تخيل أنك مكلف بحراسة مبنى هام. لهذا المبنى أبواب. و بالتالي قد تبدو مهمتك بالنسبة لمراقب خارجي هي حراسة هذه الأبواب ومراقبتها إن كان بشكل تقليدي أو عبر كاميرات و ما شابه. ولكن، ماذا لو كانت هذه الأبواب تغير موقعها أو حجمها باستمرار؟ ماذا لو كان هناك أبواب لم يخبرك أحد بوجودها كما هو الحال في حلقات البرنامج الشهير “الحصن” – “قلعة تاكيشي ” بالياباني؟. يلخص ما سبق جزءاً من التحديات التي تواجه قادة الأمن السيبراني. تصل تلك التحديات أحياناً لمستوى البحث عن مكان الأبواب -الثغرات الأمنية- والتأكد من إغلاقها باستخدام الضوابط المناسبة. في وقت يتزايد فيه تعقيد دور هؤلاء القادة والتحديات التي يواجهونها مثل تعقيد بيئة الأعمال ، التسارع في المجال التقني، صعوبات الامتثال والموارد المحدودة والميزانيات.
تحديات على مدار الساعة
التحدي الرئيسي أمام قادة أمن المعلومات CISO هو حاجة المؤسسات إلى التكيف مع بيئة الأعمال المعقدة لتحقيق النجاح. وهو ما يعني غالباً اعتماد تقنيات جديدة، أو تطوير عمليات جديدة، أو التوسع في أسواق جديدة بهدف الربح و النمو. ومع ذلك، فإن كل هذا التعقيد يؤدي إلى مخاطر أكبر. وبالتالي ، إلقاء أعباء إضافية على عاتق مسؤولي الأمن السيبراني و تكنولوجيا المعلومات بهدف تمكين الأعمال من تحقيق النجاح.
وتتضمن تلك الأعباء حماية المؤسسة من التهديدات الجديدة والناشئة. كما تشمل الاتساق مع المتطلبات التنظيمية ومتطلبات الامتثال، وبناء الثقة مع العملاء الجدد والحاليين – وكلها أمور ضرورية لنجاح الأعمال . إن التعامل مع هذه التعقيدات يجعل دور مدراء أمن المعلومات أكثر صعوبة وكذلك أكثر أهمية لنجاح الأعمال بشكل عام.
تمثل الموارد والميزانيات المحدودة تحدياً رئيساً آخر يواجهه قادة الأمن السيبراني. نعلم أن بيئة التهديد ليست ثابتة، وسيبحث المهاجمون باستمرار عن طرق جديدة ومبتكرة لتحقيق أهدافهم. وفي الوقت نفسه، تستمر التكنولوجيا نفسها في التطور، مما يعني أن مشهد التكنولوجيا الخاص بالشركة سوف يتغير أيضاً بمرور الوقت. لمواكبة مشهد التهديدات والتقدم التقني تحتاج المؤسسات إلى القيام باستثمارات مستمرة في مجال الأمن. يعني ذلك تحديات كبرى من منظور الموارد والميزانية.
و كذلك، يواجه أولئك المسؤولين تحدياً يتمثل في الحفاظ على تحديث مهاراتهم ومعارفهم. العمل في مجال الأمن يعني الحاجة إلى بناء خبرة واسعة وعميقة. تشمل الخبرة المطلوبة مجالات متعددة لا تبدأ بالتكنولوجيا و لا تنتهي بالامتثال. ولكن من الصعب على أي فرد أن يمتلك كل هذه المعرفة. يؤسس ذلك لمسؤولية إضافية و هي تأكد مسؤولي أمن المعلومات من أن فرقهم أيضاً تبني مهارات وخبرات جديدة. مع تغير بيئة الأعمال والتكنولوجيا، يجب أن يكون التعلم مدمجاً بالحمض النووي للفرد و للفريق ككل عندما يتعلق الأمر بالعمل في مجال الأمن السيبراني.
قادة الأمن السيبراني– المسؤولية الأخلاقية
يجب أن تكون الواجبات القانونية والأخلاقية لمسؤول أمن المعلومات كتلة واحدة لا تتجزأ. من الناحية الأخلاقية، على رئيس أمن المعلومات اتخاذ جميع الخطوات للعمل بهذه الروح مع الإدارة التنفيذية. وكذلك التأكد من أن المنظمة تبذل كل ما في وسعها لحماية خصوصية عملائها. على الرغم من وجود قوانين ولوائح معمول بها لضمان اتخاذ المؤسسات لهذه الخطوات، إلا أن هذا أمر يجب على CISO أن يسعى جاهداً لتحقيقه بغض النظر عن الالتزام القانوني.
على المستوى الفردي، نحن جميعاً – وليس فقط الـ CISOs مستخدمين للتقنيات و لخدمات الشركات الأخرى، لذلك نحن ندرك أهمية خصوصية العملاء وحمايتهم بشكل مباشر. ومن المنظور الأخلاقي والأخلاقي، يعني ذلك بذل كل ما في وسعنا لضمان الحماية والشفافية عندما يتعلق الأمر ببيانات العملاء.
ضريبة المسؤولية
باتت المخاطر الشخصية والمهنية لكونك رئيساً لأمن المعلومات اليوم أعلى من أي وقت مضى. عندما يتعلق الأمر بأشياء مثل التأمين على مسؤوليات أعضاء مجلس الإدارة و الإدارة التنفيذية فمن المهم حقاً أن يتم توفير هذه الحماية أيضاً لـ CISO. غالباً ما تتطلب المسؤولية المهنية للـ CISO اتخاذ القرارات نيابة عن منظمة الأعمال. وبالتالي، يمكن أن ينتج عن تلك القرارات مسؤولية شخصية. ولذلك، من حق هؤلاء القادة أن يتمتعوا بنفس القدر من الحماية التي يتمتع بها بقية كبار المسؤولين التنفيذيين ومجلس الإدارة.
اتخاذ القرار
يعد رسم مخططات تدفق البيانات وإدارة البيانات خطوات أساسية في أي استراتيجية للأمن السيبراني. هناك تعبير مفاده أنه لا يمكنك حماية ما لا تعرف أنك تمتلكه، لذلك يحتاج كل رئيس أمن المعلومات إلى فهم واضح للبيانات التي يتم جمعها، وكيف يتم جمعها ولماذا، ومن يصل إلى البيانات، وكيف يتم استخدامها وأين يتم تخزين البيانات، وهل هي مشفرة أم غير مشفرة، وما إلى ذلك.
إن وجود هذا الوعي يسمح لقادة أمن المعلومات بتطوير حوكمة البيانات وبناء استراتيجيات حماية البيانات. يمكن أن يشمل ذلك اتخاذ قرارات بشأن البيانات الأكثر حساسية، بما في ذلك أي شيء يتعلق بمعلومات تحديد الهوية الشخصية PII. يعد تحديد المعلومات و تصنيفها جزءاً أساسياً من عملية إدارة البيانات وهو كذلك مكون جوهري في أي استراتيجية للأمن السيبراني.
قادة الأمن السيبراني – المسار المهني
لقد كان تطور دور CISO لافتاً. حتى الآن، وصل العديد من قادة الامن السيبراني إلى مناصبهم من خلال مسارات مختلفة – إما عبر التدرج في السلم الوظيفي كمهندسين ومسؤولي أنظمة وتقنيين آخرين أو كمديرين تنفيذيين تم تعيينهم لهذا الدور. من الآن فصاعدا،ستتكامل مجموعات المهارات هذه في مجموعة واحدة، لتجعل من CISO المستقبل أكثر خبرة في مجالات التكنولوجيا والقيادة وإدارة المخاطر.
في الأساس، قادة أمن المعلومات هم مديرو الأعمال المسؤولون عن إدارة مخاطر التكنولوجيا والامتثال نيابة عن المؤسسة. يتطلب الدور مهارات وخبرات تقنية قوية، بالإضافة إلى مهارات العمل اللازمة للعمل على المستوى التنفيذي ومستوى مجلس الإدارة.
رؤية للعام 2024
سيحتاج قادة الأمن السيبراني للنجاح في عملهم إلى التعلم المستمر في مجالات متعددة، بما في ذلك الأمن والخصوصية والتكنولوجيا والقيادة والأعمال التجارية وإدارة المخاطر. يتضمن ذلك مواكبة التقنيات الجديدة والناشئة، وفهم مشهد الخصوصية والقانون والامتثال، وتطوير مهارات لتواصل والتعاون ليكون القائد الأكثر فعالية قدر الإمكان. إن الـ CISO الذين لا يتعلمون باستمرار ويستثمرون في التطوير المهني سيخرجون من السوق مع مرور الوقت. كذلك، من المهم لرؤساء أمن المعلومات بناء شراكات قوية في جميع أنحاء المنظمة، وخاصة مع فرق تكنولوجيا المعلومات و الإدارة القانونية والتنفيذية. يجب على القادة في هذه المجالات أن ينظروا إلى CISO كشريك، وليس كمشاغب يضع العصي في العجلات. سيقلل ذلك من الاحتكاك والتوتر ويخلق البيئة المناسبة للنجاح. عندما يتعاون مدراء أمن المعلومات مع بقية المؤسسة، فمن المرجح أن يغرسوا ثقافة الوعي الأمني على مستوى الشركة، وهو أمر ضروري لاستراتيجيات الأمن السيبراني الناجحة اليوم.
