أصبح أمن المعلومات (IS) قضية جوهرية للشركات وللدول عموماً نتيجة لتسارع التحول الرقمي والتغييرات في نماذج الأعمال المرافق له والتهديدات السيبرانية المستجدة إضافة لمتطلبات الامتثال. وبالتالي فإن هذا الموضوع مدرج على جداول أعمال اجتماعات المعنيين استجابة لمتطلبات الحوكمة -على الأقل-. مع ذلك، فإن أمن المعلومات ليس بالأمر السهل بالنسبة لأعضاء مجلس الإدارة والمدراء التنفيذيين. يوجه الكثيرون منهم أسئلة إلى كبير موظفي أمن المعلومات CISO، أغلبها لاتزال دون إجابة. ومنها مثلاً، كيف يمكن تقييم مدى كفاية نظم المعلومات بالنظر إلى الاحتياجات الحقيقية للشركة؟ كيف يمكن للمبادرات والاستثمارات المختلفة أن تكون ذات أولوية؟ كيف يمكن فهم عالم الضوابط الأمنية المعقد؟ وأخيراً ، ما هي الأسئلة التي يجب على الإدارة طرحها على قادة أمن المعلومات لديها؟.
الأمن السيبراني لا يعرف الحدود، ما يحدث اليوم في الولايات المتحدة الأمريكية أو أوربا سيحط رحاله غداً في عالمنا العربي. لذلك يشارك معكم روبودين هذا المقال الذي يناقش قواعد الإفصاح السيبراني الجديدة التي أصدرتها هيئة الأوراق المالية والبورصة SEC. تحدد هذه القواعد بشكل صارم مسؤولية الشركات المدرجة في تزويد المستثمرين بمعلومات حديثة ومتسقة و”مفيدة لاتخاذ القرار” حول كيفية إدارة مخاطرهم السيبرانية.
نقطة البداية – اختراق SolarWinds
في أوائل عام 2020، تسلل مجرمو الانترنت إلى أنظمة شركة SolarWind. حينها أضافوا تعليمات برمجية ضارة إلى أحد منتجاتها نظام Orion. ويستخدم النظام المسمى “Orion” على نطاق واسع من قبل الشركات لإدارة موارد تكنولوجيا المعلومات. لدى Solarwinds ما يزيد عن ثلاثين ألف عميل “شركة” يستخدمون Orion، وفقاً لـ(SEC) .
لكن Solarwinds ليست استثناءاً. ترسل معظم شركات البرامج بانتظام تحديثات لأنظمتهم، سواء كان ذلك لإصلاح خطأ ما أو إضافة ميزات جديدة. للأسف، بدءاً من آذار- 2020، أرسلت SolarWinds عن غير قصد تحديثات البرامج إلى عملائها والتي تضمنت الكود المخترق. في الواقع، أنشئ الكود باباً خلفياً Backdoor في أنظمة تكنولوجيا المعلومات الخاصة بالعميل. فيما بعد، استخدم المتسللون هذا الـ Backdoor لتثبيت المزيد من البرامج الضارة التي ساعدتهم على التجسس على الشركات والمؤسسات.
سلط هذا الهجوم الضوء على ما يمكن أن يفعله اختراق سلسلة التوريد والتداعيات واسعة النطاق المرتبطة به. و نبه الحكومات لخطر تحول المتسللين من السعي الفردي لتحقيق مكاسب مالية إلى اهتمام أكثر تركيزاً على البيانات.
خطوة غير مسبوقة – تعرف عليها
هيئة الأوراق المالية والبورصة الأمريكية (SEC) هي وكالة مستقلة تابعة للحكومة الفيدرالية للولايات المتحدة. تم إنشاؤها في أعقاب انهيار وول ستريت عام 1929. الغرض الأساسي من هيئة الأوراق المالية والبورصات هو تطبيق القانون ضد التلاعب بالسوق. لكن هذه الهيئة أصدرت مؤخراً إشعاراً Wells notice يؤكد أنها تدرس اتخاذ إجراء تنفيذي ضد المديرين التنفيذيين لشركة SolarWinds. وهي خطوة تشير إلى تحول عميق في المساءلة. تبشر لوائح الأمن السيبراني المحدثة بعصر جديد من الشفافية والمساءلة في مواجهة نقاط الضعف المتصاعدة في هذا المجال الحيوي. يعي الجميع اليوم الطبيعة المتطورة للتهديدات السيبرانية وآثارها الممتدة عبر الصناعات. يبرز ذلك أهمية الحفاظ على المعلومات الحساسة في مشهد معقد من التهديدات المستجدة.
ومن الجدير بالذكر أن هذا الإبلاغ عن الإجراءات القانونية المحتملة لم يقتصر على الرؤساء التنفيذيين والمديرين الماليين كما جرت العادة. ولكنه تضمن إشارة صريحة إلى كبير مسؤولي أمن المعلومات CISO في SolarWinds. وفي أعقاب هذه الخطوة غير المسبوقة، كشفت هيئة الأوراق المالية والبورصة (SEC) عن قرار تاريخي بشأن متطلبات الإفصاح عن الأمن السيبراني للشركات المدرجة.
بموجب لوائح الأمن السيبراني الجديدة الصادرة عن هيئة الأوراق المالية والبورصة، يواجه كبار مسؤولي أمن المعلومات تحولاً جوهرياً في مسؤولياتهم. بما في ذلك، على سبيل المثال لا الحصر، تقديم تقارير موجزة وغنية بالمعلومات لمجلس الإدارة تسمح لهم باتخاذ قرارات مبسطة ومستنيرة. وقد أكدت هذه اللوائح على الدور الحاسم الذي يلعبه الـCISO في المؤسسات. لا ينحصر دوره فقط في حماية الأصول الرقمية ولكن أيضاً في ضمان التواصل الشفاف والفعال مع مجلس الإدارة وقيادة نهج استراتيجي وشامل لإدارة مخاطر الأمن السيبراني يتسق مع أهداف الأعمال في المؤسسة.
حوكمة الأمن السيبراني
يمثل التعديل التنظيمي الأخير الذي أجرته (SEC) لحظة فاصلة في مجال حوكمة الأمن السيبراني داخل الشركات المدرجة. ومع هذا التفويض الجديد، أصبحت الشركات ملزمة الأن بالكشف بسرعة عن الحوادث المتعلقة بانتهاكات الأمن السيبراني. و كذلك توضيح استراتيجيات إدارة المخاطر الخاصة بها خلال مهلة إفصاح تقتصر على أربعة أيام فقط. يتمثل الجزء الرئيس من هذه القرارات في التركيز على جعل المناقشات المتعلقة بمخاطر الأمن السيبراني جزءاً من مداولات مجلس الإدارة. ويستلزم ذلك أيضاً ضم عضو مجلس إدارة يتمتع بخبرة كبيرة في مجال الأمن السيبراني. تمثل هذه التوصية اعتراف بالأهمية القصوى للأمن الرقمي.
في اجتماعات مجلس الإدارة و المدراء التنفيذيين، تمثل ترجمة مضمون اللغة الدقيقة المعقدة للأمن السيبراني إلى لغة يفهمها غير التقنيين تحدياً فريداً . وهنا، يبرز دور كبير مسؤولي أمن المعلومات (CISO) باعتباره من يردم هذه الفجوة بين اللغة التقنية و لغة الأعمال. من وجهة نظر CISO، يدرك أولئك الذين يشغلون هذا الدور جيداً المسؤولية الملقاة على عاتقهم في الحفاظ على اتساق مبادرات الأمن السيبراني مع أهداف العمل الأوسع. وبعيداً عن تجنب اختراقات البيانات والخسائر المالية، يعد هذا الاتساق مفيداً في حماية سمعة الشركة. ويتم تحقيقه من خلال اعتماد مؤشرات أداء رئيسية (KPIs) مفهومة لفريق الأمن ومجلس الإدارة في آن معاً.
مساءلة كبير موظفي أمن المعلومات
وكما يتضح من حوادث SolarWinds وUber الأخيرة، فإن فكرة مساءلة قادة الأمن السيبراني آخذة في الارتفاع. لكي يتمكن CISOs من حماية مؤسسته بشكل استباقي من الحوادث المستقبلية , وإبلاغ مجلس الإدارة عن المخاطر المحتملة ، يجب أن يكون لديه الأدوات اللازمة لاتخاذ هذه القرارات المستندة إلى البيانات بأكثر الطرق كفاءة.
وفي حالة حدوث خرق ، فإن اللوائح الجديدة الصادرة عن SEC تفرض على الشركات تحمل المسؤولية عن دقة واكتمال إفصاحاتها. ويضع هذا التحول مسؤولية كبرى على عاتق كبار مسؤولي أمن المعلومات. يجب على الـ CISO التأكد من أن الإفصاحات المتعلقة بالانتهاكات شاملة ومقدمة في الوقت المناسب وتعبر بدقة عن خطورة حادث معين.
ويأتي دور كبير مسؤولي أمن المعلومات (CISO) في طليعة هذا التحول التنظيمي. فرضت SEC على المسؤولين التنفيذيين في مجال الأمن السيبراني أن يتعاملوا مع التوازن المعقد بين الإدارة الفعالة للمخاطر، إعداد التقارير الشفافة، وضمان المرونة السيبرانية للمؤسسة. وبما أن تداعيات اقتراح لجنة الأوراق المالية والبورصة تمتد عبر مختلف الصناعات، فإنها تؤكد الحاجة الملحة لحلول قوية لإدارة الأداء على مستوى مجلس الإدارة. كما تشير إلى تحول جوهري في دور الـ CISO ضمن بيئة الأمن السيبراني الديناميكية.
كبير موظفي أمن المعلومات – الامتثال أثناء القتال
فرضت القواعد الصادرة عن SEC عملية إعادة تقييم أساسية لكيفية قيام رؤساء أمن المعلومات بقياس وتقييم ومعالجة مخاطر الأمن السيبراني. يمكن أن يؤدي ذلك إلى اعتماد واسع النطاق لحلول أكثر مرونة وشمولية تتيح المراقبة في الوقت الفعلي. يضاف لهذه الحلول استراتيجيات متطورة للاستجابة للحوادث. كما أن قدرات إعداد التقارير القوية باتت أساسية للامتثال لإرشادات هيئة الأوراق المالية والبورصات.
نظراً لأن المشهد التنظيمي المتطور يتطلب من المتخصصين في مجال الأمن أن يظلوا استباقيين لضمان الامتثال، فإنهم يحتاجون إلى المزيد من الأدوات الاستباقية لمساعدتهم في عملهم. ينبغي أن يضع كبير موظفي أمن المعلومات باعتباره ما يلي:
- تقييم الأهمية النسبية: وضع إطار واضح لتقييم “الأهمية النسبية” لحوادث الأمن السيبراني، وفهم تأثيرها المحتمل على المشهد المالي والتشغيلي للمنظمة.
- الإبلاغ في الوقت المناسب: إنشاء عملية مبسطة للإبلاغ الفوري عن الحوادث خلال الإطار الزمني المحدد بأربعة أيام، مع التأكد من أن المعلومات المبلغ عنها دقيقة وشاملة.
- مشاركة مجلس الإدارة: تعزيز إشراف مجلس الإدارة والتعاون في مسائل الأمن السيبراني. تحديد الأدوار والمسؤوليات وآليات إعداد التقارير لتسهيل توافق CISO والتنفيذيين فيما يتعلق بالتواصل الفعال وصنع القرار.
- الأمن الشامل: تبني نهج شامل للأمن السيبراني يعمل على تبسيط نظرة فريق الأمن التكنولوجيا والعمليات والمديرين التنفيذيين لإدارة المخاطر والاستجابة للحوادث بشكل فعال.
إن الوصول إلى بيانات البرامج في الوقت الفعلي ومؤشرات الأداء والتقارير المولدة آلياً من شأنه أن يقلل بشكل كبير من العبء على كبير موظفي أمن المعلومات أثناء عملهم على الامتثال لهذه المعايير الجديدة. وبالتالي يساعدهم على اتخاذ قرارات مبنية على البيانات مع رؤى قابلة للتنفيذ، ترتيب أدق للأولويات و مستوى عالي من التواصل الفعال.
كلمة أخيرة
تبشر لوائح الأمن السيبراني الصادرة عن هيئة الأوراق المالية والبورصات بعصر جديد من الشفافية والمساءلة في مواجهة نقاط الضعف المتزايدة في الصناعة. ومع تزايد التحديات، يكتسب دور مدراء أمن المعلومات أهمية إضافية، حيث يعمل قادة الأمن على إعادة ضبط البوصلة و مراجعة استراتيجياتهم، والتعامل مع الحلول المبتكرة لمساعدة مؤسساتهم على تحقيق الامتثال والمرونة السيبرانية.
