روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هیچ شرکتی بدون ارتباط صحیح بین مدیر کل و متخصصینی که مسئولیت حوزه‌های مختلف آن کسب و کار را بر عهده دارند موفق عمل نخواهد کرد. چنین همکاری البته که نیازمند ارتباط‌گیری است اما این ارتباط گاهاً سخت است زیرا مدیران و متخصصین در حباب‌های اطلاعاتی مختلفی کار می‌کنند و اغلب زبان همدیگر را نمی‌فهمند. مدیریت به سود، هزینه‌ها و پیشرفت فکر می‌کند و متخصصین –البته که بخش خدمات امنیتی هم از این قاعده مستثنی نیست- به وظایف فنی خاص خود. تحقیق جدیدی که همکاران ما در کسپرسکی انجام داده‌اند نشان می‌دهد گرچه درک مشترک بین مدیران کسب و کار و متخصصین امنیت اطلاعات به طور کلی رو به افزایش است اما هنوز مشکلاتی بر سر راه وجود دارد.

در حقیقت، 98 درصد نمایندگان کسب و کار که رویشان تحقیق شده است گفتند دست کم یک بار را درگیر سوءتفاهم با سرویس امنیت اطلاعات شده‌اند. در مورد پیامدهای مستقیم چنین سوءبرداشتی هم 62 درصدشان گفتند دست کم به یک رخداد امنیتی منجر شد و این درحالیست که 61 درصد دیگر گزارش دادند روی کسب و کارشان اثر منفی گذاشته است یا ارتباطشان با دپارتمان‌ها حتی بدتر شده است. در عین حال حرفه‌ای‌های حوزه امنیت خود نیز همیشه به مشکلات آگاه نیستند: 42 درصد رهبران تجاری از متخصصین امنیتی می‌خواهند واضح‌تر ارتباط بگیرند- اما 76 درصد آن متخصصین مطمئند که همه آن‌ها را کاملاً درک می‌کنند!

اغلب مشکل ریشه در زبانی که استفاده می‌شود دارد: مدیران معمولاً همه واژگان فنی را که سرویس‌های امنیت اطلاعات استفاده می‌کنند درک نمی‌کنند اما این واژه‌شناسی تنها مشکل ارتباط‌گیری بین مدیران و بخش امنیت اطلاعات نیست- در حقیقت اصلاً نمی‌شود بدان لقب «مشکل اصلی» را داد. بگذارید با کمک شریک مدیریتی شرکت آرکر اینترنشنال آقای پاتریک میلر و سخنرانی او در کنفرانس امنیت سایبری صنعتی کسپرسکی در سال 2019 این مسائل را بهتر درک کنیم.

ایده‌های مختلف در مورد ریسک

بیشتر متخصصین امنیت اطلاعات آستانه تحمل پایینی در مواجهه با ریسک دارند. اما در حوزه تجارت این کاملاً برعکس است: بدون ریسک هیچ سودی عاید نمی‌شود؛ پس مدیران اغلب آماده‌اند ریسک‌های بزرگ‌تری کنند. برای رئیس، هدف اصلی پیدا کردن آن تعادل ایده‌ال است بین سودهای احتمالی و ضررهای احتمالی. هدف اصلی دپارتمان امنیتی –درست به همان عجیبی که به نظر می‌رسد- حذف همه تهدیدها نیست بلکه کمک به تجارت است که تا حد امکان به پول بیشتری برسد. از نقطه نظر تجاری، ریسک‌ها می‌توانند پذیرفته شوند، جلویشان گرفته شود یا انتقال داده شوند (برای مثال به بیمه‌گذاران). مدیران سعی خواهند داشتند تا حد امکان برای افزایش سود خود ریسک کنند. امنیت اطلاعات نیز بخش کوچکی است از تصویری که آن‌ها در ذهن دارند: شاید آن‌ها حتی به آن فکر هم نکنند. در نتیجه، متخصصین امنیت اطلاعات نباید به نحوه بستن این شکاف‌ها فکر کنند بلکه باید به این فکر باشند چطور آن تهدیدهایی را که می‌توانند به کسب و کار لطمه جدی وارد کنند شناسایی و خنثی کنند. و در نتیجه همچنین باید به این فکر باشند که به مدیران توضیح دهند چرا هزینه کردن روی حل مسئله‌ای ارزشش را دارد.

FUD جواب نمی‌دهد

سعی در متقاعد کردن مدیران با استفاده از تاکتیک‌های ترس، عدم اطمینان و شک (FUD[1]) جواب نخواهد داد زیرا کسب و کار بابت این‌ها به سرویس امنیت اطلاعات پول نمی‌دهد. متخصصین آمده‌اند که مشکلات را حل کنند- حالت ایده‌آلش این است که اصلاً نگذارند کسی متوجه شود مشکلاتی وجود داشته- نه اینکه ترس به جان مدیران بیاندازند. مشکل بعدی که استفاده از FUD دارد این است که مدیران در حالت پیش‌فرض استرسی هستند؛ دلیلش هم این است که هر اشتباهشان می‌تواند حکم اشتباه آخرشان را داشته باشد: کلی کسب و کار و مدیر آن بیرون ریخته که کشیک می‌کشند با یک اشتباه از سوی یک مدیر جای او را بگیرند. پس مدیرها تاب عوامل ترس اضافی را ندارند. و در آخر، هیچ رئیسی دوست ندارد اعتراف کند چیزی را نمی‌داند. از این رو هر تلاشی برای بمباردمان کردن آن‌ها با واژه‌هایی که به نظر هوشمندانه می‌آید و عدم اطلاعات او را برجسته می‌کند محکوم به فناست.

بیزنسی فکر کنید

هدف اصلی هر تجارت تبلیاتی بدست آوردن پول است. همه مدیران امور را از این دریچه می‌بینند. آن‌ها این کار را بلدند. از این رو اگر متخصص امنیت اطلاعات بیاید و بگوید «تهدیدی پیشامد کرده و باید X مبلغ را برای خنثی کردنش سرمایه‌گذاری کنیم» آنچه مدیر می‌شوند این است که «اگر ریسک کنیم و هیچ کاری نکنیم X مبلغ ذخیره می‌کنیم». به نظر دیوانه‌کننده می‌آید اما بیزنسی‌ها دقیقاً همینطور فکر می‌کنند. برای مدیر مهم است که هر قدمی که برمی‌دارد به پول برسد. پس شرایط باید طوری برای مدیریت مطرح شود که قابل درک باشد: «تهدید با احتمال Z می‌تواند به شرکت آسیب Y را بزند. باید X را خرج کنیم تا خنثی شود». این معادله‌ای است که با قاب ذهنی تجاری‌ها جور درمی‌آید. البته که همیشه هم امکان ندارد به طور واقع‌گرایانه هزینه آسیب احتمالی را پیش‌بینی کرد پس می‌شود از ارزش‌های شناخته‌شده مانند زمان خرابی (که در طول آن پیامدهای این رخداد پاک می‌شود)، میزان و نوع داده‌ای که می‌تواند دستکاری شود یا از بین رود، خسارات به اعتبار شرکت و غیره استفاده کرد. سپس چنین کسب و کاری می‌تواند این اطلاعات را به اعداد قابل‌درک تبدیل کند (با کمک متخصصین مربوطه). اما اگر تیم امنیت اطلاعات خودش این کار را بر عهده گیرد بهتر است زیرا کلی در زمان صرفه‌جویی می‌شود.

به طور طبیعی، همیشه این امکان هست که معادله به نفع امنیت اطلاعات تمام نشود. همیشه هم مشکل ارتباط‌گیری غلط نیست- شاید مدیران همه‌چیز را خیلی هم خوب بشنوند و درک کنند اما ریسک کردن برایشان پرسودتر است. دلیل یا این است و یا اینکه امنیت اطلاعات نتوانسته بیزنسی فکر کند و موضع خود را متقاعدکننده جلوه دهد. کلید کار اینجا داشتن درک درست از موقعیت سرویس امنیت اطلاعات درون‌سازمانی است و نیز سودی که آن شرکت تولید می‌کند. این ارزیابی و طبقه‌بندی تهدیدهای احتمال را بهتر می‌کند و سر چیزهایی که واضحاً به مسیر روشنی ختم نمی‌شوند وقت و اعصاب خودتان و افراد دیگر هدر نمی‌رود.

عامل زمان و ددلاین‌ها

برای امنیت، عامل زمان مهم است: برخی تهدیدها بایدفوراً جلویشان گرفته شود. اما زمان نیز برای کسب و کار مهم است زیرا برای بیزنسی‌ها «وقت، طلاست». شما می‌توانید مبلغ X که بالاتر توضیح دادیم را امروز خرج کنید اما اگر آن را طی یک ماه خرج کنید می‌توانید کلی با سود آن بازی کنید. حتی اگر مدیران از مشکل درک درستی هم داشته باشند و بدانند باید چطور حلش کنند هم برای خرج کردن پول روی آن عجله نمی‌کنند مگر آنکه واقعاً به آن‌ها ددلاین واضح و دلیل قانع‌کننده داده شود. همچنین باید بدانند وقتی ددلاین گذشت، به طور خودکار مسئولیت ریسک مربوطه گردن گرفته می‌شود یا نه زیرا آن زمان امنیتی‌ها فقط می‌توانند پیامدها را پاک کنند. این ددلاین باید حتی‌المقدور واقع‌گرایانه باشد. اگر امنیت اطلاعات همیشه بخواهد از قبل تصمیم‌ها گرفته شود مدیریت دیگر به آن‌ها‌ گوش نخواهد داد و فقط ادای توجه کردن را در خواهد آورد. مهم است که بتوانیم مهلت واقعی را ارزیابی و تعیین و خطرات بالقوه را برجسته کنیم. شایان ذکر است که تعداد کمی از شرکت‌ها به سادگی پول ذخیره‌ای را در حساب‌های خود نگه می‌دارند و منتظر می‌مانند تا افسر ارشد امنیت اطلاعات بیاید و به آنها بگوید در اسرع وقت آن را کجا خرج کنند. وجوه برای حل مشکل باید از جایی گرفته یا وام گرفته شود و این ممکن است زمان ببرد. و به هر حال، برای درک زمان لازم، دانستن نحوه کار و تامین مالی کسب و کار نیز مهم است.

بازاریاب باشید

برای ارتباط مؤثر، متخصصین امنیت اطلاعات باید مهارت بازاریابی داشته اشند؛ آن موقع است که می‌توانند راهکارهای خود را به رؤسای خود بفروشند.

•         راهکار ارائه دهید نه مشکل. واضحاً شما نمی‌توانید مشکلی را بفروشید.
•         هر زمان ممکن بود به سوابق واقعی و قابل‌اطینان تکیه کنید. مدیران آنها را دوست دارند – اینجور سوابق عدم اطمینان را کاهش می‌دهند.
•         به جای واژه‌های فنی از زبان فروش با کلی چارت‌ها و اسلایدهای رنگی استفاده کنید.
•         گزینه‌های مختلف پیشنهاد دهید- از جمله آن‌هایی که به مشخص است دست‌یافتنی نیستند.
•         سعی کنید همه راهکارها در یک صفحه خلاصه شود- کسی حوصله صفحات بیشتر را ندارد.
•         از مترادف عبارت "امنیت اطلاعات" استفاده کنید: کاهش ریسک، اطمینان از انعطاف پذیری/تداوم فرآیندهای کاری، حفظ کارایی عملیاتی، کاهش زمان خرابی، پیشگیری از آسیب و غیره.
•         زبان احساسی را به حداقل برسانید و سبک ارتباطی حرفه ای و تجاری را حفظ کنید.

چه کار کنیم؟

مهارت‌های نرم کلید ارتباط موفق تجاری هستند. شما بایست توانایی بیرون آمدن از حباب تخصصی خود را داشته باشید و بلد باشید با استفاده از زبان و زمینه‌هایی که ارجح آن‌هاست با آن‌ها وارد مذاکره و صحبت شوید. حتی اگر دلشان هم بخواهد مدیران نمی‌توانند به اندازه شما که تخصص دارید از جزئیات فنی هر دپارتمان شرکت سر دربیاورند. برای سرویس امنیت اطلاعات مهم است که بداند تنها بخشی است از شرکت و باید کاری کند با کمترین هزینه به بالاترین عائدی برسد.

[1] fear, uncertainty, and doubt

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.