چرا سازمان‌ها به CISO نیاز دارند؟

چرا سازمان‌ها به CISO نیاز دارند؟

مدیر ارشد امنیت اطلاعات یا CISO، یک مدیر سطح بالا است که وظیفه او، تنظیم و تداوم استراتژی، مأموریت و سیستم سازمان، برای تضمین امنیت اطلاعات حیاتی یک سازمان است.

نقش CISO، در واقع نظارت بر فناوری‌های امنیتی، پاسخگویی مناسب به حوادث، طراحی استانداردها و کنترل‌های مناسب و همچنین مدیریت و اجرای سیاست‌های امنیتی و فرایندها است. CISO، یک نقش سطح بالا است زیرا تلفیقی از مهارت فنی و مهارت مدیریتی است. کشف و استخدام یک فرد با تمام این مهارت‌ها، اغلب دشوار و چالش برانگیز است. مدیر ارشد امنیت اطلاعات می‌تواند مجوز آموزش مدیریت ریسک را برای اعتبارسنجی مهارت‌های خود یا کسب تمام مهارت‌های زیر، دریافت کند.

مطلب زیر می‌تواند برای شما مفید باشد:

  • CISO باید به مفاهیم شبکه‌های رایآن‌های مانند VPN، DDoS، DNS، احراز هویت، پروکسی و سایر کنترل‌های کاهش ریسک، به‌عنوان یک دانش پایه مسلط باشد.
  • مدیر ارشد امنیت اطلاعات باید مهارت‌های مذاکره را به‌صورت حرفه‌ای بیاموزد.
  • مدیر ارشد امنیت اطلاعات، دانش گسترده‌ای درباره معماری امنیت دارد. همچنین به‌عنوان یک شخص حرفه‌ای، از آن‌ها انتظار می‌رود که شیوه‌ها و رویکردهای مناسب را برای استراتژی فناوری اطلاعات، درک کنند.
  • یک CISO خوب، درک گسترده‌ای از رسالت تجاری سازمان دارد و بنابراین، آن را با اهداف امنیتی سازمان تراز می‌کند.
  • این نقش باید مهارت بالایی در درک سیستم عامل‌های ویندوز و یونیکس داشته باشد. همچنین باید مهارت خوبی در برنامه‌نویسی مانند زبان‌های PHP، پایتون و جاوا داشته باشد.
  • با مفاهیم روتینگ، TCP/IP و سوئیچینگ آشنا بوده و سابقه کاری داشته باشد.
  • مهارت‌های رهبری را به‌درستی درک کرده و بتواند ارتباط موثری با کارمندان بخش واحد امنیت اطلاعات و فناوری اطلاعات داشته باشد.
  • مفاهیم مربوط به حفاظت از اطلاعات را به‌درستی درک کند.
  • مدیران این نقش، باید بتوانند معماری امنیت شبکه را شناسایی و طراحی کنند.
  • انتظار می‌رود نقش CISO با استانداردهای بین المللی مانند NIST، PCI DSS، GLBA، SOX، HIPAA و … آشنا باشد. همچنین تسلط خوبی بر قوانین حوزه امنیت اطلاعات مانند GDPR داشته باشد.
  • همچنین نقش CISO باید بتواند چارچوب‌های امنیتی مانند ITIL، COBIT، ISO 27001 و… را بر روی بستر شبکه، طراحی و پیاده سازی کند.
  • باید با سرویس‌های امنیتی مانند سیستم‌های پیشگیری از نفوذ (IPS)، دیواره آتش (Firewall)، سیستم‌های شناسایی نفوذ (IDS)، سیستم‌های‌هانی پات، سیستم‌های DLP و … آشنا بوده و بتوانند این سرویس‌ها را پیکربندی کنند.
  • و در انتها، مهارت بالا و گسترده در حوزه هک اخلاقی، مهارت‌های رمزنگاری و رمزگذاری پیشرفته و دانش سطح بالا در حوزه مدل‌سازی تهدیدات داشته باشند.

مطلب زیر می‌تواند برای شما مفید باشد:

اگر قصد دارید دانش و آگاهی خود را در زمینه امنیت سایبری بهبود ببخشید، توصیه می‌شود که بر روی آموزش‌های نقش CISO که پتاسیل شما را افزایش می‌دهند، سرمایه‌گذاری کنید. یکی از محبوب‌ترین مدارک این حوزه، مربوط به شرکت EC-Council است که با همین نام یعنی CISO شناخته می‌شود.

چرا به CISO نیاز دارید؟

تعداد سازمان‌های بزرگی که هنوز استخدام CISO را جدی نگرفته‌اند، شگفت‌آور است. در دنیای واقعی، تعداد معدودی از مشاغل می‌توانند بدون داشتن بخش فناوری اطلاعات به فعالیت خود ادامه دهند، اما این واقعیت وجود دارد که امنیت اطلاعات کسب و کار، جنبه اساسی هر کار تجاری و سازمانی است. اگرچه با وجود نقش CISO در سازمان هم هیچ تضمینی بر عدم آسیب به زیرساخت‌های سازمان وجود ندارد، با وجود این، سازمان‌ها وقتی متخصصی در این سطح دارند، می‌توانند حادثه را مدیریت کنند، هزینه کمتری متحمل شوند و خسارت را به حداقل برسانند.

به‌عنوان مثال، امنیت سایبری و امنیت اطلاعات سازمان شما، نیاز به یک متخصص با دانش و مهارت‌های گسترده در رابطه با مسائل فنی و اداری مربوط به تجارت دارد. یک مدیر ارشد امنیت اطلاعات، مسئولیت امنیت اطلاعات سازمان و حوزه تجارت آن، ریسک حاکمیت و رعایت آن، کنترل رویه‌های مرتبط با فناوری اطلاعات، مدیریت ریسک، جرم شناسی یا فارنزیک، تداوم کسب وکار و بازیابی از فاجعه، نظارت بر زیرساخت‌های فناوری اطلاعات، eDiscovery، تضمین صحت اطلاعات، پاسخگویی اضطراری و حفظ حریم خصوصی شبکه یا سیستم را برعهده دارد.

مطلب زیر می‌تواند برای شما مفید باشد:

چه زمانی برای استخدام CISO مناسب است؟

حال با صحبت‌های انجام شده، سازمان‌ها چگونه متوجه نیاز به نقش CISO شوند؟ اگر تحت‌تأثیر موارد زیر قرار گرفته‌اید، به یک مدیر ارشد امنیت اطلاعات نیاز دارید:

1- سابقه نقض امنیت در سازمان

اگر امنیت اطلاعات کسب و کار و سازمان شما در یک یا چند نوبت به خطر افتاده و چالش‌هایی را تجربه کرده‌اید، شما به یک CISO نیاز دارید. این که شما یک‌بار مورد نفوذ قرار گرفته‌اید، پس دیگر خطری شما را تهدید نمی‌کند، یک تفکر اشتباه است. هکرها همیشه در کمین نفوذ به شبکه‌های سازمانی هستند، آن‌ها غالبا در حال آزمایش سیستم‌های امنیتی و نرم افزاری شما هستند. شما برای مقابله این تهدیدات و خطرات، نیاز مبرم به استخدام یک CISO دارید تا با اجرای سیاست‌های درست و طراحی معماری امنیت مناسب، احتمال بروز خطرات را به میزان قابل توجهی کاهش دهد.

2- پیچیدگی‌های محیط تهدید

بدون شک، اندازه سازمان‌ها یکی از عوامل اصلی تعیین کننده نیاز سازمان به امنیت سایبری است. نیازهای یک سازمان کوچک و با تعداد پرسنل کم، قطعا با نیازهای یک سازمان بزرگ با صدها کارمند متفاوت خواهد بود. هنگام تصمیم گیری برای استخدام CISO، این مورد باید یکی از عوامل اصلی سازمان باشد. واضح است که سازمان‌ها نمی‌خواهند صبر کنند شبکه‌ها یا سیستم‌ها قبل از تهیه نسخه پشتیبان به خطر بیفتند. پیچیدگی محیط شغلی سازمان، نحوه اولویت بندی امنیت سازمان را تعیین می‌کند.

3- مدیریت ریسک و انطباق با استانداردها

معمولا سازمان‌هایی که خدمات مالی یا درمانی ارائه می‌دهند، بسیار منظم هستند. بنابراین، از سازمان‌هایی که در این صنایع فعالیت می‌کنند، غالباً انتظار می‌رود که نسبت به مؤسسات عادی، رویکردهای پیشرفته‌ای در زمینه امنیت اطلاعات کسب و کار داشته باشند. نکته مهم این است که ضررهای قانونی، نظارتی، اعتباری و مالی از سرپیچی یا عدم موفقیت رویه‌ها می‌تواند از مزایایی که به CISO می‌دهید، پیشی بگیرد.

4- کمبود کارشناسان امنیت اطلاعات کسب و کار

متأسفانه، در صنعت امنیت سایبری، با کمبود نیروی متخصص فناوری اطلاعات مواجه هستیم. این موضوع باعث شده که تقاضا برای جذب متخصصان امنیت اطلاعات تجاری از تعداد نیروهای متخصص موجود، فراترُ باشد. این موضوع نشان می‌دهد که تیم IT سازمان‌ها ممکن است مهارت لازم برای مقابله با حوادث را نداشته باشند. در صورتی که متخصصان IT از قبل در سازمان شما وجود داشته باشند و بتوانند نیازهای امنیت اطلاعات کسب و کار شما را برطرف کنند و همچنین، ورودی‌های رهبری لازم مانند CSO، COO، CIO یا CTO را نیز مدیریت کنند، ممکن است نیازی به استخدام CISO نداشته باشید. با وجود این، از آن‌جا که اختصاص یک عضو مناسب برای سرپرستی مطالبات امنیت سایبری از تیم شما، ممکن است کار دشواری باشد، داشتن یا استخدام CISO ممکن است ضروری باشد.

مطلب زیر می‌تواند برای شما مفید باشد:

چگونه تبدیل به یک CISO شویم؟

در ابتدا باید گفت که یک روش مشخص برای تبدیل شدن به یک CISO وجود ندارد. با این حال، شما می‌توانید گزینه‌های مختلفی را انتخاب کنید که باعث افزایش دانش شما شده و شانس شما را برای نقش CISO افزایش دهد.

  • مدرک: شما به مدرک کارشناسی ارشد یا حداقل کارشناسی نیاز دارید تا بتوانید برای شغل CISO واجد شرایط شوید. مسیر آموزشی بالقوه، شامل فناوری اطلاعات، تجارت، علوم کامپیوتری، فناوری اطلاعات و ارتباطات یا سایر زمینه‌های معادل آن است.
  • تجربه امنیت سایبری: میانگین سابقه کار لازم برای CISO، هفت تا ده سال است. باید کسب تجربه در زمینه‌های مدیریت ریسک و حاکمیت امنیت، امنیت اطلاعات تجاری وسازمانی و برنامه نویسی را در نظر بگیرید. همچنین باید تجربیات خود را در زمینه هک اخلاقی، مهندسی امنیت و تحلیل امنیتی، افزایش دهید.
  •  آموزش و گواهینامه‌ها: هیچ مدرک واحدی برای زمینه شغلی CISO وجود ندارد اما با این حال، سرمایه‌گذاری در برنامه‌های آموزشی و صدور گواهینامه‌های مبتنی بر فناوری اطلاعات، دانش شما را ارتقا می‌بخشد. یکی از محبوب‌ترین گواهینامه‌های CISO، مربوط به شرکت EC-Council است.

برای شرکت در آزمون‌های بین‌المللی EC-Council روی لینک زیر کلیک کنید:

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.