در دنیای امروز اطلاعات و دادههای موجود در درصد زیادی از کسب و کارها به صورت دیجیتالی ذخیره میشود و سازمانها از فناوری برای این کار استفاده میکنند. همین امر باعث شده که محافظت از این دادهها و اطلاعات به منظور جلوگیری از دسترسی افراد غیر مجاز و سودجو از اهمیت زیادی برخوردار باشد.
برای دستیابی به این هدف بسیاری از کسب و کارها و سازمانها افرادی را به عنوان مدیر امنیت (Security Administrator) استخدام میکنند که امور مربوط به محافظت از دادهها را مدیریت کند. در این مقاله از بلاگ آموزشگاه کندو قصد داریم به این سوال که مدیر امنیت کیست و چه وظایفی دارد پاسخ داده و بیشتر با این شغل آشنا شویم.
مدیر امنیت کیست؟
به فردی که مسئولیت امنیت سیستمهای یک سازمان به منظور حفاظت از دادهها و اطلاعات را بر عهده دارد، مدیر امنیت گفته میشود. به زبان ساده در پاسخ به سوال مدیر امنیت کیست باید گفت که فردی است که وظیفه دارد بر تمام فعالیتها در یک سازمان نظارت داشته و در مورد رویههای امنیتی سازمان تصمیمگیری کند.
بدیهی است که یک مدیر امنیت در سازمان مسئولیت همه بخشهای سیستمهای را بر عهده دارد. مدیر امنیتی میتواند بهترین راه حلهای امنیتی را پیدا کرده و آنها را از بهترین روش بر روی سیستم پیادهسازی و عیبیابی کند. در پاسخ به مدیر امنیت کیست باید گفت که باید از توانایی مدیریت بحران و حل مسئله برخوردار باشد؛ یعنی این توانایی را داشته باشد که مسائل را از زوایای مختلف بررسی کرده و بر اساس آنها بهترین سیاست امنیتی را اجرا کند.
مسئولیتهای مدیر امنیت چیست؟
در پاسخ به این سوال که مدیر امنیت کیست و چه وظایفی دارد باید گفت که بسته به دامنه فعالیتهای سازمان، یک مدیر امنیت ممکن است مسئولیتهای زیر را بر عهده داشته باشد:
- محافظت از سیستمهای موجود در برابر دسترسی غیر مجاز به دادهها و اطلاعات
- پایش آسیبپذیری سیستمها و ارزیابی آسیبپذیریهای موجود
- پایش و مانیتورینگ ترافیک شبکه و تحت نظر قرار دادن فعالیتهای غیر عادی
- پیکربندی و پشتیبانی از ابزارهای امنیتی مختلف مانند فایروال، آنتیویروس، سیستمهای مدیریت Patchهای امنیتی و غیره
- اجرا و پیادهسازی سیاستهای امنیت شبکه، نرمافزار، کنترل دسترسیها و حفاظت از دادهها و اطلاعات سازمان
- آنالیز شبکه سازمان و ایجاد مقررات امنیتی برای آن
- تدوین دستورالعملهای امنیتی و آموزش آن به کارکنان سازمان
- انجام بازرسی یا ممیزی امنیتی و ارائه توصیههای لازم برای سیاستهای امنیتی سازمان
- ارائه مشاورههای فنی امنیتی به منظور بهبود امنیت در سازمان
مدیر امنیت با تحلیلگر امنیت چه تفاوتی دارد؟
در پاسخ به این سوال که مدیر امنیت کیست و چه تفاوتی با تحلیلگر امنیت دارد باید گفت که متخصصین امنیت با توجه به دانش و مهارتی که دارند، امکان فعالیت در عناوین شغلی متعددی را دارند. یکی از سمتهای شغلی مهم در هر سازمان، تحلیلگر امنیت است. در واقع یک مدیر امنیت میتواند با دانش خود همه وظایف و مسئولیتهای مربوط به تحلیلگر امنیت را از سطوح ابتدایی تا پیشرفته انجام دهد.
با توجه به اینکه در سازمانهای بزرگ به دلیل پیچیدگی وظایف، مدیر امنیت مسئولیتهای زیادی بر عهده دارد، معمولا فرد دیگری به صورت جداگانه به عنوان تحلیلگر امنیت فعالیت میکند. اما در سازمانهای کوچک این امکان وجود دارد که مدیر امنیت و تحلیلگر امنیت یک نقش و مسئولیت ترکیبی باشد.
مسیرهای حرفهای مدیر امنیت چیست؟
در پاسخ به این سوال که مدیر امنیت کیست باید گفت که این مدیران در صورتی که قصد دارند به درجات عالیتر امنیت برسند باید مراحل زیر را طی کنند:
- Security Analyst یا آنالیزگر امنیت
- Security Auditor یا ممیز(حسابرس) امنیت
- Security Engineer یا مهندس امنیت
- Security Consultant یا مشاور امنیت
در پاسخ به سوال مدیر امنیت کیست باید گفت که یک مدیر امنیت در سازمان میتواند به درجات رهبری امنیت شامل موارد زیر نیز برسد:
- Security Manager یا مدیر امنیت
- Security Architect یا معمار امنیت
- Security Director یا هدایتگر امنیت
- Chief Information Security Officer یا به اختصار CISO یا افسر ارشد امنیت اطلاعات
نیازمندیهای شغل مدیر امنیت چیست؟
هر یک از مشاغل در حوزههای مختلف به یک سری الزامات نیاز دارند که افراد برای تصدی شغل باید از این شرایط برخوردار باشند. در پاسخ به سوال مدیر امنیت کیست باید گفت که این شغل نیز مانند همه مشاغل یک سری نیازمندیها دارد که در ادامه به معرفی آنها میپردازیم.
مدرک تحصیلی
در مورد این موضوع که مدیر امنیت کیست و چه مدرک تحصیلی باید داشته باشد، میتوان گفت که برای تصدی این شغل در یک سازمان فرد باید حداقل مدرک لیسانس در رشته کامپیوتر داشته باشد. در واقع کارفرمایان به ویژه در داخل کشور ما برای مدرک تحصیلی اهمیت زیادی قائل هستند. البته باید به این نکته اشاره کرد که موضوع به همین جا ختم نشده و بدون شک برخورداری از مدارک و گواهینامه آموزشها و دوره امنیت شبکه معتبر و تخصصی نیز از اهمیت زیادی برخوردار است.
تجربه کاری
با توجه به حساس بودن جایگاه شغلی مدیر امنیت در یک سازمان به منظور محافظت از دادهها و اطلاعات و تعیین بهترین سیاستهای امنیتی، بدون شک کارفرمایان به دنبال افرادی برای تصدی این شغل هستند که از تجربه کاری کافی برخوردار باشند. زیرا سپردن این کار به افراد تازهکار یک ریسک بزرگ محسوب میشود.
برای آشنایی بیشتر با شرایط استخدام کارشناس شبکه بدون داشتن مدرک دانشگاهی این مطلب را بخوانید.
مهارتهای سختافزاری
در پاسخ به اینکه مدیر امنیت کیست و باید چه مهارتهایی داشته باشد، باید گفت که این فرد باید در زمینههای مختلف حوزه امنیت شامل موارد زیر، مهارت داشته باشد:
- دانش فنی در خصوص پروتکلهای معروف لایه 4 تا 7 از مدل OSI مانند SSL, HTTP, DNS, SMTP و IPSec
- تسلط و درک قوی از فناوی فایروال
- آشنایی با محصولات و سختافزارهای Juniper، Cisco و Checkpoint
- دانش فنی در زمینه فناوریهایی مانند Packet Shaper، Load Balancer و Proxy server
- دانش فنی حرفهای در زمینه سیستمهای تشخیص و جلوگیری از نفوذ
- دانش فنی و درک عمیق در خصوص شبکههای کامپیوتری
- آشنایی با پروتکلهای معروف در شبکه
- آشنایی با ابزارهای آنالیز و بررسی ترافیک شبکه
- آشنایی کامل با سیستم عاملهای مختلف
برای شروع میتوانید دوره شبکه کندو را بگذرانید.
مهارتهای نرمافزاری
در پاسخ به این سوال که مدیر امنیت کیست و چه مهارتهای نرمافرای باید داشته باشد میتوان گفت که مهارتهایی مانند آموزش، نوشتن و مکاتبه از مهمترین مهارتهای نرم به حساب میآیند؛ به این دلیل که بخش مهمی از کار یک مدیر امنیت مربوط به تهیه پیشنویس سیاستهای امنیتی و آموزش کارکنان فنی در خصوص روشهای امنیتی است.
برخی از گواهینامهای دورههای تخصصی امنیتی نیز وجود دارند که اخذ آنها به عنوان یکی از مهارتهای نرم به حساب آمده و میتواند رزومه افراد را قوی کند. از مهمترین دورههای آموزشی و گواهینامههای معتبر در زمینه امنیت سیستمها میتوان به موارد زیر اشاره کرد:
- گواهینامه امنیت عمومی CompTIA Security+ به عنوان الفبای امنیت
- دوره آموزش CCNA یا Cisco Certified Network Associate گرایش Routing & Switching
- دوره آموزشی ENSA یا EC-Council Network Security Administrator
- دوره آموزشی CISSP یا Certified Information Systems Security Professional
- دوره آموزشی CISM یا Certified Information Security Manager
جمعبندی
امروزه بیشتر سازمانها و کسب و کارها در حال استفاده از فناوریهای مختلف به منظور ذخیرهسازی اطلاعات و دادههای مربوط به کارکنان، مشتریان و برنامههای آینده کسب و کار هستند؛ همین امر باعث شده که اطلاعات و دادههای سازمان در معرض خطر دسترسی افراد غیر مجاز قرار داشته باشند.
در این شرایط با درک این موضوع که مدیر امنیت کیست و چه وظایف و مسئولیتهایی دارد میتوان سیاستهای امنیتی سازمان را به بهترین شکل ممکن تدوین کرده و بر اساس آن از دادهها و اطلاعات موجود در بالاترین سطح ممکن محافظت کرد.