وجود متخصصان سایبری خبره که از مهارتهای لازم برخوردارند، برای امنیت ملی کشور و پیشبرد کسبوکار سازمان ها حیاتی است؛ ولی متأسفانه شمار چنین کسانی در کشور ما نسبت به نیازمان بسیار کم است. با توجه به ضرورت وجود متخصصان سایبری خبره برای ساختن یک تیم امنیت سایبری قوی، سازمانها نیازمند وجود طرح مناسبی برای تربیت و بهکارگیری نیرویهای کار امنیت سایبری در جایگاههای مناسب هستند. ما وظیفه داریم نیرویهای کار امنیت سایبری خود را توانمندتر سازیم و اطمینان یابیم که از نیروی کار بسیار کاردان برخورداریم؛ نیروی کاری که ستون فقرات امنیت سایبری سازمان در زمان حال و آینده باشد.
در راستای تحقق این مهم و برای یاری رساندن به بانکها و مؤسسات اعتباری کشور (بهعنوان یکی از بخشهایی که امنیت سایبری در آن نقش پررنگی دارد) برای ارتقاء شایستگیها و سطح تخصص نیروی کار امنیت سایبری، شرکت کاشف کتاب «راهنمای توانمندسازی نیروی کار امنیت سایبری» را تدوین و منتشر کرده است. اگرچه این کتاب باهدف استفاده در بخش بانکی و در بانکها و مؤسسات اعتباری یا سایر نهادهای زیرمجموعه تهیه شده است، لیکن میتوان از این کتاب در هر سازمانی که به جوانب و کارکردهای مختلف امنیت سایبری نیاز دارد، نیز استفاده کرد.
در این کتاب، از طریق معرفی روشهای مناسب به شما کمک می شود که به درک بهتری از فرصتهای پیش روی نیروی کار امنیت سایبری خود دست یابید و بتوانید با استفاده از الگوهای مناسب، به ایجاد و ارتقاء مشاغل امنیت سایبری در سازمان بپردازید و منابع لازم را برای استخدام و حفظ استعدادهای عالی امنیت سایبری برنامهریزی کنید.
مخاطبان این کتاب، در درجه اول: رهبران و مدیران ارشد امنیت اطلاعات یا برنامهریزان نیروی انسانی در سازمانها هستند. همۀ متخصصان و فعالانِ حوزه امنیت سایبری – هر یک – میتوانند بهره خویش را از این کتاب و بهویژه محتوای ارائه شده در فصل دوم یعنی چارچوب شایستگی نیروی کار امنیت سایبری، بجویند. در حقیقت، این چارچوب میتواند برای درک بهتر کارکردهای و وظایف امنیت سایبری و همچنین شناخت بیشتر شایستگیهای مرتبط برای انجام درست آن کارکردها و در صورت نیاز برنامهریزی در راستای کسب آنها بهرهبرداری شود.
امید است تا با اجرای رهنمودهای معرفیشده در این کتاب، شمار کسانی که از دانش، توانایی و مهارت لازم برای اجرای وظایف و کارکردهای امنیت سایبری موردنیاز سازمانها برخوردارند، در سراسر کشور افزایش یابد. چنانچه بخواهید با این کتاب بیشتر آشنا شوید، میتوانید گزیدهای از محتوایش را که پس از این آمده است، بخوانید.
این کتاب، بخشهای زیر را در بردارد:
توصیف کوتاهی از بخشهای کتاب در ادامه خواهد آمد:
فصل یکم؛ راهنمای توانمندسازی نیروی کار امنیت سایبری
در بخش آغازین کتاب، راهنمای گامبهگام توانمندسازی نیروی کار در سازمانها ارائه شده است و در آن، اقدامات و فعالیتهای سازمان برای توانمندسازی نیروی کار امنیت سایبریاش در چهار مرحله، شامل: مراحل آمادهسازی، برنامهریزی، ساخت و نگهداشت توصیف شده است. تمامنمای «راهنمای توانمندسازی نیروی کار امنیت سایبری» شامل اهم مراحل و فعالیتها در شکل 1 نمایش داده شده است.
شکل ۱- مراحل توانمندسازی نیروی کار امنیت سایبری سازمان
فصل دوم؛ چارچوب شایستگیهای نیروی کار امنیت سایبری
هدف از این فصل، تشریح نمونهای از چارچوب شایستگی های نیروی کار امنیت سایبریست؛ چارچوبی که برای تعریف تخصص ها و شایستگی های موردنیاز نیروی کار امنیت سایبری سازمانهاست و به تشریح حوزههای تخصص، وظایف کاری و دانش و مهارتهای لازم نیروی کار برای انجام موفقیتآمیز آن وظایف میپردازد. در این چارچوب، تخصص ها و مهارت های موردنیاز امنیت سایبری در ۶ رسته و بیستوشش۲۶ حوزۀ تخصص دستهبندی شدهاند و برای هر حوزه، وظایف، دانش، مهارتها و تواناییهای موردنیاز برای تکمیل کارهای سایبری معرفی میشود. اگرچه ممکن است در همه سازمانها تمام این حوزههای تخصص مورداستفاده قرار نگیرند یا بنا بر نیازهای سازمان برخی از این حوزهها با یکدیگر ترکیب شوند. نمودار رستهها و حوزههای تخصص «چارچوب شایستگیهای نیروی کار امنیت سایبری» را در شکل ۲ میتوانید مشاهده کنید.
شکل۲– نمودار درختی رستهها و حوزههای تخصص چارچوب شایستگیهای نیروی کار امنیت سایبری
توصیف کوتاهی از حوزههای تخصص موجود در «چارچوب شایستگیهای نیروی کار امنیت سایبری» در جدول ۱ آورده شده است؛ همچنین میتوانید توصیف تفصیلیشان را در کتاب مطالعه کنید.
جدول۱-توصیف اجمالی حوزههای تخصص چارچوب شایستگیهای نیروی کار امنیت سایبری
رسته |
حوزه تخصص |
|
توسعه امن |
توسعه نرمافزار: کُد نویسی و توسعه امن برنامههای کاربردی، نرمافزارها یا سامانههای نرمافزاری تازه یا تغییر آنها بر پایۀ به روش های معتبر طراحی و توسعه نرمافزار، |
|
توسعه سامانه: تدوین و اجرای فعالیتهای مرتبط با مراحل چرخه عمر توسعه سامانه ها |
||
طرحریزی نیازمندیهای سامانهها: همکاری با کاربران/ مشتریان برای گردآوری و ارزیابی نیازمندی های کارکردی و ترجمه آن نیازمندی ها به راهکارهای فنی. تهیۀ راهنماهایی برای کاربران/ مشتریان دربارۀ کاربرد سامانههای اطلاعاتی برای برآورده ساختن نیازهای کسبوکار، |
||
معماری سامانه ها: طراحی و توسعه سامانه، کار روی قابلیتهای چرخه عمر توسعه سامانه ها. ترجمه شرایط محیطی و فنی (قوانین، مقررات و …) به طراحیها و فرآیندهای امنیتی و سامانهای، |
||
پژوهش و توسعه فناوری: اجرای فرآیندهای مربوط به گردآوری، یکپارچهسازی و ارزیابی فناوریها. ایجاد و پشتیبانی از قابلیتهای پیشنمونه و/یا ارزیابی ویژگیهای آن، |
||
آزمون و ارزیابی: توسعه و اجرای آزمون سامانه برای ارزیابی انطباق با مشخصه ها و الزامات با استفاده از اصول و روش های طرحریزی، ارزیابی، صحت سنجی و اعتبارسنجی خصوصیات فنی، عملکردی و کارکردی سامانه یا اجزای آن، |
||
عملیات و نگهداری |
پشتیبانی فنی و خدمات مشتریان: رسیدگی به مشکلات، نصب، پیکربندی، رفع اشکال، نگهداری تجهیزات و خدمات ارائهشده به کاربران و مشتریان و آموزش و اطلاعرسانی و پاسخگویی به آنها برای رفع نیازمندیهای یا پاسخ به درخواستهایشان، |
|
راهبری داده ها: مدیریت، توسعه و راهبری پایگاه دادهها و/ یا سامانههای مدیریت دادهها که برای ذخیرهسازی، پرسوجو، حفاظت و بهره وری دادهها استفاده میشوند. |
||
مدیریت دانش: مدیریت و راهبری فرآیندها و ابزارهایی که بهوسیله آن سازمان قادر به شناسایی، مستندسازی و دسترسی به سرمایههای فکری و محتوای اطلاعاتی است و همچنین تدوین، بهروزرسانی، انتشار و اجرای راهبردها، خط مشیها و رویههای موردنیاز برای مدیریت دانش، |
||
راهبری شبکه و زیرساخت: مدیریت شبکه و خدمات زیرساختی شبکه دربردارندۀ: نصب، پیکربندی، آزمون، اجرا، نگهداشت و پایش تمامی سیستمعاملها، نرمافزارها و تجهیزات شبکه و خدمات زیرساختی شبکه و پشتیبان گیری و به اشتراکگذاری اطلاعات برای پشتیبانی از امنیت آنها، |
||
راهبری سامانهها: نصب، پیکربندی امن، نگهداری، بهروزرسانی، مدیریت و پشتیبانی از سامانهها و برنامههای کاربردی و تدوین و بهکارگیری خط مشی ها و رویههای کنترل دسترسی و تداوم کسبوکار در سطح سامانهها و برنامههای کاربردی، |
||
تحلیل سامانه ها: بررسی امنیت سامانه ها و فرآیندها و رویه های کنونی سازمان برای طراحی راه حل های تازه امن مبتنی بر سامانهها و/ یا بازطراحی و ارتقای سطح امنیت سامانههای موجود باهدف اجرای کارآتر، اثربخش تر و امن تر عملیات سازمان، |
||
محافظت و پدافند |
تحلیل پدافند سایبری: بهکارگیری اطلاعات گردآوری شده از منابع متفاوت برای شناسایی، تحلیل و گزارش دهی رویدادهای رخداده یا محتمل در شبکه و انجام اقدامات پدافندی برای محافظت از اطلاعات، سامانههای اطلاعاتی و شبکهها در مقابل تهدیدات، |
|
پشتیبانی زیرساخت پدافند سایبری: آزمون، پیاده سازی، استقرار، نگهداشت و راهبری سختافزار و نرمافزار و سامانههای زیرساختی موردنیاز در پدافند سایبری، |
||
پاسخگویی به رخدادها: پاسخ به تهدیدات و رخدادهای امنیت سایبری در شرایط بحرانی و اضطراری برای کاهش تأثیرات نامطلوب آنها و محافظت از داراییها و امنیت سایبری سازمان در برابر آنها. بهکارگیری و نظارت بر تمامی راهبردها، خطمشیها و رویههای پاسخگویی به رخدادهای امنیت سایبری و بازیابی از فاجعه و تداوم کسبوکار، |
||
مدیریت و ارزیابی آسیبپذیریها: ارزیابی تهدیدات، آسیبپذیریها و مخاطرات و بهکارگیری یا پیشنهاد اقدامات و کنترلهای امنیتی مناسب برای کاهش اثرات آنها و تعیین میزان انحراف از استانداردها و رویههای سازمانی و بالادستی، |
||
بازرسی |
بررسی جرائم سایبری: گردآوری، پردازش، حفظ، تحلیل و ارائه شواهد مربوط به جرائم سایبری و پشتیبانی از فعالیتهای رویارویی با جرائم و همکاری در بازرسی جرائم سایبری، |
|
بازرسی سایبری: بهکارگیری راهکارها، فنها و رویهها، ابزارها و فرآیندهای مرتبط با بازرسی جرائم سایبری برای شناسایی، تشخیص، رسیدگی و اثبات موارد مرتبط با رخدادها و جرائم سایبری، |
||
مدیریت و نظارت |
آموزش و آگاهیرسانی: آموزش کارکنان در حوزه موردنیاز سازمان، طرحریزی، برگزاری و ارزیابی دورههای آموزشی، طراحی و توسعه روشهای تدریس و فنهای آموزشی، |
|
راهبری عملیات امنیت: نظارت و اطمینان یابی از اجرای مناسب فعالیتهای مربوط به عملیات امنیت سایبری در راستای خط مشیها و راهبردهای امنیتی سازمان و همچنین ارائه مشاوره به مدیریت ارشد امنیت، مالک سامانه و … دربارۀ اجرای برنامه امنیت سایبری، |
||
مشاوره حقوقی: ارائه مشاورهها و توصیههای حقوقی به مدیران و کارکنان دربارۀ مسائل حقوقی مرتبط. ارائه مشاوره دربارۀ تغییرات قوانین و خط مشیها و تشکیل پروندههای حقوقی به نمایندگی از سازمان و انجام مراحل رسیدگی به آنها، |
||
مدیریت امنیت: مدیریت و نظارت بر اجرای برنامههای امنیتی سازمان دربردارندۀ: تمامی جنبههای آن، همچون: راهبری، کارکنان، زیرساخت، الزامات، خط مشی، آگاهی بخشی امنیتی و دیگر جنبههای امنیت سایبری، |
||
مدیریت مخاطرات: نظارت، ارزیابی و پشتیبانی از فرآیندهای اخذ تأییدیههای امنیتی لازم برای سامانههای فناوری اطلاعات سازمان برای برآورده ساختن الزامات امنیتی و رفع مخاطرات آنها و اطمینان یابی از واکنش مناسب به مخاطرات موجود و انطباق با گواهینامهها و مجوزهای رسمی، |
||
طرحریزی راهبردی: بهکارگیری دانش فنی و سازمانی برای تعریف، بهروزرسانی و توسعه خط مشیهای راهبردی، تعیین اولویت تخصیص منابع و شناسایی برنامهها و زیرساختهای موردنیاز برای دستیابی به اهداف مورد انتظار سازمان، |
||
گردآوری و تحلیل |
عملیات گردآوری: طرحریزی و گردآوری اطلاعات مرتبط با تهدیدات و حملات سایبری با استفاده از راهبردهای مناسب و تدوین و توسعه طرحهای عملیاتی برای کاهش تهدیدات درونی و بیرونی احتمالی و محافظت در برابر فعالیتهای مخرب، |
|
تحلیل تهدیدات: تجزیهوتحلیل اطلاعات گردآوریشده از منابع گوناگون در زمینه امنیت سایبری برای شناسایی تهدیدات و حملات. شناسایی و ارزیابی قابلیتها و فعالیتهای مجرمان و مهاجمان سایبری و بهکارگیری اطلاعات بهدستآمده در سازمان برای ایجاد بینش درست دربارۀ پیامدهای احتمالی تهدیدات و حملات. |