في غضون سنوات قليلة، تحول الانترنت إلى عالم محفوف بالمخاطر. ومن الواضح أن الجميع قلق من هذه الحقيقة. في عالم اليوم يمكن للفشل في إدارة المخاطر السيبرانية أن يكون سبباً في انهيار شركات وخروجها من السوق. لقد صنف تقرير المخاطر العالمية الصادر عن المنتدى الاقتصادي العالمي الهجمات السيبرانية بين أكبر سبعة مخاطر عالمية من حيث الاحتمالية والتأثير. على التوازي مع ذلك، فإن أبرز الرؤساء التنفيذيين يعتبرون تلك الهجمات التهديد الأكثر خطورة للأعمال.
مع ذلك، تبين استطلاعات الرأي أن نسبة ضئيلة من مجالس الإدارة تحملت المسؤولية المباشرة عن الأمن السيبراني لشركاتها. وبالإضافة لما سبق، ومع زيادة الاستثمارات في التكنولوجيا ، فإن القليل من قادة الأعمال لديهم فهم كامل للمخاطر السيبرانية وطرقاً لإبقاء شركاتهم آمنة منها. علماً أنه وفقاً للحوكمة، ليس مطلوباً من مجلس الإدارة التدخل بالأعمال التشغيلية لأمن المعلومات. مع ذلك، فإن لأعضاء هذه المجالس دوراً كبيراً يمكنهم من خلاله تحسين قدرة المؤسسة على تقليل مخاطر الأمن السيبراني. فيما يلي أهم 10 إجراءات يمكن لمجالس الإدارة اتخاذها لقيادة الأمن السيبراني.
القيادة القوية
يتطلب الأمن السيبراني الفعال قيادة قوية، بدءاً من مجلس الإدارة وامتداداً إلى المدير التنفيذي المشرف على وظيفة العمل تلك. وفي العديد من المؤسسات، ينعكس هذا التسلسل بشكل غريب، حيث تعتمد مجالس الإدارة على قادة أمن المعلومات لديها للحصول على التوجيهات والأهداف منهم بدلاً من عضو مجلس الإدارة المشرف على هذا القطاع، كما هو الحال في مجالات أخرى مثل التسويق أو التمويل. لذلك، فالمطلوب من مجلس الإدارة التواصل مع رئيس أمن المعلومات CISO، لامتلاك رؤية شاملة التهديدات التي تواجهها المؤسسة. وبعد ذلك، يأتي دور المجلس لتقديم خطط واضحة ودقيقة بشأن طريقة معالجة هذه المخاوف وفق عتبة المخاطر المقبولة.
إذا لم تكن كعضو مجلس إدارة متأكداً مما هو الأفضل، فاطلب من رئيس أمن المعلومات CISO خيارات، ثم اختر الخيار الذي يتوافق بشكل أفضل مع شهية المؤسسة للمخاطر.
العلاقة السليمة مع الـ CISO
عدد قليل من كبار مسؤولي أمن المعلومات (CISOs) لديهم علاقة وثيقة مباشرة مع مجلس الإدارة في مؤسساتهم. بالمقابل فإن الكثير منهم لا يقدمون تقاريرهم إليه مباشرة. وفي الوقت نفسه، يشرف عادةً كبير مسؤولي المعلومات، على الأمن السيبراني على أعلى مستوى، مما يؤدي إلى تداخل بين عمليات تكنولوجيا المعلومات وأهداف أمن المعلومات. وبالتالي، يمكن لمجالس الإدارة اكتساب رؤى رؤى شاملة للفرص والتحديات من خلال تعزيز التعاون و التواصل بين قادة أمن وتكنولوجياالمعلومات.
الاستعداد للأسوأ
عند سعيك كعضو مجلس إدارة لتقييم مرونة شركتك، من الضروري التواصل مع رئيس أمن المعلومات للحصول على فهم شامل لما يجري حولك. استفد من خبرته من خلال الاستفسار عن التفاصيل والتي تشمل ولا تقتصر على: تحديد أنظمة المعلومات والأصول القيمة، وتحديد مواقعها، وتحديد مدى أهميتها. وكذلك مراجعة سيناريوهات المخاطر المحتملة الأكثر ضرراً، وفهم فعالية الضوابط الحالية في التخفيف من تلك المخاطر، ووضع بروتوكولات للكشف الفوري عن الخروقات الأمنية والاستجابة لها و إعداد خطط الطوارئ لأسوأ السيناريوهات وتقييم قدرات المنظمة على التعافي. بالإضافة إلى ذلك، من المهم تشكيل لجنة مخصصة أو إشراك لجان التدقيق والمخاطر لتوفير الإشراف لمجلس الإدارة . يمكن استخدم مخرجات هذه المناقشات لإثراء التحليل الاستراتيجي وعمليات اتخاذ القرار.
التقارير – وسيلة لفهم وإدارة المخاطر السيبرانية
لوحظ في السنوات الأخيرة وجود اهتمام كبير بزيادة الاستثمارات في الأمن السيبراني بين أعضاء مجلس الإدارة. لكن هناك عوائق تحول دون تحقيق هذه النوايا الطيبة. تكمن إحدى المشكلات في طبيعة تقارير أمن المعلومات، حيث يمكن أن تؤدي المصطلحات التي تبدو بسيطة مثل المخاطر “العالية” و”المتوسطة” و”المنخفضة” إلى تفسيرات وتأويلات ونتائج متنوعة قد لا تتوافق مع أهداف العمل الخقيقية.
ولمعالجة هذه المشكلة، من الضروري إعطاء الأولوية لتقييمات المخاطر التي توفر مخرجات قابلة للقياس حول احتمالية وعواقب انتهاكات الأمن السيبراني المحتملة. من خلال فهم التكاليف المحتملة المرتبطة بحادث ما، يمكن لمجالس الإدارة اتخاذ قرارات دقيقة فيما يتعلق بالاستثمارات في الأمن السيبراني والتأكد من فهم المعلومات المتضمنة في التقارير بدقة والتصرف بناءاً عليها.
أهمية المعرفة
لا تحتاج كل شركة إلى عضو مجلس إدارة متخصص في الأمن السيبراني ، ولكن من الأهمية بمكان أن يكون هناك شخص في مجلس الإدارة لديه ما يكفي من الخبرة والمعرفة لطرح الأسئلة الصحيحة على المتخصصين، وكذلك معرفة كافية لدى بقية أعضاء مجلس الإدارة تمكنهم من الحصول على معلومات محدثة حول مخاطر الأعمال.
ومن المفيد أن يكون هناك شخص يتمتع بالخبرة ذات الصلة كأن يكون جزءاً من فريق استجابة لحادث أمن سيبراني فيما مضى أو مطلعاً على طريقة تعامل مجالس إدارة الشركات الأخرى مع مثل تلك الحوادث. فالتحدي هنا هو الحصول على المهارات المناسبة دون الغرق بالتفاصيل الفنية. وبالتالي، ليس المطلوب أن يكون عضو مجلس الإدارة أكثر معرفة بالأمور التقنية من كبير مسؤولي المعلومات. لكن بالمقابل، من المهم تقييم قدرات مجلس الإدارة فيما يتعلق بالأمن السيبراني وتشكيل خطة لمعالجة أي فجوات في المعرفة.
دور المحاكاة في إدارة المخاطر السيبرانية
يشعر القليل فقط من أعضاء مجلس الإدارة أنهم تعلموا من أخطاء الأمن السيبراني التي حدثت في شركاتهم. والمساهم الرئيسي في ذلك هو عدم امتلاك رؤية كافية تمكنهم من فهم مسببات ما حدث. وبالتالي، يجب على جميع الشركات اختبار جاهزيتها بانتظام. يمكن القيام بذلك كتمرين على الطاولة، ولكن من الأفضل أن تجعله حقيقياً قدر الإمكان. يمكن الاستفادة من المنصات التي توفر عمليات محاكاة واسعة النطاق للحوادث السيبرانية. وينبغي لعضو مجلس الإدارة أن يشارك في مثل هذه التمارين للتدرب على كيفية الاستجابة.
التواصل الفعال
فور وقوعها، سوف تتصدر الحوادث السيبرانية الخطيرة عناوين الأخبار، لذلك تحتاج إلى أن تكون لديك استراتيجية للتعامل مع وسائل الإعلام جاهزة للحد من أي ضرر يلحق بالسمعة. فمن المهم وجود متخصص في العلاقات العامة أو مستشار إدارة الأزمات لمساعدة مجالس الإدارة على التعامل مع السيناريوهات الأكثر إثارة للقلق عبر التدرب على كيفية إدارة الأزمات الناتجة عنها والتواصل الفعال مع وسائل الإغلام وأصحاب المصلحة.
إدارة المخاطر السيبرانية – الجوانب البشرية
يُنظر إلى المخاطر السيبرانية على أنها مشكلة تتعلق بتكنولوجيا المعلومات، لكن أكثر من 90% من الحوادث السيبرانية كانت نتيجة السلوك البشري. ولذلك، يجب أن تعمل إدارات الموارد البشرية وتكنولوجيا المعلومات والأمن السيبراني معاً على هذا الأمر. وبالتالي، يٌفترض أن يناقش مجلس الإدارة كيفية دعم ثقافة الأمن السيبراني وإدارة المخاطر. يمكن للتدريب الإلكتروني و برامج التوعية الأمنية أن تحدث أثراً جوهرياً في هذا الموضوع.
التأمين السيبراني – تحديات وفرص
التأمين السيبراني ليس عصا سحرية تُخفي أخطاءنا. لكن الكثيرين يرونها كذلك في ظاهرها. يمكن أن يساعد التأمين في تقليل التكاليف عند وقوع الحادث و على مدى عدة سنوات.
في الواقع، يجب عند شراء بوليصة التأمين الأخذ بعين الاعتبار السيناريو الأسوأ القابل للحدوث بدلاً من السيناريوهات المألوفة. يساعد ذلك في التأكد من أن توفر تغطية كافية عند الحاجة. وللاستفادة القصوى من التأمين فالمطلوب التأكد من توفر الضوابط الصحيحة وإلا فقد لا تقوم شركات التأمين بالدفع. ومع تزايد الحوادث السيبرانية المتعلقة بالصراع الجيوسياسي، أصبحت الاستثناءات المرتبطة بالحروب قضية معقدة. ومن جانب آخر، قد يكون لدى شركة التأمين أفكاراً لا تناسبك حول كيفية الاستجابة تحتاج لتوضيح. كذلك، فإذا حصلت شركتك على تأمين جيد واكتشف المجرمون السيبرانيون ذلك، فقد يجعلها ذلك هدفاً أكثر جاذبية لهم. لذا من الأفضل لبوليصة التأمين السيبرانية أن تكون سرية ومخصصة بعناية لتلائم احتياجاتك.
إدارة المخاطر السيبرانية الخاصة بفيروس الفدية
مع أهمية التأمين السيبراني في حماية المؤسسات من المخاطر إلا أن هناك كابوساً يقلق مجالس الإدارة وهو برامج الفدية. تعتبر هذه البرامج الضارة خطراً كبيراً لأنها تجعل المعلومات غير متاحة أو تضر بسلامتها. وبالتالي يمكن أن يسبب ذلك اضطراباً تشغيلياً يفوق ما تسببه حوادث فقدان البيانات.
ولسوء الحظ، في كل مرة يتم دفع فدية، فإننا نشجع المجرمين السيبرانيين على العودة للحصول على المزيد. ومع ذلك، عندما تقع حادثة ما، فإن ضغط المساهمين و وسائل الإعلام و شركات التأمين لا يرحم. ولتقليل هذه الضغوط، حدد وأبلغ أصحاب المصلحة مسبقاً بما ستفعله. اشرح لماذا لن تدفع، أو متى قد تفعل ذلك، وكن واضحاً في طريقة التعبير عن فهم الأثار المترتبة في كلتا الحالتين. أحصل على تأكيد مسبق من شركة التأمين من أنه سيتم تغطيتك إذا رفضت الدفع.
ومن خلال الدعم المسبق لأصحاب المصلحة، يمكن للمؤسسة اتخاذ قرارات قوية وسريعة يحترمها العملاء والمساهمون ويتفهمونها بما يصب في مصلحتها على المدى الطويل. وفي الوقت نفسه، يمكنك تقليل المخاطر التشغيلية عن طريق التأكد من أن امتلاك المعنيين لنسخا احتياطية منفصلة يمكن استعادتها بسرعة. اطلب من مدير تكنولوجيا المعلومات خطة “للاسترداد من الصفر” – لزيادة فرصة نجاة الشركة من هجمات الفدية.
كلمة أخيرة
كما لاحظنا، ليس هناك وقتاً للراحة في سباق إدارة المخاطر السيبرانية الذي يتسم بالتغيير المستمر بشكل لا مثيل له. تتضاعف التهديدات ونقاط الضعف في كل دقيقة. ومع ذلك، يمكن لمجلس الإدارة عبر امتلاك المعرفة وأدوات التواصل و حل المشكلات المساعدة في الحفاظ على مكانة المؤسسة وقدرتها على التنافس و مرونتها تجاه تلك المخاطر.
