کارگاه همراستاسازی امنیت اطلاعات با کسب و کار برگزار شد
مدل، برنامه، نقشها و سنجهها
کارگاه «همراستاسازی امنیت اطلاعات با کسب و کار: مدل، برنامه، نقشها و سنجهها» با تدریس مشترک علیرضا اطهری فرد (مدیر طرح و برنامه شرکت مدیریت امن الکترونیکی کاشف)، سجاد طرهانی (کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف) و مصطفی موذن (کارشناس ارشد تحقیق و توسعه شرکت مدیریت امن الکترونیکی کاشف) در بعد از ظهر اولین روز همایش برگزار شد.
به گزارش پایگاه خبری بانکداری الکترونیک، این کارگاه در سه بخش اصلی همراستاسازی امنیت اطلاعات با کسب و کار، برنامه امنیت اطلاعات و مدیر ارشد امنیت اطلاعات ارائه شد.
در ابتدا اطهری فرد به تشریح بخش اول این کارگاه با عنوان «همراستاسازی امنیت اطلاعات با کسب و کار» پرداخت. اطهریفرد بیان داشت که شمار زیادی از سازمانها، با کشمکش میان واحد امنیت اطلاعات، تیمهای فناوری اطلاعات و واحدهای کسب و کار مواجه هستند. او به این نکته اشاره کرد که همراستایی امنیت با کسب و کار به شدت به همراستایی کسب و کار با فناوری اطلاعات وابسته است و مدیران ارشد امنیت اطلاعات باید در این همراستاسازی نقش راهبری را بر عهده گیرند و برای موفق شدن باید اعتبار سازمانی و اعتماد کسب و کار را جلب نمایند. اطهریفرد بیان داشت خطمشیهای امنیتی به هیچوجه منعکسکننده اهداف کسب و کار نیستند و از این بابت توسط بخش عمدهای از کارکنان و ذینفعان نادیده گرفته میشوند.
او بهترین روش برای دستیابی به امنیت اطلاعات را فرموله نمودن سیاست امنیتی برشمرد و هدف اصلی از سیاست امنیتی را این دانست که کاربران بدانند مجاز به چه کارهایی هستند و از سوی دیگر مدیران سیستم و سازمان را در تصمیمگیری برای پیکربندی و استفاده از سیستمها یاری رسانند. در پایان اطهریفرد اظهار داشت که بهترین سیاست امنیتی در شرایطی تدوین میگردد که مدیریت سازمان سیاست کلی را ارائه نموده و یا دستور پیادهسازی اصول امنیتی را در سازمان صادر کند.
بخش دوم این کارگاه با عنوان «برنامه امنیت اطلاعات» توسط طرهانی ارائه شد. او بیان کرد که چنانچه امنیت اطلاعات را به شکل موردی، بدون یکپارچگی و اینجا و آنجا به کار بگیریم، حتما تأثیری اندک در سازمان خواهد داشت.طرهانی به این نکته اشاره کرد که راهبران اطلاعات باید امنیت را با تمامی ابعاد کسب و کار شامل: فناوری، فرآیندها و رفتار سازمانی ادغام کنند تا ضمن همراستایی با اهداف کسب و کار، نیازمندیهای امنیتی سازمان را برآورده سازند. او اولین گام برای تحقق این اهداف را استقرار برنامهای رسمی دانست که مشخصکننده اصول، منابع و فعالیتهای مهم امنیت اطلاعات سازمان باشد.
طرهانی اولین چالش پیشروی مدیران را بعد از تدوین برنامۀ امنیت اطلاعات نحوۀ پیادهسازی آن دانست و بیان داشت که در این مرحله، متولیان امنیت اطلاعات سعی دارند که فعالیتهای موردی و مبتنی بر کنترلهای امنیتی را به سمت برنامههای کنشگرای توام با بهبود مستمر سوق دهند.
او همچنین اظهار داشت که وضعیت فعلی امنیت را میتوان با فهرست نمودن کنترلهای امنیتی فعال، خط مشیها، نقشها، منابع، رویههای اجرایی و پروژههای امنیتی، بررسی و ارزیابی کرد و برای این کار، بهتر است از یک مدل ارزیابی استاندارد استفاده شود تا بتواند در گامهای بعدی پشتیبانی مناسبی از طرف مدیریت اجرایی به دست آورد.
بخش پایانی این کارگاه با عنوان «مدیر ارشد امنیت اطلاعات» توسط مؤذن ارائه شد. او در ابتدا به تعریف مدیر ارشد امنیت اطلاعات یا سیزو (CISO) پرداخت و عنوان کرد سیزو کسی است که وظیفه تهیه و مدیریت برنامه امنیت اطلاعات و همراستایی آن با کسب و کار را برعهده دارد. مؤذن اظهار داشت که مدیر ارشد امنیت اطلاعات از نقشهای کلیدی ساختار امنیت اطلاعات است و تاثیر بسیار زیادی در همراستاسازی امنیت اطلاعات با کسب و کار دارد.
او شناخت نقش سیزو را در گرو پاسخ به چندین سوال دانست و علل نیاز کسب و کارها به مدیر ارشد امنیت اطلاعات را تشریح کرد. مؤذن در بخشی از صحبتهای خود به این نکته اشاره کرد که مدیر ارشد امنیت اطلاعات باید از اعتبار کافی نزد مدیران کسب وکار برخوردار باشد تا بتواند آنها را برای سرمایهگذاری در امنیت اطلاعات متقاعد کند. او باید معتمد باشد تا بتواند پشتیبانی مدیران ارشد را جلب کند و مقبول و سرشناس باشد تا حل مشکلات و مسائل را تسهیل نماید.
در ادامه مؤذن اصولی را که مدیران ارشد امنیت اطلاعات موفق از آن پیروی میکنند را تشریح کرد و ۴ توصیه در راستای حمایت از ذینفعان به این مدیران ارائه داد. موذن صحبتهای خود را با بیان مسیر گزارشدهی موثر برای مدیر ارشد امنیت اطلاعات به پایان رساند.