گزارش کارگاه همراستاسازی امنیت اطلاعات با کسب‌وکار: مدل، برنامه، نقش‌ها و سنجه‌ها

کارگاه «همراستاسازی امنیت اطلاعات با کسب‌وکار: مدل، برنامه، نقش‌ها و سنجه‌ها» با تدریس مشترک علیرضا اطهری فرد مدیر طرح و برنامه شرکت مدیریت امن الکترونیکی کاشف، سجاد طرهانی کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف و مصطفی مؤذن کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف در بعدازظهر اولین روز همایش برگزار شد. این کارگاه در سه بخش اصلی هم راستاسازی امنیت اطلاعات با کسب‌وکار، برنامه امنیت اطلاعات و مدیر ارشد امنیت اطلاعات ارائه شد.

در ابتدا اطهری فرد به تشریح بخش اول این کارگاه با عنوان «همراستاسازی امنیت اطلاعات با کسب‌وکار» پرداخت. اطهری‌فرد بیان داشت که شمار زیادی از سازمان‌ها، با کشمکش میان واحد امنیت اطلاعات، تیم‌های فناوری اطلاعات و واحدهای کسب‌وکار مواجه هستند. او به این نکته اشاره کرد که هم‌راستایی امنیت با کسب‌وکار به‌شدت به هم‌راستایی کسب‌وکار با فناوری اطلاعات وابسته است و مدیران ارشد امنیت اطلاعات باید در این هم راستاسازی نقش راهبری را بر عهده گیرند و برای موفق شدن باید اعتبار سازمانی و اعتماد کسب‌وکار را جلب نمایند. اطهری‌فرد بیان داشت خط‌مشی‌های امنیتی به‌هیچ‌وجه منعکس‌کننده اهداف کسب‌وکار نیستند و از این بابت توسط بخش عمده‌ای از کارکنان و ذی‌نفعان نادیده گرفته می‌شوند.

او بهترین روش برای دستیابی به امنیت اطلاعات را فرموله نمودن سیاست امنیتی برشمرد و هدف اصلی از سیاست امنیتی را این دانست که کاربران بدانند مجاز به چه کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در تصمیم‌گیری برای پیکربندی و استفاده از سیستم‌ها یاری رسانند. در پایان اطهری‌فرد اظهار داشت که بهترین سیاست امنیتی در شرایطی تدوین می‌گردد که مدیریت سازمان سیاست کلی را ارائه نموده و یا دستور پیاده‌سازی اصول امنیتی را در سازمان صادر کند.

بخش دوم این کارگاه با عنوان «برنامه امنیت اطلاعات» توسط طرهانی ارائه شد. او بیان کرد که چنانچه امنیت اطلاعات را به شکل موردی، بدون یکپارچگی و اینجاوآنجا به کار بگیریم، حتماً تأثیری اندک در سازمان خواهد داشت.طرهانی به این نکته اشاره کرد که راهبران اطلاعات باید امنیت را با تمامی ابعاد کسب‌وکار شامل: فناوری، فرآیندها و رفتار سازمانی ادغام کنند تا ضمن هم‌راستایی با اهداف کسب‌وکار، نیازمندی‌های امنیتی سازمان را برآورده سازند. او اولین گام برای تحقق این اهداف را استقرار برنامه‌ای رسمی دانست که مشخص‌کننده اصول، منابع و فعالیت‌های مهم امنیت اطلاعات سازمان باشد.

طرهانی اولین چالش پیش‌روی مدیران را بعد از تدوین برنامۀ امنیت اطلاعات نحوۀ پیاده‌سازی آن دانست و بیان داشت که در این مرحله، متولیان امنیت اطلاعات سعی دارند که فعالیت‌های موردی و مبتنی بر کنترل‌های امنیتی را به سمت برنامه‌های کنشگرای توأم با بهبود مستمر سوق دهند.

او همچنین اظهار داشت که وضعیت فعلی امنیت را می‌توان با فهرست نمودن کنترل‌های امنیتی فعال، خط‌مشی‌ها، نقش‌ها، منابع، رویه‌های اجرایی و پروژه‌های امنیتی، بررسی و ارزیابی کرد و برای این کار، بهتر است از یک مدل ارزیابی استاندارد استفاده شود تا بتواند در گام‌های بعدی پشتیبانی مناسبی از طرف مدیریت اجرایی به دست آورد.

بخش پایانی این کارگاه با عنوان «مدیر ارشد امنیت اطلاعات» توسط موذن ارائه شد. او در ابتدا به تعریف مدیر ارشد امنیت اطلاعات یا سیزو (CISO) پرداخت و عنوان کرد سیزو کسی است که وظیفه تهیه و مدیریت برنامه امنیت اطلاعات و هم‌راستایی آن با کسب‌وکار را بر عهده دارد. مؤذن اظهار داشت که مدیر ارشد امنیت اطلاعات از نقش‌های کلیدی ساختار امنیت اطلاعات است و تأثیر بسیار زیادی در هم راستاسازی امنیت اطلاعات با کسب‌وکار دارد.

او شناخت نقش سیزو را در گرو پاسخ به چندین سؤال دانست و علل نیاز کسب‌وکارها به مدیر ارشد امنیت اطلاعات را تشریح کرد. مؤذن در بخشی از صحبت‌های خود به این نکته اشاره کرد که مدیر ارشد امنیت اطلاعات باید از اعتبار کافی نزد مدیران کسب‌وکار برخوردار باشد تا بتواند آن‌ها را برای سرمایه‌گذاری در امنیت اطلاعات متقاعد کند. او باید معتمد باشد تا بتواند پشتیبانی مدیران ارشد را جلب کند و مقبول و سرشناس باشد تا حل مشکلات و مسائل را تسهیل نماید.

در ادامه مؤذن اصولی را که مدیران ارشد امنیت اطلاعات موفق از آن پیروی می‌کنند را تشریح کرد و ۴ توصیه در راستای حمایت از ذینفعان به این مدیران ارائه داد. موذن صحبت‌های خود را با بیان مسیر گزارش‌دهی مؤثر برای مدیر ارشد امنیت اطلاعات به پایان رساند.

منبع: پژوهشکده پولی و بانکی