التنقل في اللوائح والتهديدات غير المسبوقة
وفي غضون شهرين فقط، شهدنا بالفعل عددًا كبيرًا من خروقات البيانات الجديدة والحوادث السيبرانية تمهد الطريق لعام 2024. واستجابة للتغيرات السريعة في الأمن السيبراني، اعتمدت هيئة الأوراق المالية والبورصات في يوليو لوائح تحدد مجموعة محددة من قواعد الكشف عن الأمن السيبراني للمؤسسات اليوم. وكجزء من الحكم، الذي دخل حيز التنفيذ في ديسمبر/كانون الأول، يجب على الشركات “الكشف عن كل من حوادث الأمن السيبراني المادية التي تتعرض لها، وعلى أساس سنوي، المعلومات المادية المتعلقة بإدارة مخاطر الأمن السيبراني واستراتيجيتها وحوكمتها”.
كان على كبار مسؤولي أمن المعلومات اليوم التكيف مع هذا العصر الجديد من الهجمات الإلكترونية غير المسبوقة – وغالبًا ما يرتدون عدة قبعات في وقت واحد أثناء تنقلهم في مناطق هجوم أكبر أثناء الاستجابة لتدابير المساءلة التي تشتد الحاجة إليها والتي تستخدمها الشركات، مدفوعة بـ لوائح المجلس الأعلى للتعليم. مع وجود هذه الفروق الدقيقة كخلفية لدور كبير مسؤولي أمن المعلومات (CISO) المتطور، هناك شيء واحد واضح: لم يعد من الممكن أن تقع مسؤولية الأمن السيبراني على عاتق شخص واحد. وبدلاً من ذلك، يجب على مسؤولي أمن المعلومات البدء في الاستفادة من العلاقات المهمة، مع قيادة مبادرات قوية للأمن السيبراني، لمواجهة التحديات الأمنية الحالية.
CISO في العصر الحديث
دور CISO جديد نسبيًا. على عكس كبار المسؤولين الماليين أو كبار المسؤولين التنفيذيين، فإن دور كبير مسؤولي أمن المعلومات لم تكن موجودة رسميا حتى منتصف التسعينيات. أحد الأعباء التي يتحملها كبار مسؤولي أمن المعلومات في عام 2024 هو مدى تغير الدور في العقدين الماضيين. في الواقع، وفقًا لـ Splunk تقرير سيسو 2023، يعتقد 90% من مدراء تكنولوجيا المعلومات الذين شملهم الاستطلاع أن الدور أصبح “وظيفة مختلفة تمامًا” عما كان عليه عندما بدأوا.
أصبح دور CISO الآن أكثر توجهاً نحو الخارج. في الأيام الأولى، قبل التحول الرقمي العالمي، كانت العديد من أدوار CISO مقتصرة على صنع السياسات والحوكمة ومراقبة حركة المرور. ومع ذلك، في عصر الاعتماد شبه الكامل على التكنولوجيا، أصبح الدور أكثر بروزا.
لم يعد CISOs في الصوامع
تعد ملفات 8-K مؤشرًا جيدًا لسبب حاجة كبار مسؤولي أمن المعلومات (CISOs) اليوم إلى الشراكة مع نظرائهم في C-suite بشكل وثيق. نظرًا لأن التبعيات الرقمية تعمل في جميع أنحاء المؤسسة بأكملها، يجب على أصحاب المصلحة في مجال الأمن السيبراني التوسع خارج CISO وفرق الأمن السيبراني الخاصة بهم.
ويبدأ هذا على المستوى التنفيذي. إنها لفكرة جيدة أن يقوم مدراء تكنولوجيا المعلومات بتطوير علاقات عمل وثيقة مع الرئيس التنفيذي (الرئيس التنفيذي)، والمدير المالي (المدير المالي)، ومدير العمليات (كبير المسؤولين القانونيين). إذا كانت كل من هذه العلاقات قوية، فيمكن للجميع التأكد من أن استثمارات التكنولوجيا- – بما في ذلك أحدث التقنيات السحابية والذكاء الاصطناعي – فهي أصول للأعمال والنتائج المالية دون التسبب في مشاكل قانونية.
تعتبر هذه العلاقات ذات أهمية خاصة عندما يحين وقت مناقشة الميزانية. أحد الأسئلة الرئيسية في دوائر CISO اليوم هو: “مع نمو الشركة، هل ستزيد مواردها للأمن السيبراني؟” وفقًا لتقرير CISO لعام 2023، يقول 87% من CISO أنهم أظهروا حالة عمل لزيادة الميزانية على أساس سنوي، ومع ذلك فإن 35% فقط يقولون إن مجالس إدارتهم تخصص ميزانيات كافية للأمن السيبراني.
بالنسبة لبعض الموظفين التنفيذيين وأعضاء مجلس الإدارة، أصبح الأمن السيبراني يمثل خطرًا متزايدًا على المستثمرين. يهتم الرؤساء التنفيذيون بحجم مخاطر الأعمال التي يتحملونها، ويشعر المديرون الماليون بالقلق إزاء التكلفة المنسوبة. للحفاظ على علاقة وثيقة مع أصحاب المصلحة في المجموعة التنفيذية، من المهم عقد اجتماعات منتظمة 1:1 مع الرئيس التنفيذي أو المدير المالي أو مدير العمليات. وهذا سيمنحهم نظرة ثاقبة مستمرة حول احتياجات الأمن السيبراني والأسباب التي تجعل الأمن السيبراني من اختصاص الميزانية. وفي ظل الصناعة التي تتغير باستمرار وتستجيب لأحدث الهجمات، يعد هذا أمرًا بالغ الأهمية.
CISOs كقادة ومتصلين
على الرغم من أن CISO يجب أن يبحث عن شراكات في مجال الأمن السيبراني، إلا أن العبء في النهاية لا يزال يقع على عاتقهم لقيادة ثقافة قوية للأمن السيبراني. وللقيام بذلك، يجب أن يكون مدراء تكنولوجيا المعلومات قادة أقوياء ومتواصلين رائعين لقصة الأمن السيبراني لشركتهم. على سبيل المثال، مع تطور تقنيات مثل الذكاء الاصطناعي التوليدي (GenAI)، سوف يكون لدى الرؤساء التنفيذيين في كل مكان أسئلة حول كيف يمكن لهذه التكنولوجيا الجديدة أن تساعدهم أو تضرهم. يقع على عاتق CISO التواصل بشكل فعال مع الأساليب التي يمكن لشركتهم من خلالها الاستفادة من تقنية الذكاء الاصطناعي بأمان دون إعاقة فوائد GenAI تمامًا لنتائج الأعمال.
هناك طريقة أخرى لرؤساء أقسام تكنولوجيا المعلومات لإظهار القيادة وهي من خلال إنشاء معايير للأمن السيبراني. سيعطي هذا لفريق تكنولوجيا المعلومات أو فريق الأمن السيبراني بأكمله معيارًا يمكن من خلاله قياس أنفسهم. على سبيل المثال، تستخدم العديد من الشركات المعهد الوطني للمعايير والتكنولوجيا (NIST)، والذي يركز على خمسة مبادئ أساسية: التحديد والحماية والكشف والاستجابة والتعافي.
في حين أن كل مبدأ من هذه المبادئ يوفر أساسًا لبناء ممارسات الأمن السيبراني، فمن المهم ملاحظة أن تحقيق هذا الإطار يمكن أن يبدو مختلفًا بالنسبة للجميع. وبعبارة أخرى، قد تكون هناك أيضًا لوائح خاصة بالصناعة لبعض الشركات والتي تملي كيف يمكن لكل شركة الاستفادة من هذا الإطار. لنأخذ صناعة الطيران على سبيل المثال.
في مارس 2023، أعلنت إدارة أمن النقل (TSA) عن تحديثات لمتطلبات الأمن السيبراني لمشغلي المطارات والطائرات. على مدار العام الماضي، كان موظفو الأمن السيبراني في شركات الطيران والمطارات يعملون على متابعة ذلك أربعة مبادئ توجيهية صادرة اتحاديًا والتي تشجع ما يلي: تدابير التحكم في الوصول، وسياسات التجزئة المحسنة، وسياسات المراقبة والكشف المستمرة، والتصحيحات/التحديثات الأمنية المنتظمة لأنظمة التشغيل. بالنسبة لرؤساء أمن المعلومات في مجال الطيران، ستشكل هذه المبادئ التوجيهية أسلوبهم في “التحديد” و”الحماية” على النحو المبين في إطار عمل NIST.
ليس عليك أن تذهب وحدك
بقدر ما يمكن أن تساعد أحدث تقنيات الأمن السيبراني في تأمين الإطار الرقمي للمؤسسة، فإن قدرة CISO على بناء العلاقات وإنشاء أطر سليمة ستساعد أي شركة على التكيف مع مشهد الأمن السيبراني اليوم. لم تعد الآثار المالية والقانونية والتجارية لحادث الأمن السيبراني تسمح لكبير مسؤولي أمن المعلومات بالعمل في الخلفية. لقد حان الوقت لكي ينظر قادة الأمن السيبراني إلى زملائهم من المديرين الماليين، ومديري العمليات التنفيذيين، والمديرين التنفيذيين كشركاء في بناء مؤسسة آمنة. ومن خلال هذه العلاقات، يمكن لرؤساء أمن المعلومات إعداد شركاتهم لأي هجوم إلكتروني، والالتزام بأحدث اللوائح الفيدرالية والتكيف مع استمرار دور رئيس أمن المعلومات في التطور في عام 2024.