إن حماية الشركة من الهجمات السيبرانية هي مسعى مشترك بين المنظمات. وبينما يُطلق على الموظفين غالبًا خط الدفاع الأول، فمن المهم عدم إغفال كبار القادة والمسؤولين التنفيذيين.
أمام قسم تكنولوجيا المعلومات الكثير من العمل الذي يتعين عليه القيام به في الدفاع عن المؤسسة ضد المتسللين، والذي يتضمن ضمان حماية نقطة النهاية، والنسخ الاحتياطي للبيانات، وتثبيت جدران الحماية، وتحديث البرامج. وما يتم التغاضي عنه غالباً هو الجزء الإنساني من المعادلة الأمنية.
أهمية العمل الجماعي في مجال الأمن السيبراني بين الإدارات
بعد أن عملت في مجال تكنولوجيا المعلومات لأكثر من ثلاثة عقود، أنا متأكد من شيء واحد: يعتمد معظم نجاح الأعمال على جودة العلاقات بين الأقسام مع الآخرين، وخاصة فيما يتعلق بأمن المعلومات.
إذا لم يكن لدى مدير تكنولوجيا المعلومات حلفاء لدعم المبادرات الأمنية والمساعدة في تنفيذها، فمن المرجح أن تفشل هذه المبادرات. يعتمد أمان المؤسسة الناجح على العمل الجماعي للأمن السيبراني بين مسؤولي تكنولوجيا المعلومات، مديري الأمن وأي شخص آخر يشارك في تحقيق الأمور في مجال الأمن.
ومن دون المصداقية والدعم السياسي والمالي اللازم، يمكن لقادة الشركات تنحية المشاريع الأمنية المهمة جانباً أو إلغاؤها تماماً. من المحتمل أن يفشل بعضها بعد بضعة أشهر، في حين قد يتم سحب مشاريع أخرى بعد عام أو عامين من التنفيذ. نادرًا ما يفشل المشروع الأمني بسبب نقص القدرات التقنية لدى مدير تكنولوجيا المعلومات وموظفي تكنولوجيا المعلومات. وغالباً ما يكون عدم النجاح لا علاقة له بالميزانية.
العامل الحاسم الذي يجب أن يفهمه مدراء تكنولوجيا المعلومات هو معرفة كيفية مناقشة الأمن وبناء العلاقات خلال المشاريع قصيرة المدى التي ستتبعهم طوال حياتهم المهنية.
ونظرًا لأهمية كبار القادة لنجاح الأمن السيبراني، يحتاج مديرو تكنولوجيا المعلومات إلى إيلاء اهتمام خاص للمشاركة الإستراتيجية لقادة الإدارة العليا. وعلى الرغم من وجود مجموعة من أصحاب المصلحة المهمين، إلا أن هناك بعض أدوار كبار المسؤولين التنفيذيين، على وجه الخصوص، والتي تعتبر مهمة لنجاح الأمن السيبراني.
أدوار C-suite الحاسمة للأمن السيبراني
يعتمد النجاح الأمني جزئيًا على معرفة من يجب أن يطلب المساعدة. بعض هذه العلاقات واضحة. قد يكون لدى رئيس قسم المعلومات علاقة جيدة بالفعل مع CISO. نأمل أن يكون هذا هو الحال لأن أدوار CIO وCISO ضرورية لبناء برنامج أمان فعال.
كبير مسؤولي التكنولوجيا وكبير مسؤولي المخاطر (كرو) يلعبون بالفعل أدوارًا حاسمة للنجاح الأمني، نظرًا لخبرتهم الفنية والقانونية وخبراتهم في مجال الامتثال. يتمتع جميع مديري تكنولوجيا المعلومات الذين عملت معهم بعلاقات قوية مع كل من CTO وCRO. ولكن هناك المزيد.
3 أدوار C-suite تم التغاضي عنها يحتاجها فريق الأمن السيبراني
النظر إلى ما هو أبعد من العلاقات التي تساعد على تقليل المخاطر، قد يتساءل مدير تكنولوجيا المعلومات عن الشخص الآخر الذي يمكنه الشراكة معه للمساعدة في تعزيز أمان الشركة. لقد وجدت ثلاثة أدوار محددة تم التغاضي عنها والتي يمكن أن تساعد في وضع خطة أمنية لمدير تكنولوجيا المعلومات، بعد دراسة ديناميكيات العلاقة ومراجعة برامج الأمان التي يتم إدارتها بشكل جيد.
الأدوار الثلاثة التي تم التغاضي عنها هي الرئيس التنفيذي، وكبير موظفي الموارد البشرية (مدير الموارد البشرية) والمدير المالي. يمكن للعلاقات المستمرة مع هؤلاء المديرين التنفيذيين أن تحول برنامج الأمان الخاص بالمؤسسة.
1. الرئيس التنفيذي، ليكون الشريك الرئيسي للأمن السيبراني
تعد الشراكة مع الرئيس التنفيذي أمرًا ضروريًا إذا أراد مدير تكنولوجيا المعلومات استخدام التكنولوجيا لتعزيز الأمان ودفع الأعمال إلى الأمام. وكجزء من هذه العلاقة، يحتاج مدير تكنولوجيا المعلومات إلى العمل مع الرئيس التنفيذي للإجابة على الأسئلة التالية:
- كيف يمكن للرئيس التنفيذي ورئيس قسم المعلومات تعزيز أمن الأعمال معًا؟
- كيف سيستخدم مدير تكنولوجيا المعلومات الأمن كميزة تنافسية من خلال المنتجات والخدمات الجديدة أو المحسنة؟
- ما هي الرسائل المحددة التي يتصور الرئيس التنفيذي أنها يمكن أن تحصل على أكبر قدر من القبول الأمني من الموظفين؟
- ما هي أفضل طريقة للرئيس التنفيذي ورئيس قسم المعلومات لتعزيز أهداف الشركة؟
يستمع الناس عندما يتحدث الرئيس التنفيذي. إن المفتاح لتعزيز ثقافة أمنية تشمل الجميع هو إشراك الرئيس التنفيذي بشكل كامل. يلعب الرئيس التنفيذي دورًا محوريًا في التواصل وتشجيع التدابير الأمنية الجديرة بالاهتمام في جميع أنحاء المنظمة. يمكنهم أيضًا المساعدة في تجنب أي حواجز محتملة على الطريق.
ما لم يقم الرئيس التنفيذي بدعم مدير تكنولوجيا المعلومات، فمن المرجح أن يواجه قائد تكنولوجيا المعلومات عوائق في تحسين الأمن التنظيمي.
2. رئيس الموارد البشرية، لبناء الثقافة الأمنية
رئيس الموارد البشرية محوري لمنع الهجمات السيبرانية وفي تشكيل الثقافة الأمنية. ومع ذلك، فإن العلاقة بين CIO وCHRO هي علاقة أخرى من المحتمل أن يتم التغاضي عنها وهي ذات أهمية بالغة لتحسين الأمان.
بصفته كبير موظفي الموارد البشرية، يركز رئيس الموارد البشرية على أفضل الطرق لإدارة الأشخاص والإشراف عليهم وتدريبهم. هذه كلها عناصر حاسمة لبرنامج أمني فعال. يتطلب التوازن المختلط بين العمل داخل المكتب والعمل عن بعد النظر في الجوانب الإنسانية للأمن السيبراني.
متخصصو الموارد البشرية هم الأفضل في مشاركة الأفكار حول التواصل وتثقيف الموظفين. غالبًا ما يفعلون ذلك بطرق لا يفكر فيها متخصصو تكنولوجيا المعلومات. بعض الأسئلة للمساعدة في تعزيز التواصل الأفضل يمكن أن تشمل ما يلي:
- كيف يمكن أن يعمل مدير تكنولوجيا المعلومات مع كبير مسؤولي الموارد البشرية لتوصيل سياسات تكنولوجيا المعلومات والأمن الهامة للشركة بشكل صحيح للجميع وَرَاءَ دليل الموظف؟
- ما هي المعلومات التي يحتاجها رئيس قسم الموارد البشرية من رئيس قسم تكنولوجيا المعلومات – ومن المحتمل رئيس قسم تكنولوجيا المعلومات – لتحديد التوقعات بشكل صحيح للموظفين الذين يستخدمون أنظمة الشركة وأصول المعلومات؟
- ما هي الاقتراحات التي قد يقدمها رئيس قسم الموارد البشرية لبرامج التعليم المستمر للموظفين المتعلقة بتكنولوجيا المعلومات والأمن؟
يجب أن يعمل مدراء تكنولوجيا المعلومات مع كبار مسؤولي الموارد البشرية لتحسين الأمن السيبراني الاتصالات والرسائل للموظفين. يمكنهم المساعدة في تحديد طرق الاتصال الرئيسية وتكرارها لضمان امتثال الموظف للممارسات الآمنة.
3. المدير المالي، للمساعدة في الدعم المالي
المال ليس كل شيء، ولكنه ضروري لتحقيق الأهداف التنظيمية. يمكن للمدير المالي الجيد أن يبدأ تغييرات إيجابية عندما يفهم الاحتياجات الأمنية لرئيس قسم المعلومات. تتضمن بعض الأسئلة للمساعدة في تعزيز هذا الفهم ما يلي:
- كيف يمكن أن يعمل مدير تكنولوجيا المعلومات مع المدير المالي فيما يتعلق بتخفيف المخاطر من منظور مالي؟
- هل يمكن للمدير المالي تقديم أمثلة على مخصصات الميزانية الأمنية الناجحة؟
- ما هي مخصصات الميزانية التي ستساعد كل قسم في الحصول على ما يحتاج إليه من جهود تكنولوجيا المعلومات والأمن؟
- هل لدى مدير تكنولوجيا المعلومات أو المدير المالي أي تغييرات في الاعتبار فيما يتعلق بمخصصات الميزانية المستقبلية؟
من خلال خبرتي، يمكن للمديرين الماليين – وغالبًا ما يفعلون ذلك – المساعدة في دفع المبادرات الأمنية إلى الأمام أكثر من أي مسؤول تنفيذي آخر.
استخدم العلاقات التنفيذية لبناء لجنة أمنية
العديد من المنظمات لا تزال بحاجة إلى الأمن لجنة يتضمن أشخاصًا خارج مجال تكنولوجيا المعلومات وأولئك الذين يشغلون أدوارًا تنفيذية والذين يمكنهم المساعدة في ضمان إنجاز الأمور. يستطيع مدير تكنولوجيا المعلومات إنشاء لجنة أمنية في حالة عدم وجود واحدة من خلال الاستفادة من العلاقات. يمكن أن تجتمع هذه المجموعة بشكل دوري لمناقشة المخاطر المعروفة والتوجه الثقافي العام للمنظمة فيما يتعلق بالأمن، بما في ذلك تحليل ما يعمل بشكل جيد وما لا يعمل.
الشيء الرئيسي الذي يجب تذكره هو أن يكون لديك عقل متفتح. يخشى العديد من محترفي تكنولوجيا المعلومات أن يؤدي إشراك أشخاص خارج مجال تكنولوجيا المعلومات إلى تشويه برنامج الأمان، لكنني رأيت العكس. يمكن لمحترفي الأعمال غير التقنيين تقديم وجهات نظر مختلفة إلى حد كبير لتحسين الأمان لأنهم لا يضطرون إلى التنقل في التعقيدات التقنية اليومية لرئيس قسم المعلومات. إن السماح بإصدار القرارات الأمنية الكبرى من قبل اللجنة يوفر فائدة عدم تحميل هذا العبء إلى حد كبير على أكتاف مدير تكنولوجيا المعلومات. وبدلاً من ذلك، فهي تأتي من وجهات نظر متنوعة للمساعدة في ضمان عمل الجميع لتحقيق أفضل مصالح الشركة.
يعتمد الأمن السيبراني على الاتصالات
عمليا كل شيء في العمل يتعلق بالأمن. كل ما يفعله مدير تكنولوجيا المعلومات – أو لا يفعله – فيما يتعلق بالأمن يعتبر أمرًا مهمًا. النجاح الأمني يتطلب شراكات قوية مع الناس الخارج من تكنولوجيا المعلومات.
يجب أن يشعر مدير تكنولوجيا المعلومات بالارتياح تجاه كونه منفتحًا وصادقًا، بدءًا من كونه متواصلاً جيدًا. التعاون والحصول على المشورة الخارجية. يجب على رئيس قسم المعلومات تنفيذ الخدمات من الإدارات الأخرى كلما أمكن ذلك. ستعود جميع هذه الإجراءات لمساعدة الجهود الأمنية الشاملة للمنظمة.
في عالم لا يزال الكثير من الناس يعملون فيه تبرير تمويل وتخطيط الأمن السيبرانيهذه استراتيجية شراكة قوية ستحقق أرباحًا كبيرة على المدى الطويل.
