يعرف مدراء أمن المعلومات أن المخاطر السيبرانية هي مخاطر تجارية – لكن مجالس الإدارة لم تكن تنظر إليها دائماً على هذا النحو. وقد بدأ هذا الأمر يتغير. على مدى سنوات، واجه الرؤساء التنفيذيون لأمن المعلومات (CISOs) تحديات في التواصل مع مجلس الإدارة، حيث كانوا يسعون لإقناع صناع القرار بأهمية الأمن السيبراني للأعمال. ولكن مع تزايد التهديدات الإلكترونية وتشدد اللوائح التنظيمية، أصبحت مجالس الإدارة تعطي الأولوية بشكل متزايد للمرونة السيبرانية. وبالتالي فالمتوقع من مدراء أمن المعلومات من الأن وضاعداً ألا يقدموا أنفسهم كخبراء تقنيين فقط، ولكن كقادة معنيين بمخاطر الأعمال. ويمكن لرؤساء أمن المعلومات تعزيز استراتيجية الأمن السيبراني عبر اتباع الخطوات التالية في التواصل مع الإدارات العليا بلغة تلقى صدى لديهم.
ترجمة المخاطر إلى أموال
معظم أعضاء مجلس الإدارة ليسوا تقنيين. فهم قادمون من خلفيات مالية أو قانونية أو تشغيلية ويهتمون بشدة بأداء الأعمال وقيمة الأأسهم ويركزون على المسؤولية أمام المساهمين. ويعني ذلك أنه يجب على مسؤولي أمن المعلومات تجنب المصطلحات التقنية والتركيز على التأثير المالي والتشغيلي. فبدلاً من تقديم موجزات التهديدات أو إحصائيات حول الامتثال للتصحيح، يجب على مدراء أمن المعلومات أن يؤطروا المناقشات حول سيناريوهات مثل:
- كيف يمكن أن يؤدي هجوم الفدية الخبيثة إلى إيقاف العمليات وإيقاف الإيرادات لمدة أسبوع.
- كيف يمكن أن يؤدي فشل التدقيق إلى تآكل ثقة العملاء.
- كيف يمكن لخرق البيانات أن يؤدي إلى غرامات تنظيمية ودعاوى قضائية.
يمكن استخدام نماذج مثل (FAIR) لتحليل عوامل مخاطر المعلومات ولتحديد المخاطر السيبرانية وتكميمها بشكل مالي. في هذه المقاربة يهدف التواصل مع مجلس الإدارة لتوضيح الرابط بين احتمالية الحدث السيبراني وأثره المالي. كرئيس أمن معلومات أبدأ بتقدير عدد المرات التي قد يحدث فيها شيء سيء، ومقدار التكلفة التي يمكن أن يكلفها، وما هو الأثر الذي قد يكون عليه العمل من حيث الضرر على العلامة التجارية أو المبيعات أو الحصة السوقية. على سبيل المثال: هناك احتمال بنسبة 5% لحدوث هجوم بفيروس الفدية هذا العام، بمتوسط خسارة متوقعة تبلغ 4.5 مليون دولار. يمكن لمجلس الإدارة فهم هذا النوع من البيانات والتصرف بناءً عليه.
إن ربط المخاطر السيبرانية بمقاييس مالية محددة – مثل القيمة المعرضة للخطر أو التعرض للخسارة السنوية سيضيف المزيد من المصداقية. إن تصريحاً مثل ”إذا لم نقم بالترقية إلى ويندوز11 فإننا نخاطر بخسارة 1 مليون دولار سنوياً ، يربط القرارات بعواقب تجارية قابلة للقياس.
التواصل مع مجلس الإدارة – لغة بسيطة
لا يعني التواصل مع مجلس الإدارة أن نعرض أمامهم كل حدث أمني. فهم لا يريدون الغرق في التفاصيل وإنما معرفة ما إذا كانت الأمور تتحسن أو تزداد سوءاً. وبالتالي، يجب على مدراء أمن المعلومات التركيز على الاتجاهات والمقاييس القابلة للتنفيذ مثل:
- محاولات التصيد الاحتيالي وأوقات الاستجابة على أساس ربع سنوي
- معدلات نقر الموظفين على الروابط في رسائل محاكاة التصيد الاحتيالي
- بطاقات الأداء التي تقارن مستويات المخاطر الحالية والسابقة
تفيد هذه المنهجية في تسليط الضوء على ما تم إنجازه وكذلك توضيح ما إذا كان هناك أي ثغرات. استخدم لغة واضحة – قل ”تجاوز مجرمو الانترنت دفاعاتنا“ بدلاً من عبارة ”الوصول غير المصرح به“ أو ”لقد استطاعوا تشفير ملفاتنا وطلبوا المال“ بدلاً من ”حادثة طلب الفدية“. وتبدو الوسائل البصرية مثل الخرائط الحرارية والمخططات أكثر تأثيراً من جداول البيانات الكثيفة. بالنسبة لك كرئيس لأمن المعلومات (CISO)، يتطلب نجاح التواصل مع مجلس الإدارة أن تكون التحديثات موجزة. احرص على تحديث مجلس الإدارة لمدة خمس دقائق للإجابة على ثلاثة أسئلة رئيسية: ما الذي تغير؟ ما هي المخاطر؟ ما الذي توصي به؟
يتطلب الأمر إعداد مواد موجزة تركز على الأعمال مسبقاً وتحدد أولويات القضايا الأكثر أهمية. لكن إذا وجدت أن الوقت لم يسعفك لتوضيح أفكارك، فلا تتردد بالدعوة إلى عقد جلسات مخصصة للأمن السيبراني.
ربط الأمن السيبراني بأهداف العمل
يجب على مدراء أمن المعلومات فهم الأهداف الاستراتيجية للمؤسسة ووضع الأمن السيبراني كمحرك – وليس كعائق – لنمو الأعمال. على سبيل المثال، إذا كانت الشركة تتوسع عالمياً، يمكن لرؤساء أمن المعلومات المساعدة من خلال الحصول على شهادات دولية مثل (ISO 27001) أو التوافق مع اللائحة العامة لحماية البيانات (GDPR). تقلل هذه الخطوات من المخاطر مع تعزيز مصداقية الشركة في الأسواق الجديدة.
كما يربط مدراء أمن المعلومات مبادرات الأمن السيبراني بـالقيمة السوقية وثقة المساهمين عبر دعم استمرارية الأعمال. وكذلك من خلال تسليط الضوء على الكيفية التي يمكنهم بها حماية الإيرادات وسمعة العلامة التجارية من خلال الاستثمارات في المرونة السيبرانية مثل النسخ الاحتياطية وخطط التعافي من الكوارث. يمكن وفق هذه المقاربة لرؤساء أمن المعلومات تقديم حجة مقنعة للحصول على التمويل والدعم. كذلك، فالامتثال هو نقطة توافق مهمة أخرى. يمكن أن يقلل الاستثمار في أتمتة الامتثال والضوابط الأمنية من التعرض للغرامات بموجب لوائح مثل PCI-DSS أو HIPAA.
توقع أسئلة مجلس الإدارة
يجب على مدراء أمن المعلومات أن يدخلوا كل اجتماع لمجلس الإدارة بإجابات واضحة على الأسئلة المتوقعة، مثل:
- هل نقوم بما يكفي؟
- هل يمكن أن يحدث هذا لنا؟
- كيف نقارن بنظرائنا في القطاع؟
يجب عليهم أيضاً توضيح القرارات أو الدعم الذي يحتاجونه من مجلس الإدارة. إذا لم تكن الإجابة متاحة في الوقت الحالي، فإن عبارة بسيطة ”سأبحث عن جواب لسؤالكم وأتواصل معكم حول آخر المستجدات“ تعزز الثقة والمساءلة. بعد الاجتماع، من المفيد وجود ملخص مكتوب لما تمت مناقشته والملاحظات التي تم تلقيها وأي خطوات تاليةمتوقعة، مما يحافظ على الوضوح والاتساق، خاصة عندما تتقلص الميزانيات أو تتغير الأولويات.
بناء العلاقات الشخصية
غالباً ما تحدث المحادثات الأكثر تأثيراً خارج الاجتماعات الرسمية. وبالتالي، يجب أن يسعى مدراء أمن المعلومات إلى بناء علاقات شخصية مع أعضاء مجلس الإدارة من خلال جلسات فردية أو جلسات غير رسمية أو جلسات إحاطة تنفيذية. اسأل كيف يفضل أعضاء مجلس الإدارة الحصول على المعلومات وما هي المخاوف التي تتصدر اهتماماتهم. وتؤدي هذه العلاقات إلى تقليل المفاجآت وإجراء اتصالات أكثر سلاسة خلال الاجتماعات الرسمية.كما يمكن أن يكون للداعمين في اجتماع مجلس الإدارة – وخاصة المدير المالي وكبير مدراء المخاطر – دور فعال. فهم بالفعل يدركون المخاطر ويتحدثون لغة مجلس الإدارة. إن التعاون معهم لصياغة الرسائل وصقلها يعزز المصداقية والتأثير.
وإضافة لما سبق، تفتح العلاقات القوية مع مجلس الإدارة الأبواب أمام المبادرات الاستراتيجية مثل الاستفادة من الذكاء الاصطناعي التوليدي للكشف عن التهديدات أو دعم تحقيقات الطب الشرعي الرقمي أو الاستجابة للحوادث – وهي ابتكارات من المرجح أن تكتسب زخماً أكبر عندما يتم بناء الثقة وتعزيز التواصل مع مجلس الإدارة.
كلمة أخيرة
مدراء أمن المعلومات الذين ينجحون في التواصل مع مجلس الإدارة هم أولئك الذين يتحدثون لغة الأعمال. فهم يربطون المخاطر السيبرانية بالنتائج المالية، ويتسقون مع الأهداف الاستراتيجية، ويبنون علاقات تعزز الثقة والتعاون. لا يحتاج مجلس الإدارة إلى فهم كل الفروق الفنية الدقيقة. ما يحتاجون إليه هو رئيس لأمن المعلومات (CISO) يمكنه توضيح ما هو في خطر، وما هي تكلفته، وكيف يمكن حماية الأعمال.
