افتانا - افزایش امنیت سایبری از طریق توانمندسازی نیروی انسانی

واقعا چه مشاغلی در صنعت امنیت فناوری اطلاعات وجود دارند- بخش چهارم

افزایش امنیت سایبری از طریق توانمندسازی نیروی انسانی

استخدام متخصصان امنیت سایبری، بدون برنامه‌ریزی منسجم، بی‌فایده است. مدل NICE به سازمان‌ها کمک می‌کند تا نه‌تنها نیروهای متخصص را جذب کنند، بلکه مسیر رشد و ارتقای مهارت‌های آنها را نیز مشخص کنند.

به گزارش افتانا، استخدام متخصصان امنیت سایبری، بدون برنامه‌ریزی منسجم، بی‌فایده است. آیا بین بلوغ سازمانی و به‌کارگیری نیروی انسانی متخصص امنیت فناوری اطلاعات ارتباطی وجود دارد؟ قطعا پاسخ به این سئوال مثبت است. اما اینکه این ارتباط تا چه حدی منسجم و معنادار است، می‌تواند ما را در رسیدن به مسیر مناسب توسعه منابع انسانی یاری کند. ما در اینجا سازمان را برای امکان پیاده‌سازی چهارچوب NICE مورد بررسی قرار خواهیم داد.

رابطه پیاده‌سازی مدل NICE و بلوغ امنیت سایبری در سازمان
مدلNICE (National Initiative for Cybersecurity Education) یک چارچوب استاندارد برای تعریف مشاغل، مهارت‌ها و شایستگی‌های موردنیاز در امنیت سایبری است. پیاده‌سازی این مدل در یک سازمان، می‌تواند تأثیر مستقیم بر بلوغ امنیت سایبری آن سازمان داشته باشد.
درواقع هرچه یک سازمان مدل NICE را بهتر پیاده‌سازی کند، سطح بلوغ امنیت سایبری آن بالاتر خواهد رفت.

مفهوم بلوغ امنیت سایبری در سازمان‌ها
بلوغ امنیت سایبری به سطح توانایی سازمان در مدیریت، اجرا، بهینه‌سازی و توسعه امنیت سایبری اشاره دارد. مدل‌های مختلفی برای اندازه‌گیری بلوغ امنیت سایبری وجود دارد، ازجمله مدل‌های:

CMMI (Capability Maturity Model Integration)
NIST Cybersecurity Framework (CSF)
ISO 27001 Maturity Model

این مدل‌ها، سازمان‌ها را بر اساس میزان پیاده‌سازی کنترل‌های امنیتی و مهارت‌های نیروی انسانی در سطوح مختلفی از بلوغ دسته‌بندی می‌کنند.

مراحل بلوغ امنیتی و نقش مدل NICE در هر مرحله
مدل‌های بلوغ معمولاً شامل ۵ سطح اصلی هستند. در ادامه، توضیح داده شده که NICE چگونه می‌تواند در هر مرحله به افزایش سطح بلوغ سازمان کمک کند.

سطح بلوغ ویژگی‌های سازمان نقش مدل NICE در ارتقای این سطح

۱. مقدماتی (Initial) - امنیت سایبری غیرساختاریافته است
- وظایف امنیتی به صورت پراکنده و غیررسمی انجام می‌شود
- هیچ برنامه آموزشی مشخصی برای امنیت وجود ندارد -تعریف نقش‌های شغلی مشخص در امنیت سایبری
-ارائه مسیرهای یادگیری برای کارکنان
- استانداردسازی مهارت‌های ابتدایی امنیتی IT

۲. مدیریت‌شده (Managed) - سیاست‌ها و فرایندهای امنیتی اولیه تعریف شده‌اند
- برخی تیم‌های امنیتی مستقل وجود دارند، اما هنوز کاملاً هماهنگ نیستند
- آموزش امنیت سایبری به صورت محدود و غیرسیستماتیک ارائه می‌شود - ایجاد برنامه‌های آموزشی مبتنی بر NICE
- تدوین شرح وظایف دقیق برای تیم امنیتی
- توسعه مسیرهای شغلی مشخص برای متخصصان امنیت

۳. تعریف‌شده (Defined) - امنیت سایبری به عنوان بخشی از فرهنگ سازمانی پذیرفته شده است
- نقش‌های امنیتی به صورت رسمی تعریف شده‌اند فرآیندهای مدیریت ریسک و پاسخ به حوادث اجرا می‌شوند - استانداردسازی مهارت‌های امنیتی مطابق NICE
- تعریف مسیرهای ارتقای شغلی بر اساس چارچوب NICE
- ارزیابی مهارت کارکنان و تعیین شکاف‌های مهارتی

۴. مدیریت‌شده و قابل پیش‌بینی (Quantitatively Managed) - سازمان دارای شاخص‌های عملکرد امنیتی (KPIs) است
- برنامه‌های آموزشی و مهارتی به صورت مداوم ارزیابی و بهبود می‌یابند
- تیم‌های امنیتی با سایر واحدهای سازمان یکپارچه شده‌اند - ایجاد برنامه‌های توسعه حرفه‌ای مداوم
- استفاده از داده‌های ارزیابی مهارت برای بهینه‌سازی
- استخدام اندازه‌گیری عملکرد تیم‌های امنیتی بر اساس متریک‌های NICE

۵. بهینه‌شده (Optimized) - امنیت سایبری به‌عنوان یک مزیت رقابتی در نظر گرفته می‌شود
- سازمان دارای یک برنامه جامع آموزش و توسعه مهارت‌های امنیتی است
- فرایندهای امنیتی پیشرفته و خودکار شده‌اند - ایجاد مسیرهای یادگیری شخصی‌سازی‌شده برای کارکنان
- استفاده از ابزارهای خودکار برای سنجش مهارت‌های امنیتی
- یکپارچه‌سازی امنیت سایبری با استراتژی‌های کلان سازمانی

سازمان‌های بالغ در امنیت سایبری (سطح ۴ و ۵) معمولاً دارای فرایندهای استانداردشده، تیم‌های متخصص، مسیرهای آموزشی مشخص و برنامه‌های توسعه مهارت‌های امنیتی مبتنی بر NICE هستند.

مزایای پیاده‌سازی مدل NICE برای ارتقای بلوغ سازمانی

افزایش شفافیت در نقش‌های امنیت سایبری: باعث بهبود مدیریت منابع انسانی و کاهش ابهام در مسئولیت‌ها می‌شود.
بهینه‌سازی فرآیندهای استخدام و آموزش نیروی انسانی: باعث کاهش شکاف مهارتی در امنیت سایبری می‌شود.
افزایش آمادگی در برابر تهدیدات سایبری: آموزش‌های NICE به کاهش خطای انسانی و افزایش مهارت‌های امنیتی تیم‌ها کمک می‌کند.
افزایش انطباق با استانداردهای امنیتی: بسیاری از استانداردهای امنیتی مانند NIST CSF، ISO 27001 و CIS Controls نیازمند مهارت‌هایی هستند که در چارچوب NICE تعریف شده‌اند.
بهبود تصمیم‌گیری استراتژیک در امنیت سایبری: داده‌های مربوط به مهارت‌ها و شایستگی‌های کارکنان به مدیران امنیتی کمک می‌کند تا برنامه‌ریزی بهتری برای آینده سازمان داشته باشند.

چالش‌های پیاده‌سازی مدل NICE در سازمان‌ها
نیاز به تغییر فرهنگ سازمانی: بسیاری از سازمان‌ها هنوز اهمیت نقش‌های امنیت سایبری را به درستی درک نکرده‌اند.
هزینه‌های پیاده‌سازی و آموزش: برنامه‌های آموزشی و گواهی‌نامه‌های امنیتی می‌توانند هزینه‌بر باشند.
نیاز به تخصص در پیاده‌سازی: استفاده از NICE نیازمند مشاوران متخصص در امنیت سایبری و مدیریت منابع انسانی است.
مقاومت در برابر تغییر: برخی کارکنان ممکن است در برابر استانداردسازی نقش‌ها و مهارت‌ها مقاومت نشان دهند.

آیا NICE برای همه سازمان‌ها مناسب است؟
سازمان‌هایی که در سطوح پایین بلوغ امنیتی (سطح ۱ و ۲) قرار دارند، با پیاده‌سازی مدل NICE می‌توانند ساختار امنیتی خود را بهبود دهند و نقش‌های امنیتی را شفاف‌تر کنند.
سازمان‌های در سطوح بالاتر (سطح ۳ و ۴) می‌توانند از NICE برای بهینه‌سازی مسیرهای شغلی، افزایش مهارت کارکنان و استانداردسازی فرآیندهای امنیتی استفاده کنند.
سازمان‌های پیشرفته (سطح ۵) می‌توانند NICE را با فناوری‌های خودکارسازی، تحلیل داده‌های مهارتی و برنامه‌های یادگیری هوش مصنوعی ترکیب کنند.
درنتیجه، پیاده‌سازی مدل NICE می‌تواند یک سازمان را از سطح ابتدایی به یک سازمان بالغ در امنیت سایبری ارتقا دهد.

سطح بلوغ	ویژگی‌های سازمان	نقش مدل NICE در ارتقای این سطح
۱. مقدماتی (Initial)	- امنیت سایبری غیرساختاریافته است - وظایف امنیتی به صورت پراکنده و غیررسمی انجام می‌شود - هیچ برنامه آموزشی مشخصی برای امنیت وجود ندارد	-تعریف نقش‌های شغلی مشخص در امنیت سایبری -ارائه مسیرهای یادگیری برای کارکنان - استانداردسازی مهارت‌های ابتدایی امنیتی IT
۲. مدیریت‌شده (Managed)	- سیاست‌ها و فرایندهای امنیتی اولیه تعریف شده‌اند - برخی تیم‌های امنیتی مستقل وجود دارند، اما هنوز کاملاً هماهنگ نیستند - آموزش امنیت سایبری به صورت محدود و غیرسیستماتیک ارائه می‌شود	- ایجاد برنامه‌های آموزشی مبتنی بر NICE - تدوین شرح وظایف دقیق برای تیم امنیتی - توسعه مسیرهای شغلی مشخص برای متخصصان امنیت
۳. تعریف‌شده (Defined)	- امنیت سایبری به عنوان بخشی از فرهنگ سازمانی پذیرفته شده است - نقش‌های امنیتی به صورت رسمی تعریف شده‌اند فرآیندهای مدیریت ریسک و پاسخ به حوادث اجرا می‌شوند	- استانداردسازی مهارت‌های امنیتی مطابق NICE - تعریف مسیرهای ارتقای شغلی بر اساس چارچوب NICE - ارزیابی مهارت کارکنان و تعیین شکاف‌های مهارتی
۴. مدیریت‌شده و قابل پیش‌بینی (Quantitatively Managed)	- سازمان دارای شاخص‌های عملکرد امنیتی (KPIs) است - برنامه‌های آموزشی و مهارتی به صورت مداوم ارزیابی و بهبود می‌یابند - تیم‌های امنیتی با سایر واحدهای سازمان یکپارچه شده‌اند	- ایجاد برنامه‌های توسعه حرفه‌ای مداوم - استفاده از داده‌های ارزیابی مهارت برای بهینه‌سازی - استخدام اندازه‌گیری عملکرد تیم‌های امنیتی بر اساس متریک‌های NICE
۵. بهینه‌شده (Optimized)	- امنیت سایبری به‌عنوان یک مزیت رقابتی در نظر گرفته می‌شود - سازمان دارای یک برنامه جامع آموزش و توسعه مهارت‌های امنیتی است - فرایندهای امنیتی پیشرفته و خودکار شده‌اند	- ایجاد مسیرهای یادگیری شخصی‌سازی‌شده برای کارکنان - استفاده از ابزارهای خودکار برای سنجش مهارت‌های امنیتی - یکپارچه‌سازی امنیت سایبری با استراتژی‌های کلان سازمانی