روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دیدگاه افرادی که در سمت مدیر ارشد امنیت اطلاعات[1] (CISO) -و یا ردهی شغلی معادل آن- فعالیت میکنند در مورد امنیت سایبری چیست؟ آنها در چنین جایگاه شغلیای با چه چالشهایی دست و پنجه نرم میکنند؟ برای دانستن پاسخ پرسشهایی از این دست، لابراتوار کسپرسکی روی 250 مدیر امنیتی در سراسر جهان تحقیق انجام داده است. نظرات آنها بسیار جالب بود؛ گرچه شاید با برخی از آنها مخالف باشیم. از مدیران مربوطه در مورد معیارهای کلیدی این سمت سوال شد و جای تعجب نیست که اکثراً در پاسخ گفتند معیار کلیدی، کیفیت و سرعت مدیریت رخداد[2] است. افراد در سایر سازمانهای مدرن با مواجه شدن حوادث سایبری فکر نمیکنند دنیا به آخر رسیده است. اینکه اکثر متخصصین دارند به این درک میرسند که حوادث سایبری اجتنابناپذیر است این خوشبینکننده به نظر میرسد و این هیچ اشکالی ندارد (کاملاً هم طبیعی است). امروزه، بقای سازمان عمدتاً در گروی امنیت سایبری است.
منظور از بقا، داشتن سطحی از حفاظت است که تضمین میدهد در صورت وقوع تهدیدهای پیشرفته[3] و مستمر، نشت اطلاعاتی یا حملات محرومسازی از سرویس[4] (DDoS) -در سطحی گسترده- شرکت میتواند بدون آسیب جدی و یا متضرر شدن بیش از حد تعریفشده خود را ریستور کنند. به بیانی دیگر، مدیران ارشد امنیت اطلاعات امروزی تمام تمرکز خود را روی مدیریت رخداد گذاشتهاند. این از جهاتی میتواند عالی باشد. چند سال پیش بود که موج این مدیریت، مدیران را فرا گرفت و همگی چشماندازشان را روی ایدهی "روز صفر" ترسیم کرده بودند،؛ اینطور تلقی میشود که CISOها باید با سپرهای آهنیِ خود، زیرساختهای شرکت را با چنگ و دندان حفظ و حراست کنند. اما از جهاتی دیگر، اینکه صرفاً همهی تمرکز مدیران روی فناوریهای واکنشی گذاشته شود هم خوب نیست. CISOها میبایست رویکردی متعادلتر اتخاذ کنند. تمام مؤلفههای سازگاری امنیتی حائز اهمیتاند: پیشگیری، تشخیص، پاسخ و پیشبینی.
گفتههایی دربارهی ریسکها
بسیاری از CISOها بر سر این موضوع توافق نظر دارند که بزرگترین خطر برای یک سازمان بعد از یک شکاف امنیتی، لکهدار شدن نام و اعتبار است. اگر اعتبار سازمان لکهدار شود دیگر باید منتظر پیامدهای بعدی آن بود (افت سهام، اعتماد مشتری، فروش و غیره). اگر دقت کرده باشید کمتر خبرهایی مبنی بر لکهدار شدن اعتبار ناشی از حوادث امنیتی میشنویم. اگر شرکتی تصمیم بگیرد حادثهی سایبریای را کتمان کند میتواند و عموماً مشتری هم از این موضوع بویی نخواهد برد؛ گرچه قوانین برخی کشورها شرکتها را ملزم میدارند تا تمام مشکلات امنیتی خود را صراحتاً با سهامداران و مشتریان خود در میان بگذارند. CISOها انگیزههای متفاوت مجرمان سایبری را میشناسند و میتوانند فرق بین حملات حمایتشده از سوی دولت و جرمهایی با انگیزهی مالی تشخیص دهند. خدشهدار شدن نام و اعتبار سازمان، بهای سنگینی دارد. تجربه ثابت کرده است که کارمندی دورو و بیصداقت به طور بالقوه میتواند بیش از عوامل مخرب بیرونی سازمان را از پای بیاندازد.
تأثیر روی تصمیمات شرکت
اینکه بدانید مدیران امنیتی تا چه اندازه در تصمیمگیریهای شرکت دخیلاند خیلی جالب است. البته برخی از این مدیران به جای نظارت کامل ترجیح میدهند کنترل نسبی و مکفی داشته باشند. اساساً دو راهبرد وجود دارد: حوزهی امنیت میتواند یک به یک قدمهایی را که شرکت برمیدارد تحت کنترل خود قرار دهد؛ بنابراین مدیران امنیتی حُکم مشاور را نیز دارند (صلاحِ کار را مدیران امنیتی شرکت میدانند). در نگاه اول نظارت کامل به نظر کارامدتر میآید (طبیعتاً هم باید همینطور باشد- البته اگر هدف اصلی امنیت سایبریِ صِرف باشد). در واقعیت اما این رویکرد نیازمند کارمندانی بیشتر است و همین میتواند باعث کُندی در روند پیشرفت سازمانی شود. چنین شرایطی خصوصاً برای شرکتهای خلاق چالشبرانگیز است؛ شرکتهایی که از فرآیندهای سازمانیای استفاده میکنند که راهکارهای حفاظتی کاملی ارائه نمیدهند.
توجیه بودجه
و اما در مواجه با این سوال که «بدون داشتن بازگشت سرمایهای واضح و روشن چطور میشود بودجه را توجیه کرد؟»، پاسخها مأیوسکننده بود. اینطور به نظر میرسد که رایجترین ابزار توجیه، چند تاکتیک نادر است: گزارشات و ارزیابیهای نقض/شکاف امنیت سایبری در مورد آسیبهایی که در طی حملات قبلی به شرکت وارد شده است. بله... شاید بشود یک یا دو بار با این ابزار، بودجه را توجیه کرد. اما بار سوم به بعد چه؟ دیگر جواب چنین چیزی خواهد شد: «آری بسیار ترسناک است.. اما بهتر نیست ببینیم بقیه در چنین مواردی چه کاری انجام میدهند؟»
این پاسخ منطقیای نیست... این مشکل شرکت شماست و کلیدش تنها در دست همین شرکت است و نه دیگر سازمانها. نمیشود برای بیماریهای مختلف سازمانی نسخههای داروییِ یکسانی پیچید.
لازمهی مدیر ارشد امنیت اطلاعات بودن چیست؟
از آنجایی که این روزها سازمانها باید به اکوسیستمهای خود متکی باشند، وابستگیشان به آیتی نیاز آنها را به چنین سمتی بیشتر کرده است. پس میتوان ادعا کرد اهمیت این سمت در سازمانها روز به روز بیشتر میشود.
اما چه مواردی موجبات موفقیت یک مدیر ارشد امنیت اطلاعات را فراهم میآورد؟ پژوهشی تحت عنوان "نظرسنجی 2018 مدیر ارشد امنیت اطلاعات 2018" هدفش پاسخ به چنین سؤالاتی است. به جای لابراتوار کسپرسکی، PAC این مطالعه را بر عهده گرفت. در این تحقیق، پیشرفتهای آتی (در سطح جهانی) با توجه به نقش مدیران ارشد امنیت اطلاعات در شرکتها مورد تحلیل و بررسی قرار میگیرد. این نظرسنجی و بررسی بر اساس تکنیکی به نام CATI (مصاحبهی تلفنی همراه با کامپیوتر) روی 250 مدیر ارشد اطلاعات امنیتی یا معادل این سمت در شرکتهای سراسر دنیا انجام شده است. این مطالعه تابستان 2018 انجام شد و در نوع خود بینظیر بود (نتایج آن بر اساس مبنایی سالانه تکرار خواهد شد).
یافتههای کلیدی- نکات مهم
- شایستگی و مشارکت حرفهای از ارکان مهماند
CISOها باید اطمینان حاصل کنند که هم خود و هم کارمندان مهمشان دست کم از صلاحیت عُرف حرفهای برخوردارند.
- اکثر CISOها عضو هیئت مدیره محسوب نمیشوند و تنها تعداد کمی از آنها هستند که دوست دارند چنین وضعیتی را تغیر دهند
تنها 26 درصد CISOهایی که در این مصاحبه شرکت کردند از اعضای هیئت مدیره بودند و تنها 25 درصد آنهایی که عضو هیئت مدیره نبودند فکر میکردند در حقشان اجحاف شده است. اعضای هیئت مدیره بودن به کنار، توانایی همکاری با خطوط مختلف تجاری (LoBs) در حوزههای متفاوت نیز بحث دیگری است که باید بدان پرداخته شود. این به هرم ردهبندی مشاغل ربط ندارد، دیگر مختصات رفتاری است که اهمیت پیدا میکند.
- هدف همکاری با حوزهی آیتی و LoBs است
خیلی کم پیش میآید که امنیت آیتی به عنوان موضوعی جداگانه مورد تحلیل قرار گیرد. همکاری با دپارتمانهای آیتی مهم است اما مشارکت با LoBs همچنین از سویی دیگر اهمیت داشته و نباید به پروژههایی محدود شود که قوانین و مقررات مرتبط با آیتی میبایست در آنها لحاظ گردد. هر قدر تعامل بین امنیت آیتی و LoBs طبیعیتر باشد، روند این مشارکت در پروژهها بهتر خواهد بود.
- بودجهبندی: مقررات تنظیمشده در پروسههای بودجهبندی تأثیر شایانی دارد
محاسبات بازگشت سرمایه لزوماً بهترین روش برای توجیه بودجه و پروژههای ضروری نیست؛ زیرا آنها معمولاً بسیار پیچیده بوده و ریشههایشان در فرضیههای ضعیف تنیده شده است؛ بر همین اساس چندان نمیشود از آنها دفاع کرد. "ارزیابیهای آسیب" در پرتوی حملاتی که در گذشته به شرکتی وارد شده روشی متقاعدکنندهتر است. ارائهی فرضیههایی در باب مقررات اجباری حتی بهتر نیز است و تا همین الان هم 38 درصد از مدیران ارشد اطلاعات امنیتی آن را انجام دادهاند.
- روندهای تکنولوژیکی: انطباق و سازگاری از جمله مؤلفههای حیاتی است
گرچه اکثر CISOها بخشی از اعضای دپارتمان آیتی محسوب نمیشوند اما باید دید باز و دانش کافی نسبت به رویههای جدید و دسته اول تکنولوژیکی داشته و همچنین در مورد تأثیری که فناوریهای بزرگ و مهم روی امنیت آیتی میگذارند از آگاهی و اطلاعات کافی برخوردار باشند. برای مثال محاسبهی کوانتومی -که در حال حاضر چیزی بیش از یک تحقیق علمی نیست- احتمالاً ظرف دو سال آینده شاکلهی رمزگذاری را از بنیان تغییر خواهد داد، اما بیشتر گمان میرود این امر بین 5 تا 10 سال آینده میسر شود.
به زودی با بخش دوم این مقاله در خدمت شما همراهان همیشگی کسپرسکی خواهیم بود.
[1] Chief Information Security Officer
[2]Incident Management: فرآیندی متشکل از لاگبرداری، ثبت و ضبط و تصمیم گیری در خصوص حوادث است که در یک سازمان اتفاق میافتد.
[3] advanced persistent threat attack
[4] Denial of Service attack
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
