راهنمای توانمندسازی نیروی کار امنیت سایبری
همگام با رشد و تحول تهدیدات و آسیبپذیریهای فضای سایبر، نیازمندیم تا نیروی کار توانمندتری برای چیرگی بر نیازهایمان در حوزۀ امنیت سایبری داشته باشیم تا با کمک آن بتوانیم راهبردهای متناسبی را برای محافظت و دفاع از داراییهای سازمان بهدرستی طراحی کرده، پیادهسازی کنیم یا توسعه ببخشیم. یک مجموعه جامع و توانمندِ نیروی کار، شامل: نقشهای فنی و غیرفنی موردنیاز است که از افراد دانا و باتجربه تشکیل شده باشد. در این صورت میتوان انتظار داشت تا بهدرستی به چالشهای امنیت سایبری سازمان پرداخته شود و سازمان برای انجام مأموریتهای کسبوکاری خود که با فضای سایبر گره خوردهاند، آمادگی لازم را به دست آورد.
وجود متخصصان سایبری خبره که از مهارتهای لازم برخوردارند، برای امنیت ملی کشور و پیشبرد کسبوکار سازمانها حیاتی است؛ ولی متأسفانه شمار چنین کسانی در کشور ما نسبت به نیازمان بسیار کم است. با توجه به ضرورت وجود متخصصان سایبری خبره برای ساختن یک تیم امنیت سایبری قوی، سازمانها نیازمند وجود طرح مناسبی برای تربیت و بهکارگیری نیرویهای کار امنیت سایبری در جایگاههای مناسب هستند. ما وظیفه داریم نیرویهای کار امنیت سایبری خود را توانمندتر سازیم و اطمینان یابیم که از نیروی کار بسیار کاردان برخورداریم؛ نیروی کاری که ستون فقرات امنیت سایبری سازمان در زمان حال و آینده باشد.
در راستای تحقق این مهم و برای یاری رساندن به بانکها و مؤسسات اعتباری کشور (بهعنوان یکی از بخشهایی که امنیت سایبری در آن نقش پررنگی دارد) برای ارتقاء شایستگیها و سطح تخصص نیروی کار امنیت سایبری، شرکت کاشف کتاب «راهنمای توانمندسازی نیروی کار امنیت سایبری» را تدوین و منتشر نموده است. اگرچه این کتاب باهدف استفاده در بخش بانکی و در بانکها و مؤسسات اعتباری یا سایر نهادهای زیرمجموعه تهیه شده است، لیکن میتوان از این کتاب در هر سازمانی که به جوانب و کارکردهای مختلف امنیت سایبری نیاز دارد، نیز استفاده کرد.
در این کتاب قصد داریم از طریق معرفی روشهای مناسب به شما کمک نماییم که به درک بهتری از فرصتهای پیش روی نیروی کار امنیت سایبری خود دست یابید و بتوانید با استفاده از الگوهای مناسب، به ایجاد و ارتقاء مشاغل امنیت سایبری در سازمان بپردازید و منابع لازم را برای استخدام و حفظ استعدادهای عالی امنیت سایبری برنامهریزی کنید.
مخاطبان این کتاب، در درجه اول: رهبران و مدیران ارشد امنیت اطلاعات یا برنامهریزان نیروی انسانی در سازمانها هستند. همۀ متخصصان و فعالانِ حوزه امنیت سایبری – هر یک - میتوانند بهره خویش را از این کتاب و بهویژه محتوای ارائه شده در فصل دوم یعنی چارچوب شایستگی نیروی کار امنیت سایبری، بجویند. در حقیقت، این چارچوب میتواند برای درک بهتر کارکردهای و وظایف امنیت سایبری و همچنین شناخت بیشتر شایستگیهای مرتبط برای انجام درست آن کارکردها و در صورت نیاز برنامهریزی در راستای کسب آنها بهرهبرداری شود. امید است تا با اجرای رهنمودهای معرفیشده در این کتاب، شمار کسانی که از دانش، توانایی و مهارت لازم برای اجرای وظایف و کارکردهای امنیت سایبری موردنیاز سازمانها برخوردارند، در سراسر کشور افزایش یابد. چنانچه بخواهید با این کتاب بیشتر آشنا شوید، میتوانید گزیدهای از محتوایش را که پس از این آمده است، بخوانید.
این کتاب، بخشهای زیر را در بردارد:
فصل یکم؛ راهنمای توانمندسازی نیروی کار امنیت سایبری
فصل دوم؛ چارچوب شایستگیهای نیروی کار امنیت سایبری
فصل سوم؛ مشاغل امنیت سایبری
توصیف کوتاهی از بخشهای کتاب در ادامه خواهد آمد:
فصل یکم؛ راهنمای توانمندسازی نیروی کار امنیت سایبری
در بخش آغازین کتاب، راهنمای گامبهگام توانمندسازی نیروی کار در سازمانها ارائه شده است و در آن، اقدامات و فعالیتهای سازمان برای توانمندسازی نیروی کار امنیت سایبریاش در چهار مرحله، شامل: مراحل آمادهسازی، برنامهریزی، ساخت و نگهداشت توصیف شده است. تمامنمای «راهنمای توانمندسازی نیروی کار امنیت سایبری» شامل اهم مراحل و فعالیتها در شکل 1 نمایش داده شده است.
شکل 1- مراحل توانمندسازی نیروی کار امنیت سایبری سازمان
فصل دوم؛ چارچوب شایستگیهای نیروی کار امنیت سایبری
هدف از این فصل، تشریح نمونهای از چارچوب شایستگیهای نیروی کار امنیت سایبریست؛ چارچوبی که برای تعریف تخصصها و شایستگیهای موردنیاز نیروی کار امنیت سایبری سازمانهاست و به تشریح حوزههای تخصص، وظایف کاری و دانش و مهارتهای لازم نیروی کار برای انجام موفقیتآمیز آن وظایف میپردازد. در این چارچوب، تخصصها و مهارتهای موردنیاز امنیت سایبری در شش/6 رسته و بیستوشش/26 حوزۀ تخصص دستهبندی شدهاند و برای هر حوزه، وظایف، دانش، مهارتها و تواناییهای موردنیاز برای تکمیل کارهای سایبری معرفی میشود. اگرچه ممکن است در همه سازمانها تمام این حوزههای تخصص مورداستفاده قرار نگیرند یا بنا بر نیازهای سازمان برخی از این حوزهها با یکدیگر ترکیب شوند. نمودار رستهها و حوزههای تخصص «چارچوب شایستگیهای نیروی کار امنیت سایبری» را در شکل 2 میتوانید مشاهده کنید.
شکل2- نمودار درختی رستهها و حوزههای تخصص چارچوب شایستگیهای نیروی کار امنیت سایبری
توصیف کوتاهی از حوزههای تخصص موجود در «چارچوب شایستگیهای نیروی کار امنیت سایبری» در جدول 1 آورده شده است؛ همچنین میتوانید توصیف تفصیلیشان را در کتاب مطالعه کنید.
جدول1-توصیف اجمالی حوزههای تخصص چارچوب شایستگیهای نیروی کار امنیت سایبری
|
رسته
|
حوزه تخصص
|
|
|
توسعه امن
|
توسعه نرمافزار: کُد نویسی و توسعه امن برنامههای کاربردی، نرمافزارها یا سامانههای نرمافزاری تازه یا تغییر آنها بر پایۀ بهروشهای معتبر طراحی و توسعه نرمافزار،
|
|
|
توسعه سامانه: تدوین و اجرای فعالیتهای مرتبط با مراحل چرخه عمر توسعه سامانهها
|
|
|
طرحریزی نیازمندیهای سامانهها: همکاری با کاربران/ مشتریان برای گردآوری و ارزیابی نیازمندیهای کارکردی و ترجمه آن نیازمندیها به راهکارهای فنی. تهیۀ راهنماهایی برای کاربران/ مشتریان دربارۀ کاربرد سامانههای اطلاعاتی برای برآورده ساختن نیازهای کسبوکار،
|
|
|
معماری سامانهها: طراحی و توسعه سامانه، کار روی قابلیتهای چرخه عمر توسعه سامانهها. ترجمه شرایط محیطی و فنی (قوانین، مقررات و ...) به طراحیها و فرآیندهای امنیتی و سامانهای،
|
|
|
پژوهش و توسعه فناوری: اجرای فرآیندهای مربوط به گردآوری، یکپارچهسازی و ارزیابی فناوریها. ایجاد و پشتیبانی از قابلیتهای پیشنمونه و/یا ارزیابی ویژگیهای آن،
|
|
|
آزمون و ارزیابی: توسعه و اجرای آزمون سامانه برای ارزیابی انطباق با مشخصهها و الزامات با استفاده از اصول و روشهای طرحریزی، ارزیابی، صحتسنجی و اعتبارسنجی خصوصیات فنی، عملکردی و کارکردی سامانه یا اجزای آن،
|
|
|
عملیات و نگهداری
|
پشتیبانی فنی و خدمات مشتریان: رسیدگی به مشکلات، نصب، پیکربندی، رفع اشکال، نگهداری تجهیزات و خدمات ارائهشده به کاربران و مشتریان و آموزش و اطلاعرسانی و پاسخگویی به آنها برای رفع نیازمندیهای یا پاسخ به درخواستهایشان،
|
|
|
راهبری دادهها: مدیریت، توسعه و راهبری پایگاه دادهها و/ یا سامانههای مدیریت دادهها که برای ذخیرهسازی، پرسوجو، حفاظت و بهرهوری دادهها استفاده میشوند.
|
|
|
مدیریت دانش: مدیریت و راهبری فرآیندها و ابزارهایی که بهوسیله آن سازمان قادر به شناسایی، مستندسازی و دسترسی به سرمایههای فکری و محتوای اطلاعاتی است و همچنین تدوین، بهروزرسانی، انتشار و اجرای راهبردها، خطمشیها و رویههای موردنیاز برای مدیریت دانش،
|
|
|
راهبری شبکه و زیرساخت: مدیریت شبکه و خدمات زیرساختی شبکه دربردارندۀ: نصب، پیکربندی، آزمون، اجرا، نگهداشت و پایش تمامی سیستمعاملها، نرمافزارها و تجهیزات شبکه و خدمات زیرساختی شبکه و پشتیبانگیری و به اشتراکگذاری اطلاعات برای پشتیبانی از امنیت آنها،
|
|
|
راهبری سامانهها: نصب، پیکربندی امن، نگهداری، بهروزرسانی، مدیریت و پشتیبانی از سامانهها و برنامههای کاربردی و تدوین و بهکارگیری خطمشیها و رویههای کنترل دسترسی و تداوم کسبوکار در سطح سامانهها و برنامههای کاربردی،
|
|
|
تحلیل سامانهها: بررسی امنیت سامانهها و فرآیندها و رویههای کنونی سازمان برای طراحی راهحلهای تازه امن مبتنی بر سامانهها و/ یا بازطراحی و ارتقای سطح امنیت سامانههای موجود باهدف اجرای کارآتر، اثربخشتر و امنتر عملیات سازمان،
|
|
|
محافظت و پدافند
|
تحلیل پدافند سایبری: بهکارگیری اطلاعات گردآوریشده از منابع متفاوت برای شناسایی، تحلیل و گزارشدهی رویدادهای رخداده یا محتمل در شبکه و انجام اقدامات پدافندی برای محافظت از اطلاعات، سامانههای اطلاعاتی و شبکهها در مقابل تهدیدات،
|
|
|
پشتیبانی زیرساخت پدافند سایبری: آزمون، پیادهسازی، استقرار، نگهداشت و راهبری سختافزار و نرمافزار و سامانههای زیرساختی موردنیاز در پدافند سایبری،
|
|
|
پاسخگویی به رخدادها: پاسخ به تهدیدات و رخدادهای امنیت سایبری در شرایط بحرانی و اضطراری برای کاهش تأثیرات نامطلوب آنها و محافظت از داراییها و امنیت سایبری سازمان در برابر آنها. بهکارگیری و نظارت بر تمامی راهبردها، خطمشیها و رویههای پاسخگویی به رخدادهای امنیت سایبری و بازیابی از فاجعه و تداوم کسبوکار،
|
|
|
|
مدیریت و ارزیابی آسیبپذیریها: ارزیابی تهدیدات، آسیبپذیریها و مخاطرات و بهکارگیری یا پیشنهاد اقدامات و کنترلهای امنیتی مناسب برای کاهش اثرات آنها و تعیین میزان انحراف از استانداردها و رویههای سازمانی و بالادستی،
|
|
|
بازرسی
|
بررسی جرائم سایبری: گردآوری، پردازش، حفظ، تحلیل و ارائه شواهد مربوط به جرائم سایبری و پشتیبانی از فعالیتهای رویارویی با جرائم و همکاری در بازرسی جرائم سایبری،
|
|
|
بازرسیسایبری: بهکارگیری راهکارها، فنها و رویهها، ابزارها و فرآیندهای مرتبط با بازرسی جرائم سایبری برای شناسایی، تشخیص، رسیدگی و اثبات موارد مرتبط با رخدادها و جرائم سایبری،
|
|
|
مدیریت و نظارت
|
آموزش و آگاهیرسانی: آموزش کارکنان در حوزه موردنیاز سازمان، طرحریزی، برگزاری و ارزیابی دورههای آموزشی، طراحی و توسعه روشهای تدریس و فنهای آموزشی،
|
|
|
راهبری عملیات امنیت: نظارت و اطمینان یابی از اجرای مناسب فعالیتهای مربوط به عملیات امنیت سایبری در راستای خطمشیها و راهبردهای امنیتی سازمان و همچنین ارائه مشاوره به مدیریت ارشد امنیت، مالک سامانه و ... دربارۀ اجرای برنامه امنیت سایبری،
|
|
|
مشاوره حقوقی: ارائه مشاورهها و توصیههای حقوقی به مدیران و کارکنان دربارۀ مسائل حقوقی مرتبط. ارائه مشاوره دربارۀ تغییرات قوانین و خطمشیها و تشکیل پروندههای حقوقی به نمایندگی از سازمان و انجام مراحل رسیدگی به آنها،
|
|
|
مدیریت امنیت: مدیریت و نظارت بر اجرای برنامههای امنیتی سازمان دربردارندۀ: تمامی جنبههای آن، همچون: راهبری، کارکنان، زیرساخت، الزامات، خطمشی، آگاهیبخشی امنیتی و دیگر جنبههای امنیت سایبری،
|
|
|
مدیریت مخاطرات: نظارت، ارزیابی و پشتیبانی از فرآیندهای اخذ تأییدیههای امنیتی لازم برای سامانههای فناوری اطلاعات سازمان برای برآورده ساختن الزامات امنیتی و رفع مخاطرات آنها و اطمینان یابی از واکنش مناسب به مخاطرات موجود و انطباق با گواهینامهها و مجوزهای رسمی،
|
|
|
طرحریزی راهبردی: بهکارگیری دانش فنی و سازمانی برای تعریف، بهروزرسانی و توسعه خطمشیهای راهبردی، تعیین اولویت تخصیص منابع و شناسایی برنامهها و زیرساختهای موردنیاز برای دستیابی به اهداف مورد انتظار سازمان،
|
|
|
|
گردآوری و تحلیل
|
عملیات گردآوری: طرحریزی و گردآوری اطلاعات مرتبط با تهدیدات و حملات سایبری با استفاده از راهبردهای مناسب و تدوین و توسعه طرحهای عملیاتی برای کاهش تهدیدات درونی و بیرونی احتمالی و محافظت در برابر فعالیتهای مخرب
|
|
|
تحلیل تهدیدات: تجزیهوتحلیل اطلاعات گردآوریشده از منابع گوناگون در زمینه امنیت سایبری برای شناسایی تهدیدات و حملات. شناسایی و ارزیابی قابلیتها و فعالیتهای مجرمان و مهاجمان سایبری و بهکارگیری اطلاعات بهدستآمده در سازمان برای ایجاد بینش درست دربارۀ پیامدهای احتمالی تهدیدات و حملات.
|
|
فصل سوم؛ مشاغل امنیت سایبری
این فصل، به موضوعات مرتبط با مشاغل امنیت سایبری میپردازد. در این فصل، فهرست رایجترین مشاغل امنیت سایبری، مسیرهای شغلی و ارتباط این مشاغل با حوزههای تخصص «چارچوب شایستگیهای نیروی کار امنیت سایبری» ارائه شده است. هدف اصلی از ارائه مطالب این فصل، آشنایی سازمانها با مشاغل رایج امنیت سایبری و نمونهای از مسیرهای شغلی مرتبط با آنها است تا با کمک آن بتوانند مشاغل سایبری موردنیاز سازمان را بهتر طراحی و تعریف نمایند. در ادامه عناوین و ویژگیهای مشاغل رایج امنیت اطلاعات در سطوح مختلف شغلی و مسیرهای شغلی نمونه برای آنها در شکل 3 و شکل 4 به تصویر کشیده شده است.
شکل 3-سطوح مشاغل و مشاغل رایج امنیت سایبری
شکل4- مسیرهای شغلی نمونه برای مشاغل رایج امنیت سایبری
برای دریافت اطلاعات بیشتر، بیان هرگونه اظهار نظر مقتضی یا اعلام آمادگی برای همکاری در این حوزه می توانید با ما از طریق رایانشانی 
در تعامل باشید.