مدیریت فرایندهای کسب و کار
شرح شغل و وظایف مدیر ارشد امنیت اطلاعات (CISO) در سازمان
مدیر ارشد امنیت اطلاعات یا CISO (Chief Information Security Officer)، مسئول ایجاد استراتژی امنیتی و محافظت از داراییهای داده سازمان است. مدیران ارشد امنیت اطلاعات در کنار مدیران ارشد اطلاعات (CIO) برای دستیابی به این اهداف کار میکنند.
مدیر ارشد امنیت اطلاعات چه کاری انجام میدهد؟
نقش مدیر ارشد امنیت اطلاعات به عنوان حافظ امنیت اطلاعات، ایجاد استراتژی است که با پیچیدگی نظارتی فزاینده روبرو است: ایجاد سیاستها، معماری امنیتی، فرایندها و سیستمهایی که به کاهش تهدیدات سایبری و حفظ امنیت دادهها کمک میکند. انطباق و همچنین درک مدیریت ریسک، عنصر اصلی این نقش است.
مدیر ارشد امنیت اطلاعات درک خواهد کرد که چگونه فضای تهدید امنیت سایبری در حال تکامل است و چگونه میتواند بر خطرات امنیتی پیش روی سازمان تأثیر بگذارد. این به معنای در نظر گرفتن همه موارد است، از خطر بدافزار و هک کردن گرفته تا تهدیدات داخلی یا آسیبپذیریهای جبرانناپذیر در سیستمهای سازمان. مدیر ارشد امنیت اطلاعات در صورت نقض دادهها، نقشی اساسی در هرگونه واکنش به حادثه ایفا خواهد کرد.
اهمیت امنیت سایبری به حدی است که اکثریت قریب به اتفاق (۸۹٪) مدیران ارشد امنیت اطلاعات به طور منظم توسط هیئت مدیره احضار میشوند تا توصیههایی را برای کسب و کار ارائه دهند.
نقش مدیر ارشد امنیت اطلاعات چقدر مهم است؟
خلاصه بخواهیم بگوییم: بسیار مهم. مطابق گفته Grant Thornton LLP و شورای مدیریت کسب و کار فناوری، اطمینان از انطباق سیستمهای فناوری اطلاعات با نیازهای امنیتی و نظارتی اولویت اصلی رؤسای فناوری است. آنها گزارش میدهند که حدود ۸۳٪ از رهبران فناوری اطلاعات در ۱۲ ماه گذشته هزینههای مربوط به امنیت سایبری را افزایش دادهاند.
آیا مدیران اجرایی کسب و کار، مدیر ارشد امنیت اطلاعات را جدی میگیرند؟
به نوعی. اگرچه خبر خوبی است که مدیران ارشد امنیت اطلاعات مخاطبان اجرایی فزایندهای برای نظرات خود دارند، اما اهمیت استراتژیک امنیت سایبری به هیچ وجه تضمین نشده است. تقریباً ۴۳٪ از مدیران ارشد امنیت اطلاعات احساس میکنند که برای تأمین بودجه با سایر طرحهای کسب و کار و فناوری اطلاعات در رقابت مستقیم هستند.
این نبرد برای پول نقد، با روند گستردهتری در کسب و کار مغایرت دارد: تقریباً هر متخصص تشخیص میدهد که کسب و کارها باید بیش از هر زمان دیگری امنیت را جدی بگیرند. اما به گفته KPMG و هاروی نش، در حالی که ۴۰٪ مدیران ارشد امنیت اطلاعات میگویند سازمان آنها در دو سال گذشته مورد حمله امنیتی قرار گرفته است، فقط ۲۹٪ از آنها معتقدند که برای مقابله با خطرات امنیتی مناسب هستند.
همکاری مدیر ارشد امنیت اطلاعات و مدیر ارشد اطلاعات در زمینه امنیت
سیسیلیا فنگ، استادیار حسابداری در دانشگاه استونی بروک، میگوید اگرچه مدیر ارشد اطلاعات و مدیر ارشد امنیت اطلاعات هر دو وظیفه محافظت از سیستمهای اطلاعاتی شرکت خود را بر عهده دارند، اما رابطه میان این دو نقش کاملاً نامحسوس است. در حالی که یک مدیر ارشد اطلاعات معمولاً به مدیرعامل شرکت یا مدیر مالی شرکت گزارش میدهد، مدیر ارشد امنیت اطلاعات ممکن است اغلب تحت نظر مدیر ارشد اطلاعات کار کند، که نشاندهنده گستردگی وظایف آنها است.
فنگ اشاره میکند که نبرد برای تأمین بودجه به این معنی است که رابطه بین مدیر ارشد امنیت اطلاعات و مدیر ارشد اطلاعات همیشه سرراست نیست، اما هر دو باید تشخیص دهند که اهداف مشترکی دارند، با چالشهای یکسانی روبرو هستند و میتوانند عواقب مشابهی را متحمل شوند.
وی میگوید: “مطالعه اخیر من نشان میدهد که اخراج مدیر ارشد اطلاعات به دلیل نقض امنیت ناشی از مشکلات سیستم، ۷۲٪ احتمال بیشتری دارد.”
همچنین مدیر ارشد امنیت اطلاعات به دلیل نقصهای امنیتی پاسخگو خواهد بود. اما وقتی این مدیران فناوری اطلاعات متحد میشوند، میتوانند قدرت خود را ادغام کنند تا در بحث برنامههای فناوری و هدایت کسب و کار، حرف بیشتری در اتاق هیئت مدیره داشته باشند.
مدیر ارشد امنیت اطلاعات بودن چگونه است؟
طبق گفته KPMG و هاروی نش، بیش از سه چهارم (۷۸٪) مدیران ارشد امنیت اطلاعات شغل خود را راضیکننده میدانند. در دنیایی که اهمیت فناوری و دادهها روز به روز افزایش میباید، بعید به نظر می رسد که نقش مدیر ارشد امنیت اطلاعات به این زودی برکنار شود.
با این وجود این فشار باعث بروز مسائل بزرگی نیز میشود. طبق تحقیقات انجامشده، اکثریت قریب به اتفاق مدیران ارشد امنیت اطلاعات (۸۸٪) تحت فشار متوسط یا فوقالعادهای هستند. از این بدتر، تقریباً نیمی از مدیران ارشد امنیت اطلاعات میگویند که استرس شغلی تأثیر مخربی بر سلامت روان آنها در سال گذشته داشته است.
ریچ آرمور، مدیر ارشد امنیت اطلاعات سابق در General Motors و اکنون مشاور امنیت سایبری در Nozomi Networks، میگوید بسیار مهم است که رؤسای امنیتی تحت فشار، راهی برای آرامش پیدا کنند.
وی میگوید: “بسیاری از وظایف روزانه مدیر ارشد امنیت اطلاعات استرسزا است، اما مدیریت حوادث مهم یا نقض علنی این فشارها را به حد شدید میرساند. مدیر ارشد امنیت اطلاعات باید بتواند ضمن حفظ چشمانداز و تعادل خود، سازمان را در این شرایط استرسزا مدیریت کند.”
شرایط کار برای مدیر ارشد امنیت اطلاعات چگونه است؟
مدیران ارشد امنیت اطلاعات در اکثر سازمانها دارای قدرت هستند، اما این مقام با مشکلاتی نیز همراه است. تقریباً همه مدیران ارشد امنیت اطلاعات به طور متوسط ۱۰ ساعت در هفته بیش از ساعت قرارداد خود کار میکنند. بسیاری از مدیران ارشد امنیت اطلاعات حتی زمانی که در محل کار حضور ندارند باید آماده به کار باشند. از دست دادن روز تولد، تعطیلات، عروسی و حتی مراسم خاکسپاری در این شغل غیرمعمول نیست.
تقریباً سه چهارم (۷۱٪) مدیران ارشد امنیت اطلاعات میگویند که در ترازوی تعادل میان زندگی و کار آنها، کار سنگینی بیشتری دارد. آنها همچنین مرخصی سالانه، روزهای بیماری یا وقت ملاقات دکتر را ندارند. نتیجه این امر، فشار و مشکلات سلامتی بیشتر است.
تقریباً تمام مدیران ارشد امنیت اطلاعات (۹۰٪) میگویند حتی اگر بهبود تعادل میان کار و زندگی آنها موجب کاهش حقوقشان شود، مایلاند این کاهش حقوق را بپذیرند.
دستمزد مدیر ارشد امنیت اطلاعات چقدر است؟
این واقعیت که بسیاری از مدیران ارشد امنیت اطلاعات مایلاند حقوقشان کمتر شود، نشان میدهد بسیاری از تنشها و فشارهای عظیمی که با آن روبرو هستند به خوبی جبران میشوند.
