في عالم الانترنت المتسارع، يزداد دور CISO صعوبة. بينما في الوقت نفسه تستمر محاولات تنميطه وتقليص مزاياه ومعاملته كأي وظيفة أخرى. قبل سنوات قليلة، كان وصولك إلى منصب كبير مسؤولي أمن المعلومات (CISO) يعني أنك قد أنجزت شيئاً مهماً بالفعل. ولكن اليوم، ترى بعض الإدارات أنه من السهل استبدال من يشغل هذا المنصب بسهولة، أو الإبقاء عليه لكن مع تهميشه و تجاهل توصياته كلياً. يناقش معكم روبودين أبرز التحديات العملية التي يواجهها الـ CISO. ومنها، تضارب المصالح، وصعوبة البحث عن حلفاء.
تضارب المصالح – النزاهة أولاً
يحدث تضارب المصالح عندما يصبح كيان أو فرد غير موثوق به بسبب التعارض بين المصالح الشخصية (أو المصالح الذاتية) والواجبات أو المسؤوليات المهنية. يحدث مثل هذا الصراع عندما يكون لدى شركة أو شخص مصلحة خاصة – مثل المال أو المكانة أو المعرفة أو العلاقات أو السمعة – مما يثير التساؤل حول ما إذا كانت أفعالهم أو أحكامهم أو اتخاذهم للقرارات غير متحيزة.
يظهر تضارب المصالح غالباً بعد وقوع الحدث. يبدأ، عندما يشكك صاحب العمل في ولائك، وما تقضي وقتك فيه، ومدى شهرتك في مجالك. لذلك فإنه من الأفضل للجميع الإعلان بشفافية وبشكل مسبق عن وجود أي تضارب محتمل في المصالح. وكذلك، تقديم التقارير سنوياً أو حسب الاتفاق لتأكيد عدم تأثير هذا التضارب على عمل المؤسسة. إن الانفتاح والشفافية والتواصل يمكن أن يساعد كثيراً. ولكن قد يكون من الصعب على المؤسسة و كبير مسؤولي أمن المعلومات التعامل بتجرد و روية مع هذا التضارب. يزداد الأمر تعقيداً في حال طفى إلى السطح خلاف جوهري أو تراكمت اختلافات في وجهات النظر واضطربت العلاقة بينهما.
التأمين ضد المخاطر السيبرانية
عادةً ما تشتري المؤسسات بوليصة تأمين لحماية مسؤولي ومديري الشركة من المخاطر المرتبطة بقراراتهم عموماً. ولكن في بعض الأحيان وعند الحاجة للتغطية التأمينية فعلاً فإن البعض يبدأ بالتشكيك بالدور الوظيفي للـ CISO وأحقيته بتلك التغطية. لذلك فالأفضل دائماً أثناء التفاوض مع شركات التأمين التركيز على حماية هذا الدور بدل التركيز كـ CISO على حماية المؤسسة فقط عبر التأمين.
وهنا من المفيد التذكير أن حماية المؤسسة تقع على عاتق رئيس الشؤون القانونية والفريق القانوني وليس فقط على كبير مسؤولي أمن المعلومات (CISO). لكن ذلك لايعني أبداً تقصير الـ CISO في الدور المطلوب منه فيما يتعلق بأمن المعلومات. وبالتالي، على افتراض أنك كــ CISO تتصرف باحترافية ولا ترتكب أي مخالفات قانونية أو أخلاقية فيجب عليك توثيق عملك لأغراض أي مراجعات مستقبلية.
لا يمكنك دائماً اعتبار البريد الإلكتروني أرشيفاً موثوقاً ولذلك احتفظ بالرسائل الإلكترونية الهامة كوثائق PDF أيضاً و احتفظ أيضاً بنسخ من عقد العمل الخاص بك و ماهية الدور الوظيفي المطلوب منك. كذلك، فإن فهم الأدوار والسلوك المتوقع لجميع المعنيين بأمن المعلومات في المؤسسة هو مفتاح نجاحك.
كبير مسؤولي أمن المعلومات (CISO) – تعاون و ثقة
لنسج خيوط علاقة متينة مع الإدارات العليا، يجب عليك ،وقبل كل شيء، قضاء بعض الوقت معهم. في عالم اليوم، إذا لم يكن لديك مقعد على طاولة القرار ، فستتحول إلى منفذ لا أحد يهتم برأيه. ولكن لتحقيق حضور يليق بك، كن متسقاً، مرناً، مستمعاً جيداً، و مبدعاً. إن بذل الجهد في إنشاء علاقات تمتد عبر الشركات سيسمح لك دائماً بالعمل مع أشخاص تبادلهم الثقة والاحترام. ولتبدأ كل ذلك بشكل صحيح فعليك أولاً أن تفهم الهيكل التنظيمي للمؤسسة (لمن يقدم CISO تقاريره). وكذلك، معرفة التعقيدات المتراكمة في بيئة العمل، وما هي الميزانية المخصصة لعملك إضافة لطبيعة العلاقة بينك وبين مسؤولي تكنولوجيا المعلومات.
إن مناقشة الميزانية دائماً ما تكون خطوة محفوفة بالمخاطر وبالتالي يجب أن تعرف كيف تدير هذا النقاش مع المعنيين بعقلية رابح-رابح وأن تبني معهم ثقة راسخة. أما لفهم بيئة العمل بشكل عميق فيمكنك الاستفادة من عمليات التدقيق الخارجية السابقة، واختبارات الاختراق، وما إلى ذلك، والتحدث مع الفريق، ومعرفة ما نجح وما لم ينجح.
لكن المعركة التي يتعين عليك تجنبها هي معركتك مع إدارة تكنولوجيا المعلومات. بدل الاستمتاع بلعبة إطلاق النار عبر خطوط القتال بينكما، فالأفضل لكما أن تكونا معاً في نفس الخندق وتقاتلان لنفس الهدف وهو مصلحة المؤسسة. إن أنجح القادة هم الذين يساعدون شركاء أعمالهم على النجاح. ومع كل ما سبق، لابد من تسويق الأمن السيبراني بين الموظفين والاستفادة من دعم الجميع وتفهمهم لأهمية دورك الوظيفي في المؤسسة. وستشعر بجدوى ذلك عندما تبدأ بالنمو الوظيفي ويراك الكثيرون كمستشار يستمعون إليه ويثقون برأيه. سترى أيضاً أن مهاماً فريدة بدأت تُعطى لك بدافع الثقة. وأن هناك من يطلب منك المساعدة في حل مشاكل العمل.
كبير مسؤولي أمن المعلومات (CISO) – نهاية مرحلة
قد لا يكون الواقع وردياً بالنسبة لك، وبالتالي فإنك تفكر بالمغادرة وكذلك يدور حديث بين أعضاء الإدارات العليا عن ضرورة تغييرك. هل ستنتظر منهم اتصالاً ينهي عملك أم تقدم استقالتك بهدوء واحترافية. تذكر أن بيئة الأعمال مهما بدت كبيرة فهي مترابطة، ولذلك فالناس يتحدثون، والأحاديث تنتشر، وبالتالي فمن المفيد لك دائماً أن تكون لطيفاً مهما كان قرارك. قد يمنحك ذلك وقتاً إضافياً مأجوراً للبحث عن عمل جديد. لا تقلق، هناك الكثير من الفرص في مجال الأمن السيبراني في الوقت الحالي. لكن تذكر أن انتقالك الغير مدروس قد يكلفك تخفيضاً في راتبك. للأسف، مازال بعض مسؤولي التوظيف يفكرون بمغالطة: نحن لم نشهد أي اختراق لأمن المعلومات، فلماذا ننفق الكثير من المال على توظيف مسؤولين عنه.
تذكر، أنه ولو شعرت أنك تعرضت لظلم في عملك، فإن مهاجمة مؤسستك السابقة أو الإبلاغ عنها أو ابتزازها بعد استقالتك لا يبدو تصرفاً عقلانياً إلا إذا قامت تلك المؤسسة فعلاً بانتهاكات أخلاقية كبيرة. لذلك، كن حكيماً وتوخي الحذر بشأن اختياراتك وتخصيص الوقت للتوقف والتفكير قبل الإقدام على أي خطوة. تأكد أن لديك كل ما تحتاجه لتكون قادراً على الاختيار بشكل صحيح.
يمكن للأصدقاء الحقيقيين وشبكة الأمان التي نسجتها على مدى سنوات أن تساعدك في خطوتك المهنية التالية. وكذلك فإن حضورك على شبكات التواصل الاجتماعي الخاصة بالأعمال سيفيدك أيضاً. لاتهمل قوة Linkedin ، Indeed وما شابه.
حاول بناء بعض المدخرات لتنفق منها في فترة البحث عن العمل. أسس شركة استشارية و تجنب أن تضع بيضك في سلة واحدة.
كلمة أخيرة
إن العمل ، في أي مؤسسة، هواختيارك، وحقك. وكذلك فأن تكون صادقاً مع نفسك هو ضرورة يفرضها احترامك لنفسك ودورك الوظيفي. لا تتوقع أن يتذكر الناس الخير الذي قمت به لشركائك وعملائك وموظفيك فهو عملك الذي كنت تتقاضى أجراً عليه.