اشتباهات رایج کارشناسان امنیت اطلاعات در گزارش دهی

تاریخ انتشار : شنبه 21 اسفند 1400

اخبار استارتاپ

عدم مشارکت در بحث های تحریک آمیز با هیئت مدیره می تواند منجر به ابهام، ناامیدی و ناهماهنگی بین مدیران، بخش امنیتی و سایر بخش های سازمان شود. بنابراین گزارش وضعیت ریسک ها و امنیت سایبری در شرکت ها معمولاً توسط مدیران ارشد امنیت اطلاعات به مدیران سازمان ها اطلاع رسانی می شود.

در این مقاله فراست، تعدادی از اشتباهات رایجی که مدیران ارشد امنیت اطلاعات هنگام صحبت با یک هیئت مدیره مرتکب می شوند را بررسی می کنیم و در نهایت توصیه هایی برای جلوگیری از چنین اشتباهاتی ارائه می دهیم.

1 از اصطلاحات بسیار تخصصی استفاده کنید

مایکل تامیر، مدیر ارشد امنیت در Cyren می گوید: «مدیران سازمانی معمولاً با اصطلاحات امنیتی تخصصی آشنایی چندانی ندارند. بنابراین، استفاده بیش از حد از عبارات و کلمات تخصصی توسط مدیران ارشد امنیت اطلاعات می تواند نتیجه معکوس داشته باشد و منجر به از دست دادن توجه عمومی شود.

وی گفت: با توجه به مشغله های اعضای هیئت مدیره، این افراد معمولاً علاقه ای به شنیدن یا خواندن مکالمات نامفهوم ندارند و دامنه توجه آنها بسیار محدود است. پل واتس، تحلیلگر ارشد در انجمن امنیت اطلاعات و افسر سابق اطلاعات، موافق است: ارائه دهید. آنها همچنین باید تا حد امکان کوتاه صحبت کنند، آزادانه صحبت کنند و به جای کلمات از تصاویر استفاده کنند.

از اصطلاحات امنیتی تخصصی استفاده نکنید

2. تمرکز بر روی عواقب منفی خطرات امنیتی

دیو استاپلتون، مدیر ارشد اطلاعات CyberGRX، گفت: “مدیر ارشد اطلاعات می داند که چرا وابستگی به کد تهدیدی برای دستگاه های متصل به اینترنت است، اما توضیح آن در داخل کشتی بی ربط است.”

سونیل یو، افسر ارشد امنیت اطلاعات JupiterOne، با تایید مجدد این دیدگاه، گفت: “مدیران ارشد امنیت اطلاعات اغلب به جنبه های علمی و حرفه ای مشکل نگاه می کنند، در حالی که سایر اعضای هیئت مدیره در مورد دلار و مسائل عمومی صحبت می کنند. مدیران ارشد امنیت اطلاعات باید هنگام صحبت با مدیران شرکت ها درباره موضوعاتی مانند مزایای امنیت سایبری برای تجارت (مانند تأثیر امنیت سایبری بر ورود به بازارهای جدید، اجرای طرح های جدید و کاهش هزینه های سالانه) صحبت کنند.

در چنین شرایطی، آگاهی از شاخص های کلیدی عملکرد مورد استفاده مدیران و توانایی ارزیابی تأثیر تهدیدات بر این شاخص ها می تواند مؤثر باشد. راب دارتنال، رئیس بخش بریتانیایی CREST، گفت: «توانایی تشخیص اثرات تهدیدات سایبری بر خدمات کاری، استراتژی‌های اصلی و اهداف در کشتی بسیار مهم است.

یو گفت: «در این گفتگوها، مدیران باید متقاعد شوند که عدم رسیدگی به مسائل امنیتی می تواند مانع رشد کسب و کار یا ایجاد مشاغل و خطرات عملیاتی شود.

استپلتون معتقد است که ارائه مکالمات توسط مدیران امنیتی در مورد خطرات زنجیره تامین نرم افزار سازمانی و بازگشت سرمایه مورد انتظار از پیاده سازی نرم افزار تحلیل وابستگی کد، آن را مورد توجه مدیران قرار خواهد داد.

به عواقب منفی زیاد توجه نکنید

3. استخدام گزارش های سایبری آماده است

مدیران ارشد امنیت اطلاعات معمولاً امنیت سایبری را بر اساس اطلاعاتی که از ابزارهای امنیتی دریافت می کنند، در نظر می گیرند. بنابراین، تمرکز آنها معمولاً بر فعالیت‌های عملیاتی، تلاش‌ها برای رسیدگی به آسیب‌پذیری‌ها یا راه‌حل‌هایی است که معمولاً تجویز می‌شوند. پیتر پریزیو، مدیر عامل Booz Allen Hamilton SnapAttack می گوید: “خطرات یکسان نیستند.” بنابراین، اطلاعات ارائه شده توسط نرم افزار و ابزارهای امنیتی چندان قابل اعتماد نیست.»

پریو گفت: «مدیران ارشد امنیت اطلاعات باید روی موضوعاتی مانند حفظ اعتماد و شهرت سازمان، حفاظت از دارایی های مهم و تداوم کسب و کار که برای سازمان نسبتاً مهم هستند، تمرکز کنند. بنابراین آنها باید از ابزارهایی استفاده کنند که به آنها امکان دستیابی به چنین اهدافی را می دهد.» وی همچنین هشدار می دهد که نباید از استانداردهای قانونی برای ارزیابی ریسک ها استفاده کرد، زیرا میزان بهبود این استانداردها با خطرات واقعی پیش روی مشاغل متناسب نیست.

4. خیر آماده پاسخگویی است‌می دهم به سوالات

جیمز نلسون، معاون امنیت اطلاعات ایلومیو، می گوید: «جلسات هیئت مدیره جای تعجب نیست و مدیران ارشد امنیت اطلاعات نباید با سؤالات بی پاسخ مواجه شوند». بنابراین این افراد باید در مورد سؤالات احتمالی که می توان از مدیران سازمان ها پرسید و در هنگام شناسایی موضوعات مورد بحث و تهیه محتوای اسلایدها، پاسخ آن را بیابند.»

نلسون توصیه می کند که برخی از اطلاعات کلی در مورد آنچه آماده کرده اید، سؤالاتی که ممکن است پرسیده شود و برنامه هایی که برای پاسخ دادن دارید در اختیار مدیران سازمان قرار دهید. او گفت: «آنها می‌دانند که شما نمی‌توانید همه چیزهایی که در جلسه اتفاق می‌افتد را حدس بزنید، اما این باعث اعتماد آنها به شما می‌شود.

برای پاسخ به سوالات امنیتی آماده شوید

5. دیگران را بیش از حد بترسانید و بیش از حد تلاش کنید ایجاد و به اشتراک گذاشتن نگرانی ها

واتس گفت: “در این جلسات، ممکن است وسوسه شوید که بار تهدیدات سایبری را از روی دوش خود بردارید، تا زمانی که حضور در کشتی به این معنی نیست که باید حجم کاری خود را کاهش دهید.” او گفت: مراقب باشید از ترس و بدبینی به عنوان سلاح استفاده نکنید، زیرا این سلاح می تواند علیه شما کار کند.

بهتر است از زیر بار مسئولیت ها خلاص شوید، مشکلات، راه حل های پیشنهادی، توصیه ها و فواید آنها را توضیح دهید. به گفته واتس: “شما می توانید این اطلاعات را در یک بسته ارائه دهید.”

همچنین از درگیر شدن ناگهانی و ناخواسته در بحث های جنجالی خودداری کنید. واتس گفت: “در صورت لزوم، یادداشت برداری کنید، اطلاعات مورد نیاز خود را نگه دارید و سپس به آنها مراجعه کنید.” همچنین در هنگام گزارش اخبار بد از اتهام یا درگیری خودداری کنید و قبل از بیان صریح اخبار بد، تمهیدات لازم را در مخاطبان به عمل آورید. اعضای هیئت مدیره علاقه ای به غافلگیری ندارند، به خصوص وقتی صحبت از اخبار بد باشد.

6. تاثیر امنیت سایبری به عنوان هزینه بالا

مندی آندرس، مدیر عامل Elastic Information Security، معتقد است که یکی از رایج ترین اشتباهات مدیران ارشد امنیت اطلاعات هنگام صحبت با اعضای هیئت مدیره، تلاش نکردن برای تغییر این باور قدیمی است که “امنیت سایبری منبع مهم هزینه برای سازمان ها است”. مدیران سازمان باید بدانند که تامین و حفظ امنیت منجر به توانمندسازی کسب و کار، رشد و ارتقای ابتکار می شود.

Jasmine Henry، مدیر امنیت JupiterOne و مدیر ارشد اطلاعات سابق، گفت: «مدیران امنیتی معمولاً با مدیران اجرایی بحث می‌کنند تا بودجه و منابع بیشتری به دست آورند. ممکن است بتوانید با ارائه فهرست پیچیده ای از نیازهای فنی، مدیران را به سرمایه گذاری در امنیت ترغیب کنید، اما باید بدانید که نگاه هیئت مدیره به امنیت سایبری ابتدا باید تغییر کند، نه اینکه به عنوان یک عامل پرهزینه تلقی شود.

مدیران ارشد امنیت اطلاعات می توانند با ارائه شواهدی مبنی بر اینکه امنیت سایبری ابزاری برای درآمدزایی و حفظ سرمایه سازمان است، نه برای هزینه کردن، نظر هیئت مدیره را به دست آورند. این امر با شناسایی پیامدهای امنیتی برای سود و زیان کسب و کار امکان پذیر است. هنری گفت: می‌توانید به نقش امنیت سایبری در فرآیند فروش و کل درآمد حاصل از تمام قراردادها اشاره کنید که شامل الزامات امنیتی و استانداردهای امنیتی قانونی است.

دارتنال گفت: «اگر تهدید منجر به هزینه یا ناتوانی شود، تعیین میزان سود با از بین بردن آن تهدید ممکن است مفید باشد. به عنوان مثال، سازمان باید در صورت حمله Y به مشتریان غرامت X پرداخت کند، در حالی که با اعمال کنترل های امنیتی مناسب بخشی از درآمد از دست رفته خود را به ارزش Z جبران می کنیم.

تاثیر امنیت سایبری به عنوان یک هزینه بزرگ

7. عدم توجه به روابط خارج از جلسه هیئت مدیره

متیو اسمیت، مدیر امنیت اطلاعات و سایبرنتیک در Place Wealth Management، می‌گوید: «مدیران ارشد امنیت اطلاعات معمولاً تلاشی برای برقراری ارتباط دوستانه با اعضای هیئت مدیره در محیط‌های غیررسمی و غیررسمی انجام نمی‌دهند. او گفت: “درک انگیزه های حرفه ای و شخصی مخاطبان به شما کمک می کند تا نیازهای آنها را درک کنید و یک گزارش امنیت سایبری مناسب و موثر برای آنها ایجاد کنید.” همچنین می توانید پیام یا محتوای مورد نظر خود را به راحتی منتقل کنید.

واتس موافق است: «از اعضای هیئت مدیره تحقیق کنید. انگیزه های آنها را بشناسید و در این گروه (مخصوصاً افراد غیر فنی که شرایط جلسه را به شما معرفی می کنند) برای خود همراهی پیدا کنید. هنگام صحبت با این افراد در مورد طرح های تجاری می توانید از تفرقه و تسلط استفاده کنید. یعنی کارهای بزرگ و پیچیده را شخصاً با آنها در میان بگذارید و موانع مهم را برطرف کنید».

سپس می توانید از نتایج گفتگوهایی که با آنها داشته اید برای شناسایی مزایا و معایب استفاده کنید. به گفته واتس، “شما باید همزمان یک سیاستمدار، یک فروشنده، یک حسابدار، یک دلال و یک واسطه باشید و آنها را متقاعد کنید که در تصمیم گیری نقش دارند.”

منبع: csoonline