مدیر امنیت کیست و چگونه به یک مدیر امنیت تبدیل شویم؟
1399/12/18 تاریخ انتشار

مدیر امنیت کیست؟

شرکت‌ها از یک مدیر امنیت اطلاعات انتظار دارند که امنیت ‌اطلاعات و زیرساخت‌های یک سازمان را به معنای واقعی کلمه مدیریت کند. از پیاده‌سازی راهکارهای امنیتی گرفته تا راه‌حل‌هایی برای اجرای برنامه‌های آموزشی همگی در حیطه کاری یک مدیر امنیت اطلاعات قرار دارند. در برخی موارد یک مدیر امنیت اطلاعات مجبور است تهدیدهای قریب‌الوقع را تحلیل و ارزیابی کرده و راهکاری برای حل آن‌ها ارائه کند. این مسئله در ارتباط با نقض داده‌ای نیز صدق می‌کند. یک مدیر امنیت اطلاعات باید بتواند ارزیابی‌های امنیتی و ممیزی‌ها را به درستی انجام داده، محصول‌ها و سرویس‌هایی که توسط سازمان تولید شده یا از سوی سازمان استفاده می‌شوند را آزمایش کرده، در جلسات تعیین بودجه سازمان شرکت کرده،، در جلسات و همایش‌های مرتبط با حوزه کاری خود شرکت کرده، خط‌مشی‌های منطبق با استراتژی‌های سازمان را تدوین کرده، حیطه کاری و وظایف کارمندان دپارتمان امنیت اطلاعات یک سازمان را ارزیابی کرده و چارچوب مناسبی برای آن تدوین کند. یک مدیرا امنیت لایق واقعا می‌دانند که چه کاری باید انجام دهد و چگونه دانش را به سایر ذینفعان منجمله مدیران غیر فنی انتقال دهد. اگر چه مهارت‌های فنی یک مدیر امنیت اطلاعات ممکن است در برخی موارد با کاستی‌هایی همراه باشد، اما این شخص نیروی محرکه هرگونه اقدامات امنیتی در یک سازمان است. 

حداقل و حداکثر دستمزد یک تحلیل‌گر امنیت چقدر است؟

سایت PaScale میانگین حقوق دریافتی یک مدیر امنیت اطلاعات در سال 2019 را 110 هزار دلار اعلام کرده است. که این رقم از رقم 75 هزار دلار در سال آغاز شده و در نهایت به رقم 157 هزار دلار در سال می‌رسد. که البته هرچه سابقه کار شما در این زمینه بیشتر باشد به همان نسبت حقوق دریافتی نیز بیشتر خوهد بود. 

مدیر امنیت چه وظایفی دارد؟

مهم‌ترین وظایفی که یک مدیر امنیت اطلاعات در سطح متوسط عهده‌دار آن‌ها است به موارد زیر می‌توان اشاره کرد: 

  • ایجاد و پیاده‌سازی استراتژی‌ها برای بهبود قابلیت اطمینان و امنیت پروژه‌های فناوری اطلاعات
  • تعریف، پیاده‌سازی و حفظ سیاست‌ها و رویه‌های امنیتی سازمان
  • بررسی آسیب‌پذیری، پژوهش در ارتباط با علل به وجود آمدن آن‌ها و کم کردن ریسک‌های امنیتی
  • واکنش سریع به حوادث امنیتی و تجزیه و تحلیل رخدادها پس از وقوع آن‌ها 
  • مدیریت تیمی متشکل از مدیران امنیتی، تحلیل‌گران و متخصصان فناوری‌اطلاعات
  • نقشی فعال به عنوان یک رابط کلیدی بین مدیران سطح بالا، برنامه‌نویسان، کارمندان ارزیابی ریسک‌ها و حساب‌رسان 
  • پیاده‌سازی یک برنامه آموزشی گسترده برای افزایش سطح آگاهی کارمندان در ارتباط با مباحث امنیتی، پروتکل‌ها و رویه‌ها
  • اطمینان از هماهنگ بودن فعالیت کارمندان همسو با خط‌مشی‌های امنیتی
  • ارزیابی، آزمایش و انتخاب محصولات و فن‌آوری‌های امنیتی جدید
  • پیش‌بینی هزینه‌ها و تهیه گزارشی از مشکلاتی که پس از ادغام تجهیزات و محصولات جدید شناسایی کرده است
  • مدیریت برنامه و بودجه‌ کارمندان دپارتمان امنیت

چگونه می‌توانیم یک مدیر امنیت شویم؟

برای آن‌که بتوانید به یک مدیر امنیت اطلاعات خبره تبدیل شوید، باید نقشه راهی برای ترسیم کنید. در حالت استاندارد و ایده‌آل اغلب افراد پیش از آن‌که به سمت مدیر امنیت اطلاعات منصوب شوند، در ابتدا یک اداره‌کننده (administrator) سطح متوسط بوده‌اند که پیش‌تر سمت‌هایی همچون اداره‌کننده شبکه، سیستم یا امنیت را عهده‌دار بوده‌اند. توجه داشته باشید که دو واژه Administration و Management دو تعریف مجزا از یکدیگر دارند. Administration به معنای اداره کردن بوده و ماهیتی منعطف و کیفی دارد که با ارزش‌ها، خط‌مشی‌های، تاملات کسب‌وکار و فلسفه سروکار دارد، در حالی که مدیریت یک مفهوم جدی است و با مفاهیمی همچون دانش، حقایق و ارزیابی‌های کمی و جزیی مرتبط است. برخی از سازمان‌ها در آگهی‌های شغلی از شما انتظار دارند که دست‌کم چند سالی در مشاغلی همچونه ممیزی امنیت، مهندسی امنیت، تحلیل امنیت یا کارشناس امنیتی کار کرده باشید. در ادامه باید مهارت‌های زیر را کسب کرده باشید:

  • آشنایی با چارچوب‌های COBIT و ITIL، ISO 27001/27002، 
  • PCI، HIPAA، NIST، GLBA و ارزیابی سازگاری SOX
  • سیستم‌عامل‌های ویندوز، یونیکس و لینوکس
  • زبان‌های برنامه‌نویسی C#، C ++، C ، جاوا و / یا PHP
  • پروتکل‌های تشخیص/ نفوذ و دیوارهای آتش
  • شیوه‌های برنامه‌نویسی امن، هک اخلاقی و مدل‌سازی تهدید
  • آشنایی با TCP / IP، شبکه‌های کامپیوتری، مسیریابی و سوئیچینگ
  • توسعه و تعریف معماری امنیت شبکه
  • آگاهی از روش‌های حسابرسی شخص ثالث و ارزیابی ریسک ابر

شما باید در حوزه امنیت حداقل 5 سال سابقه کار اجرایی داشته باشید. در ادامه داشتن گواهی‌نامه‌های CISSP و/یا CISM همراه با مهارت‌های عمومی همچون مدیریت تیم‌ها، مدیریت و برنامه‌ریزی پروژه‌ها و تعامل با مشتریان در احراز این شغل کمک فراوانی می‌کند. حداقل مدرک تحصیلی برای احراز این شغل کارشناسی در رشته علوم کامپیوتر یا رشته‌های مرتبط است.