در حالی که برخی از افراد تأثیرگذار در فضای فناوری ممکن است برای خروج از منطقه راحتی خود و تعامل با مدیران سطح C و هیئت مدیره با مشکل مواجه شوند، جردن آونایم از این فرصت استقبال کرده است. سفر دو دههای او در زمینه امنیت و مدیریت ریسک فنی با ایجاد یک شبکه امن برای یک سازمان دولتی آغاز شد. آونایم به سرعت به شرکت Deloitte & Touche در نقش مشاوره پیوست و سپس دوره طولانی در The Capital Group Companies را سپری کرد؛ جایی که او مسئولیت امنیت اطلاعات، ریسک فناوری و عملکرد حسابرسی فناوری شرکت را بر عهده داشت. در طول دوره مسئولیت او، این شرکت بیش از ۲.۲ تریلیون دلار دارایی تحت مدیریت داشت.
در Entrust، او همچنان چهرهای کلیدی است که از طریق تحول دیجیتال بر تغییر تأثیر میگذارد. هدف نهایی آونایم کمک به اصلاح نقش CISO از یک موقعیت صرفاً فنی به موقعیتی است که در همه جنبههای کسبوکار نقش داشته باشد و صدای واضحی در هیئت مدیره داشته باشد.
او در مصاحبه زیر که برای طول و وضوح ویرایش شده است، به نشریه Tech Monitor گفت: «هیئت مدیره میتواند برای جامعه CISOها ماهیتی اساطیری داشته باشد و به خوبی درک نمیشود. CISOها نمیتوانند موفق شوند مگر اینکه دیدگاهی جامع از کسبوکار داشته باشند. آنها نمیتوانند فقط از یک دیدگاه فنی باشند.»
تک مانیتور: شما از زمان شروع فعالیت در امنیت اطلاعات نقشهای مختلفی داشتهاید. چگونه این نقشها شما را برای شغل فعلیتان در Entrust آماده کردهاند؟
جردن آونایم: این نقشها دیدگاهی جامع از آنچه که یک CISO نیاز دارد به من دادهاند. در The Capital Group، کار من پیادهسازی سیاستها، استانداردها و رویهها برای حفاظت از دادههای شرکت و امکان انجام تراکنشهای امن برای مشتریان بود. اکنون، من راهکارهای امنیتی را برای موسسات مالی ارائه میدهم. بنابراین، من از سمت مشتری به سمت تأمینکننده رفتم. میدانم که هر طرف برای موفقیت به چه چیزی نیاز دارد.
من بسیار خوششانس بودم که از محیطی با فرهنگ سازمانی بسیار نزدیک به محیطی دیگر که بسیار مشابه آن بود، منتقل شدم. حرکت از یک شرکت به شرکت دیگر بدون مشکل انجام شد. برای من موفقیت از منظر فرهنگی، نه تنها از منظر فنی، مهم بود.
اگر سال به سال همان کار را انجام دهید، جهان اطراف شما تغییر میکند. تهدیدها تغییر میکنند، محیط ژئوپلیتیک تکامل مییابد و غیره. من خوششانس هستم که آنچه برای موفقیت در اینجا نیاز دارم را در اختیار دارم. زمانی که به Entrust پیوستم، برنامه امنیتی ما از قبل راهاندازی شده بود. من صفحه سفید نداشتم. چیزی قوی را برداشته و آن را قویتر کردم.
مهمترین مسئله امنیت سایبری که در حال حاضر نادیده گرفته میشود چیست؟
مهمترین مسئله در حال حاضر رمزنگاری پسا-کوانتومی است. الگوریتمهای موجود به زودی، شاید تنها چند سال دیگر، توسط رایانههای کوانتومی شکسته خواهند شد. این دستگاهها با سرعت نور کار خواهند کرد و میتوانند فوراً کاری را انجام دهند که سالها طول میکشد تا رایانههای کلاسیک آن را انجام دهند. الگوریتمهای رمزنگاری ما برای این آماده نیستند. بنابراین، ما به مشتریان توصیه میکنیم که راهکارهای رمزنگاری پسا-کوانتومی را اتخاذ کنند تا امنیت برای دههها آینده تضمین شود.
مردم همیشه فکر میکنند که وقت زیادی دارند، اما اینطور نیست. برای مثال، دولتها دادههای رمزنگاری شده زیادی را با رویکرد 'هماکنون جمعآوری کن، بعداً حفاظت کن' جمعآوری و ذخیره میکنند. این یک مشکل واقعی است. راهکارهایی امروز در دسترس هستند، اما پر کردن این شکاف فرآیندی شامل چندین مرحله است.
اولین گام موجودیبرداری است؛ دانستن اینکه چه داراییهایی دارید، سپس اولویتبندی و مهاجرت ارزشمندترین دادهها با بیشترین عمر مفید. اینها اقلام با بالاترین ریسک هستند. سپس باید الگوریتمهای مقاوم در برابر کوانتوم را در سراسر شبکه خود آزمایش کنید. برخی از فروشندگان از قبل دسترسی را ارائه میدهند، بنابراین باید مشخص کنیم کدام یک بهترین کارایی را دارند. سپس مرحله برنامهریزی برای ساخت یک استراتژی امنیتی پسا-کوانتومی فرا میرسد.
من بارها این بحث را داشتهام و مشتریان یا آن را درک میکنند و میگویند که در حال شروع آن فرآیند هستند، یا از من میپرسند که رمزنگاری پسا-کوانتومی به چه معناست. حتی برخی از CISOها هنوز این سوال را از من میپرسند، بنابراین هنوز شکاف دانشی وجود دارد. خبر خوب این است که منطقه خاکستری وجود ندارد؛ آنها یا آن را درک میکنند یا نمیفهمند، و وقتی توضیح میدهید که چرا مهم است، میبینید که لامپ در ذهنشان روشن میشود.
فرد ارشد امنیتی در یک سازمان زمانی فقط یک مشاور فنی قابل اعتماد بود، اما اکنون باید دنیای پیچیده امنیت سایبری را به زبانی ترجمه کند که هیئت مدیره آن را بفهمد. چگونه در مورد امنیت اطلاعات با استفاده از زبان ریسک صحبت میکنید؟
وقتی به ارتباط مؤثر با هیئت مدیره فکر میکنم، از یک مدل سه بخشی استفاده میکنم.
اول، اعتماد بسازید. باید بدانید که چه چیزی برای اعضای هیئت مدیره مهم است. نشان دهید که اولویتهای آنها را میشناسید، میدانید چرا در هیئت مدیره هستند و چه چیزی باعث موفقیت آنها شده است. آنها را هم در داخل و هم در خارج از اتاق هیئت مدیره درک کنید. رابطه را انسانی کنید تا مکالمه طبیعیتر باشد. با آنها در خارج از اتاق هیئت مدیره وقت بگذرانید – تبادل ایمیل، قهوه، شاید یک وعده غذایی. رفاقت، احترام و اعتماد بسازید. سطح مهارت فنی آنها را بفهمید تا بتوانید با آنها صحبت کنید، نه برای آنها.
دوم، پیام را متناسب کنید. آنها را بشناسید تا بتوانید از سطح جزئیات مناسب استفاده کنید. من از مخفف KICS - 'Keep It Cybersecurity Simple' (امنیت سایبری را ساده نگه دارید) استفاده میکنم تا بتوانم پیام را به نتایج کسبوکار مرتبط کنم. از اصطلاحات فنی اجتناب کنید. اگر در حال توضیح اصطلاحات هستیم، در سطح اشتباهی کار میکنیم.
در نهایت، حلقه بازخورد را در نظر بگیرید تا مکالمه با کسبوکار تغییر و بلوغ یابد. استراتژی امنیت سایبری باید تکامل یابد تا نیازهای جمعی را برآورده کند، بنابراین با اعضای هیئت مدیره و مدیران سطح C ملاقات کنید تا بازخورد دریافت کنید. من خوششانس هستم که هیئت مدیره من نسبتاً فنی است، اما در سایر شرکتها، مشکلات فنی بسیار جدی وجود داشته است که من سعی میکردم آنها را با افرادی که فنی نبودند حل کنم.
چه توصیهای برای دیگر رهبران امنیتی یا برای شرکتهایی دارید که امیدوارند ارتباطات قویتری بین رهبری فنی و سایر تصمیمگیرندگان ارشد ایجاد کنند؟
اینجا یک تفاوت ظریف وجود دارد. وقتی با همکاران مدیر سطح C صحبت میکنم، رویکرد متفاوتی را اعمال میکنم. تفاوت اندکی اما مهم بین آنها و هیئت مدیره وجود دارد. شما اعضای هیئت مدیره را میشناسید و این برای مدیران سطح C نیز صدق میکند، اما با یک نکته بیشتر: باید بیشتر گوش کنید. چه چیزی برای آنها ارزشمند است؟ نگرانیها در امور مالی، حسابداری، منابع انسانی و فروش چیست؟ رهبران این بخشها ممکن است شما را مانعی برای انجام کارهایشان ببینند.
هنگامی که متوجه میشوید آنها به چه چیزی نیاز دارند، میتوانید پیام خود را با شرایط آنها بیان کنید. هنگامی که مکالمه مؤثر نیست، ریسکها برای کسبوکار حیاتی هستند. تمام آن بحث و آشنایی با افراد باید قبل از رسیدن به نقطهای که نیاز به حل یک مشکل دارید، اتفاق بیفتد.