المشاركة على مستوى مجلس الإدارة: إعداد الدفاعات السيبرانية بالطريقة الصحيحة
وظيفة الأمن السيبراني ليست فريق مكتب خلفي لا يمكن رؤيته أو سماعه مطلقًا. ولحماية الشركة حقًا، يمس الأمن السيبراني كل ركن من أركان العمل، ويبدأ من الأعلى.
في إيساكا في مؤتمر افتراضي عُقد في 22 فبراير 2024، قمت بإدارة جلسة حول كيف يمكن لرؤساء أمن المعلومات “مهاجمة عقلية مجلس الإدارة” لتحسين مواءمة الأمن السيبراني مع الإدارة. وبدون موافقة أساسية من مجلس الإدارة، تصبح الشركات عرضة للهجمات السيبرانية ذات العواقب المدمرة. إذا لم يكن الأمن السيبراني أولوية، فسيتم تخصيص موارد أقل للفرق السيبرانية، والتي سينتهي بها الأمر ذات كثافة سكانية منخفضة وممتدة للوقت. هذه الحماية الشاملة الأضعف بدورها تفتح مجال الهجوم لمجرمي الإنترنت – فالعديد من المتسللين لا يريدون حتى الكشف عن أنفسهم، بل يتسللون إلى النظام ويختطفون البيانات دون أن يلاحظها أحد لسنوات. يعني انخفاض الموارد أن الفرق السيبرانية أقل استباقية وأكثر تفاعلاً، عندما يكون العنصر الحاسم للنجاح هو التقدم بخطوة على المهاجمين.
لا تتحمل مجالس الإدارة المسؤولية عند حدوث أي خرق؛ ويتحملون المسؤولية عندما لا يطرحون أسئلة أو لا يفهمون الإجابات أو يختبرونها بشكل كافٍ. ولهذا السبب يجب أن تكون المهمة الأولى لـ CISO هي التأكد من طرح الأسئلة الصحيحة.
تهدف إلى الوضوح بشأن الأمن السيبراني نفسه
يجب أن تكون المنظمات واضحة بشأن تعريفها للأمن السيبراني. مع تطور التكنولوجيا، تتطور أيضًا المصطلحات التي نستخدمها وكيفية فهمنا لها، كما هو الحال عندما أصبح “أمن تكنولوجيا المعلومات” ببطء “أمن المعلومات”، ثم “الأمن السيبراني”، وأصبح الآن ملفوفًا في رؤية أوسع لـ “الثقة”. يجب أن يكون لدى أعضاء مجلس الإدارة فهم لجميع مجالات العمل وكيف يمكن أن تؤثر الفرص والتهديدات السيبرانية عليه، بدلاً من مجرد معرفة مجال واحد معين. وبدون ذلك، يكون الناس عرضة للافتراضات دون أن يفهموا المقصود بشكل صحيح. إذا لم يتم فهم الأمن السيبراني على المستوى الأعلى، فمن الممكن أن يتم التقليل من أهميته أو إساءة تفسيره. تتمثل مهمة CISO في ترجمة قضايا الأمن السيبراني إلى مصطلحات تجارية تجعل المشكلة معروفة ومفهومة وملموسة لأعضاء مجلس الإدارة.
اجعل أعضاء مجلس الإدارة مرتاحين لطرح الأسئلة حتى لو لم يكن لديهم الإجابات
المجالس لا “تفعل” – بل “توجيه”. إن الأسئلة التي يطرحها أعضاء مجلس الإدارة ذات أهمية حيوية للشركة، ويجب ألا يخجلوا من الأمن السيبراني لأنهم لا يملكون الإجابات أو الحلول الصحيحة. ليس من المتوقع أن يفعلوا ذلك. وطالما أن مجلس الإدارة يطرح الأسئلة الصحيحة، سيكون لدى خبراء الإنترنت الإجابات – والمفتاح هو الفضول، والبحث في “لماذا” و”ماذا” بدلاً من “كيف”. إذا تمت معالجة هذه الأمور، فسيكون العمل في أفضل وضع.
يهتم أعضاء مجلس الإدارة بالإشراف على المنظمة والمخاطر والثقافة، ويجب عليهم فصل الحوكمة عن مسؤوليات الإدارة. إن الأمن السيبراني ليس مسؤولية جديدة لمجلس الإدارة، بل هو موضوع يجب أخذه في الاعتبار عند أداء الواجبات الأساسية.
على سبيل المثال، يجب على مجالس الإدارة تعزيز الظروف التي تسمح للشركة بالنجاح. ولهذا السبب، يقع على عاتقهم واجب الرعاية لضمان الإدارة السليمة للأمن السيبراني. ويجب عليهم أيضًا منع الخسائر وتخفيف الظروف، ولهذا السبب التأكد من إدارة المخاطر السيبرانية وفقًا لرغبة المخاطرة المعتمدة. يجب على مجالس الإدارة تمكين التوجه الاستراتيجي الذي يوفر القيمة، وبالتالي يجب تنفيذ السياسات والإجراءات لإدارة المخاطر السيبرانية. وأخيرا، لا ينبغي لمجالس الإدارة أن تتدخل في قرارات الإدارة أو القضايا التشغيلية، ولهذا السبب يجب أن تركز على الأسئلة المتعلقة بالأمن السيبراني والتي يمكن أن تطرحها على فريق الإدارة.
إثبات أن الأشخاص، وليس التكنولوجيا، هم في قلب الأمن السيبراني
عندما يتعلق الأمر بالأمن السيبراني، فمن الضروري أن نفكر مثل العدو وأن ندافع عن أنفسنا بنفس التكنولوجيا التي يستخدمها المتسللون. في العصر الرقمي، أصبحت التكنولوجيا ديمقراطية مع إمكانية الوصول إليها على نطاق واسع، وبالتالي، يجب أن تكون الاستثمارات في الفضاء الإلكتروني في التكنولوجيا وكذلك العمليات والأشخاص. لا ينبغي أبدًا أن يكون الاستثمار السيبراني خيارًا بين التكنولوجيا أو الأشخاص، بل كليهما – فالأمر لا يتعلق بدفاع البشر عن أنفسهم من التكنولوجيا، بل باستخدام التكنولوجيا للدفاع ضد الاستخدام الشائن لها من قبل الآخرين.
وبشكل عام، فإن مسؤولية الأمن السيبراني متعددة الجوانب – فهي تقاطع بين المسؤوليات اليومية لمجلس الإدارة واهتماماته الأوسع المتعلقة بمراقبة الأعمال والثقافة والمخاطر. قد لا يكون مجلس الإدارة مسؤولاً بشكل مباشر عند حدوث خرق. لكنهم يتحملون المسؤولية إذا لم يطرحوا الأسئلة الصحيحة أو لم يأخذوا الوقت الكافي لفهم ما هو متوقع منهم بشكل صحيح.
برونو سواريس هو رئيس فرع ISACA في لشبونة.