لقد ازدادت شعبية تقديم خدمات كبير مسؤولي أمن المعلومات الافتراضي (vCISO) بشكل ملحوظ في السنوات الأخيرة. العديد من مزودات خدمات الأمن السيبراني المُدارة (MSSP) إلى ترسانتها لأنها تدرك أهميتها في الربحية. تختلف التفاصيل بين مزود إلى آخر . لكن الخدمات عموماً تتنوع بين مساعدة المؤسسات في الاستعداد للامتثال أو إجراء تقييمات المخاطر لمساعدة تكنولوجيا المعلومات في تحديد المخاطر المحتملة وإدارتها ومعالجتها. هناك شركات يكون دور vCISO فيها هو التقارير والتواصل مع الإدارة والأمن السيبراني. كما يلعب دوراً في التخطيط لاستمرارية العمل و رسم استراتيجية الأمن السيبراني. كما أن وضع السياسات، والإدارة المالية للأمن السيبراني و الإشراف على تقييم وتنفيذ الحلول الأمنية ليست مهام بعيدة عن هذا الدور.
حتى لو وفرت MSSP خدمة أو خدمتين من خدمات vCISO فهي ستحظى بتقدير كبير من قبل عملائها لأنها تجنبهم تحديات مثل العثور على موظفين مؤهلين وذوي خبرة و تمنحهم كذلك القدرة على توسيع نطاق خدمات الأمن السيبراني دون الحاجة إلى إضافة المزيد من الموارد.
ما هو الـ CISO ؟
كما عرض روبودين في مقال سابق فإن دور كبير مسؤولي أمن المعلومات CISO هو ضمان أن المؤسسات تضع تدابير أمنية أساسية للحد من مخاطر الهجمات السيبرانية بالإضافة إلى توفير الضمانات الكافية لحماية المعلومات الحساسة. كما ينسقون جميع التقنيات والتكتيكات والاستراتيجيات والعمليات الأمنية لتوفير الحماية لمنظمة الأعمال الأن وفي المستقبل. وبالإضافة إلى ذلك، فإنه يشرف على تطوير سياسات أمن المعلومات و وضعها موضع التنفيذ لحماية الأنظمة و معلومات المستخدمين والبيانات الهامة خلال العمل لتحقيق استراتيجية المؤسسة. و يلعب الـ CISO دوراً في تحديد الفجوات في نظام الحماية و تقييم وإدارة الأمن السيبراني و مخاطر التكنولوجيا بالتنسيق مع قادة الأعمال إضافة لما يلي:
- وضع استراتيجية شاملة للأمن السيبراني
- توجيه الاستثمار في تقنيات الأمن السيبراني
- تطوير تنفيذ العمليات والأنظمة المستخدمة لمنع وكشف و التخفيف من الهجمات السيبرانية.
- الإشراف على عمليات الإدارة والامتثال السيبراني.
- التواصل و تقديم التقارير إلى الإدارة العليا و مجلس الإدارة
- تعزيز ضمان الوعي بالأمن السيبراني بين الموظفين.
- الإشراف على عملية الاستجابة لحوادث الأمن السيبراني والتخطيط لها.
- إدارة العلاقات مع الأطراف الثالثة المعنية بالأمن السيبراني
لماذ نحتاج كبير مسؤولي أمن المعلومات الافتراضي؟
مع تزايد الهجمات الإلكترونية وعمليات التصيد الاحتيالي وبرامج الفدية في السنوات الأخيرة، أصبح دور CISO أكثر أهمية. ومع التحول إلى العمل عن بعد أو نموذج العمل الهجين فإن المخاطر التي تواجهها منظمات الأعمال قد تغيرت بشكل ملحوظ. يجب على CISOs الأن إعادة تقييم المخاطر باستمرار ومراجعة الخطط والسياسات لتحقيق الحفاظ على الامتثال. يتطلب ذلك معرفة قوية بجميع المعايير المعمول بها مثل أطر أمن المعلومات NIST و ISO مثلاً ، بالإضافة فهم كيفية التعامل مع المعايير المتعلقة بالخصوصية مثل GDPR.
و من المعلوم أن رئيس أمن المعلومات يجب أن يتمتع بخبرة عالية في عالم الأمن. حصل العديد منهم على درجات علمية متقدمة في تكنولوجيا المعلومات والأمن السيبراني بالإضافة إلى شهادات مهنية مثل محترف معتمد في أمن نظم المعلومات (CISSP) أو معتمد في إدارة المخاطر ومراقبة نظم المعلومات (CRISC) أو مدير أمن المعلومات المعتمد(CISM). وللعمل بنجاح مع الإدارة التنفيذية وفهم التفاعل بين تكنولوجيا المعلومات والأعمال ، فإن المعرفة الـ CISO بالأعمال أمر ضروري وبالتالي فإن بعضهم يمتلك ماجستير في إدارة الأعمال.
و يمكننا الأن فهم مبررات الرواتب العالية التي يتقاضاها الـ CISOs بحيث أن قليل من الشركات الصغيرة والمتوسطة يمكنها تحمل تكاليف وجود مثل هذا الدور الوظيفي على جدول الرواتب لديهم. ومع ذلك فإن هناك دول تفرض على المؤسسات وجود الـ CISO في هيكليتها الإدارية لضمان حوكمة سليمة للأمن السيبراني فيها.
كبير مسؤولي أمن المعلومات الافتراضي في الـ MSSP
إن مزودي الخدمات المدارة MSPs تستقطب الأعمال يوماً بعد يوم فهي تبدو جذابة و توفر التكاليف. لكن تشير الدراسات إلى أن جزءاً كبيراً من عملاء MSP وقعوا ضحية لهجوم سيبراني خلال العام الماضي. يدفعهم الخطر الكامن في العالم الافتراضي للإنفاق أكثر من أي وقت مضى على الأمن السيبراني. ومع ذلك، فإن 50% فقط من الشركات الصغيرة والمتوسطة قد وظفت شخصاً لإدارة الأمن السيبراني. من هذا المنطلق يأتي دور vCISO. بدلاً عن عن تعيين CISO بدوام كامل، تدفع الشركات اشتراكاً شهرياً ثمناً لخدمات كبير مسؤولي أمن المعلومات الافتراضي vCISO للوصول إلى المساعدة السيبرانية المتخصصة التي تعرف كيف تتواصل مع الإدارة التنفيذية في تصميم و تنفيذ استراتيجيات لمنع الانتهاكات وتقليل المخاطر والتخفيف من عواقب الهجمات.
يؤدي مديرو الأمن الافتراضي هؤلاء دوراً حيوياً في بناء برنامج الأمن السيبراني. يتأكد vCISOs من وضع المؤسسات للإجراءات الأمنية الأساسية للحد من مخاطر الهجمات السيبرانية بالإضافة إلى توفير الضوابط الكافية لحماية المعلومات. وكذلك بتنسيق التكتيكات والاستراتيجيات الأمنية والعمليات التي تضمن الحماية,
أفضل vCISOs هم أولئك الذين يمكنهم التواصل مع أعضاء مجلس الإدارة بثقة وحزم. يعد التواصل الممتاز أمراً محورياً لأنهم سيعملون مع شركات من خلفيات وصناعات متنوعة. وينبغي أن يكونوا قادرين على التعلم والتكيف بسرعة، حيث لا يحصلون غالباً على الكثير من الوقت للبدء في كل مشروع. كما يجب أن يلتقط vCISO التفاصيل ليفهم كيف يعمل على استراتيجية الأمن السيبراني. كما تتمثل إحدى المهام الحاسمة لـ vCISO في تحديد مقدار المخاطر التي تتحملها المنظمة والتوصل إلى استراتيجيات لتقليل المخاطر إلى مستوى مقبول.
كلمة أخيرة
تعتبر خدمات vCISO جذابة بشكل خاص لمقدمي الخدمات MSPs و MSSPs لإنها تمكن مزودي الخدمات من تلبية الاحتياجات المتزايدة لعملاء الشركات الصغيرة والمتوسطة من أجل المرونة السيبرانية الاستباقية. و كذلك توفر إمكانية تنمية الإيرادات والتوسع في قاعدة العملاء أو بيع خدمة جديدة للعملاء الحاليين. إن خدمات vCISO تساعد MSSPs على تمييز أنفسهم لكونها وسيلة ممتازة يمكن من خلالها بيع المزيد من خدمات الأمن السيبراني للعملاء الحاليين.
قد يتقاضى أولئك الذين يقدمون مجموعة كاملة من خدمات vCISO أجوراً عالية و لكنها غالباً أقل من كلفة توظيف CISO بدوام كامل.
