فريق أمن المعلومات في المؤسسة – حقائق لن تسمعها من مسؤولي التوظيف

يعد بناء فريق أمن المعلومات في المؤسسة أمراً بالغ الأهمية لحماية البيانات وحماية الأصول المهمة، وضمان الوضع الأمني العام فيها. مع تزايد عدد التهديدات والهجمات السيبرانية التي تستهدف الشركات، من الضروري أن يكون لديك فريق متخصص من المحترفين الذين يمكنهم اكتشاف المخاطر الأمنية. و كذلك الاستجابة لها والتخفيف من حدتها بشكل استباقي. لبناء فريق ناجح لأمن المعلومات، تحتاج المؤسسات إلى تقييم متطلباتها الأمنية بعناية. كما يتطلب ذلك تحديد الأدوار والمسؤوليات الرئيسية وتوظيف محترفين. و يضاف لما سبق، ضرورة إنشاء قنوات اتصال داخلية و خارجية مع المعنيين ببرنامج أمن المعلومات.

يناقش روبودين فيما يلي الخطوات اللازمة لبناء فريق أمن معلومات فعَّال في المؤسسة. ولكن هذا النقاش يستثني الموضوع المادي المرتبط بالرواتب و التعويضات لأنها أمر مفروغ منه. إن النقص في مهارات الأمن السيبراني في سوق العمل يفرض على أصحاب الأعمال التحلي بالشجاعة الكافية لكسر بروتوكلات التوظيف التقليدية و سلم الرواتب الخشبي الذي نخره سوس المنافسة.

فريق نجوم العالم

على عكس ما توحي به المقدمة السابقة، فإن روبودين يتبنى الواقعية و يدعمها و يدعو إليها. لذلك لنفكر أنه في الحقيقة يمكن لأي مدرب كرة قدم في نادي أن يتمنى جمع فريق من نجوم العالم لتدريبهم. و لكن لن يمكنه الحفاظ عليهم و لن يمكن لمالك النادي تحمل كلفتهم. لذلك فالمطلوب أن تمتلك المؤسسة رؤية واقعية بشأن المتقدمين لوظائف الأمن السيبراني لديها. من المفهوم رغبة أي شركة بتعيين محترف يحمل CISSP. لكن ما ليس مفهوماً هو حشر مثل هذه الكفاءة في دور وظيفي صغير لا يناسبه. و لذلك فإن تعيين مثل هذه الكفاءة في شركة لا تملك حتى SOC قد يبدو غير منطقياً. بينما من الجيد حينها توقع وجود CompTIA +Security لمعظم أدوار الأمن السيبراني المبتدئة. ولكن بالأساس، قد لا تكون فكرة جيدة اعتبار الشهادات بمثابة متطلبات جوهرية لا يمكن تجاوزها، خاصة إذا كانت الوظيفة الهدف تعتبر ابتدائية نسبياً و بقيت شاغرة لمدة شهرين مثلاً دون إيجاد من يشغلها.
لا نقلل هنا من أهمية الحصول على شهادات. لكن يجب البحث عن الشهادات ذات الصلة بمجالات الأمن السيبراني التي تناسب ميول المرء. و كذلك أن يبذل قصارى جهده للحصول على تلك الشهادات بنفسه. بالتأكيد سيساعده عندما يبحث عن وظيفة. ولكن على التوازي، ينبغي أن يوفر أصحاب العمل كتباً و الوصول إلى مراجع -مثل روبودين- و كذلك دورات لتنمية مستوى المعرفة لدى الموظفين. وأن يتم تغطية كلفة التقدم للامتحانات المهنية. من المهم لأي مؤسسة أن تستثمر في تدريب موظفيها. ويجب أن يقابل هذا الاهتمام جهداً و ولاءاً و مسؤولية من الموظفين. لكن لا تغفلوا العامل المادي.

فريق أمن المعلومات – الاستثمار في المعرفة

يشعر بعض المدراء بالإنزعاج من رؤية الموظف يتدرب على منتج جديد للأمن السيبراني لتطوير معرفته الشخصية خلال ساعات الدوام و بالتالي ما قد يجلبه ذلك من انخفاض في إنتاجيته. لكن المزعج أكثر هو رؤية وظائف الأمن السيبراني شاغرة و كذلك عدم وجود عدد كافٍ من الموظفين للاستجابة عند وقوع حوادث سيبرانية مكلفة. و كلنا نعرف أن هذه الحوادث هي أمر واقع و إن لم تحدث اليوم فستحدث غداً.
في بعض الأحيان يخشى أصحاب العمل أنهم و بعد الكثير من الوقت والمال الذي أنفقوه في تدريب موظفيهم ودفعهم لامتلاك مهارات جديدة فإن بعض هؤلاء الموظفين -إن لم نقل الكل- سيأخذون تلك المهارات ويغادرون الشركة، ليوظفوا مهاراتهم مع شركات منافسة. ومع ذلك، من المرجح أن يعمل الموظفون بجد ويكونون مخلصين لأصحاب العمل الذين استثمروا فيهم ويدفعون لهم أجوراً جيدة و يوفرون بيئة مناسبة تحافظ عليهم.

كيف يفكر مسؤول التوظيف التقليدي؟

للأسف فإن بعض أصحاب العمل ومسؤولي التوظيف الذين لم يتشربوا روح العصر مازالوا يعيشون في فقاعة ” نحن لسنا الأفضل و لكن الوحيدين” و لذلك يتوقعون أن يكون الموظفون جاهزين للتعامل مع أي تقنية مستجدة دون الحاجة إلى تدريب. برأيهم فإن التدريب و التعليم ليس من مسؤولية الشركات وإنما الجامعات و الموظفين أنفسهم.
بل أن بعض مسؤولي التوظيف يعاملون محترفي الأمن السيبراني أو المبرمجين معاملة مدخلي البيانات -مع احترامنا لكل المهن- و بالتالي فمازال مطلوباً منهم في اختبارات التوظيف – في زمن الذكاء الصنعي– أن يحققوا عدداً معيناً من الحروف بالدقيقة في اختبار الطباعة على لوحة المفاتيح أو أن يحلوا المسائل الرياضية المعقدة باستخدام لغة برمجة معينة بالورقة والقلم و ليس باستخدام الحاسب كما يفعلون في الحياة الواقعية.

حتى أفضل المطورين يبحثون باستمرار على الانترنت عن أفضل الطرق لتحسين الجودة أو تصحيح أشياء معينة في مشاريعهم البرمجية. فلماذا يتوقع مسؤول التوظيف أن المبرمجين سيحلون كل أسئلة البرمجة في مقابلة العمل باستخدام القلم دون أي مساعدة؟

أفضل الخبرات لبناء فريق أمن المعلومات

عند بناء فريق أمن معلومات فمن المهم التركيز على تنوع الفريق من حيث تاريخ العمل و مجال الخبرة. كل فرد في الفريق سيكون لديه مجموعة مختلفة من تجارب الحياة وبالتالي قد يرون المخاطر بشكل مختلف. التنوع سيضمن للمؤسسة القدرة على النظر للأمن من زوايا مختلفة. وكذلك يجب الانتباه لأهمية الموظفين المبتدئين -صفر خبرة- لامتلاكهم الحماس و الرغبة بالتعلم والرؤية بمنظور جديد بل لنقل رؤية تشبه رؤية الطفل الذي يصوب على الحقيقة مباشرة دون تحيز أو أجندات. وكذلك فإن معرفة مسار التطور الوظيفي يمثل حاجة مشروعة لكل موظف. هذا المسار يرسم طريق تطوير المناصب المبتدئة إلى مستوى متوسط و ترقية الأكثر خبرة إلى مناصب عليا عبر الاستثمار في التطوير المهني والمشاركة في المشاريع والمبادرات الجديدة.
إن الشهادات مهمة وينبغي تقديرها ولكن المطلوب أيضاً لأي مؤسسة أن تقدر الفضول والرغبة في التعلم و التفكير خارج الصندوق. انتهت الأساليب التقليدية التي تنظر فقط إلى الدرجات العلمية عند تقييم الموظف والمطلوب اليوم البحث عمن يحلون المشكلات، مع التركيز على التفاصيل وبغض النظر عن دورهم الوظيفي الحالي أو الخبرة. بالإضافة إلى ذلك، من المهم الاستثمار في فريق الأمن السيبراني، وتوسيعه مع نمو الشركة. يجب عليك أيضاً التأكد من أن امتلاك الفريق البنية التحتية التي يحتاجونها للقيام بعملهم بفعالية كتوفير بعض التجهيزات Lab لزوم تجربة المنتجات الجديدة مثلاً.

فخ التشابه

هناك نقطة يغفل عنها كثيرون وهي رغبة الناس عادة بتوظيف الأشخاص الذين يذكرونهم بأنفسهم، وهنا يأتي دور السياسات و الإجراءات التي تمنع أو تقلل تأثير عامل الشخصنة في اتخاذ قرارات التوظيف و إلا فسنرى في أماكن العمل تمثيلاً قوياً لفئات معينة تشبه شكلاً أو فكراً تلك الفئات المسؤولة عن التوظيف و غياب لفئات أخرى لا يراها مسؤولو التوظيف محبوبة أو مفضلة لديهم.

لاحظ أحد أصدقاء روبودين أن فريق عمل معين يغلب عليه قصر القامة و تبين لاحقاً أن المسؤول عن التوظيف في هذا الفريق قصير القامة و بالتالي لم يرغب في تعيين من هو أطول منه بشكل ملموس.
الرسالة ببساطة، وسع نطاقك، واعطي للأشخاص المختلفون عنك وعن الأشخاص الآخرين في شركتك فرصة للتألق. وينطبق نفس المعيار على العثور على أفضل المتخصصين في مجال الأمن السيبراني. ستجد محترفين أفضل في مجال الأمن عندما تفكر في نطاق أوسع من المتقدمين، بدلاً من البحث عمن يشبهك.

المعرفة ليس لها تاريخ صلاحية

هناك بعض المتخصصين في مجال الأمن السيبراني يتمتعون بسنوات طويلة من الخبرة، لكنهم ما زالوا لا يستطيعون الحصول على وظيفة. وهذا غالباً ما يكون نتيجة للتمييز على أساس السن. بعض الشركات ترفض توظيف أشخاص في الخمسينيات من عمرهم أو أكبر. إنهم يفترضون أن الأشخاص في العشرينات من العمر هم الأفضل في مجال التكنولوجيا. لكنهم بذلك سيفتقدون تجربة كبار السن.

مشكلة مشابهة، قد يكون لدى كبار السن خبرة عمرها خمس سنوات في تطبيقات معينة ، لكن ليس لديهم خبرة في أحدث الإصدارات من لغات البرمجة أو جدران الحماية ولكنهم حكماً قادرين على اكتسابها عند الحاجة إليها. لذلك يٌفترض أن تسعى الشركات لتكوين فريقها للأمن السيبراني من مجموعة واسعة من الفئات العمرية.

يمكن للموظفين الأكبر سناً توجيه -Mentor- الموظفين الأصغر سناً. و في حال كان الموظفون الأكبر سناً أو أي شخص آخر، يفتقرون إلى المعرفة المتعلقة بأحدث الإصدارات من الشهادات أو ما شابه، فيمكن للشركة تدريبهم عليها. المطلوب أن تزدهر المؤسسة على المدى الطويل، على مدى سنوات أو حتى عقود. مع تقاعد الموظفين الأكبر سناً سيستلم الدفة من هم أصغر سناً الذين استفادوا ممن سبقهم. يعد التوظيف من مختلف الفئات العمرية أمراً مفيداً لأي شركة. إنه يمكنها من الاستفادة من تجارب كبار السن والتفكير الجديد للشباب.

كلمة أخيرة

كما رأينا فإن بناء فريق فعال لأمن المعلومات في المؤسسة يتطلب توظيف محترفين ماهرين من فئات عمرية و خلفيات علمية و أكاديمية مختلفة و تحديد من سيكون مسؤولاً عن الإشراف على فريق أمن المعلومات وإدارته. كما يتطلب تحديد أدوار ومسؤوليات كل عضو في الفريق والتأكد من أن كل عضو في الفريق يفهم واجباته المحددة وكيفية مساهمته في بناء نظام الأمن السيبراني.