مایک هاوارد به مدت 16 سال مدیر ارشد امنیت مایکروسافت (CSO) بود. او مسئول امنیت یک تیم جهانی متشکل از 200000 نفر بود که شامل تیم اجرایی شرکت، 90000 کارمند آن و تقریبا 90000 پیمانکار بود. او استانداردهای صنعتی مانند گنجاندن امنیت در تمام برنامههای آموزشی کارکنان و تبدیل امنیت به بخشی جدایی ناپذیر از فرهنگ شرکت را تعیین کرد.
مایک هاوارد افسر عملیات سابق سیا با 22 سال تجربه است که از سال 2002 تا زمان بازنشستگی در 31 آگوست 2018 عملیات امنیت جهانی مایکروسافت را به عنوان افسر ارشد امنیتی (CSO) رهبری کرد. پروتکلهایی که برای هر نوع تهدید فیزیکی یا امنیت سایبری طراحی شدهاند. این پروتکلها برای حمایت از شرکت نه تنها قبل و در حین حمله، بلکه پس از تأثیر آن بر کارکنان نیز در نظر گرفته شده است. این مقاله داستان موفقیت این فرد و تجربهای برای صاحبان مشاغل و متخصصان امنیتی است که میخواهند از یک CSO برتر که پروتکلهای امنیتی مایکروسافت را برای بیش از یک دهه مدیریت کرده است، چیزهایی یاد بگیرند؛ پس اگر شما هم از این دسته از افراد هستید، با ما همراه باشید.
مایک هاوارد را بشناسیم...
هماطور که در مقدمه هم گفتیم، مایک هاوارد به مدت 16 سال به عنوان مدیر ارشد امنیت (CSO) در مایکروسافت خدمت کرد. قبل از مایکروسافت، او برای بیش از دو دهه افسر عملیات در آژانس اطلاعات مرکزی (سیا) بود. او قبلاً رئیس هیئت مدیره انجمن بینالمللی مدیریت امنیت بود و در شورای مشورتی خارج از کشور وزارت امور خارجه ایالات متحده (OSAC)، هیئت مدیره انجمن صنعت امنیت و هیئت مشورتی میزگرد ASIS CSO خدمت کرده است. هوارد کار خود را با اداره پلیس اوکلند درکالیفرنیا آغاز کرد.
در حال حاضر، هاوارد رئیس شرکت خدمات مشاوره هوارد، LLC است. او دو کتاب رهبری به نامهای «هنر رهبری رونین» و «هنر اجرای استراتژیهای رهبری رونین» را تالیف کرده است. هاوارد مدرک لیسانس عدالت کیفری/جامعه شناسی را از دانشگاه ایالتی سن خوزه دریافت کرد.
نقش مایک هاوارد به عنوان یک مبشر امنیتی در مایکروسافت
فراتر از تحولاتی که او در مایکروسافت برای محافظت از دادههای کاربران و مشتریان خود به اجرا درآورد، بسیاری از تمایز هاوارد به عنوان مردی که پشت تدابیر امنیتی فوق العاده این شرکت قرار دارد، به نقش او به عنوان یک بشارت دهنده برای دیگران نسبت داده میشود. هاوارد اطمینان حاصل کرد که همه افراد شرکت، از افرادی که در پایینترین سطح مدیریت زندگی میکنند تا مدیران اجرایی و سهامداران، اهمیت امنیت را هم در دنیای فیزیکی و هم در دنیای سایبری درک میکنند.
هاوارد حتی هنگام برنامهریزی در رابطه با تلاشهای بازاریابی مایکروسافت، مطمئن شد که اطلاعاتی را ارائه میدهد که به کارمندان کمک میکند تا بدون به خطر انداختن یکپارچگی خود یا اطلاعات ارزشمند شرکت، مسئولیتهای خود را انجام دهند. این فرهنگ بشارت امنیتی میراث هاوارد است که اکنون او مایکروسافت ترک کرده است.
پروتکلهایی که ریشه در سنت دارند
اگرچه مایکروسافت به عنوان یکی از پیشگامان صنعت فناوری در نظر گرفته میشود، هاوارد زمانی گفت که بسیاری از پروتکلهای امنیتی اعمال شده توسط مایکروسافت، اگر نگوییم همه آنها، هنوز ریشه در روشهای سنتی تضمین امنیت در بسیاری از شرکتها دارد.
هاوارد در مصاحبه قبلی با ما گفت: «امنیت سایبری یک مسئله بزرگ در ذهن همه است زیرا ما به عنوان یک جامعه جهانیتر شدهایم و کسبوکارها جای پای خود را گسترش دادهاند و همه چیز دیجیتالی است. اما، مسائل امنیتی سنتی دزدی، خشونت علیه کارمندان، تروریسم و بلایای طبیعی همگی از نظر چالشهای امنیتی بزرگ برای کسبوکارها از اهمیت بالایی برخوردار هستند.»
هاوارد معتقد است که در حالی که فناوری هر روز سریعتر پیشرفت میکند، شرکتهای بزرگی مانند مایکروسافت همچنان باید پروتکلهای امنیتی خود را بر اساس طرحهایی که دههها پیش ایجاد شده است، قرار دهند.
اصول اساسی امنیت کلید مدیریت شرکتی به بزرگی مایکروسافت است، اما برای سازمانهای کوچکتر نیز کاربرد دارد. چه بیش از 700 دفتر پراکنده در صد کشور جهان مانند مایکروسافت داشته باشید، یا یک کسب و کار کوچک به دنبال بهبود امنیت سایبری خود باشید، باید روی مشکلات امنیتی رایجی که در تمام سطوح مدیریتی با آن مواجه میشوید تمرکز کنید.
مایکروسافت چگونه امنیت را مدیریت میکند؟
شایان ذکر است که مایکروسافت در مجموع سالانه 1 میلیارد دلار سرمایه گذاری میکند تا اطمینان حاصل کند که دادههای خود و همچنین مشتریانش به خوبی محافظت میشوند. با این حال، این تنها جنبه امنیتی نیست که شرکت روی آن سرمایه گذاری میکند.
همچنین اطمینان میدهد که حداکثر امنیت در هر گوشهای از فضای کاری حفظ میشود. مدیریت حوادث امنیتی مایکروسافت بر فرآیندهای اساسی کاهش خطرات امنیتی متکی است: آمادهسازی، شناسایی و تجزیه و تحلیل، مهار، ریشه کنی و بازیابی، و فعالیت پس از حادثه.
اگرچه مایکروسافت مبالغ هنگفتی را صرف امنیت میکند، اما پساندازی که از پیشگیری و کاهش اثرات حملات در نتیجه وجود پروتکلهای امنیتی استثنایی به دست میآورد، بیشتر از هزینههای آنها است.
به عنوان مثال، بدون پروتکلهای امنیتی مناسب، «مالکیت معنوی ممکن است به خطر بیفتد و میتواند بر شهرت برند شرکت تأثیر بگذارد یا منجر به شکایت شود». هر دوی اینها میتواند زیانهای سنگینی را برای شرکت به همراه داشته باشد.
این امر به ویژه با افزایش قوانین حفظ حریم خصوصی دادهها، روندی که درست قبل از خروج هوارد از مایکروسافت، زمانی که اتحادیه اروپا (EU) مقررات عمومی حفاظت از دادهها (GDPR) را تصویب کرد، آغاز شد. قوانین مشابهی مانند قانون حفظ حریم خصوصی مصرفکنندگان کالیفرنیا (CCPA) نیز در پی GDPR پدید آمده است و شرکتها را ملزم میکند تا پروتکلهای امنیتی خود را با دقت برنامهریزی کنند.
نمونههایی از اقدامات امنیتی مایکروسافت
به عنوان بخشی از پروتکل امنیتی این شرکت، مایکروسافت گزارش اطلاعات امنیتی مایکروسافت را از سال 2006 هر شش ماه یکبار منتشر کرده است. این گزارش تمام تهدیداتی را که وارد سیستم مایکروسافت شدهاند، خلاصه میکند و هر یک از این تهدیدات برای کمک به کاهش خطر نقض دادهها و ارزیابی آنها ارزیابی میشود. سایر مشکلات احتمالی
یکی دیگر از ویژگیهای امنیتی مورد استفاده مایکروسافت، پلتفرم Microsoft Defender Threat Intelligence است که یک تحلیلگر امنیتی میتواند از آن برای تجزیه و تحلیل و اولویتبندی سیگنالها یا تهدیدهایی که به بالاترین سطح توجه نیاز دارند، استفاده کند.
عملکرد آن بسیار شبیه یک هوش مصنوعی است که برای امنیت سایبری طراحی شده است و مایکروسافت را قادر میسازد هر زمان که تهدیدی پیش میآید ایمیلهای شخصیسازی شده را برای کاربران ارسال کند. این ارتباطات در مورد برخی از لینکها که نباید کلیک شوند، ایمیلهایی که مشکوک به نظر میرسند و سایر اقدامات فضای مجازی که ممکن است بهعنوان تهدیدکننده علامتگذاری شوند، به کاربران توصیه میکند.
کمک به کارکنان به عنوان راهی برای تضمین امنیت
هاوارد معتقد است که جدای از نقش فناوری در به حداکثر رساندن امنیت در مایکروسافت، کارمندان برای اطمینان از اینکه کار با هوشیاری کامل و رعایت دستورالعملهای امنیتی کافی انجام میشود، کلیدی هستند.
هاوارد گفت: «داشتن یک برنامه آموزشی برای هر برنامه امنیتی ضروری است. "بدون آن، شما یک برنامه امنیتی کامل ندارید. ما تعداد مشخصی کارمند و فروشنده تمام وقت داریم که مایکروسافت را در سطح جهانی پوشش میدهند. ما هرگز نمیتوانیم بدون آموزش و ایجاد برنامههای آگاهیبخشی که به مردم میآموزند به دنبال چه چیزی بگردند، در سطح جهانی پیشرفت داشته باشیم.»
آموزش کارکنان در مورد خطرات امنیتی مزایای امنیتی خاصی دارد:
- کارمندان به پرسنل امنیتی خودشان تبدیل میشوند. آنها نسبت به رفاه تیم خود احساس مسئولیت میکنند و مراقب هرگونه تهدید احتمالی هستند.
- آنها تجربیات خود را برای در نظر گرفتن عواملی که معمولاً در معادله در هنگام بهینهسازی امنیت وجود ندارند، در نظر میگیرند و پروتکلهای امنیتی را فراگیرتر و مؤثرتر میکنند.
- کارمندان آموزش دیدهاند که هم در مقابل رایانههای خود و هم در محیط اطراف خود هوشیار باشند و امنیت کامل را تضمین کنند.
چرا بخش منابع انسانی برای امنیت مهم است؟
با وجود اینکه بخشی جدایی ناپذیر از یک کسب و کار است، منابع انسانی اغلب هنگام بحث در مورد چگونگی بهینهسازی امنیت نادیده گرفته میشود. بیشتر اوقات، حفرههای موجود در سیستم امنیتی یک شرکت در مناطقی یافت میشوند که در غیر این صورت به عنوان نامربوط تلقی میشدند، که آنها را به بستری برای انواع مختلف تهدیدات تبدیل میکند.
اقتصاد بد، مشکلات در خانه، حتی برخورد با یکی از بستگان بیمار میتواند مواردی باشد که میتواند باعث امنیت در محل کار شود، و وجود یک تیم برای کمک به حل این مشکلات میتواند از وقوع یک حادثه خشونت یا خشونت جلوگیری کند. دزدی، مایک گفت.
این نشان میدهد که فناوری به تنهایی برای رسیدگی به مسائل امنیتی کافی نیست. افرادی که حتی سادهترین وظایف را در مایکروسافت انجام میدهند، باید هنگام آمادهسازی برای راهحلهای کاهشدهنده در صورت بروز تهدید در نظر گرفته شوند. تیمی از متخصصان که قادر به ارزیابی این نوع خطرات از بخش منابع انسانی هستند، چیزی است که مایکروسافت را از دیگران متمایز میکند. این درسی است که سایر شرکتها باید به آن توجه کنند.
چگونه SMBها میتوانند از عملکرد مایکروسافت بیاموزند؟
بزرگترین تصور اشتباهی که SMBها در مورد اقدامات امنیت سایبری مایکروسافت دارند این است که میزان پولی که میخواهید برای محافظت از اطلاعات شرکت خود خرج کنید، به موارد مختلفی بستگی دارد. با این حال، حقیقت پشت موفقیت مایکروسافت فقط تفویض منابع مالی نیست!
واقعیت پشت رویههای امنیتی موفقیتآمیز مایکروسافت، جهتگیری مناسب افرادی است که شرکت را از پایه میسازند. این در مورد اطمینان از اینکه آنها اهمیت پروتکلهای امنیتی را درک میکنند، مهم نیست که در کدام بخش کار میکنند و آموزش آنها برای کاهش خطرات احتمالی که ممکن است در طول کار خود با آنها مواجه شوند، چیست. یکی از مهمترین موارد برای نظارت بر امنیت سایبری در یک شرکت، توجه به کارمندان و بهروزرسانی فعالانه اطلاعات لازم برای کاهش خطرات امنیتی است.
امنیت را به شانس واگذار نکنید...
تاریخچه مایک هاوارد به عنوان یک افسر امنیتی سابق سیا، پلهای برای نقش او به عنوان افسر ارشد امنیتی مایکروسافت بود و فلسفه او در مورد امنیت ریشه در این واقعیت دارد که تا زمانی که پروتکلهای مناسب وجود داشته باشد، میتوان همه تهدیدات را کاهش داد. در آن زمان هاوارد در مایکروسافت بر اهمیت حفاظتهای تکنولوژیکی و پروتکلی برای امنیت تاکید میکرد؛ خواه این به معنای اجرای سیستم امنیت سایبری باشد یا آموزش اعضای تیم فردی یا ارائه منابعی که برای هوشیاری به آنها نیاز دارند. برای اینکه بتوانید امنیت یک سازمان را تامین کنید، باید اقدامات زیادی انجام دهید و این موضوع هیچ ربطی به شانس ندارد!
سخن پایانی
داستان موفقیت چنین افرادی میتواند برای مدیران و رهبران انگیزه باشد تا بتوانند در مسر شغلی خودشان پیشرفت کنند. این مقاله داستان موفقیت بزرگان فردی به نام مایک هاوارد افسر عملیات سابق سیا است که تا زمان بازنشستگی خود در سال 2018 عملیات امنیت جهانی مایکروسافت را به عنوان مدیر ارشد امنیت (CSO) رهبری کرد.
مایک به عنوان CSO برای مایکروسافت، مسئولیت جهانی عملیات، تحقیقات، کاهش ریسک، مدیریت بحران، حفاظت اجرایی، فناوری امنیتی، استراتژی، اطلاعات و آگاهی کارکنان از جمله خدمات او در این شرکت بود. او همچنین توسعه مراکز عملیات امنیت جهانی به هم پیوسته (GSOC) مایکروسافت را رهبری کرد. مایک 22 سال را با آژانس اطلاعات مرکزی گذراند و در طول فعالیت خود در سیا در دفتر امنیت سیا کار میکرد.
مایک به عنوان یک رهبر امنیتی از طریق نقشهای کلیدی در سازمانهای صنعتی متعدد به این حوزه کمک کرده است و به عنوان یک متخصص موضوعی در زمینه امنیت و رهبری بسیار مورد توجه قرار گرفته است.
مایک عضو هیئت مدیره بنیاد اداره پلیس متروپولیتن لاس وگاس و یکی از بنیانگذاران بنیاد مایکل و جانیس هاوارد است. اگر برای پیشرفت و رشد سازمان خودتان به مشاوره و راهنمایی نیاز داشته باشید، میتوانید با کارشناسان دیباگ تماس و نرمافزار Odoo را تهیه کنید؛ اودو یک نرم افزار جامع مدیریت و مشاوره کسب و کار است که با ماژولهای مختلف میتواند تمام جنبههای عملیاتی شرکت را مدیریت کند.