نقش مدیران در امنیت اطلاعات
برای هر فردی که در حوزه امنیت اطلاعات سازمانی تجربه کار داشته باشد، اهمیت موضوع حمایت واقعی و عملی رهبران سازمان، به طور مشخص مدیران ارشد، از برنامه های امنیتی سازمان امری بدیهی و واضح است. در واقع یکی از بزرگترین چالشهای یک تیم امنیت اطلاعات و به خصوص مدیر امنیت اطلاعات، جلب حمایت کافی این مدیران است که تأثیر مستقیم بر اثربخشی فعالیتها و برنامهها دارد. بخش عمدهای از این حمایت ناشی از درک رهبران سازمان نسبت به اهمیت امنیت اطلاعات و نقش آن در پیشبرد اهداف سازمان یا ایجاد مانع برای رسیدن به آن اهداف است. به بیان دیگر، اگر مدیریت سازمان قائل به حداقلهای لازم اولویت و اهمیت برای موضوع امنیت اطلاعات نباشد، طبعاً حمایت مناسبی هم صورت نخواهد گرفت.
اما دلیل تأکید بر حمایت رهبران سازمان و نقش ویژه آن در پیشبرد برنامههای امنیتی چیست؟ پاسخ این سؤال را باید در ماهیت غیر کارکردی امنیت اطلاعات در اکثر کسب و کارها جستجو کرد. امنیت اساساً از جنس کیفیت است و در اکثر قریب به اتفاق سازمانها، نه به عنوان بخشی از کسب و کار اصلی بلکه عاملی برای تضمین کیفیت کسب و کار است. در نتیجه به راحتی میتواند قربانی اولویتها و فوریتهای مربوط به جنبههای اصلی کسب و کار شود. به عنوان مثال، تعویق چندباره جلسات مربوط به امنیت اطلاعات یا تأخیرهای طولانی در اختصاص هزینه برای کنترلهای امنیتی از نشانههای عدم حمایت لازم است. به علاوه، بخشی از وظایف امنیت اطلاعات، جنبه ممیزی داشته و با بخشهای مختلف سازمان از دیدگاه ممیزی ارتباط دارد. در نتیجه انواع مقاومتهای سازمانی از این جنبه در برابر برنامههای امنیت اطلاعات وجود خواهد داشت.
استاندارد ایزو 27001:2013 در بخش الزامات عمومی سیستم مدیریت امنیت اطلاعات، بر اهمیت رهبری سازمان در حوزه امنیت اطلاعات تأکید میکند. در این استاندارد میبینیم که موضوع حمایت مدیران ارشد از امنیت اطلاعات در سه جنبه اصلی الزام شده است:
1- رهبری و تعهد
2- خط مشی های امنیتی
3- نقشها، مسئولیتها و اختیارات سازمانی
در اینجا بر اساس متن استاندارد مورد اشاره، برخی از نشانههای حمایت عملی و موثر رهبران سازمان از موضوع امنیت اطلاعت را بررسی میکنیم.
در بخش رهبری و تعهد، مدیران ارشد سازمان باید این موضوع را با اقدامات زیر به شکل عملی نشان دهند:
1- رهبران باید از همراستا بودن اهداف و برنامههای امنیت با جهت گیری استراتژیک کل سازمان اطمینان حاصل کنند.
2- رهبران باید از دخیل بودن امنیت اطلاعات در همه فرآیندهای سازمانی اطمینان حاصل نمایند.
3- تآمین منابع لازم برای اجرای برنامههای امنیتی سازمان.
4- رهبران باید جایگاه ویژه امنیت اطلاعات را با تعامل در همه بخشهای سازمان مشخص کنند.
مدیریت ارشد سازمان نقش بسیار حیاتی در استقرار خط مشی امنیت اطلاعات دارد:
1- مدیران ارشد باید از مناسب بودن خط مشی امنیت برای کسب و کار خود اطمینان حاصل کنند.
2- آنها باید از وجود اهداف امنیت اطلاعات در خط مشی یا استقرار روشی برای ایجاد این اهدف اطمینان حاصل کنند.
3- مدیران ارشد باید نسبت به بهبود مستمر امنیت اطلاعات متعهد باشند.
همچنین، مدیران ارشد سازمان باید از تخصیص وظایف، نقشها و اختیارات مورد نیاز در حوزه امنیت اطلاعات در زمینه های زیر اطمینان حاصل کنند:
1- اطمینان از منطبق بودن سیستم مدیریت امنیت با کلیه الزامات استاندارد ایزو 27001 .
2- گزارش کارآیی و اثربخشی سیستم مدیریت امنیت اطالعات به مدیران سطح بالای سازمان.
هر یک از آیتم های عنوان شده در بخش رهبری و تعهد در استاندارد ایزو 27001، با بخشی از واقعیت های موجود در سازمانها منطبق است. به همین دلیل برای افرادی که در حوزه امنیت اطلاعات سازمانی مشغول به کار هستند، هر آیتم دارای ارزش و اهمیت قابل لمس است.
با این حال، این موضوع را نمیتوان یک طرفه و صرفاً از جنبه وظایف رهبران سازمان بررسی کرد. به عبارت دیگر، عملکرد افراد و تیم های امنیت سازمان نیز در نوع نگاه رهبران سازمان بی تأثیر نیست. امنیت اطلاعات به خودی خود نه تنها محصول قابل لمس تولید نمیکند، بلکه در ظاهر مدام در حال هزینه تراشیدن برای سازمان است. اصلاح این دیدگاه در میان مدیران ارشد سازمان کار ساده ای نیست و اساساً اینکه چگونه و با چه زبانی باید با مدیران ارشد سازمان در خصوص امنیت اطلاعات صحبت کرد تا این دیدگاه در میان آنها رشد نکند، نیاز به تجربه بالایی دارد.
بنابراین اگر بخواهیم چالش حمایت رهبران و مدیران ارشد سازمان از امنیت اطلاعات را مرتفع کنیم، لازم است هم آن را از دیدگاه وظایف مدیران و هم از دیدگاه مهارت مدیر امنیت اطلاعات بررسی و حل کنیم.