روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ دیدگاه افرادی که در سمت مدیر ارشد امنیت اطلاعات[1] (CISO) -و یا رده‌ی شغلی معادل آن- فعالیت می‌کنند در مورد امنیت سایبری چیست؟ آن‌ها در چنین جایگاه شغلی‌ای با چه چالش‌هایی دست و پنجه نرم می‌کنند؟ برای دانستن پاسخ پرسش‌هایی از این دست، لابراتوار کسپرسکی روی 250 مدیر امنیتی در سراسر جهان تحقیق انجام داده است. نظرات آن‌ها بسیار جالب بود؛ گرچه شاید با برخی از آن‌ها مخالف باشیم. از مدیران مربوطه در مورد معیارهای کلیدی این سمت سوال شد و جای تعجب نیست که اکثراً در پاسخ گفتند معیار کلیدی، کیفیت و سرعت مدیریت رخداد[2] است. افراد در سایر سازمان‌های مدرن با مواجه شدن حوادث سایبری فکر نمی‌کنند دنیا به آخر رسیده است. اینکه اکثر متخصصین دارند به این درک می‌رسند که حوادث سایبری اجتناب‌ناپذیر است این خوشبین‌کننده به نظر می‌رسد و این هیچ اشکالی ندارد (کاملاً هم طبیعی است). امروزه، بقای سازمان عمدتاً در گروی امنیت سایبری است.  

منظور از بقا، داشتن سطحی از حفاظت است که تضمین می‌دهد در صورت وقوع تهدیدهای پیشرفته[3] و مستمر، نشت اطلاعاتی یا حملات محروم‌سازی از سرویس[4] (DDoS) -در سطحی گسترده- شرکت می‌تواند بدون آسیب جدی و یا متضرر شدن بیش از حد تعریف‌شده خود را ریستور کنند. به بیانی دیگر، مدیران ارشد امنیت اطلاعات امروزی تمام تمرکز خود را روی مدیریت رخداد گذاشته‌اند. این از جهاتی می‌تواند عالی باشد. چند سال پیش بود که موج این مدیریت، مدیران را فرا گرفت و همگی چشم‌اندازشان را روی ایده‌ی "روز صفر" ترسیم کرده بودند،؛ اینطور تلقی می‌شود که CISOها باید با سپرهای آهنیِ خود، زیرساخت‌های شرکت را با چنگ و دندان حفظ و حراست کنند. اما از جهاتی دیگر، اینکه صرفاً همه‌ی تمرکز مدیران روی فناوری‌های واکنشی گذاشته شود هم خوب نیست. CISOها می‌بایست رویکردی متعادل‌تر اتخاذ کنند. تمام مؤلفه‌های سازگاری امنیتی حائز اهمیت‌اند: پیشگیری، تشخیص، پاسخ و پیش‌بینی.

گفته‌هایی درباره‌ی ریسک‌ها

بسیاری از CISOها بر سر این موضوع توافق نظر دارند که بزرگ‌ترین خطر برای یک سازمان بعد از یک شکاف امنیتی، لکه‌دار شدن نام و اعتبار است. اگر اعتبار سازمان لکه‌دار شود دیگر باید منتظر پیامدهای بعدی آن بود (افت سهام، اعتماد مشتری، فروش و غیره). اگر دقت کرده باشید کمتر خبرهایی مبنی بر لکه‌دار شدن اعتبار ناشی از حوادث امنیتی می‌شنویم. اگر شرکتی تصمیم بگیرد حادثه‌ی سایبری‌ای را کتمان کند می‌تواند و عموماً مشتری هم از این موضوع بویی نخواهد برد؛ گرچه قوانین برخی کشورها شرکت‌ها را ملزم می‌دارند تا تمام مشکلات امنیتی خود را صراحتاً با سهامداران و مشتریان خود در میان بگذارند. CISOها انگیزه‌های متفاوت مجرمان سایبری را می‌شناسند و می‌توانند فرق بین حملات حمایت‌شده از سوی دولت و جرم‌هایی با انگیزه‌ی مالی تشخیص ‌دهند. خدشه‌دار شدن نام و اعتبار سازمان، بهای سنگینی دارد. تجربه ثابت کرده است که کارمندی دورو و بی‌صداقت به طور بالقوه می‌تواند بیش از عوامل مخرب بیرونی سازمان را از پای بیاندازد.  

تأثیر روی تصمیمات شرکت

اینکه بدانید مدیران امنیتی تا چه اندازه در تصمیم‌گیری‌های شرکت دخیل‌اند خیلی جالب است. البته برخی از این مدیران به جای نظارت کامل ترجیح می‌دهند کنترل نسبی و مکفی داشته باشند. اساساً دو راهبرد وجود دارد: حوزه‌ی امنیت می‌تواند یک به یک قدم‌هایی را که شرکت برمی‌دارد تحت کنترل خود قرار دهد؛ بنابراین مدیران امنیتی حُکم مشاور را نیز دارند (صلاحِ کار را مدیران امنیتی شرکت می‌دانند). در نگاه اول نظارت کامل به نظر کارامدتر می‌آید (طبیعتاً هم باید همینطور باشد- البته اگر هدف اصلی امنیت سایبریِ صِرف باشد). در واقعیت اما این رویکرد نیازمند کارمندانی بیشتر است و همین می‌تواند باعث کُندی در روند پیشرفت سازمانی شود. چنین شرایطی خصوصاً برای شرکت‌های خلاق چالش‌برانگیز است؛ شرکت‌هایی که از فرآیندهای سازمانی‌ای استفاده می‌کنند که راهکارهای حفاظتی کاملی ارائه نمی‌دهند.

توجیه بودجه

و اما در مواجه با این سوال که «بدون داشتن بازگشت سرمایه‌ای واضح و روشن چطور می‌شود بودجه را توجیه کرد؟»، پاسخ‌ها مأیوس‌کننده بود. اینطور به نظر می‌رسد که رایج‌ترین ابزار توجیه، چند تاکتیک نادر است: گزارشات و ارزیابی‌های نقض/شکاف امنیت سایبری در مورد آسیب‌هایی که در طی حملات قبلی به شرکت وارد شده است. بله... شاید بشود یک یا دو بار با این ابزار، بودجه را توجیه کرد. اما بار سوم به بعد چه؟ دیگر جواب چنین چیزی خواهد شد: «آری بسیار ترسناک است.. اما بهتر نیست ببینیم بقیه در چنین مواردی چه کاری انجام می‌دهند؟»

این پاسخ منطقی‌ای نیست... این مشکل شرکت شماست و کلیدش تنها در دست همین شرکت است و نه دیگر سازمان‌ها. نمی‌شود برای بیماری‌های مختلف سازمانی نسخه‌های داروییِ یکسانی پیچید.

لازمه‌ی مدیر ارشد امنیت اطلاعات بودن چیست؟

از آنجایی که این روزها سازمان‌ها باید به اکوسیستم‌های خود متکی باشند، وابستگی‌شان به آی‌تی نیاز آن‌ها را به چنین سمتی بیشتر کرده است. پس می‌توان ادعا کرد اهمیت این سمت در سازمان‌ها روز به روز بیشتر می‌شود.

اما چه مواردی موجبات موفقیت یک مدیر ارشد امنیت اطلاعات را فراهم می‌آورد؟ پژوهشی تحت عنوان "نظرسنجی 2018 مدیر ارشد امنیت اطلاعات 2018" هدفش پاسخ به چنین سؤالاتی است. به جای لابراتوار کسپرسکی، PAC این مطالعه را بر عهده گرفت. در این تحقیق، پیشرفت‌های آتی (در سطح جهانی) با توجه به نقش مدیران ارشد امنیت اطلاعات در شرکت‌ها مورد تحلیل و بررسی قرار می‌گیرد. این نظرسنجی و بررسی بر اساس تکنیکی به نام CATI (مصاحبه‌ی تلفنی همراه با کامپیوتر) روی 250 مدیر ارشد اطلاعات امنیتی یا معادل این سمت در شرکت‌های سراسر دنیا انجام شده است. این مطالعه تابستان 2018 انجام شد و در نوع خود بی‌نظیر بود (نتایج آن بر اساس مبنایی سالانه تکرار خواهد شد).

یافته‌های کلیدی- نکات مهم

• شایستگی‌ و مشارکت حرفه‌ای از ارکان مهم‌اند

CISOها باید اطمینان حاصل کنند که هم خود و هم کارمندان مهم‌شان دست کم از صلاحیت‌ عُرف حرفه‌ای برخوردارند.

• اکثر CISOها عضو هیئت مدیره محسوب نمی‌شوند و تنها تعداد کمی از آن‌ها هستند که دوست دارند چنین وضعیتی را تغیر دهند

تنها 26 درصد CISOهایی که در این مصاحبه شرکت کردند از اعضای هیئت مدیره‌ بودند و تنها 25 درصد آن‌هایی که عضو هیئت مدیره نبودند فکر می‌کردند در حقشان اجحاف شده است. اعضای هیئت مدیره بودن به کنار، توانایی همکاری با خطوط مختلف تجاری (LoBs) در حوزه‌های متفاوت نیز بحث دیگری است که باید بدان پرداخته شود. این  به هرم رده‌بندی مشاغل ربط ندارد، دیگر مختصات رفتاری است که اهمیت پیدا می‌کند.

• هدف همکاری با حوزه‌ی آی‌تی و LoBs است

خیلی کم پیش می‌آید که امنیت آی‌تی به عنوان موضوعی جداگانه مورد تحلیل قرار گیرد. همکاری با دپارتمان‌های آی‌تی مهم است اما مشارکت با LoBs همچنین از سویی دیگر اهمیت داشته و نباید به پروژه‌هایی محدود شود که قوانین و مقررات مرتبط با آی‌تی می‌بایست در آن‌ها لحاظ گردد. هر قدر تعامل بین امنیت آی‌تی و LoBs طبیعی‌تر باشد، روند این مشارکت در پروژه‌ها بهتر خواهد بود.

• بودجه‌بندی: مقررات تنظیم‌شده در پروسه‌های بودجه‌بندی تأثیر شایانی دارد

محاسبات بازگشت سرمایه لزوماً بهترین روش برای توجیه بودجه‌ و پروژه‌های ضروری نیست؛ زیرا آن‌ها معمولاً بسیار پیچیده بوده و ریشه‌هایشان در فرضیه‌های ضعیف تنیده شده است؛ بر همین اساس چندان نمی‌شود از آن‌ها دفاع کرد.  "ارزیابی‌های آسیب" در پرتوی حملاتی که در گذشته به شرکتی وارد شده روشی متقاعدکننده‌تر است. ارائه‌ی فرضیه‌هایی در باب مقررات اجباری حتی بهتر نیز است و تا همین الان هم 38 درصد از مدیران ارشد اطلاعات امنیتی آن را انجام داده‌اند.

• روندهای تکنولوژیکی: انطباق و سازگاری از جمله مؤلفه‌های حیاتی است

گرچه اکثر CISOها بخشی از اعضای دپارتمان آی‌تی محسوب نمی‌شوند اما باید دید باز و دانش کافی نسبت به رویه‌های جدید و دسته اول تکنولوژیکی داشته و همچنین در مورد تأثیری که فناوری‌های بزرگ و مهم روی امنیت آی‌تی می‌گذارند از آگاهی و اطلاعات کافی برخوردار باشند. برای مثال محاسبه‌ی کوانتومی -که در حال حاضر چیزی بیش از یک تحقیق علمی نیست- احتمالاً ظرف دو سال آینده شاکله‌ی رمزگذاری را از بنیان تغییر خواهد داد، اما بیشتر گمان می‌رود این امر بین 5 تا 10 سال آینده میسر شود.

به زودی با بخش دوم این مقاله در خدمت شما همراهان همیشگی کسپرسکی خواهیم بود.

[1] Chief Information Security Officer

[2]Incident Management: فرآیندی متشکل از لاگ‌برداری، ثبت و ضبط و تصمیم گیری در خصوص حوادث است که در یک سازمان اتفاق می‌افتد.

[3] advanced persistent threat attack

[4]  Denial of Service attack