لقد أصبح أمن المعلومات الآن بمثابة وظيفة عمل حيوية ومخاطر يجب إدارتها بشكل استباقي. لقد برز دور كبير مسؤولي أمن المعلومات (CISO) ليتولى هذه المسؤولية على مستوى C-suite. لكن العثور على القائد المناسب لهذا الدور مرة واحدة فقط ليس هو خط النهاية.
متوسط مدة خدمة رئيس أمن المعلومات قصير نسبيًا مقارنة بالقادة التنفيذيين الآخرين. يظل CISOs في أدوارهم لمدة متوسط 18 شهرابحسب مشروع إنتربرايز. ويتوقع جارتنر ذلك ما يقرب من نصف قادة الأمن السيبراني سوف ينتقل إلى مناصب جديدة بحلول عام 2025.
لماذا يتحرك CISOs بهذه السرعة؟ تختلف الإجابة بالطبع اعتمادًا على الفرد والمؤسسة، ولكن التحديات مثل الميزانيات المحدودة والتهديدات المستمرة والهجمات الإلكترونية الناجحة واللوائح المتطورة تخلق الكثير من الضغوط.
“إن معدل إرهاق CISO مرتفع، وهم يغادرون بوتيرة متكررة. وستعمل اللوائح الجديدة على تسريع ذلك مع انخفاض المزيد والمزيد من الطلبات والمزيد من التعرض لرؤساء أمن المعلومات. السرعوف الزرقاء، مزود خدمات التكنولوجيا الرقمية، يقول InformationWeek.
إذا شعر كبير مسؤولي أمن المعلومات (CISO) بالإرهاق أو عدم الدعم في أحد الأدوار، فسيكون لديه القدرة على البحث في مكان آخر. “هناك طلب كبير على مواهب CISO، وهناك الكثير من الفرص في السوق. أعتقد… أن هذا يخلق نوعًا مختلفًا من السوق حيث نرى الكثير من الحركة،” كما تقول أليس إيجول، مديرة قسم التكنولوجيا في شركة الاستشارات الإدارية. كورن فيري.
ما الذي يمكن أن تفعله المؤسسات لإعداد مؤسساتها للمغادرة المحتملة لرؤساء أمن المعلومات لديها؟ على الرغم من أنه من المأمول أن يكون العرض أقل شراسة وميكيافيلية من مسلسل HBO الذي يحمل نفس الاسم، إلا أن الإجابة هي التخطيط للخلافة.
متى تبدأ التخطيط للخلافة
يعد التخطيط للخلافة أمرًا مهمًا لجميع الأدوار التنفيذية، ولكن بالنسبة للعديد من المؤسسات، قد يكون ذلك مهمة جديدة. ويقول أنتوني نايبيرج، مدير المركز: “لا يزال الأمر لا يتم القيام بكل ذلك بشكل متكرر، حتى في أكبر المؤسسات”. مركز الخلافة التنفيذية في كلية دارلا مور للأعمال في جامعة كارولينا الجنوبية.
في حين أنه من المعتاد أن يقوم ضباط C-suite بإعطاء إشعار أطول قبل المغادرة، فإن هذا ليس هو الحال دائمًا. “منذ شهرين كنت أعمل [with] أحد عملائنا. كان كبير مسؤولي أمن المعلومات (CISO) في مرحلة انتقالية… وكان ذلك الشخص سيغادر في غضون يومين”. يقول لي بوتكي، المدير الإداري ورئيس قسم تكنولوجيا المعلومات لمنصة الأمن السيبراني AgileBlue.
إن البدء بخطة التعاقب في أقرب وقت ممكن يمنح المؤسسات مجالًا أكبر للاستعداد للرحيل النهائي لرئيس أمن المعلومات وتحديد الخلفاء المحتملين. يقول جلين دي جروي، الشريك الأول في شركة البحث التنفيذي: “أعتقد… أن مدراء تكنولوجيا المعلومات الجدد الذين يتولون هذا المنصب يجب ألا ينتظروا عامًا للقيام بذلك”. بوابة كينغسلي. “عليهم البدء في التخطيط للخلافة… أعتقد أنه في غضون ثلاثة إلى ستة أشهر من تولي دورهم الجديد”.
ومن خلال وجود خطة جاهزة، يمكن للمؤسسات تقليل الاضطراب الذي يصاحب حتمًا رحيل القائد التنفيذي. “إذا قرر كبير مسؤولي أمن المعلومات المغادرة أو حدث شيء ما له ووجدت نفسك في فراغ، فلديك خطة انتقالية قوية يمكنك تنفيذها،” يوضح باستيريس.
من يشارك في تخطيط الخلافة
لدى CISO الحالي دور مهم يلعبه في العثور على خليفة له، لكنه ليس صاحب المصلحة الوحيد. يمكن أن يختلف من هم أصحاب المصلحة اعتمادًا على هيكل المنظمة. على سبيل المثال، قد يكون لرئيس قسم تكنولوجيا المعلومات رأي في المؤسسات التي يقدم فيها رئيس قسم تكنولوجيا المعلومات تقاريره إلى هذا الدور. سيقوم الرئيس التنفيذي ومجلس الإدارة بتشكيل أهداف المنظمة وسيكون لهم رأي في كيفية دعم أي قائد تنفيذي، بما في ذلك رئيس أمن المعلومات، لتلك الأهداف. كما يشارك قادة الموارد البشرية، مثل كبير موظفي الموارد البشرية، بشكل شائع في مناقشات المواهب.
يوصي De Gruy بأن تثير القيادة موضوع التخطيط للخلافة أثناء عملية المقابلة مع CISOs المحتملين. ويقول: “اطرح هذا الموضوع خلال عملية المقابلة وستحصل على فهم أفضل من المرشح”. “ما مدى انفتاحهم على تبني هذا الأمر منذ وقت مبكر جدًا من العملية؟”
ومع مرور الوقت، فإن الاستمرار في تعزيز العلاقة القوية بين رئيس أمن المعلومات (CISO) والقادة التنفيذيين الآخرين ومجلس الإدارة يمكن أن يجعل التخطيط للخلافة أسهل.
“بناء تلك الأنواع من العلاقات المبنية على الثقة والثقة، والعلاقات الناضجة مع معلمي اللغة الإنجليزية الآخرين [executive leadership team] يقول دي جروي: “الأعضاء بالإضافة إلى إمكانية الوصول إلى مجلس الإدارة… سيساعدان العملية على أن تكون أكثر كفاءة وأكثر إنتاجية على طول الطريق”.
كيفية العثور على خليفة
يتمتع مدراء تكنولوجيا المعلومات بشكل مثالي بمزيج من المهارات التقنية والتجارية. يعد الأمن السيبراني مجالًا تقنيًا، ويكون مدراء أمن المعلومات مسؤولين عن ترجمة تلك المعلومات التقنية لبقية المجموعة التنفيذية ومجلس الإدارة. يقول باستيريس: “إنهم يحتاجون حقًا إلى فهم كيفية عمل الأعمال، ويحتاجون حقًا إلى فهم ما يعنيه التعرض من منظور تجاري ومالي”.
لدى المؤسسات خياران عندما تسعى للعثور على شخص يمكنه شغل منصب CISO. يمكنهم تحديد المواهب الداخلية وتطويرها، أو يمكنهم البحث عن مرشحين خارجيين.
يشير نايبيرج إلى أنه نادرًا ما يكون هناك الشخص المثالي الذي ينتظر في الأجنحة لتولي هذا الدور. لكن يمكن لفريق التخطيط للخلافة تحديد المرشحين الواعدين والتركيز على إعدادهم. “ابدأ بمنحهم فرص التدريب. هل يحتاجون إلى خبرة أكبر في إدارة الأشخاص؟ هل يحتاجون إلى نوع من الخبرة الدولية؟ هو يقول.
يشير إيجول إلى أن بعض المؤسسات تنسى الاستثمار في مستويات القيادة بخطوة أو خطوتين أدنى من دور رئيس أمن المعلومات، مثل نواب رئيس أمن المعلومات أو المديرين. يمكن للمؤسسات تطوير مسارات وظيفية واضحة للأشخاص الذين يشغلون مناصب أصغر كجزء من تخطيط تعاقب CISO. يقول إيجول: “إنك أيضًا تخلق مستوى أعلى من الولاء من خلال تطوير موهبتك المحلية ضمن برنامج أمني”.
إذا لم تتمكن المنظمة من تحديد هوية أي شخص داخليًا، فقد حان الوقت للنظر في كيفية تنفيذ البحث الخارجي. ويضيف نايبيرج: “ربما نرغب أيضًا في البحث في السوق الخارجية… عن المرشحين المحتملين الذين يمكننا جلبهم إلى المنظمة”. “كلما أحضرناهم مبكرًا، زاد احتمال ملاءمتهم لثقافتنا التنظيمية.”
كيف يبدو التحول
يمكن أن يساعد الإشعار الذي مدته شهرين إلى ثلاثة أشهر المؤسسات على تحقيق انتقال أكثر سلاسة بين CISOs، ولكن لا تحصل جميع المؤسسات على هذا القدر من الوقت. لكن العمل مع قدر أقل من التداخل يمكن أن يظل ذا قيمة.
“إذا استطعت، [have] يقول بوتكي: “إما أن يكون هناك CISO افتراضي للعمل مع CISO الحالي كجزء من عملية الانتقال، أو إذا كنت ستقوم بتعيين CISO آخر، فمن الناحية المثالية، يمكن أن يكون هناك القليل من التداخل”.
خلال تلك الفترة الزمنية، يمكن لرؤساء أمن المعلومات المغادرين العمل بشكل وثيق مع خلفائهم لإعدادهم لمسؤوليات الدور. بالنسبة لقادة الأمن الجدد في الإدارة التنفيذية، قد يكون التعامل مع مجلس الإدارة والعثور على أنفسهم في وضع يتحملون فيه المسؤولية الأساسية عن اتخاذ القرارات الأمنية أمرًا مزعجًا.
“هناك نوع من الشعور بالوحدة هناك، ولكن ما يمكن أن تفعله المنظمة… هو [give] يشرح نايبيرج أن هذا الخليفة المحتمل يمكنه الوصول إلى أشياء مثل مجلس الإدارة ومساعدته على رؤية ما يحدث قبل أن يتولى هذا الدور فعليًا.
التحديات التي تقف في طريق التخطيط للخلافة
حتى أفضل خطط الخلافة الموضوعة ليس من المضمون أن تنجح دون أي عوائق. يمكن أن يؤدي الطلب على مواهب CISO والضغوط المتأصلة في الدور إلى رحيل ليس فقط CISOs ولكن أيضًا المواهب الداخلية المختارة لتحل محلهم.
“فقط [be] مع مراعاة الجدول الزمني [for] يحذر إيجول من أن مدير أمن المعلومات الحالي، بالإضافة إلى من هو في خط الخلافة وكيف يتم ذلك في واقع السوق.
إن المدة القصيرة نسبيًا لكبار مسؤولي أمن المعلومات والمشهد الأمني سريع التطور يعني أن التخطيط للخلافة لا يمكن أن يكون ثابتًا. تحتاج فرق القيادة إلى تقييم مجموعة المواهب لديها بانتظام وخطتها للحفاظ على شغل منصب CISO. ما هو نوع حزمة التعويضات التي ستكون جذابة في السوق المتعطشة لمواهب CISO؟ هل تمتلك المؤسسة نوع الثقافة التي تعطي الأولوية للأمن السيبراني وتدعمه؟
تعد الشفافية جزءًا مهمًا من تلك الثقافة، ويمكنها أن تمنح قيادة المؤسسة الدعم عندما يتعلق الأمر بالتخطيط للخلافة.
يقدم باستريس تقاريره إلى الرئيس التنفيذي لشركة Blue Mantis، ويتمتع بعلاقة جيدة مع مجلس إدارة الشركة. ويوضح قائلاً: “إنه يسمح لك بإجراء هذا الحوار المفتوح، حيث إذا كنت أفكر في المغادرة والانتقال إلى فرصة أخرى أو كانوا يفكرون في الذهاب في اتجاه مختلف، فيمكننا إجراء هذه المحادثة بطريقة صادقة”. “وهذا يسمح لكلا الطرفين أن يكونا ناجحين. وبهذه الطريقة يمكنك بناء طريق أطول لجلب شخص ما إلى المنظمة ومساعدته على التقدم بسرعة.
