في عالم رقمي متسارع، يوازن قادة أمن المعلومات بين الاستقلال وقوة اتخاذ القرار والتسلسل الهرمي و القرب من تكنولوجيا المعلومات. تتزايد التهديدات السيبرانية حول العالم. ويعتمد المشهد الحالي على تقنيات ثورية، مثل انترنت الأشياء، والذكاء الاصطناعي، وتقنية الجيل الخامس، وعالم الميتافيرس، والحوسبة الكمومية. وفي ظل هذا التعقيد، تواجه المؤسسات طيفاً متزايداً من التهديدات السيبرانية، بدءاً من القرصنة الإلكترونية وصولاً إلى برامج الفدية. وبينما لا يزال البعض يرى أن الأمن السيبراني لا يعدو كونه خطراً تشغيلياً على أي شركة، فإن أغلب الخبراء يرونه عاملاً مهم في خطوط الدفاع الثلاثة عن المؤسسات وبالتالي فهو وظيفة بالغة الأهمية، ولا ينبغي إهماله لمجرد تسهيل التحول الرقمي أو تقليل وقت طرح المنتجات في السوق.
خطوط الدفاع الثلاثة – نموذج إدارة المخاطر
اتجهت ممارسات الأمن السيبراني الرائدة نحو نموذج إدارة مخاطر يعتمد على خطوط الدفاع الثلاثة (3LoD)، والذي يُشدد على فصل الأدوار الرئيسية لمنع تضارب المصالح المحتمل. في هذه المقالة التي ينقلها لكم روبودين ، عن السيد Marc Minar من EY، نستكشف خطوط الدفاع الثلاثة وكيفية عملها معاً للحد من تعرض المؤسسة لتهديدات الأمن السيبراني.
قبل مناقشة نقاط القوة والضعف في أيٍّ من النهجين، دعونا أولاً نحدد الأساسيات. تُوزّع خطوط الدفاع الثلاثة على وظائف مختلفة: عمليات تكنولوجيا المعلومات والأمن السيبراني (خط الدفاع الأول)، والمخاطر والامتثال، بما في ذلك المخاطر السيبرانية (خط الدفاع الثاني)، والتدقيق الداخلي (خط الدفاع الثالث). يعتمد نموذج خطوط الدفاع الثلاثة على مبدأ فصل المهام (SoD) بين كل مستوى دفاع لمنع الاحتيال والأخطاء في المهام.
أهمية خطوط الدفاع الثلاثة لمدير أمن المعلومات
في حين أن كل مستوى من مستويات الإدارة في خطوط الدفاع الثلاثة (3LoD) يُسهم في الوضع الأمني العام للمؤسسة، إلا أن هناك اختلافات واضحة بين مسؤولياته. يلعب خط الدفاع الثاني، وهو قسم المخاطر ، دوراً محورياً إذ يُقدم إرشادات حول إدارة المخاطر، مع التحكم في فعالية هذه الإرشادات. باختصار، يُحدد هذا المستوى الحدود التي يُمكن لمستوى فرق العمليات التشغيلية في تكنولوجيا المعلومات إدارة مخاطره. بالإضافة إلى ذلك، يُراقب فعالية الضوابط التي يُطبقها مستوى التشغيل الأول لضمان إدارة المخاطر ضمن تلك الحدود المُتفق عليها. كما يتولى مدراء المخاطر مسؤولية إبلاغ الإدارة ومجلس الإدارة بالمخاطر.
كما تتضمن مسؤولية مستوى المخاطر هي تحقيق التوازن بين تمكين العمل من خلال توفير الخدمات اللازمة، ووضع الضوابط اللازمة لحماية أصول المؤسسة. ينبع تعقيد هذه المهمة من خصوصية كل مؤسسة، ومدى تقبلها للمخاطر، وقدرتها على تحملها، بالإضافة إلى مشهد التهديدات السيبرانية سريع التغير. و يُقيّم خط الدفاع الثالث، كوظيفة مستقلة، أداء خطوط الدفاع الأخرى، ويرفع تقاريره إلى الإدارة العليا للمؤسسة.
إذا كان خط الدفاع الأول يتحمل المخاطر، بينما يتولى خط الدفاع الثاني إدارة تلك المخاطر والتحكم فيها، فأين يقع دور كبير مسؤولي أمن المعلومات (CISO)؟ تُظهر البنوك وشركات التأمين اختلافات تجاه الأأمن السيبراني. فبعضها يُفضل إدارتها كجزء من إدارة المخاطر والامتثال، بينما يضعها آخرون ضمن وظيفة أمن تكنولوجيا المعلومات. بينما يتولى كبير مسؤولي أمن المعلومات مسؤولية تطوير وتنفيذ برنامج أمن المعلومات (IS) في المؤسسة، بهدف حماية أصولها. بمعنى آخر، سيدعم كبير مسؤولي أمن المعلومات المؤسسة في زيادة أمن المعلومات والوعي السيبراني لموظفيها، وتعزيز عملياتها، وتقوية تقنياتها. في المؤسسات المالية الناضجة، يتم تصميم برنامج نظم المعلومات وفقاً لأطر عمل رائدة في الصناعة (على سبيل المثال، NIST CSF، ISO 27001) لضمان اتباع نهج شامل.
العلاقة بين خطوط الدفاع الثلاثة
سيتعين على كل منظمة استكشاف كيفية تحقيق التوازن الأمثل بين المزايا والعيوب بما يتناسب مع احتياجاتها الخاصة. في هذا الفصل، نستكشف إيجابيات وسلبيات وضع مسؤول أمن المعلومات إما في مستوى التطور الأول (السيناريو 1) أو مستوى التطور الثاني (السيناريو 2). وبشكل أكثر تحديدًا، سنقارن بين أربعة أبعاد للتسويات:
الاستقلالية
يُعد استقلال مسؤول أمن المعلومات (CISO) ضرورياً لتوفير رؤية موضوعية للوضع الأمني للمؤسسة. عند رفع التقارير إلى إدارة الأمن. يجب أن تعكس المعلومات المُشاركة الوضع الحقيقي لمبادرات الأمن الجارية والمستقبلية، بالإضافة إلى حالة الضوابط المعمول بها، وأن تُمكّن إدارة الأمن من اتخاذ قرارات مدروسة. يُوفر مسؤول أمن المعلومات (CISO)، من خلال السياسات والمبادئ والمعايير، المبادئ التوجيهية لحماية أصول المؤسسة. يُعد مفهوم الاستقلال بالغ الأهمية عند اختبار فعالية الضوابط، ولذلك، من الضروري التمييز بوضوح بين الأدوار الوظيفية لعمليات تكنولوجيا المعلومات والأمن السيبراني ومسؤول أمن المعلومات (CISO).
وبالتالي، وبالنظر إلى السيناريو الأول، يتمتع مسؤول أمن المعلومات (CISO) باستقلالية محدودة عن فريق عمليات تكنولوجيا المعلومات، حيث ينتمي كلا الفريقين إلى نفس مستوى التطوير (LoD)، وقد يرفعان تقاريرهما إلى نفس القائد. في الواقع، من الشائع أن يرأس رئيس قسم المعلومات (CIO) أو رئيس قسم التكنولوجيا (CTO) مستوى التطوير الأول (LoD). على العكس من ذلك، يوفر السيناريو الثاني استقلالية أكبر لمدير أمن المعلومات (CISO) بفضل خط الإبلاغ المُحدد لرئيس إدارة المخاطر (CRO)، الذي يُمثل إدارة المخاطر والامتثال. في هذا السيناريو، يُمكن لمدير أمن المعلومات (CISO) إجراء مراجعة مستقلة للضوابط التي وضعتها عمليات تكنولوجيا المعلومات، وتقديم نظرة عامة موضوعية حول فعالية هذه الضوابط.
سلطة القرار
بالتزامن مع البعد السابق، تختلف سلطة القرار باختلاف موقع مسؤول أمن المعلومات. هناك جوانب متعددة تتعلق بسلطة القرار، مثل الميزانية، والقدرة على مناقشة القرارات ، وحجم الفريق. بشكل عام، تُحدد الميزانية المخصصة للفريق عدد الموظفين بدوام كامل، بالإضافة إلى مدى إمكانية تمويل المبادرات.
وغني عن القول، أنه كلما زادت الميزانية، زادت المرونة في قيادة الفريق نحو النجاح، وزاد نفوذ هذا الشخص في المؤسسة. بالإضافة إلى ذلك، يمنح حق مناقشة الإدارة إمكانية رفض مشروع ما أو إلغائه. في مجال الأمن السيبراني، قد يتخذ هذا شكل رفض مسؤول أمن المعلومات لإطلاق حل جديد في حال فشله في تلبية متطلبات الأمن. ورغم أن نطاق تطبيق حق الرفض يختلف من مؤسسة لأخرى، إلا أنه يُعزز دور مسؤول أمن المعلومات عبر إعطاء رأيه في المشاريع.
بناءً على أحدث تقرير صادر عن EY، فإن فرق مسؤولي أمن المعلومات أصغر بكثير -عددياً- من فرق عمليات تكنولوجيا المعلومات التابعة لها. ونتيجة لذلك، من المرجح أن يكون قادة تكنولوجيا المعلومات أكثر تأثيراً من نظرائهم من مسؤولي أمن المعلومات. وينطبق هذا الخلل في سلطة اتخاذ القرار على كلا السيناريوهين، مما يجعل مهام مسؤول أمن المعلومات أكثر صعوبة.
المستوى في الهيكل التنظيمي
يرتبط المستوى في التسلسل الهرمي بالهيكل التنظيمي. في معظم البنوك والمؤسسات المالية، يرأس رئيس قسم المعلومات أو رئيس قسم التكنولوجيا المستوى الأول، بينما يرأس رئيس قسم الموارد البشرية المستوى الثاني. علاوة على ذلك، كلما ارتفع مستوى الشخص في المؤسسة، زاد قربه من صانعي القرار. ومن المثير للاهتمام أن التسلسل الإداري لرئيس قسم أمن المعلومات له أهمية بالغة في التأثير الذي يمكن أن يمارسه في المؤسسة.
في السيناريو الثاني، سيتشجع رئيس قسم أمن المعلومات من خلال الإبلاغ عن المخاوف الأمنية والتوصيات إلى رئيس قسم الموارد البشرية، مما يقود إدارة المخاطر الشاملة في المؤسسة. من المتوقع أن تتوافق الجوانب الأمنية التي يعبر عنها رئيس قسم أمن المعلومات مع تصنيف المخاطر المستخدم في وظيفة إدارة المخاطر. من ناحية أخرى، في السيناريو الأول، قد يواجه رئيس قسم أمن المعلومات تحديات أكبر في إثارة المخاوف الأمنية بسبب تضارب المصالح المحتمل بين تحسين توافر وكفاءة بيئة تكنولوجيا المعلومات وتطبيق الضمانات الأمنية. ليس مستغرباً أن نجد مواقف يمكن فيها استشعار إحباط مسؤول أمن المعلومات بعد أن يتم التقليل من أهمية توصياته من قبل الشخص المسؤول.
العلاقة مع فريق تكنولوجيا المعلومات
غالباً ما يكون للقرب من تكنولوجيا المعلومات جذور تاريخية، حيث نشأ الأمن السيبراني من فرق تكنولوجيا المعلومات قبل أن يصبح تخصصاً قائماً بذاته. ومع ذلك، فإن لهذا الجانب تأثيراً مباشراً على تكوين أقسام مسؤولي أمن المعلومات في جميع المؤسسات، نظراً لأنها تتكون من أعضاء ذوي خلفية تقنية (مثل علوم الحاسوب) يتشاركون اهتمامات مشتركة في مجال التكنولوجيا.
وبالتالي، يرتبط مسؤولو أمن المعلومات بعلاقات وثيقة مع فرق تكنولوجيا المعلومات، وبالتالي يمكن اعتبارهم -تجاوزاً- جزءاً من إدارة تكنولوجيا المعلومات. و يمكن أن يعكس التوصيف الذي يُطلق على مسؤول أمن المعلومات هذا التصور داخل المؤسسة. في السيناريو الأول، يمكن الإشارة إلى قسم مسؤول أمن المعلومات باسم “أمن تكنولوجيا المعلومات” أو “عمليات الأمن”، بينما في السيناريو الثاني، يكون “مسؤول أمن المعلومات” و”أمن المعلومات” أكثر شيوعاً.
يُحدد مستوى التعاون بين الفرق الجهد اللازم لمواءمة الممارسات والتوصل إلى اتفاقيات. في السيناريو الأول، يستفيد مسؤول أمن المعلومات من فهم واضح للمنهجيات التي تتبعها فرق تكنولوجيا المعلومات، إذ يشارك كلاهما في اتخاذ القرارات التقنية، وقد تتشارك الفرق مصالح مشتركة. على العكس، يُصنّف السيناريو الثاني مسؤول أمن المعلومات كقطاع منفصل عن المؤسسة، مما يُبعده، ولو افتراضياً، عن فرق تكنولوجيا المعلومات. في بعض البنوك، قد يكون مسؤول أمن المعلومات أقرب إلى فرق العمل، مما يُتيح فهماً أفضل لاحتياجات العمل. مع ذلك، يتطلب انخفاض مستوى التعاون بذل جهد أكبر لمواءمة المبادئ التوجيهية الأمنية التي وضعها مسؤول أمن المعلومات.
أين يقف قادة أمن المعلومات (CISO)؟
هل ينبغي وضع مسؤول أمن المعلومات في مستوى التفويض الأول أم الثاني؟ الإجابة المختصرة هي: يعتمد ذلك على طبيعة مؤسستك ووضعك العام، ومن المهم مراعاة توقعات الجهات التنظيمية. تحدد الجهات التنظيمية في كل بلد مبادئ يجب تطبيقها لإدارة الأعمال. ويعود تفسير هذه المبادئ لكل مؤسسة ما دام التطبيق الفعلي يلبي توقعاتها.
على سبيل المثال، تُلزم الهيئات التنظيمية افي أغلب البلدان العربية بفصل المهام بين الأطراف المعنية بإدارة المخاطر . وبينما تُعالج بعض البنوك هذه المشكلة بوضع مسؤول أمن المعلومات (CISO) في قطاع مختلف من المؤسسة (مستوى التفويض الثاني)، تُطبق بنوك أخرى تدابير تقييدية تُمكّن من فصل المهام داخل نفس القطاع. وبالتالي، ليس من المُستغرب أن تُبدي الجهة التنظيمية مخاوف أكبر عندما لا يكون تطبيق هذا المبدأ واضحاً. وبالمثل، إذا واجهت المؤسسة حالات سابقة من تضارب المصالح وظهرت شكوك حول فعالية الفصل، فقد يكون من المفيد النظر في نظام مختلف.
كلمة أخيرة
يؤثر موقع وسلطة مسؤول أمن المعلومات في أي مؤسسة على خطر تضارب المصالح. وبينما يواجه القادة تنازلات في إعادة تشكيل هيكلهم التنظيمي، ينبغي مراعاة الأبعاد الأربعة التي تناولتها هذه المقالة. إضافةً إلى ذلك، تُعد الرؤى حول اتجاهات القطاع، والقدرات اللازمة لدفع عجلة التحولات بنجاح، والتعاون الوثيق مع الجهات التنظيمية في السوق، عوامل أساسية للمؤسسات الراغبة في صياغة نموذجها التشغيلي السيبراني المستقبلي
