صورت توقف عملیات سامانه‌های فناوری اطلاعات تأثیر می­پذیرند، شناسایی‌شده، روش­های توصیف مخاطره به­گونه­ای قابل‌فهم برای ایشان جمع­بندی و تعیین می­شود. در این صورت، چنانچه توافقی دربارۀ مخاطره‌های باقیمانده وجود نداشته باشد با به‌کارگیری زبان مشترک راحت‌تر حل‌وفصل خواهد شد. اقدام سوم، گزارش دهی مخاطره­های اطلاعاتی با زبانی قابل‌فهم برای راهبران کسب‌وکار است. بطوریکه، مدیر ارشد امنیت اطلاعات باید مخاطره‌های اطلاعات را در قالب تأثیرات آن‌ها بر دستاوردها [5] و اهداف[6] کسب‌وکار بیان کند.

به‌طورکلی، برخی مسئولیت­های مهم مدیران ارشد امنیت اطلاعات شامل و نه محدود به- موارد زیر است:

  •         تهیه و نگهداری راهبردهای امنیت اطلاعات[7] سازمان
  •         تهیه، نگهداری و مدیریت برنامۀ سازمانی امنیت اطلاعات
  •         ایجاد و به‌کارگیری چارچوبی برای پایش[8] اثربخشی و بهره­وری برنامه امنیت اطلاعات
  •         تعریف و پیاده‌سازی راهبردهای مدیریت مخاطرات اطلاعات در مشورت و همکاری با گروه­های مخاطره سازمان
  •         پایش فرآیند مدیریت مخاطرات اطلاعات
  •         تهیه و نگهداری خط‌مشی‌های سازمانی امنیت اطلاعات
  •         شناسایی و تحلیل عوامل داخلی و خارجیِ تأثیرگذار بر امنیت اطلاعات
  •         ایجاد چارچوبی برای نقش­ها و مسئولیت­های امنیت اطلاعات
  •         تهیه و نگهداری بودجه­بندی امنیت اطلاعات
  •         تهیه، نگهداری و مدیریت برنامه­های آموزشی و آگاهی‌رسانی امنیت اطلاعات در سطح سازمان
  •         حصول اطمینان از هم­راستایی معماری امنیت اطلاعات با معماری سازمانی
  •         حصول اطمینان از یکپارچگی طرح‌های‌ پاسخگویی به حادثه، بازیابی از فاجعه و تداوم کسب‌وکار
  •         فراهم ساختن گزارش‌های منظم از وضعیت کنونی برنامه و مخاطرات امنیت اطلاعات برای کمیتۀ راهبری امنیت اطلاعات[9]، گروه­های مخاطره سازمان، راهبران کسب‌وکار یا هیئت‌مدیره در صورت نیاز

3-     چه کسی برای نقش مدیر ارشد امنیت اطلاعات مناسب است؟

مدیر ارشد امنیت اطلاعات باید راهبری معتبر، مقبول و سرشناس در سازمان بوده و از دانش کارآمدی در حوزه مدیریت کسب‌وکار برخوردار باشد. شخصی که قرار است این نقش را در سازمان بر عهده گیرد باید در درجه اول درک مناسبی از کسب‌وکار سازمان داشته باشد. دانش وی دربارۀ فناور­ی­های امنیت اطلاعات در جایگاه بعدی قرار دارد. بر این اساس، توصیه می­شود سازمان­ها، فردی را از میان آنان که زمینه کسب‌وکار قوی دارند و دارای تجربیاتی در این حوزه هستند، برای چنین نقشی انتخاب کنند و نه صرفاً از میان متخصصان و کارشناسان فنی. همچنین، کسی که این نقش را بر عهده می­گیرد نیازمند مهارت­های ارتباطی، ارائۀ مطلب و تسهیلگری بسیار قوی است. نامزد مناسب برای چنین نقشی باید مهارت­های لازم برای ایجاد همدلی میان مدیران ارشد سازمان و پیوند میان کارکنان و فرآیندها را دارا باشد.

مدیر ارشد امنیت اطلاعات باید از قوانین و مقررات بالادستی در حوزۀ امنیت اطلاعات و استانداردها، چارچوب­ها و بهروش‌های شناخته‌شده در این حوزه، آگاهی مناسبی داشته باشد. همچنین، باید توانایی اندیشیدن و اخذ تصمیم­های مهم در شرایط حساس و بحرانی را داشته، از مهارت­های مدیریت پروژه، مدیریت بودجه، مدیریت زمان‌بندی و منابع نیز برخوردار باشد. ازاین‌رو، مدیر ارشد امنیت اطلاعات بهتر است از میان افرادی که حداقل 8 تا 10 سال پیشینۀ کاری در ترکیبی از حوزه­های مدیریت مخاطرات، امنیت اطلاعات و فناوری اطلاعات دارند، انتخاب شود.

4-     مدیران ارشد امنیت اطلاعات موفق از چه اصولی پیروی می­کنند؟

مدیر ارشد امنیت اطلاعات باید با حفظ بی‌طرفی و درک این واقعیت که «امنیت تنها یکی از فعالیت­ها در میان فعالیت­های کسب‌وکار است» پیشران­ها[10]، محدودیت­ها و روحیات مختلف و گوناگون را با یکدیگر هماهنگ کند. درواقع، مدیر ارشد امنیت اطلاعات باید بداند که برنامۀ امنیت اطلاعات سازمان نمی­تواند به بهای هدر رفت توان سازمان در نیل به اهداف و مقاصد کسب‌وکار اجرا شود. در ادامه، شش مورد از اصولی که هر مدیر ارشد امنیت اطلاعاتی می­تواند با رعایت آن‌ها تنش میان امنیت اطلاعات و کسب‌وکار را کاهش داده و تاب­آوری[11] سازمان را ارتقاء بخشد، شرح داده شده است:

اصل 1: تلاش برای کنترل با استفاده از چک‌لیست[12] را متوقف کرده و تصمیم‌هایی بر پایۀ مخاطره اتخاذ کنید

پیروی از مقررات و چارچوب‌ها و عمل به آنچه ممیزان می‌گویند، به‌تنهایی، حفاظت مناسب و کافی را از سازمان فراهم نمی­کند. در حقیقت، راهبر موفق امنیت اطلاعات، سازمان را در تصمیم‌گیری بر پایۀ مخاطره[13] یاری می­کند. داشتن اندیشۀ مخاطره محور یعنی درک خطرات مهمی که کسب‌وکار با آن‌ها مواجه است یا خواهد بود و اولویت‌بندی کنترل­ها و سرمایه­گذاری­ها با هدف رسیدن به دستاوردهای مطلوب کسب‌وکار. بدین ترتیب، اندیشۀ مبتنی بر مخاطره به سازمان اجازه می­دهد تا به مخاطرات از منظر کسب‌وکار -و نه صرفاً از منظر فناوری اطلاعات- بپردازد و سرمایه­گذاری­ها را به‌سوی کنترل آن مخاطرات هدایت کند.

 اصل 2: صرفاً از زیرساخت‌ها محافظت نکنید، بلکه از دستاوردهای کسب‌وکار پشتیبانی نمایید

در دو دهۀ گذشته، سازمان­ها بر سرمایه­گذاری و محافظت از زیرساخت­های فناوری اطلاعات متمرکز بوده‌اند؛ با این رویکرد که اگر زیرساخت فناوری امن باشد، سازمان نیز امن خواهد بود. امروزه، این رویکرد نیازهای سازمان­ها در محافظت از کسب‌وکارشان را برآورده نمی‌کند. بنابراین، مدیر ارشد امنیت اطلاعات باید راهبردهای امنیت و مخاطرات اطلاعات را برای محافظت از دستاوردهای مطلوب کسب‌وکار، در سازمان توسعه دهد. در سازمان­های کسب‌وکار محور، دستاوردهای مطلوب به معنی عملکرد سازمانی بهتر و سوددهی بیشتر است.

اصل 3: بازدارنده نباشید، بلکه تسهیلگر باشید

مدیر ارشد امنیت اطلاعات باید از نقش بازدارندۀ صالح[14] سازمان به‌سوی نقشی تسهیلگر برای ایجاد توازن میان نیاز به حفاظت از سازمان و نیاز به رسیدن به دستاوردهای مطلوب کسب‌وکار حرکت کند. تفکر یک انسان بازدارنده، تنها بر از دست ندادن کنترل متمرکز است و این می­تواند برای کسب‌وکار سازمان محدودیت ایجاد کند. همچنین، مدیر ارشد امنیت اطلاعات نباید محافظت را با کنترل اشتباه گیرد. محافظت به معنای همراهی با سازمان در رسیدن به دستاوردها و اهداف کسب‌وکار است. در حقیقت، راهبران امنیت اطلاعات نباید به کسب‌وکار بگویند که چه باید انجام دهد یا در خصوص میزان مخاطره قابل‌پذیرش برای سازمان تصمیم­گیری کنند. تسهیلگری به معنی تغییر در شیوۀ اندیشیدن است، به‌گونه‌ای که با ایجاد پیشران­های مناسب، کسب‌وکار را در تصمیم‌گیری­های امنیتی سهیم خواهد کرد.

اصل 4: تلاش برای کنترل اطلاعات را متوقف کرده و به­جای آن، شیوه جریان اطلاعات[15] را تعیین کنید

ازآنجاکه امروزه اطلاعات دیجیتال، غالباً در زیرساخت‌هایی بیرون از سازمان نیز جریان دارند، کنترل کامل آن‌ها غیرممکن است. بنابراین، مدیران ارشد امنیت اطلاعات باید به‌جای تلاش برای کنترل جریان اطلاعات، به‌سوی دستیابی فهمی از  شیوه­ جریان اطلاعات حرکت کنند.

 اصل 5: محدودیت‌های فناوری را بپذیرید و انسان‌ محور [16]باشید

مدیران ارشد امنیت اطلاعات باید محدودیت‌های فناوری­ و راه‌حل‌های امنیتی اطلاعات را به‌درستی درک کرده و آگاه باشند که کارکنانی که از انگیزش قوی برخوردارند، می‌توانند استوار­ترین پیوند­ها دریک رشته زنجیر به‌حساب آیند؛ اما، ضروری است که انگیزۀ لازم را در افراد ایجاد کنید و رفتار آن‌ها را برای انجام صحیح امور به‌خوبی شکل دهید. به‌طورکلی «امنیت اطلاعات با رویکرد انسان ‌محور» بر پایۀ پاسخگویی و اعتماد به اشخاص استوار است.

اصل 6: تلاش برای محافظت کامل از سازمان را متوقف کرده و در تشخیص و پاسخ سرمایه‌گذاری نمایید

 با توجه به رشد روزافزون فضای دیجیتال، مدیران ارشد امنیت اطلاعات به این درک رسیده­اند که تلاش برای جلوگیری از به خطر افتادن دارایی­های اطلاعاتی سازمان همیشه کارساز نبوده و محافظت کامل از آن‌ها نیز دست‌یافتنی نیست. به همین دلیل، سازمان نیازمند است تا دارایی­های به خطر افتاده را شناسایی کرده و به‌سرعت اقدامات واکنشی مناسب را به­کارگیرد. بنابراین، بهتر است مدیران ارشد امنیت اطلاعات در راهبردهای سازمان به‌جای تمرکز محض بر جلوگیری از تهدیدها و اطمینان از پیشگیری کامل از آن‌ها، بر شناسایی رخدادهای امنیت اطلاعات و پاسخگویی سریع‌تر تمرکز کنند. تغییر این رویکرد و تحقق توانمندی­های تشخیص و پاسخگویی در سازمان، نیازمند بازتعریف راهبردهای سرمایه­گذاری و راهبردهای اولویت­بندی در امنیت اطلاعات است.

5-     مدیران ارشد امنیت اطلاعات چگونه می­توانند حمایت ذینفعان را کسب کنند؟

حتی زمانی که مدیران ارشد امنیت اطلاعات تعاملات خود را با کسب‌وکار بهبود بخشیده باشند، میان آنچه ایشان می­گویند و آنچه راهبران کسب‌وکار شنیده و درک می­کنند، اختلاف وجود دارد. بر این اساس، چنانچه مدیران ارشد امنیت اطلاعات از مهارت­های تعاملی مناسبی برخوردار نباشند، در برنامه­ریزی­های راهبردی سازمان مجالی برای سخن گفتن نخواهند یافت و این خود سبب می­شود امنیت اطلاعات به حاشیه رانده شود و عملکرد مناسبی در سازمان نداشته باشد. به‌کارگیری توصیه­های زیر می­تواند تعاملات و ارتباطات مدیر ارشد امنیت اطلاعات را با راهبران کسب‌وکار تا حد مناسبی بهبود بخشد.

توصیه 1: بیاموزید که با زبان کسب­وکار صحبت کنید؛ انتظار نداشته باشید که صاحبان کسب­وکار زبان پیچیدۀ امنیت را بدانند

متخصصان امنیت، عموماً افرادی با پس‌زمینۀ فنی هستند و همین موضوع باعث می­شود که مطالب را به زبان تخصصی بیان کنند. مناسب است مدیران ارشد امنیت اطلاعات در گفتارشان از اصطلاحات و عبارات به­کار گرفته‌ شده در راهبرد و ارتباطات کسب­وکار استفاده کنند. بدین ترتیب راهبران کسب­وکار اطمینان می­یابند که به آنچه برایشان مهم است، اهمیت داده می­شود.

توصیه 2: مهارت­های ارتباطی و کسب­و­کار خود را بهبود دهید

برای این منظور مدیران ارشد امنیت اطلاعات می­توانند تحصیلات تکمیلی در حوزه مدیریت کسب‌وکار یا دوره­های مرتبط را مورد توجه قرار دهند. همچنین استفاده از ابزارهای ارتباطی و الگوهای موجود و مورد استفاده در سازمان، برقراری ارتباط با راهبران کسب‌وکار را آسان‌تر می­سازد.

توصیه 3: راهبران کسب­وکار به‌شدت مشغله دارند، با مختصر و شفاف بودن به زمان آن‌ها احترام بگذارید

واقعیت این است که راهبران کسب­وکار، مشغله­ی زیادی در سایر امور به‌غیراز امنیت اطلاعات دارند. ازاین‌رو، مدیران ارشد امنیت اطلاعات باید پیام­های خود را با اهداف شناخته‌شدۀ کسب­وکار یا پروژه­های موجود در سازمان مرتبط ساخته و مطمئن شوند که چشم­انداز و مأموریت‌های سازمان را درک کرده­اند. همچنین، مدیران ارشد امنیت اطلاعات باید توجه داشته باشند که راهبران کسب­وکار را درگیر حجم زیادی از مطالب تخصصی و جزئیات نکنند. با استفاده از گزارش‌ها و توجیهات اقتصادی ساختاریافته، انتقال اطلاعات مهم و نکات کلیدی سریع­تر و آسان‌تر انجام می­شود.

توصیه 4: آگاه باشید که ذینفعان کسب­وکار ممکن است ملاحظات خود را با زبان امنیت و مخاطره بیان نکنند

تنها رهبران امنیت نیستند که با برقراری ارتباط مؤثر مشکل دارند، بلکه رهبران کسب­وکار نیز، از بیان ملاحظات خود به زبان قابل‌فهم متخصصان عاجزند. این وظیفۀ راهبران و متخصصان امنیت است تا بر این مشکل فائق آیند. برای این منظور راهبران امنیت باید زبان مخاطبان خود و اهداف و مأموریت‌های کسب‌وکار سازمان را به‌خوبی بشناسند.

توصیه 5: در همکاری با کسب­وکار میزان مخاطره­جویی[17] آن‌ها را شناسایی نمایید؛ با مدیر ارشد مخاطره[18] به‌منظور درک یا تعریف سطح تحمل‌پذیری مخاطره[19] در سازمان همکاری نمایید

راهبران کسب‌وکار معمولاً با مفاهیم مرتبط با مخاطرات اطلاعات ناآشنا هستند و نمی­توانند به‌خوبی میزان مخاطره­جویی خود را بیان کنند؛ بدین ترتیب، متخصصان امنیت نمی­توانند کنترل­های متناسب و مؤثری را برای محافظت از کسب‌وکار ایشان فراهم کنند. برای حل این مشکل، مناسب است مدیران ارشد امنیت اطلاعات از مدل­ها یا روش­های موجود و مورداستفاده در سازمان برای برقراری ارتباطات، ارزیابی و مدیریت مخاطرات استفاده کنند. ایجاد و معرفی واژه­نامه­ای از اصطلاحات حوزه مدیریت مخاطرات و امنیت اطلاعات به این امر کمک شایانی می­کند. همچنین مدیران ارشد امنیت اطلاعات باید از ارائه نتایج ارزیابی­های مخاطرات به‌صورت کمّی دوری گزینند و به‌جای آن از سناریوهای[20] قابل‌فهم برای بیان اتفاقات محتمل، استفاده کنند.

6-      مسیر گزارش­دهی[21] مؤثر برای مدیر ارشد امنیت اطلاعات چیست؟

درگذشته، کارکردهای امنیت اطلاعات به‌عنوان بخشی از کارکردهای فناوری محور، همانند عملیات فناوری اطلاعات، تحت نظر مدیریت ارشد فناوری، سرپرستی و مدیریت می­شده­اند. هم­اکنون در بسیاری از سازمان­ها به مدل گزارش­دهی متفاوتی برای افزایش اثربخشی کارکردهای امنیت اطلاعات و در رأس آن مدیر ارشد امنیت اطلاعات نیاز هست؛ هرچند تصمیم­گیری دربارۀ انتخاب مدل مؤثرتر، نیازمند درک انتظارات سازمان از تعاملات مدیر ارشد امنیت اطلاعات با سایر واحدهای سازمانی و مسئولیت‌ها و اختیارات وی در سازمان است.

در پیمایشی که از سوی مؤسسۀ گارتنر در سال 2015 میلادی انجام شده است، در 35 درصد از سازمان­ها مقام ارشد امنیت اطلاعات به جایی بیرون از بخش[22] فناوری اطلاعات گزارش می­دهد (شکل 1) و در اغلب آنها، همچنان کارکردهای امنیتی قابل‌توجهی، درون بخش فناوری اطلاعات باقی مانده است. این بدان معنی است که انتقال کارکردهای راهبردی امنیت اطلاعات به بیرون از بخش فناوری اطلاعات، نیازمند انتقال تمامی عملیات امنیت به خارج از بخش فناوری اطلاعات نیست.

 


شکل 1- مسیر گزارش دهی مقام ارشد امنیت اطلاعات، 2015، تعداد پاسخ‌دهندگان 307

این در حالی است که در پیمایشی مشابه در سال 2013، در 42 درصد از سازمان­ها مقام ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات گزارش می­داده است (شکل 2). بر اساس نمودار شکل­های 1 و 2، کاهش تعداد سازمان­هایی که در آن‌ها مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات گزارش می­دهد، می­تواند به دلیل وجود مشکلاتی در اجرای کارکردهای توزیع‌شدۀ امنیت اطلاعات میان گروه­های متعدد باشد. همچنین، این کاهش می­تواند به دلیل نبود تجربیات کافی در راهبری و مدیریت ساختار گروهی ماتریسی[23] در سازمان­ها باشد. این‌گونه سازمان­ها تصمیم می‌گیرند تا ساختار امنیت اطلاعات را در بخش فناوری اطلاعات ادغام کنند. علاوه بر آن، پیچیدگی و تکرار فزاینده تهدیدات و حملات امنیتی سبب شده است تا برخی سازمان­ها به‌منظور رسیدگی سریع­تر به امور در موقعیت­های خاص، گروه­های امنیت اطلاعات خود را متمرکز کنند.


شکل 2- مسیر گزارش دهی مقام ارشد امنیت اطلاعات، 2013

6-1- تحلیل­

پژوهش­ها نشان می­دهند که طیف وسیعی از رویکردها در سازماندهی امنیت اطلاعات وجود دارد. بنابراین، غیرممکن است مزایا و معایب همۀ آن‌ها بررسی و تحلیل شود؛ اما در کل، می­توان مزایا و چالش­هایی را که گزارش دهی مدیر ارشد امنیت اطلاعات به درون یا بیرون از بخش فناوری اطلاعات دارد، برشمرد.

گزارش دهی امنیت اطلاعات به بیرون از بخش فناوری اطلاعات به‌شدت وابسته به بلوغ فرآیندهای اساسی امنیت اطلاعات در سازمان است؛ بطوریکه، هرچه سطح بلوغ سازمان در این حوزه بالاتر باشد، توسعه جداول کاربردی مسئولیت-پاسخگویی[24] موردنیاز این مدل نیز آسان­تر خواهد بود. از مزایای گزارش دهی مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          افزایش اختیارات نقش مدیر ارشد امنیت اطلاعات و درنتیجه ارتقاء توانمندی وی در هماهنگ‌سازی و استانداردسازی فرآیندهای اساسی؛
  •          کمک به تغییر نگرش سازمان از «امنیت، مشکل فناوری اطلاعات است» به «امنیت صرفاً یکی از فعالیت­های روزمره کسب‌وکار است»؛
  •          بهبود روابط میان مدیر ارشد امنیت اطلاعات، راهبران مخاطره و کسب‌وکار سازمان.

از معایب گزارش دهی مدیر ارشد امنیت اطلاعات به بیرون از بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          افزایش تضاد و کشمکش‌ها میان راهبران امنیت اطلاعات و فناوری اطلاعات؛
  •          دشواری در همسوسازی فعالیت­های فناوری اطلاعات و امنیت اطلاعات؛
  •          کارکردهای امنیتی تعریف‌شده در بیرون از بخش فناوری اطلاعات ممکن است اختیارات موردنیاز و تأثیرات خود را در درون بخش فناوری اطلاعات از دست بدهند.

از مزایای گزارش دهی مدیر ارشد امنیت اطلاعات در درون بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          نزدیکی به زیرساخت فناوری اطلاعات (فناوری اطلاعات جایی است که اغلب اطلاعات در مرحله­ای از چرخۀ حیات خود در آنجا ظهور می­یابند) و دورنمای تهدیدات که همیشه در حال تغییر هستند؛
  •          هم‌راستایی بیشتر و روابط کاری نزدیک­تر میان کارکردهای راهبردی، تاکتیکی و عملیاتی امنیت اطلاعات.

از معایب گزارش دهی مدیر ارشد امنیت اطلاعات در درون بخش فناوری اطلاعات می­توان به موارد زیر اشاره نمود:

  •          کاهش اختیارات و اثرگذاری در بیرون از بخش فناوری اطلاعات و عدم دستیابی مدیر ارشد امنیت اطلاعات به درک صحیحی از فرآیندهای کسب‌وکار و بازماندن وی از تمرکز روی پروژه­های امنیتی کسب‌وکار محور؛
  •          دیدگاه و نگرش کارکنان امنیت اطلاعات، فناوری­ محور باقی می­ماند؛ درنتیجه، ارتباطات و مناسبات آن‌ها با سایر واحدهای کسب‌وکار ناکارآمد خواهد شد و نگرش ناصحیح به امنیت اطلاعات (امنیت صرفاً کارکردی پشتیبان برای سازمان است) در سازمان تقویت می­شود؛
  •          احتمال ایجاد تضاد منافع و تنش میان مدیر ارشد امنیت اطلاعات و مدیر ارشد اطلاعات.

 

 

مراجع

[1]           Jeffrey Wheatman, Five Tips for Security and Risk Leaders When Communicating With Business Stakeholders, Gartner, 29 June 2015

[2]           Paul E. Proctor, The Business Case for a Chief Information Security Officer, Gartner, 17 August 2012

[3]           Tom Scholtz, Carsten Casper, Job Descriptions for Risk and Security Leaders, Gartner, 18 July 2014

[4]           Tom Scholtz, Survey Analysis: Information Security Governance 2013-14, Gartner, 14 October 2013

[5]           Tom Scholtz, Survey Analysis: Information Security Governance 2014-15, Gartner, 30 September 2014

[6]           Paul E. Proctor, Avivah Litan, Ant Allan, Peter Firstbrook, Andrew Walls, Use Six Principles of Resilience to Address Digital Business Risk and Security, Gartner, 31 July 2015

[7]           Tom Scholtz, Determining Whether the CISO Should Report Outside of IT, Gartner, 17 June 2014

[8]           Tom Scholtz, Information Security Organization Dynamics, Gartner, 4 August 2014

[9]           ISACA, COBIT 5 for Information Security, http://www.isaca.org/COBIT/Pages/Information-Security-Product-Page.aspx

 



[1] CISO: Chief Information Security Officer

[2] Compliance

[3] Enterprise Information Security Program

[4] Risk

[5] Outcome

[6] Goal

[7] Information Security Strategies

[8] Monitor

[9] Information Security Steering Committee

[10] Drivers

[11] Resilience

[12] Checklist

[13] Risk Base Decision Making

[14] Righteous Defender

[15] Information Flow

[16] People Centric

[17] Risk Appetite

[18] CRO: Chief Risk Officer

[19] Risk Tolerance

[20] scenario

[21] Reporting Path

[22] Department

[23] Matrixed Team Structure

[24] RACI Chart


دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)