.

راهنمای توانمندسازی نیروی کار امنیت سایبری

همگام با رشد و تحول تهدیدات و آسیب‌پذیری‌های فضای سایبر، نیازمندیم تا نیروی کار توانمندتری برای چیرگی بر نیازهایمان در حوزۀ امنیت سایبری داشته باشیم تا با کمک آن بتوانیم راهبردهای متناسبی را برای محافظت و دفاع از دارایی‌های سازمان به‌درستی طراحی کرده، پیاده‌سازی کنیم یا توسعه ببخشیم. یک مجموعه جامع و توانمندِ نیروی کار، شامل: نقش‌های فنی و غیرفنی موردنیاز است که از افراد دانا و باتجربه تشکیل شده باشد. در این صورت می‌توان انتظار داشت تا به‌درستی به چالش‌های امنیت سایبری سازمان پرداخته شود و سازمان برای انجام مأموریت‌های کسب‌وکاری خود که با فضای سایبر گره خورده‌اند، آمادگی لازم را به دست آورد.

وجود متخصصان سایبری خبره که از مهارت‌های لازم برخوردارند، برای امنیت ملی کشور و پیشبرد کسب‏وکار سازمان‏ها حیاتی است؛ ولی متأسفانه شمار چنین کسانی در کشور ما نسبت به نیازمان بسیار کم است. با توجه به ضرورت وجود متخصصان سایبری خبره برای ساختن یک تیم امنیت سایبری قوی، سازمان‌ها نیازمند وجود طرح مناسبی برای تربیت و به‌کارگیری نیروی‌های کار امنیت سایبری در جایگاه‌های مناسب هستند. ما وظیفه داریم نیروی‌های کار امنیت سایبری خود را توانمندتر سازیم و اطمینان یابیم که از نیروی کار بسیار کاردان برخورداریم؛ نیروی کاری که ستون فقرات امنیت سایبری سازمان در زمان حال و آینده باشد.

در راستای تحقق این مهم و برای یاری رساندن به بانک‌ها و مؤسسات اعتباری کشور (به‌عنوان یکی از بخش‌هایی که امنیت سایبری در آن نقش پررنگی دارد) برای ارتقاء شایستگی‌ها و سطح تخصص نیروی کار امنیت سایبری، شرکت کاشف کتاب «راهنمای توانمندسازی نیروی کار امنیت سایبری» را تدوین و منتشر نموده است. اگرچه این کتاب باهدف استفاده در بخش بانکی و در بانک‌ها و مؤسسات اعتباری یا سایر نهادهای زیرمجموعه تهیه شده است، لیکن می‌توان از این کتاب در هر سازمانی که به جوانب و کارکردهای مختلف امنیت سایبری نیاز دارد، نیز استفاده کرد.

در این کتاب قصد داریم از طریق معرفی روش‌های مناسب به شما کمک نماییم که به درک بهتری از فرصت‌های پیش روی نیروی کار امنیت سایبری خود دست‌ یابید و بتوانید با استفاده از الگوهای مناسب، به ایجاد و ارتقاء مشاغل امنیت سایبری در سازمان بپردازید و منابع لازم را برای استخدام و حفظ استعدادهای عالی امنیت سایبری برنامه‌ریزی کنید.

مخاطبان این کتاب، در درجه اول: رهبران و مدیران ارشد امنیت اطلاعات یا برنامه‌ریزان نیروی انسانی در سازمان‌ها هستند. همۀ متخصصان و فعالانِ حوزه امنیت سایبری هر یک - می‌توانند بهره خویش را از این کتاب و به‌ویژه محتوای ارائه شده در فصل دوم یعنی چارچوب شایستگی نیروی کار امنیت سایبری، بجویند. در حقیقت، این چارچوب می‌تواند برای درک بهتر کارکردهای و وظایف امنیت سایبری و همچنین شناخت بیشتر شایستگی‌های مرتبط برای انجام درست آن کارکردها و در صورت نیاز برنامه‌ریزی در راستای کسب آن‌ها بهره‌برداری شود. امید است تا با اجرای رهنمودهای معرفی‌شده در این کتاب، شمار کسانی که از دانش، توانایی و مهارت لازم برای اجرای وظایف و کارکردهای امنیت سایبری موردنیاز سازمان‌ها برخوردارند، در سراسر کشور افزایش یابد. چنانچه بخواهید با این کتاب بیشتر آشنا شوید، می‌توانید گزیده‌ای از محتوایش را که پس از این آمده است، بخوانید.

این کتاب، بخش‌های زیر را در بردارد:

فصل یکم؛ راهنمای توانمندسازی نیروی کار امنیت سایبری
فصل دوم؛ چارچوب شایستگی‌های نیروی کار امنیت سایبری
فصل سوم؛ مشاغل امنیت سایبری

توصیف کوتاهی از بخش‌های کتاب در ادامه خواهد آمد:

فصل یکم؛ راهنمای توانمندسازی نیروی کار امنیت سایبری

در بخش آغازین کتاب، راهنمای گام‌به‌گام توانمندسازی نیروی کار در سازمان‌ها ارائه شده است و در آن، اقدامات و فعالیت‌های سازمان برای توانمندسازی نیروی کار امنیت سایبری‌اش در چهار مرحله، شامل: مراحل آماده‌سازی، برنامه‌ریزی، ساخت و نگهداشت توصیف شده است. تمام‌نمای «راهنمای توانمندسازی نیروی کار امنیت سایبری» شامل اهم مراحل و فعالیت‌ها در شکل 1 نمایش داده شده است.

شکل 1- مراحل توانمندسازی نیروی کار امنیت سایبری سازمان

 فصل دوم؛ چارچوب شایستگی‌های نیروی کار امنیت سایبری
هدف از این فصل، تشریح نمونه‌ای از چارچوب شایستگی‏های نیروی کار امنیت سایبری‌ست؛ چارچوبی که برای تعریف تخصص‏ها و شایستگی‏های موردنیاز نیروی کار امنیت سایبری سازمان‌هاست و به تشریح حوزه‌های تخصص، وظایف کاری و دانش و مهارت‌های لازم نیروی کار برای انجام موفقیت‌آمیز آن وظایف می‌پردازد. در این چارچوب، تخصص‏ها و مهارت‏های موردنیاز امنیت سایبری در شش/6 رسته و بیست‌و‌شش/26 حوزۀ تخصص دسته‌بندی‌ شده‌اند و برای هر حوزه، وظایف، دانش، مهارت‌ها و توانایی‌های موردنیاز برای تکمیل کارهای سایبری معرفی می‌شود. اگرچه ممکن است در همه سازمان‌ها تمام این حوزه‌های تخصص مورداستفاده قرار نگیرند یا بنا بر نیازهای سازمان برخی از این حوزه‌ها با یکدیگر ترکیب شوند. نمودار رسته‌ها و حوزه‌های تخصص «چارچوب شایستگی‌های نیروی کار امنیت سایبری» را در شکل 2 می‌توانید مشاهده کنید.


شکل2- نمودار درختی رسته‌ها و حوزه‌های تخصص چارچوب شایستگی‌های نیروی کار امنیت سایبری


توصیف کوتاهی از حوزه‌های تخصص موجود در «چارچوب شایستگی‌های نیروی کار امنیت سایبری» در جدول 1 آورده شده است؛ همچنین می‌توانید توصیف تفصیلی‌شان را در کتاب مطالعه کنید.

جدول1-توصیف اجمالی حوزه‌های تخصص چارچوب شایستگی‌های نیروی کار امنیت سایبری

رسته

حوزه‌ تخصص

توسعه امن

توسعه نرم‌افزار: کُد نویسی و توسعه امن برنامه‌های کاربردی، نرم‏افزارها یا سامانه‌های نرم‌افزاری تازه یا تغییر آن‌ها بر پایۀ بهروش‏های معتبر طراحی و توسعه نرم‏افزار،

توسعه سامانه: تدوین و اجرای فعالیت‌های مرتبط با مراحل چرخه عمر توسعه سامانه‏ها

طرح‌ریزی نیازمندی‌های سامانه‌ها: همکاری با کاربران/ مشتریان برای گرد‏آوری و ارزیابی نیازمندی‏های کارکردی و ترجمه‏ آن نیازمندی‏ها به راهکارهای ‏ فنی. ‌تهیۀ راهنماهایی برای کاربران/ مشتریان دربارۀ کاربرد سامانه‌های اطلاعاتی برای برآورده ساختن نیازهای کسب‌وکار،

معماری سامانه‏ها: طراحی و توسعه سامانه، کار روی قابلیت‌های چرخه عمر توسعه سامانه‏ها. ترجمه شرایط محیطی و فنی (قوانین، مقررات و ...) به طراحی‌ها و فرآیندهای امنیتی و سامانه‌ای،

 پژوهش و توسعه فناوری: اجرای فرآیندهای مربوط به گردآوری، یکپارچه‌سازی و ارزیابی فناوری‌ها. ایجاد و پشتیبانی از قابلیت‌های پیش‏نمونه و/یا ارزیابی ویژگی‌های آن،

آزمون و ارزیابی: توسعه و اجرای آزمون سامانه برای ارزیابی انطباق با مشخصه‏ها و الزامات با استفاده از اصول و روش‏های طرح‌ریزی، ارزیابی، صحت‏سنجی و اعتبارسنجی خصوصیات فنی، عملکردی و کارکردی سامانه یا اجزای آن،

عملیات و نگهداری

پشتیبانی فنی و خدمات مشتریان: رسیدگی به مشکلات، نصب، پیکر‌بندی، رفع اشکال، نگهداری تجهیزات و خدمات ارائه‌شده به کاربران و مشتریان و آموزش و اطلاع‌رسانی و پاسخگویی به آن‌ها برای رفع نیازمندی‌های یا پاسخ به درخواست‌هایشان،

راهبری داده‏ها: مدیریت، توسعه و راهبری پایگاه داده‌ها و/ یا سامانه‌های مدیریت داده‌ها که برای ذخیره‌سازی، پرس‌وجو، حفاظت و بهره‏وری داده‌ها استفاده می‌شوند.

مدیریت دانش: مدیریت و راهبری فرآیندها و ابزارهایی که به‌وسیله آن سازمان قادر به شناسایی، مستندسازی و دسترسی به سرمایه‌های فکری و محتوای اطلاعاتی است و همچنین تدوین، به‌روزرسانی، انتشار و اجرای راهبردها، خط‌مشی‌ها و رویه‌های موردنیاز برای مدیریت دانش،

راهبری شبکه و زیرساخت: مدیریت شبکه‌ و خدمات زیرساختی شبکه دربردارندۀ: نصب، پیکر‌بندی، آزمون، اجرا، نگهداشت و پایش تمامی سیستم‌عامل‌ها، نرم‌افزارها و تجهیزات شبکه و خدمات زیرساختی شبکه و پشتیبان‏گیری و به اشتراک‌گذاری اطلاعات برای پشتیبانی از امنیت آن‌ها،

راهبری سامانه‌ها: نصب، پیکر‌بندی امن، نگهداری، به‌روزرسانی، مدیریت و پشتیبانی از سامانه‌ها و برنامه‌های کاربردی و تدوین و به‌کارگیری خط‏مشی‏ها و رویه‌های کنترل دسترسی و تداوم کسب‌وکار در سطح سامانه‌ها و برنامه‌های کاربردی،

تحلیل سامانه‏ها: بررسی امنیت سامانه‏ها و فرآیندها و رویه‏های کنونی سازمان برای طراحی راه‏حل‏های تازه امن مبتنی بر سامانه‌ها و/ یا بازطراحی و ارتقای سطح امنیت سامانه‌های موجود باهدف اجرای کارآتر، اثربخش‏تر و امن‏تر عملیات سازمان،

محافظت و پدافند

تحلیل پدافند سایبری: به‌کارگیری اطلاعات گردآوری‏شده از منابع متفاوت برای شناسایی، تحلیل و گزارش‏‏دهی رویدادهای رخ‏داده یا محتمل در شبکه و انجام اقدامات پدافندی برای محافظت از اطلاعات، سامانه‌های اطلاعاتی و شبکه‌ها در مقابل تهدیدات،

پشتیبانی زیرساخت پدافند سایبری: آزمون، پیاده‏سازی، استقرار، نگهداشت و راهبری سخت‌افزار و نرم‌افزار و سامانه‌های زیرساختی موردنیاز در پدافند سایبری،

پاسخگویی به رخدادها: پاسخ به تهدیدات و رخدادهای امنیت سایبری در شرایط بحرانی و اضطراری برای کاهش تأثیرات نامطلوب آن‌ها و محافظت از دارایی‌ها و امنیت سایبری سازمان در برابر آن‌ها. به‌کارگیری و نظارت بر تمامی راهبردها، خط‌مشی‌ها و رویه‌های پاسخگویی به رخدادهای امنیت سایبری و بازیابی از فاجعه و تداوم کسب‌وکار،

مدیریت و ارزیابی آسیب‌پذیری‌ها: ارزیابی تهدیدات، آسیب‌پذیری‌ها و مخاطرات و به‌کارگیری یا پیشنهاد اقدامات و کنترل‌های امنیتی مناسب برای کاهش اثرات آن‌ها و تعیین میزان انحراف از استانداردها و رویه‌های سازمانی و بالادستی،

بازرسی

بررسی جرائم سایبری: گردآوری، پردازش، حفظ، تحلیل و ارائه شواهد مربوط به جرائم سایبری و پشتیبانی از فعالیت‌های رویارویی با جرائم و همکاری در بازرسی‏ جرائم سایبری،

بازرسیسایبری: به‌کارگیری راهکارها، فن‌ها و رویه‌ها، ابزارها و فرآیندهای مرتبط با بازرسی جرائم سایبری برای شناسایی، تشخیص، رسیدگی و اثبات موارد مرتبط با رخدادها و جرائم سایبری،

مدیریت و نظارت

آموزش و آگاهی‌رسانی: آموزش کارکنان در حوزه موردنیاز سازمان، طرح‌ریزی، برگزاری و ارزیابی دوره‌های آموزشی، طراحی و توسعه روش‌های تدریس و فن‌های آموزشی،

راهبری عملیات امنیت: نظارت و اطمینان یابی از اجرای مناسب فعالیت‌های مربوط به عملیات امنیت سایبری در راستای خط‌مشی‌ها و راهبردهای امنیتی سازمان و همچنین ارائه مشاوره به مدیریت ارشد امنیت، مالک سامانه و ... دربارۀ اجرای برنامه امنیت سایبری،

مشاوره حقوقی: ارائه مشاوره‌ها و توصیه‌های حقوقی به مدیران و کارکنان دربارۀ مسائل حقوقی مرتبط. ارائه مشاوره دربارۀ تغییرات قوانین و خط‏مشی‌ها و تشکیل پرونده‌های حقوقی به نمایندگی از سازمان و انجام مراحل رسیدگی به آن‌ها،

مدیریت امنیت: مدیریت و نظارت بر اجرای برنامه‌های امنیتی سازمان دربردارندۀ: تمامی جنبه‌های آن، همچون: راهبری، کارکنان، زیرساخت، الزامات، خط‏مشی، آگاهی‏بخشی امنیتی و دیگر جنبه‌های امنیت سایبری،

مدیریت مخاطرات: نظارت، ارزیابی و پشتیبانی از فرآیندهای اخذ تأییدیه‌های امنیتی لازم برای سامانه‌های فناوری اطلاعات سازمان برای برآورده ساختن الزامات امنیتی و رفع مخاطرات آن‌ها و اطمینان یابی از واکنش مناسب به مخاطرات موجود و انطباق با گواهینامه‌ها و مجوزهای رسمی،

 طرح‌ریزی راهبردی: به‌کارگیری دانش فنی و سازمانی برای تعریف، به‌روزرسانی و توسعه خط‏مشی‌های راهبردی، تعیین اولویت تخصیص منابع و شناسایی برنامه‌ها و زیرساخت‌های موردنیاز برای دستیابی به اهداف مورد انتظار سازمان،

گردآوری و تحلیل

عملیات گردآوری: طرح‌ریزی و گردآوری اطلاعات مرتبط با تهدیدات و حملات سایبری با استفاده از راهبردهای مناسب و تدوین و توسعه طرح‌های عملیاتی برای کاهش تهدیدات درونی و بیرونی احتمالی و محافظت در برابر فعالیت‌های مخرب

تحلیل تهدیدات: تجزیه‌وتحلیل اطلاعات گردآوری‌شده از منابع گوناگون در زمینه امنیت سایبری برای شناسایی تهدیدات و حملات. شناسایی و ارزیابی قابلیت‌ها و فعالیت‌های مجرمان و مهاجمان سایبری و به‌کارگیری اطلاعات به‌دست‌آمده در سازمان برای ایجاد بینش درست دربارۀ پیامدهای احتمالی تهدیدات و حملات.

 فصل سوم؛ مشاغل امنیت سایبری

این فصل، به موضوعات مرتبط با مشاغل امنیت سایبری می‏پردازد. در این فصل، فهرست رایج‏ترین مشاغل امنیت سایبری، مسیرهای شغلی و ارتباط این مشاغل با حوزه‏های تخصص «چارچوب شایستگی‌های نیروی کار امنیت سایبری» ارائه شده است. هدف اصلی از ارائه مطالب این فصل، آشنایی سازمان‏ها با مشاغل رایج امنیت سایبری و نمونه‌ای از مسیرهای شغلی مرتبط با آن‌ها است تا با کمک آن بتوانند مشاغل سایبری موردنیاز سازمان را بهتر طراحی و تعریف نمایند. در ادامه عناوین و ویژگی‌های مشاغل رایج امنیت اطلاعات در سطوح مختلف شغلی و مسیرهای شغلی نمونه برای آن‌ها در شکل 3 و شکل 4 به تصویر کشیده شده است.

شکل 3-سطوح مشاغل و مشاغل رایج امنیت سایبری
 


شکل4- مسیرهای شغلی نمونه برای مشاغل رایج امنیت سایبری

برای دریافت اطلاعات بیشتر، بیان هرگونه اظهار نظر مقتضی یا اعلام آمادگی برای همکاری در این حوزه می توانید با ما از طریق رایانشانی   در تعامل باشید.

درگاه ها و پورتال های معتبر
.
آخرین رویدادها