17

امنیت افزوده (Augmented security) – بخش چهارم

17

< استفاده از مطالب سایت فراکنش با ذکر منبع مجاز است.>

چگونه فناوری‏های شناختی می‏توانند کمبود نیروی کار سایبری را برطرف کنند

رویکردهای در حال توسعه امنیت سایبری

تأثیر ادغام فناوری‏های شناختی برای رفع کمبود استعداد اغلب فراتر از بینش‏های ناشی از تحلیل پیشرفته و خودکارسازی وظایف و اقدامات خاص است. سازمان را تغییر می‏دهد، عملیات تغییر می‏کند، گردش کار تغییر می‏کند، ساختار و روابط دفتر تغییر می‏کند،  فرآیندهای مرتبط با استخدام، آموزش و حفظ استعداد نیز تغییر می‏کنند. این تحولات برای برآوردن نیاز‏های عملیات امنیت سایبری، جبران کمبود استعدادها و استفاده از فناوری روز ضروری است.

در نهایت، یک رویکرد راهبردک برای ادغام فناوری‏های شناختی و تخصیص مجدد استعدادهای سایبری باید اتخاذ شود. سازمان‏ها باید نیاز‏های داخلی خود را برای خدمات امنیت سایبری که با توجه به تهدیدهایی که با آنها روبرو هستند بدست آمده، ارزیابی کنند، یک راهبرد استعدادی پشتیبان برای مجموعه مهارتهایی که بیشتر به آنها نیاز دارند، بسازند و اطمینان حاصل کنند که راهبرد‏ها به بهترین نحو برای تحقق اهداف امنیتی خود سازماندهی شده‏اند.

محیط تهدید

قبل از اینکه سازمانی کارکنان امنیتی سایبری بیشتری استخدام کند یا کارکنان فعلی خود را تغییر کار دهد، ابتدا باید محیط تهدید خود و داده‏های آسیب پذیری مربوطه را بررسی کند. آژانس‏های فدرال اغلب به دلیل حجم وسیعی از اطلاعات هویتی شخصی که در اختیار دارند، مانند شماره‏های امنیت اجتماعی و اسکن‏های اثر انگشت و مواد بررسی مجوز امنیتی مورد هدف قرار می‏گیرند.

شرکت‏های مخابراتی به ویژه با گسترش دستگاه‏های اینترنت اشیاء با تهدیدهای مربوط به انکار خدمات مواجه شده‏اند. شرکت‏های خرده فروشی و بانک‏ها قربانی جرایم سایبری شده‏اند که در آنها شماره کارت اعتباری یا داده‏های مربوط به تراکنش‏های مالی به سرقت رفته است. بیمارستان‏ها به طور فزاینده‏ای برای حملات باج افزارها مورد توجه قرار گرفته‏اند که در این حملات هکرها اطلاعات پزشکی را تا زمان پرداخت بازپرداخت گروگان می‏گیرند. حملات فیشینگ شایع‏ترین شکل ارائه حملات APT بوده و مسئول 95 درصد از تمام حملات موفق به شبکه‏های سازمانی در همه بخش‏ها هستند. دانستن اینکه کدام داده‏ها بیشتر مورد هدف هکرها قرار می‏گیرند و هکر‏ها از چه روش‏هایی برای به خطر انداختن شبکه‏ها استفاده می‏کنند، می‏تواند به اولویت بندی تلاش‏های امنیت سایبری و مهارت‏های لازم برای دستیابی به امنیت بیشتر کمک کنند.

راهبرد‏های مربوط به استعداد

سازمان‏ها باید از همان دقتی در تحلیل استفاده کنند که به تصمیمات کسب و کار کلیدی و مبتنی مخاطرات اختصاص داده شده و آن را در مورد راهبرد‏های استخدام، آموزش و حفظ به کار می‏گیرند. برای دستیابی به این هدف، آنها باید اطلاعات موجود را بهتر بشناسند و نحوه استفاده بهینه از آنها را برای به دست آوردن بینش در مورد نقاط قوت نیروی کار و زمینه‏های بهبود آن بدانند. این رویکرد می‏تواند نیازهای نیروی کار را پیش‏بینی کند، این که چه مجموعه مهارت‏هایی در داخل سازمان قابل استفاده است و کدام حوزه‏ها را می‏توان با فناوری‏های شناختی تقویت کرد. همانطورکه انتظار می‏رود، این الزامات با گذشت زمان تغییر می‏کند، بنابراین شرکت‏ها و آژانس‏های فدرال باید در مورد مجموعه استعدادهای خود گفت وگوی مداوم داشته باشند. رهبران باید به طور معمول بپرسند: آیا مهارت‏های نیروی کار مناسب داریم؟ آیا قسمت‏های درستی را خودکار می‏کنیم؟ آیا کارهای درستی را به دست انسان‏ها می‏دهیم؟

برای پر کردن شغل‏های ایجاد شده در امنیت سایبری، می‏توان پرسنل مجرب استخدام کرد، یا فارغ التحصیلان جدید می‏توانند در یک دوره زمانی آموزش دیده و مرتب (در مورد کار خود توجیه) شوند. با این حال، تحلیل و اتوماسیون پیشرفته حجم کار پرسنل فعلی را کاهش می‏دهد تا سازمان‏ها بتوانند مشخص کنند چه افرادی می‏توانند برای پر کردن برخی از شغل‏های آزاد شده دوباره آموزش ببینند.  هزینه بازآموزی آنها معمولاً ارزش بهتری نسبت به استخدام افراد باتجربه در یک بازار فوق العاده رقابتی خواهد داشت. علاوه بر این، متخصصین متذکر می‏شوند که اگرچه تقاضای صنعت برای استعدادهای سایبری سالانه 11 درصد افزایش می‏یابد اما دانشگاه‏های آمریکا با تنها 5 درصد رشد سالانه تها بخشی از این تقاضا را برآورده می‏کنند. در این جا فایده تخصیص دوباره استعداد‏ها نمایان می‏شود.

اما این استعداد به کجا تخصیص داده می‏شود؟ جابجایی ساده پرسنل بدون تطبیق عمدی مهارت‏ها، صلاحیت‏ها و ترجیهات می‏تواند تأثیرات مخربی بر سازمان، مأموریت آن و حفظ نیروی کار داشته باشد. همانطور که در بالا ذکر شد، مسیر‏های حرفه‏ای امنیت سایبری به سرعت در حال پیشرفت هستند و بسیاری از آنها نیاز به تخصص ویژه دارند. سازمان‏ها بیشترین موفقیت را با پرسنل امنیت سایبری خود با توسعه برنامه‏های شغلی متناسب با هر فرد بدست آورده‏اند.

با بازگشت به داستان عابربانک‏ها و ظهور دستگاه‏های خودپرداز، بانک‏ها دریافتند که کار مسئول بانک زمانی تکامل پیدا کرد که مردم شروع به استفاده از دستگاه‏ها برای معاملات ساده کردند. بنابراین در حالی که دادن پول به یک مهارت کمتر مهم برای متصدیان تبدیل شد، مهارت‏های بین فردی بسیار حیاتی شد زیرا افرادی که وارد بانک می‏شدند معمولا تراکنش‏های پیچیده‏تری داشتند و سوالات آن‏ها به روابط انسانی بیشتری نیاز داشت. برخی از فروشندگان برای این نقش جدید به اندازه کافی مجهز نبودند، اما بانک‏ها تشخیص دادند که جابجاکنندگان پول نقد جزیی نگر هستند، کار آنها با اعداد خوب است، یادگیرندگان سریع هستند و قادر به تمرکز در دوره‏های طولانی مدت هستند-همان مهارت‏هایی که برخی از مشاغل امنیت سایبری در اختیار دارند. مانند موقعیت‏های نظارتی و رعایت مقررات. در نتیجه، برخی از بانک‏ها شروع به آموزش متصدیان انتقال برای مشاغل مربوط به امنیت سایبری کردند. این یک نتیجه برد-برد برای نیروی کار و بانک‏ها است.

تخصیص مجدد استعدادها نه تنها فرصتی را برای تخصیص مناسب پرسنل برای موقعیت‏های آزاد فراهم می‏کند، بلکه به حفظ آن نیز کمک می‏کند. با توجه به اینکه کارمندان در قسمت‏های مربوط به استعدادهای خود بیشتر کار می‏کنند، تغییر کار کمتری وجود دارد، که میزان تلاش مورد نیاز برای یافتن و جذب استعدادهای خارجی را کاهش می‏دهد. علاوه بر این، سامانه‏های شناختی می‏توانند بخش‏های خاصی از حجم کار هر فرد را تقبل کنند تا کارکنان بتوانند به حل مسائل پیچیده‏تر بپردازند.

فرایندها و ساختارهای داخلی

فناوری‏های جدید، تخصیص استعدادها و تهدید‏های سایبری باعث شده است تا سازمان‏ها در نقش‏های حتی باسابقه‏ترین متخصصان سایبری خود تجدید نظر کنند. به نظر می‏رسد در بسیاری از شرکت‏ها بین مدیران ارشد اطلاعات، مدیران ارشد فناوری و بخش منابع انسانی گسستی وجود دارد. علاوه بر این، این موقعیت‏های ارشد نسبتاً به تازگی به سطح اجرایی اضافه شده‏اند و باید برای منابع و اولویت بندی- بدون توجه سابقه سازمانی که به اعتبار درخواست‏های آنها کمک می‏کند – رقابت کنند.

بخشی از این چالش چند جانبه در مورد رهبری امنیت سایبری اغلب تعیین این است که چه کسی مسئول مدیریت عملیات است. متخصصان سایبری به چه کسانی گزارش می‏دهند؟ آنجا یک مدیر ارشد اطلاعات، یک مدیر ارشد تهدید یا یک مدیر ارشد عملیات است؟ مسئولیت کار بر گردن چه کسی است؟ برخی از مشکلات مربوط به استخدام و حفظ کارکنان ماهر امنیت سایبری می‏تواند ناشی از مسائل داخلی در صنعت یا سازمان‏ها باشد، به ویژه اگر این مشکلات در ارتباط با ساختار باشند.

روسای سازمان‏ها باید به طور مرتب بپرسند آیا ما از مهارت‏ها صحیح نیروی کار برخورداریم؟ آیا بخش‏های درستی را خودکار کرده‏ایم؟ آیا کار‏های درستی را به عهده انسان‏ها گذاشته‏ایم؟ برای صحیح انجام دادن این کار، سازمان‏ها باید بر قرار دادن پرسنل ماهر در موقعیت‏های مناسب با قدرت و نفوذ مناسب در سازمان تمرکز کنند. اگر سازمان‏ها افراد مناسبی در این زمینه ندارند، احتمالاً نمی‏توانند آنها را به خدمت بگیرند، آنها را نگه داشته یا آموزش دهند. از آنجا که امنیت سایبری یک حرفه  بسیار تخصصی و فنی است، ممکن است در اتاق هیئت مدیره بی جا به نظر برسد. با این حال، اگر چالش‏ها، فرصت‏ها و اهداف امنیت سایبری در تصمیمات تجاری سازمان در نظر گرفته نشوند، ممکن است حمایت ساختاری کافی و مسئولیت پذیری کافی برای انجام این عملیات بصورت ایمن و کارآمد وجود نداشته باشد. یکی از راه‏های انجام این کار، ترکیب ایده‏ها و نظرات متخصصان امنیت سایبری است، از پرسنل تازه کار گرفته تا مدیران اجرایی باید در این تصمیمات شرکت کنند. زمانی که این ایده‏ها در نظر گرفته شده و ادغام شوند، یک سازمان می‏تواند در موقعیت بهینه قرار گیرد تا اهداف امنیت سایبری خود را برآورده کند.

رویارویی با چالش‏ها

با تهدیدهای امنیت سایبری که سازمان‏های بخش دولتی و خصوصی با آن روبرو هستند، نیاز است که سازمان‏های امن، هوشیار و مقاوم داشته باشیم. رسیدن به این اهداف با کمبود گسترده متخصصان امنیت سایبری پیچیده شده است.  با این حال، همانطور که صنایع دیگر نشان داده‏اند، فناوری‏های شناختی می‏توانند به رفع کمبودهای پرسنل امنیت سایبری کمک کرده و به سازمان‏ها این فرصت را بدهند تا استعدادها را در موقعیت‏های پیچیده‏تر و مفیدتری به کار گیرند.  اما این امر مستلزم دوراندیشی و اقدامات سنجیده است تا اطمینان حاصل کنیم که هم امنیت و هم اهداف مورد نظر ما حاصل شده‏اند. سازمان‏هایی که بتوانند بهترین فناوری‏های شناختی را برای رفع کمبودهای نیروی کار ادغام کنند، ممکن است استعدادها و رویکردهای زیادی را برای رویارویی با چالش‏های جدید پیدا کنند که هم اکنون از دیدگان ما پنهان هستند.

منبع:

Augmented security: How cognitive technologies can address the cyber workforce shortage. Deloitte University Press. 08 June 2017