متخصصان امنیت سایبری برای پیشرفت شغلی به مسیر مشخصی نیاز دارند. مدل SFIA با تعریف سطوح مهارتی و دستهبندی مهارتهای IT و امنیت، راهی برای سازماندهی بهتر این حوزه ارائه میدهد.
۱
واقعا چه مشاغلی در صنعت امنیت فناوری اطلاعات وجود دارند- بخش سوم
آیا SFIA میتواند راهگشا باشد
به گزارش افتانا، اغلب آگهیهای شغلی که برای یافتن متخصصان امنیت اطلاعات منتشر میشوند، معمولاً به دنبال کارشناس امنیت اطلاعات، کارشناس امنیت شبکه، کارشناس مرکز عملیات امنیت و عناوینی از این دست هستند. اما وقتی به متن آگهی نگاه میکنید، انبوهی از مهارتها و ویژگیهایی را میبینید که معلوم نیست آیا واقعاً یک کارشناس باید به تمامی آنها مسلط باشد یا نه. آیا این از زیادهخواهی کارفرماست یا از نامشخص بودن محدوده دانشی که یک کارشناس امنیت باید داشته باشد یا از مبهم بودن مرز میان دانشها و مهارتهای مختلف؟!
چندین سال است که در دنیا برای حل این مشکل، به استفاده از مدلها و چارچوبهایی روی آوردهاند. چارچوبهایی مانند NICE و SFIA از دل همین نیاز پدید آمدهاند.
افتانا طی چند مطلب، به معرفی و مقایسه این چارچوبها میپردازد تا بتواند هم به کارفرمایان و هم به کارشناسان در انتخاب همکاران مناسب و یافتن مسیر شغلی دلخواه کمک کند. از آنجایی که چارچوب SFIA یکی از پرکاربردترینها در دنیای امنیت سایبری است. بخش سوم این سلسله مطالب را به معرفی کامل آن اختصاص دادهایم.
مدل SFIA (Skills Framework for the Information Age)
چارچوب مهارتهای عصر اطلاعات (SFIA) یکی از مهمترین مدلهای استاندارد برای تعریف مهارتهای فناوری اطلاعات (IT) و امنیت سایبری است. این مدل، یک سیستم جهانی برای طبقهبندی مهارتها و تعیین سطح شایستگی افراد در حوزههای مختلف فناوری اطلاعات ارائه میدهد.
۱. تاریخچه و توسعه SFIA
مدل SFIA برای اولین بار در سال ۲۰۰۰ منتشر شد و از آن زمان تاکنون بهروزرسانیهای متعددی داشته است. آخرین نسخه آن، SFIA 8 (2021)، شامل بهبودهایی در زمینه امنیت سایبری، تحلیل داده، هوش مصنوعی و رایانش ابری است. این چارچوب توسط بنیاد SFIA (SFIA Foundation) توسعه و مدیریت میشود.
مدل SFIA در بیش از ۲۰۰ کشور جهان استفاده میشود و در صنایعی مانند بانکداری، مخابرات، آموزش، دولت و فناوری کاربرد دارد.
۲. اهداف و کاربردهای SFIA
استانداردسازی مهارتهای فناوری اطلاعات و امنیت سایبری
کمک به سازمانها برای مدیریت منابع انسانی و توسعه شغلی
ارائه راهنمایی برای آموزش و توسعه مهارتهای حرفهای
تعریف مسیرهای شغلی و افزایش شفافیت در ارتقای کارکنان
۳. ساختار مدل SFIA
مدل SFIA دارای سه بخش اصلی است:
الف) سطوح مهارتی (Levels of Responsibility)
ب) دستههای مهارتی (Skill Categories & Subcategories)
ج) مهارتهای فردی (Individual Skills)
الف) سطوح مهارتی در SFIA
SFIA دارای ۷ سطح مسئولیت است که هر سطح نشاندهنده میزان پیچیدگی وظایف، سطح مهارت و سطح استقلال فرد است:
| سطح | عنوان سطح | ویژگیها |
| سطح ۱ | پیروی (Follow) | کارهای ساده و تحت نظارت مستقیم |
| سطح ۲ | کمکرسانی (Assist) | انجام کارهای مشخص با حداقل نظارت |
| سطح ۳ | اجرا (Apply) | مسئولیت اجرای وظایف در سطح فنی |
| سطح ۴ | توانمندسازی (Enable) | برنامهریزی، اجرا و مدیریت وظایف تخصصی |
| سطح ۵ | اطمیناندهی (Ensure & Advise) | رهبری، مشاوره و تضمین کیفیت |
| سطح ۶ | راهبری (Initiate & Influence) | تصمیمگیری استراتژیک و مدیریت کلان |
| سطح ۷ | استراتژی و برنامهریزی (Set Strategy & Inspire) | تصمیمگیریهای کلان و تعیین استراتژی سازمان |
افراد در سطوح پایینتر (۱ تا ۳) متخصصان فنی و مهندسان فناوری اطلاعات هستند.
ب) دستههای مهارتی در SFIA
مدل SFIA دارای ۶ دسته مهارتی اصلی است که هر کدام شامل چندین زیرمجموعه مهارتی هستند:
| دسته مهارتی | تمرکز اصلی |
| استراتژی و معماری (Strategy & Architecture) | مدیریت فناوری، راهبری، امنیت و سیاستگذاری |
| توسعه و پیادهسازی (Change & Transformation) | مهندسی نرمافزار، توسعه سیستمها و یکپارچهسازی |
| تحویل و عملیات (Delivery & Operations) | مدیریت خدمات، پشتیبانی فناوری اطلاعات و امنیت |
| امنیت و اطمینانبخشی (Security & Assurance) | مدیریت ریسک، امنیت سایبری و تضمین کیفیت |
| دادهها و تحلیلها (Data & Analytics) | مدیریت داده، هوش مصنوعی و تحلیل اطلاعات |
| روابط و تعاملات (Relationships & Engagements) | مدیریت ارتباطات، پشتیبانی مشتری و توسعه تیمی |
ج) مهارتهای SFIA در حوزه امنیت سایبری
در SFIA، امنیت سایبری به عنوان بخشی از دسته «امنیت و اطمینانبخشی» قرار دارد و شامل مهارتهای زیر است:
| مهارت | شرح وظایف |
| مدیریت امنیت اطلاعات (Information Security Management - SCTY) | تعریف و پیادهسازی سیاستهای امنیتی |
| ارزیابی آسیبپذیری (Vulnerability Assessment - VUAS) | تحلیل نقاط ضعف سیستمها و شبکهها |
| پاسخ به حوادث امنیتی (Incident Management - INMG) | شناسایی، مدیریت و کاهش اثرات حملات سایبری |
| تست نفوذ و ارزیابی امنیت (Penetration Testing - PENT) | اجرای تستهای نفوذ برای بررسی سطح امنیتی |
| مدیریت ریسک امنیتی (Risk Management - BURM) | شناسایی و کاهش ریسکهای امنیتی سازمانی |
| تحلیل جرمیابی دیجیتال (Digital Forensics - FORS) | بررسی جرایم سایبری و جمعآوری شواهد دیجیتال |
این مهارتها بر اساس سطوح ۱ تا ۷ تقسیمبندی میشوند تا مشخص شود افراد در چه سطحی میتوانند این وظایف را انجام دهند.
۴. تفاوت SFIA با سایر مدلهای امنیت سایبری
| مدل | تمرکز اصلی | مناسب برای | ویژگی متمایز |
|---|---|---|---|
| SFIA | مدیریت مهارتهای IT و امنیت سایبری | شرکتها، متخصصان فناوری اطلاعات | ترکیب مهارتهای IT و امنیت |
| NICE | نقشها و مشاغل امنیت سایبری | متخصصان امنیت، تیمهای SOC | تمرکز بر مسیرهای شغلی امنیتی |
| MITRE ATT&CK | تحلیل حملات و تاکتیکهای مهاجمان | تیمهای امنیتی (Red Team, Blue Team) | مبتنی بر تکنیکهای حمله |
| NIST CSF | مدیریت ریسک و امنیت سازمانی | سازمانهای دولتی و خصوصی | چارچوب استاندارد مدیریت ریسک |
| ECSF | استاندارد مهارتهای امنیتی در اروپا | متخصصان امنیت سایبری در اتحادیه اروپا | انطباق با قوانین GDPR و NIS |
کد مطلب : 22702
https://aftana.ir/vdccimqi.2bqix8laa2.htmlaftana.ir/vdccimqi.2bqix8laa2.html
تگ ها
