مدير أمن المعلومات
مدير أمن المعلومات (CISO) هو المسؤول التنفيذي رفيع المستوى داخل منظمة مسؤولة عن إنشاء والحفاظ على رؤية المؤسسة واستراتيجيتها وبرنامجها لضمان حماية أصول وتقنيات المعلومات بشكل كاف. يقوم مديرأمن المعلومات (CISO) بتوجيه الموظفين في تحديد العمليات وتطويرها وتنفيذها وصيانتها عبر المؤسسة لتقليل مخاطر تكنولوجيا المعلومات والمعلومات. إنهم يستجيبون للحوادث، ويضعون المعايير والضوابط المناسبة، ويديرون تقنيات الأمن، ويوجهون إنشاء وتنفيذ السياسات والإجراءات. عادةً ما يكون CISO مسؤولاً أيضًا عن الامتثال المتعلق بالمعلومات (على سبيل المثال، الإشراف على التنفيذ لتحقيق شهادة ISO / IEC 27001 لكيان أو جزء منه). كما أن مدير أمن المعلومات مسؤول أيضًا عن حماية معلومات الملكية وأصول الشركة، بما في ذلك بيانات العملاء والمستهلكين. يعمل CISO مع المديرين التنفيذيين الآخرين للتأكد من نمو الشركة بطريقة مسؤولة وأخلاقية.
مدير أمن المعلومات |
عادةً ما يصل تأثير مدير أمن المعلومات الى المنظمة بأكملها. قد تشمل المسؤوليات، على سبيل المثال لا الحصر:
- فريق استجابة طوارئ الكمبيوتر / فريق الاستجابة لحوادث أمان الكمبيوتر
- الأمن الرقمي
- التعافي من الكوارث وإدارة استمرارية الأعمال
- إدارة الهوية والوصول
- خصوصية المعلومات
- الامتثال التنظيمي للمعلومات
- إدارة مخاطر المعلومات
- أمن المعلومات وتأمين المعلومات
- مركز عمليات أمن المعلومات (ISOC)
- ضوابط تكنولوجيا المعلومات للأنظمة المالية وغيرها
- تحقيقات تكنولوجيا المعلومات والطب الشرعي الرقمي والاكتشاف الإلكتروني
أصبح الحصول على وظيفة CISO أو وظيفة معادلة في المنظمات ممارسة قياسية في الأعمال التجارية والحكومة والمنظمات غير الربحية. بحلول عام 2009، كان لدى ما يقرب من 85٪[1][2] من المؤسسات الكبيرة مدير تنفيذي أمني، ارتفاعًا من 56٪ في عام 2008، و 43٪ في عام 2006. في عام 2018، مسح الحالة العالمية لأمن المعلومات 2018 (GSISS)، وهو مسح مشترك أجراه CIO، CSO ، و PwC ، خلصوا إلى أن 85٪ من الشركات لديها مدير أمن المعلومات أو ما يعادلها. تم توسيع دور مدير أمن المعلومات ليشمل المخاطر الموجودة في العمليات التجارية وأمن المعلومات وخصوصية العملاء والمزيد. نتيجة لذلك، هناك اتجاه الآن لعدم تضمين وظيفة مدير أمن المعلومات في مجموعة تكنولوجيا المعلومات. في عام 2019، 24٪ فقط من مدراء أمن المعلومات يقدمون تقاريرهم إلى مدير المعلومات (CIO)، في حين أن 40٪ يقدمون تقاريرهم مباشرة إلى الرئيس التنفيذي (CEO)، و 27٪ يتخطون الرئيس التنفيذي ويقدمون تقاريرهم إلى مجلس الإدارة. يعتبر تضمين وظيفة مدير أمن المعلومات ضمن هيكل التقارير الخاص بـ مدير المعلومات CIO دون المستوى الأمثل، نظرًا لوجود احتمالية لتضارب المصالح ولأن مسؤوليات الدور تتجاوز طبيعة مسؤوليات مجموعة تكنولوجيا المعلومات.
في الشركات، الاتجاه هو أن يتمتع مدراء أمن المعلومات بتوازن قوي بين الفطنة التجارية والمعرفة التكنولوجية. غالبًا ما يكون الطلب على مدير أمن المعلومات مرتفعًا والتعويضات قابلة للمقارنة مع المناصب الأخرى على مستوى C والتي تحمل أيضًا لقبًا مشابهًا للشركة.
يحمل مدير أمن المعلومات النموذجي شهادات غير تقنية (مثل CISSP و CISM)، على الرغم من أن مدير أمن المعلومات القادم من خلفية فنية سيكون لديه مجموعة مهارات تقنية موسعة. يشمل التدريب النموذجي الآخر إدارة المشاريع لإدارة برنامج أمن المعلومات، والإدارة المالية (مثل الحصول على ماجستير إدارة أعمال معتمد) لإدارة ميزانيات المعلومات، والمهارات الشخصية لتوجيه فرق غير متجانسة من مديري أمن المعلومات، ومديري أمن المعلومات، ومحللي الأمن، ومهندسي الأمن ومديري مخاطر التكنولوجيا. مؤخرًا، نظرًا لاشتراك CISO في مسائل الخصوصية، فإن الشهادات مثل CIPP مطلوبة بشدة.
التطور الأخير في هذا المجال هو ظهور مدراء أمن المعلومات الافتراضيين (vCISO).[3] يعمل هؤلاء المدراء على أساس مشترك أو جزئي، للمنظمات التي قد لا تكون كبيرة بما يكفي لدعم رئيس تنفيذي بدوام كامل، أو التي قد ترغب، لعدة أسباب، في أن يكون لها تنفيذي خارجي متخصص يؤدي هذا الدور. تؤدي vCISOs عادةً وظائف مماثلة لـ CISO التقليدية، وقد تعمل أيضًا كـ مدير أمن المعلومات«مؤقتًا» بينما تبحث الشركة التي تستخدم مدير أمن المعلومات تقليديًا عن بديل.[4] تشمل المجالات الرئيسية التي يمكن أن تدعمها vCISOs منظمة ما:
- تقديم المشورة بشأن جميع أشكال المخاطر الإلكترونية وخطط معالجتها
- مجلس الإدارة وفريق الإدارة وتدريب الفريق الأمني
- تقييم واختيار البائع للمنتج والخدمة
- عمليات نمذجة النضج وعمليات الفريق الهندسي والقدرة والمهارات
- إحاطة مجلس الإدارة وفريق الإدارة والتحديثات
- تخطيط ومراجعة الميزانية التشغيلية والرأسمالية
المراجع
- ^ "Does it matter who the CISO reports to? | CSO Online". web.archive.org. 4 أبريل 2019. مؤرشف من الأصل في 2019-04-04. اطلع عليه بتاريخ 2022-05-12.
{{استشهاد ويب}}
: صيانة الاستشهاد: BOT: original URL status unknown (link) - ^ topic, Research; slides, Security | Sample. "Security Priorities Study 2021 • Foundry". Foundry (بen-US). Archived from the original on 2022-04-20. Retrieved 2022-05-12.
{{استشهاد ويب}}
: صيانة الاستشهاد: لغة غير مدعومة (link) - ^ Drolet، Michelle (1 أبريل 2015). "Secure Your Future with a Virtual CISO". Infosecurity Magazine. مؤرشف من الأصل في 2020-11-24. اطلع عليه بتاريخ 2022-05-12.
- ^ "vCISO Services. Cybersecurity and Virtual CISO services — SideChannel". SideChannel | Virtual CISOs. Real Cybersecurity. (بen-US). Archived from the original on 2022-03-30. Retrieved 2022-05-12.
{{استشهاد ويب}}
: صيانة الاستشهاد: لغة غير مدعومة (link)