على الرغم من أن منصب كبير مسؤولي أمن المعلومات (CISO) جديد نسبياً ، إلا أن هذا الدور الوظيفي يتسم بالتعقيد الفني والكثير من ضغط العمل. كما يعتبر الـ CISO كبير خبراء الأمن السيبراني في الشركة. و بالتالي سيكون في عين العاصفة و ستتم مساءلته إذا حدث انتهاك لأمن البيانات. كجزء من مهامه، يتخذ كبير مسؤولي أمن المعلومات المعاصر قرارات تؤثر على جميع جوانب المؤسسة وقدرتها على إدارة الأعمال. تتضمن بعض هذه القرارات تحويل الأطر التنظيمية لأفعال، وضع سياسات جديدة، و بناء ثقافة أمن المعلومات في الشركة. لقد أثبتت التجربة أن المؤسسات التي لديها CISO ستحقق نتائج أمنية أفضل من تلك التي لم تعتمد هذا الدور بعد.
يحتاج CISO إلى فهم أهداف مؤسسته والمتطلبات التنظيمية وخطوط الأعمال. ولهذا السياق التنظيمي آثار كبيرة على مستويات التوظيف والميزانية في العمليات الأمنية. وتتوقع الإدارات العليا أن يوسع CISOs معرفتهم التقنية بأنظمة وتطبيقات تكنولوجيا المعلومات الخاصة بالمؤسسة لتشمل خبرات إدارة المخاطر والعمليات التجارية.
تزايد الهجمات السيبرانية
شهد العقد الماضي زيادة في تقبل فكرة أن أي مؤسسة معرضة لهجوم سيبراني. وبالتالي، فالسؤال هو متى سيحدث هذا الهجوم وليس فيما إذا كان سيحدث أو لا. نتج ذلك عن حقيقة أن كل الأصول الرقمية تتعرض لتهديد. لذلك يتطلب الأمر المزيد من العمل لكن مع الاعتراف بأنه ستكون هناك إخفاقات وانتهاكات ستحتاج المنظمة إلى التعافي منها. وهذا التفكير الجديد يجعل من المرونة التنظيمية (organizational resilience) كفاءة أساسية في العصر الرقمي. هذه القدرات الثلاثة، المرونة ، وإدارة المخاطر، والقدرة على التغيير، هي الركائز التي تمنح الـ CISO قدرة على التأثير تتجاوز محدودية الدور المرتبط بالخبرة الفنية.
يتوقع أصحاب المصلحة الداخليون والخارجيون، بما في ذلك الرؤساء التنفيذيون ومجالس الإدارة من رئيس أمن المعلومات التحدث بوضوح عن مخاطر الأمن السيبراني التي تواجهها الشركات. وتقديم تقييم دقيق لكيفية تحديد هذه المخاطر وتتبعها ورصدها. وتخفيفها.
كبير مسؤولي أمن المعلومات المعاصر – في مركز القرار
جرت العادة سابقاً أن يركز الـ CISO على الأمور التقنية . ولكن نظراً لأن مخاطر الأمن السيبراني تزداد بشكل متسارع وتؤثر في عمل المؤسسات، فكان لا بد أن يتطور دور وطريقة تفكير كبير مسؤولي أمن المعلومات لتأخذ قراراته في الاعتبار متطلبات الأعمال أيضاً. لذلك، أضيف إلى المعايير الفنية والمتطلبات التنظيمية التي من المتوقع أن يتقنها مسؤولو أمن المعلومات، ضرورة معرفته بالمنتجات والأعمال والعملاء والسوق التي تتنافس فيها المؤسسة. وبالتالي، يجب على CISO، بغض النظر عن الجهة التي يقدم تقاريره لها، تقديم التوجيه والخبرة بشأن ما يلي:
- ممارسات وإجراءات ومعايير الأمن السيبراني
- تصنيف البيانات والأصول من منظور الأمن السيبراني والمخاطر (و الخصوصية)
- تتبع أنشطة واتجاهات الأمن السيبراني
- الإشراف على ممارسات التدقيق والحوكمة بما في ذلك التواصل مع المدقيين الداخليين والخارجيين
- الاستجابة للحوادث بالتعاون مع المسؤولين القانونيين
- تصميم السياسة الأمنية
- تنفيذ الخدمات الأمنية
- التدريب الأمني للموظفين
- إدارة المخاطر الشاملة وإعداد تقارير تقييم المخاطر (بما في ذلك الطرف الثالث)
كبير مسؤولي أمن المعلومات الفني – تركيز على التكنولوجيا
عندما يكون رئيس أمن المعلومات جزءاً من بنية إدارة تكنولوجيا المعلومات، فسيكون تركيزه منصباً على أنشطة الأمن السيبراني بمعناها التقني. تتمثل الوظيفة الأساسية لـ CISO حينها في تقليل المخاطر المرتبطة بخدمات تكنولوجيا المعلومات وتوفير المشورة الفنية اللازمة لفريق الـ IT. في ذلك النموذج، يتمحور دور الـ CISO حول الأنظمة و أمن الشبكة. .
لكن لا ننكر أن هناك فوائد كبيرة لاعتماد هذا النموذج (الـ CISO التقني) ذو التركيز على تكنولوجيا المعلومات. وتحديداً أن التهديدات السيبرانية التي تواجه المؤسسات زادت تعقيداً و شراسة. كما تتطلب التهديدات المستمرة المتقدمة (APTs) معرفة تقنية متعمقة لاكتشافها والتخفيف منها. يحتاج فريق CISO إلى فهم وتحليل تدفق البيانات وكذلك فهم تصميم الشبكة وبنيتها. وكذلك التنبه للمؤشرات الفنية للاختراق (IOCs) لاحتواء السلوك الشاذ والاستجابة له. تمثل هذه المهارات والكفاءات جوهر الأمن السيبراني. وبالتالي، يصبح رئيس أمن المعلومات ،بهذا المعنى، لاعباً أساسياً في الإشراف على مهام تكنولوجيا المعلومات، حيث يتحقق أيضاً من صحة الإعدادات والممارسات الأمنية.
تضارب المصالح
إن ما يثير القلق بشأن اعتبار الـ CISO جزءاً من إدارة الـ IT هو التضارب الناتج مثلاً عن آلية الإبلاغ. نعلم أن الوظيفة الأساسية لـ CISO التقني هي ضمان إدارة ممارسات وتكوينات أمن تكنولوجيا المعلومات بشكل صحيح. لذلك، فإن نقل المشاكل الفنية وتوصيفها لإدارة المؤسسة العليا يمكن أن ينشئ أزمات. سيكون من المحرج أن يُطلب من رئيس أمن المعلومات (CISO) مراقبة عمل رئيسه (مدير إدارة تكنولوجيا المعلومات). وتقييم اعتبارات المخاطر التي سببتها التقنيات التي اختارها رئيسه وأشرف على تنفيذها. يمكن أن يكون مثل هذا التداخل في المهام مربكاً للطرفين. ولذلك، لكي يعمل هذا النموذج بشكل صحيح، يجب أن يكون رئيس أمن المعلومات ورئيسه محترفين ويركزون على النتائج الموضوعية. بغياب التجرد والموضوعية ستصل العلاقة بينهما لمستوى صعب يتضمن التشكيك في ممارسات وكفاءات كل من الطرفين. سيسبب الأمر اضطراباً في عمل المؤسسة كلها.
التحدي الآخر الذي يواجه هذا النموذج هو كيفية تخصيص المؤسسة لأموال الميزانية ومن يتولى إدارة جزء الميزانية المخصص للأمن السيبراني. عادة ما يخصص نسبة مئوية من ميزانية تكنولوجيا المعلومات للإنفاق على الأمن السيبراني. يوفر هذا التخصيص أساساً مقبولاً للعمل. لكنه سيجلب مشاكل جديدة ومنها تقاذف المسؤوليات المتعلقة بالرؤى الشاملة للحلول التقنية (السحابية مثلاً). قد تركز إدارة تكنولوجيا المعلومات على الإنفاق التشغيلي بينما سيكون تركيز الـ CISO منصباً على الانفاق على الأمن مما قد يخلق فجوات وأحياناً ازدواجية أو تكرار في الاستثمارات ونفقات زائدة عن الحاجة.
بتطور هرمية المؤسسة لتضع الـ CISOs في قلب بنيتها التنظيمية ستزداد قدرة مجالس الإدارة أعضاء الإدارة التنفيذية على الإيفاء بمتطلبات إدارة مخاطر مؤسساتهم. إن عدم توفر تفاصيل دقيقة وكاملة في الوقت المناسب عن المخاطر السيبرانية سيقوض عملية إدارة المخاطر بأكملها ويحمل المعنيين تبعات هم في غنى عنها. ونتيجة لذلك، فإننا نرى في السنوات الأخيرة ظهور CISO معاصر معني بالأعمال ويعمل كجزء من الإدارة العليا C-suite.
كبير مسؤولي أمن المعلومات المعاصر -new CISO
إن مفتاح هذه البنية التنظيمية القائمة على الشراكة هو رؤية أوسع وأكثر شمولية لممارسات الأمن السيبراني داخل المؤسسة. كما تشمل هذه الرؤية العلاقة مع الأطراف الثالثة وشركاء الأعمال. بالإضافة إلى المهارات والكفاءات المطلوبة لتقييم المسائل الأمنية التقنية، فإن وجود الـ CISO خارج هرمية الإدارة التقليدية لتكنولوجيا المعلومات ليس أمراً سهلاً دائماً.
يتطلب هذا النموذج من رؤساء أمن المعلومات مهارات من الصعب العثور عليها مما يحد من اعتمادة وانتشار هذا النموذج. هذه الصعوبة هي أحد أسباب وجود نقص كبير في توفر الـ CISO من ذوي الكفاءات العالية التقنية، الإدارية و الخبرة في الأعمال. يجب أن يمتلك كبير مسؤولي أمن المعلومات المعاصر معرفة بمجموعة متنوعة من التقنيات وأنظمة التشغيل والبرامج. إلى جانب فهم عميق لإدارة المخاطر على مستوى المؤسسة (ERM). وكذلك إدراكاً لمستلزمات حماية الخصوصية بالإضافة إلى مراعاة الالتزامات القانونية والتنظيمية المرتبطة بمنصبه.
مجال العمل – الحوكمة
بالنسبة للمؤسسات الواقعة تحت أعين السلطات الرقابية والناظمة، يُعتبر الامتثال لمتطلبات الرقابة أمراً جوهرياً. ونشاهد ذلك في الصناعة المالية مثلاً. في العديد من الحالات، سيتم تصميم حوكمة الشركات بحيث تتوافق مع الرقابة الإدارية الإلزامية. قد يتضمن هذا النموذج تمكين لجان محددة تابعة لمجلس الإدارة بمسؤوليات محددة وتعيين أعضاء معينين من الإدارة بأدوار وظيفية في إدارة المخاطر وأمن المعلومات. في بعض الدول، يوقع مجلس إدارة المؤسسة على سياسة أمن المعلومات والتخطيط لاستمرارية الأعمال. كما يقدم مسؤولو أمن المعلومات تقاريرهم إما إلى مجلس الإدارة أو الإدارة العليا لضمان الفصل المناسب بين الواجبات.
في مثل هذه الحالات، يجب على رئيس أمن المعلومات تقديم تقارير بتواتر كافي لإدارة المؤسسة. الهدف هو مساعدتهم على الإشراف المناسب على استراتيجية تكنولوجيا المعلومات وتنفيذها. يتطلب ذلك أن يكون رئيس أمن المعلومات مسؤولاً أمام الرئيس التنفيذي أو من يفوضه بالإشراف على هذا القطاع.
يعتقد روبودين أنه ينبغي أن يتمتع رئيس أمن المعلومات بالاستقلالية الكافية والدعم للإشراف على وضع الضوابط موضع التنفيذ. يبدأ هذا باختيار جهة مناسبة يتبع لها الـ CISO . كما يجب أن يتمتع الـ CISO بالشجاعة الشخصية ويطور العلاقات والسمعة التي تمنحه القدرة ليكون شريكاً موثوقاً. يتطلب الأمر أن يتحدث بوضوح عن مخاطر الأمن السيبراني وأن يعمل مع الجميع لتقليل المخاطر التي تهدد الأعمال،
ما هو مستقبل دور CISO؟
كما نرى، فإن الأمن السيبراني يزداد نضجاً بالتوازي مع تطور التكتيكات لمجرمي الانترنت والتغير المتسارع في تكنولوجيا المعلومات. كما تؤثر به العديد من التقنيات الجديدة مثل السحابة (بجميع أشكالها)، والشبكات المعرفة بالبرمجيات (SDN)، وانترنت الأشياء (IoT)، و blockchain ، والتشفير الكمي. ويتم الاستفادة من هذه التقنيات من قبل المنظمات الإجرامية، مما يؤدي إلى ظهور أشكال جديدة من الجرائم الرقمية غير المعروفة اليوم.
ستؤدي التقنيات المذكورة أعلاه إلى إحداث تحول كبير في دور CISO. نلاحظ وضع بعض التقنيات التي عادة ما تكون موجودة في عمليات الشبكة تحت مظلة الأمن السيبراني. سيحتاج مدراء تكنولوجيا المعلومات المستقبليون إلى امتلاك معرفة واسعة بالتكنولوجيا وكيفية تطبيقها على عملياتهم التجارية. كما سيحتاج رئيس أمن المعلومات المستقبلي إلى تقييم المخاطر بشكل مستمر .
الأن وقد أصبحت شبكات الشركات أكثر تشابكاً مع الانترنت ، يتم تبادل ومعالجة وتخزين كميات متزايدة من البيانات. وبالتالي يتم دمج أمن الشبكات ومعايير خصوصية البيانات والأمن المادي وأمن العمليات في مفهوم أشمل للأمن السيبراني يركز على الأعمال. لإدارة مخاطر المؤسسة بشكل فعال، يحتاج رئيس أمن المعلومات إلى فريق أمن سيبراني مختص بالمراقبة المستمرة والتنبيه والاستجابة السريعة للحوادث. وكذلك، يصبح الأمن مرتبطاً بتحليل سلوك المستخدم (قدر الإمكان). حيث تستخدم فرق الأمن الأدوات التي توظف البيانات وتحليلات التهديدات لمعالجة الحوادث الأمنية بشكل استباقي. وفي حالة تطور هذه الحوادث الأمنية المحتملة إلى انتهاكات، ستكون هذه الأدوات مفيدة في معالجة الاختراق بسرعة وتقليل التأثير على العمليات التجارية.
كلمة أخيرة
في عالم اليوم، لا يمكن اعتبار أن الأصول المعلوماتية للمؤسسة موجودة في مبنى أو مكان واحد يمكن حمايته بسهولة. وبالتالي سيكون التركيز على البيانات – من لديه حق الوصول (الهوية)، وما يُسمح لهم بالوصول إليه (الترخيص)، ومكان تخزينها، وكيفية حمايتها. ستصبح هذه الرؤية التي تركز على البيانات هي المحيط الجديد الذي يجب على CISO الدفاع عنه. فأينما توجد البيانات، يجب تطبيق الأمن لأن كل مكان في النظام الذي يتم إنشاء البيانات فيه يمثل نقطة ضعف محتملة. وسيرغب CISO في النظر في الضوابط الأمنية التي يمكن نشرها في كل مفصل.
لتحقيق النجاح، يحتاج كبير مسؤولي أمن المعلومات (CISO) المعاصر إلى فهم استراتيجية المؤسسة، والمعلومات التي تتعامل معها ، وخطوط أعمالها وأصحاب المصلحة، والرغبة العامة في المخاطرة لدى المؤسسة. كما يجب أن يتمتع رئيس أمن المعلومات المعاصر أيضاً بمهارات قوية في التعامل مع الزملاء الذين قد ينظرون إلى الأمن السيبراني والضوابط المرتبطة به على أنها عائق أمام العمل. يعد الأمن السيبراني خدمة تتداخل مع من جميع العمليات التجارية، ويقع على عاتق رئيس أمن المعلومات المعاصر إدارة هذه الخدمة بشكل فعال واعتبارها قيمة مضافة لشركته.
