افتانا - آیا SFIA می‌تواند راهگشا باشد

واقعا چه مشاغلی در صنعت امنیت فناوری اطلاعات وجود دارند- بخش سوم

متخصصان امنیت سایبری برای پیشرفت شغلی به مسیر مشخصی نیاز دارند. مدل SFIA با تعریف سطوح مهارتی و دسته‌بندی مهارت‌های IT و امنیت، راهی برای سازمان‌دهی بهتر این حوزه ارائه می‌دهد.

متخصصان امنیت سایبری برای پیشرفت شغلی به مسیر مشخصی نیاز دارند. مدل SFIA با تعریف سطوح مهارتی و دسته‌بندی مهارت‌های IT و امنیت، راهی برای سازمان‌دهی بهتر این حوزه ارائه می‌دهد.

به گزارش افتانا، اغلب آگهی‌های شغلی که برای یافتن متخصصان امنیت اطلاعات منتشر می‌شوند، معمولاً به دنبال کارشناس امنیت اطلاعات، کارشناس امنیت شبکه، کارشناس مرکز عملیات امنیت و عناوینی از این دست هستند. اما وقتی به متن آگهی نگاه می‌کنید، انبوهی از مهارت‌ها و ویژگی‌هایی را می‌بینید که معلوم نیست آیا واقعاً یک کارشناس باید به تمامی آن‌ها مسلط باشد یا نه. آیا این از زیاده‌خواهی کارفرماست یا از نامشخص بودن محدوده دانشی که یک کارشناس امنیت باید داشته باشد یا از مبهم بودن مرز میان دانش‌ها و مهارت‌های مختلف؟!

چندین سال است که در دنیا برای حل این مشکل، به استفاده از مدل‌ها و چارچوب‌هایی روی آورده‌اند. چارچوب‌هایی مانند NICE و SFIA از دل همین نیاز پدید آمده‌اند.

افتانا طی چند مطلب، به معرفی و مقایسه این چارچوب‌ها می‌پردازد تا بتواند هم به کارفرمایان و هم به کارشناسان در انتخاب همکاران مناسب و یافتن مسیر شغلی دلخواه کمک کند. از آنجایی که چارچوب SFIA یکی از پرکاربردترین‌ها در دنیای امنیت سایبری است. بخش سوم این سلسله مطالب را به معرفی کامل آن اختصاص داده‌ایم.

مدل SFIA (Skills Framework for the Information Age)
چارچوب مهارت‌های عصر اطلاعات (SFIA) یکی از مهم‌ترین مدل‌های استاندارد برای تعریف مهارت‌های فناوری اطلاعات (IT) و امنیت سایبری است. این مدل، یک سیستم جهانی برای طبقه‌بندی مهارت‌ها و تعیین سطح شایستگی افراد در حوزه‌های مختلف فناوری اطلاعات ارائه می‌دهد.

۱. تاریخچه و توسعه SFIA
مدل SFIA برای اولین بار در سال ۲۰۰۰ منتشر شد و از آن زمان تاکنون به‌روزرسانی‌های متعددی داشته است. آخرین نسخه آن، SFIA 8 (2021)، شامل بهبودهایی در زمینه امنیت سایبری، تحلیل داده، هوش مصنوعی و رایانش ابری است. این چارچوب توسط بنیاد SFIA (SFIA Foundation) توسعه و مدیریت می‌شود.
مدل SFIA در بیش از ۲۰۰ کشور جهان استفاده می‌شود و در صنایعی مانند بانکداری، مخابرات، آموزش، دولت و فناوری کاربرد دارد.

۲. اهداف و کاربردهای SFIA
استانداردسازی مهارت‌های فناوری اطلاعات و امنیت سایبری
کمک به سازمان‌ها برای مدیریت منابع انسانی و توسعه شغلی
ارائه راهنمایی برای آموزش و توسعه مهارت‌های حرفه‌ای
تعریف مسیرهای شغلی و افزایش شفافیت در ارتقای کارکنان

۳. ساختار مدل SFIA
مدل SFIA دارای سه بخش اصلی است:
الف) سطوح مهارتی (Levels of Responsibility)
ب) دسته‌های مهارتی (Skill Categories & Subcategories)
ج) مهارت‌های فردی (Individual Skills)

الف) سطوح مهارتی در SFIA

SFIA دارای ۷ سطح مسئولیت است که هر سطح نشان‌دهنده میزان پیچیدگی وظایف، سطح مهارت و سطح استقلال فرد است:

سطح عنوان سطح ویژگی‌ها

سطح ۱ پیروی (Follow) کارهای ساده و تحت نظارت مستقیم

سطح ۲ کمک‌رسانی (Assist) انجام کارهای مشخص با حداقل نظارت

سطح ۳ اجرا (Apply) مسئولیت اجرای وظایف در سطح فنی

سطح ۴ توانمندسازی (Enable) برنامه‌ریزی، اجرا و مدیریت وظایف تخصصی

سطح ۵ اطمینان‌دهی (Ensure & Advise) رهبری، مشاوره و تضمین کیفیت

سطح ۶ راهبری (Initiate & Influence) تصمیم‌گیری استراتژیک و مدیریت کلان

سطح ۷ استراتژی و برنامه‌ریزی (Set Strategy & Inspire) تصمیم‌گیری‌های کلان و تعیین استراتژی سازمان

افراد در سطوح بالاتر (۶ و ۷) معمولاً مدیران ارشد فناوری اطلاعات و امنیت هستند.
افراد در سطوح پایین‌تر (۱ تا ۳) متخصصان فنی و مهندسان فناوری اطلاعات هستند.

ب) دسته‌های مهارتی در SFIA

مدل SFIA دارای ۶ دسته مهارتی اصلی است که هر کدام شامل چندین زیرمجموعه مهارتی هستند:

دسته مهارتی	تمرکز اصلی
استراتژی و معماری (Strategy & Architecture)	مدیریت فناوری، راهبری، امنیت و سیاست‌گذاری
توسعه و پیاده‌سازی (Change & Transformation)	مهندسی نرم‌افزار، توسعه سیستم‌ها و یکپارچه‌سازی
تحویل و عملیات (Delivery & Operations)	مدیریت خدمات، پشتیبانی فناوری اطلاعات و امنیت
امنیت و اطمینان‌بخشی (Security & Assurance)	مدیریت ریسک، امنیت سایبری و تضمین کیفیت
داده‌ها و تحلیل‌ها (Data & Analytics)	مدیریت داده، هوش مصنوعی و تحلیل اطلاعات
روابط و تعاملات (Relationships & Engagements)	مدیریت ارتباطات، پشتیبانی مشتری و توسعه تیمی

ج) مهارت‌های SFIA در حوزه امنیت سایبری

در SFIA، امنیت سایبری به عنوان بخشی از دسته «امنیت و اطمینان‌بخشی» قرار دارد و شامل مهارت‌های زیر است:

مهارت	شرح وظایف
مدیریت امنیت اطلاعات (Information Security Management - SCTY)	تعریف و پیاده‌سازی سیاست‌های امنیتی
ارزیابی آسیب‌پذیری (Vulnerability Assessment - VUAS)	تحلیل نقاط ضعف سیستم‌ها و شبکه‌ها
پاسخ به حوادث امنیتی (Incident Management - INMG)	شناسایی، مدیریت و کاهش اثرات حملات سایبری
تست نفوذ و ارزیابی امنیت (Penetration Testing - PENT)	اجرای تست‌های نفوذ برای بررسی سطح امنیتی
مدیریت ریسک امنیتی (Risk Management - BURM)	شناسایی و کاهش ریسک‌های امنیتی سازمانی
تحلیل جرم‌یابی دیجیتال (Digital Forensics - FORS)	بررسی جرایم سایبری و جمع‌آوری شواهد دیجیتال

این مهارت‌ها بر اساس سطوح ۱ تا ۷ تقسیم‌بندی می‌شوند تا مشخص شود افراد در چه سطحی می‌توانند این وظایف را انجام دهند.

۴. تفاوت SFIA با سایر مدل‌های امنیت سایبری

مدل	تمرکز اصلی	مناسب برای	ویژگی متمایز
SFIA	مدیریت مهارت‌های IT و امنیت سایبری	شرکت‌ها، متخصصان فناوری اطلاعات	ترکیب مهارت‌های IT و امنیت
NICE	نقش‌ها و مشاغل امنیت سایبری	متخصصان امنیت، تیم‌های SOC	تمرکز بر مسیرهای شغلی امنیتی
MITRE ATT&CK	تحلیل حملات و تاکتیک‌های مهاجمان	تیم‌های امنیتی (Red Team, Blue Team)	مبتنی بر تکنیک‌های حمله
NIST CSF	مدیریت ریسک و امنیت سازمانی	سازمان‌های دولتی و خصوصی	چارچوب استاندارد مدیریت ریسک
ECSF	استاندارد مهارت‌های امنیتی در اروپا	متخصصان امنیت سایبری در اتحادیه اروپا	انطباق با قوانین GDPR و NIS

سطح	عنوان سطح	ویژگی‌ها
سطح ۱	پیروی (Follow)	کارهای ساده و تحت نظارت مستقیم
سطح ۲	کمک‌رسانی (Assist)	انجام کارهای مشخص با حداقل نظارت
سطح ۳	اجرا (Apply)	مسئولیت اجرای وظایف در سطح فنی
سطح ۴	توانمندسازی (Enable)	برنامه‌ریزی، اجرا و مدیریت وظایف تخصصی
سطح ۵	اطمینان‌دهی (Ensure & Advise)	رهبری، مشاوره و تضمین کیفیت
سطح ۶	راهبری (Initiate & Influence)	تصمیم‌گیری استراتژیک و مدیریت کلان
سطح ۷	استراتژی و برنامه‌ریزی (Set Strategy & Inspire)	تصمیم‌گیری‌های کلان و تعیین استراتژی سازمان