يتحول دور كبير مسؤولي أمن المعلومات (CISO) بسرعة إلى واحد من أهم الأدوار – وأكثرها إرهاقًا – في المؤسسة مع استمرار الهجمات الإلكترونية في إصابة الشركات بمستويات قياسية.
استكشفت حلقة نقاش يوم الثلاثاء في مؤتمر RSA في سان فرانسيسكو المخاطر الحديثة لمنصب CISO وكيف يجب أن يستجيب قادة تكنولوجيا المعلومات لمشهد التهديدات المتصاعد الذي يهدد بضربة عكسية على كبار المسؤولين التنفيذيين في مجال الأمن.
كان أحد أعضاء اللجنة على دراية تامة بمخاطر التواجد في المقعد الأمني الساخن: تم توجيه الاتهام إلى جو سوليفان، المدير التنفيذي السابق لشركة أوبر، بعد أن أدى اختراق عام 2016 إلى كشف بيانات 56000 من مستخدمي أوبر. لقد تجنب السجن لكنه كان كذلك محكوم عليه لمدة ثلاث سنوات تحت المراقبة ودفع غرامة قدرها 50 ألف دولار. [Editor’s note: Contributor Carrie Pallardy had a two-part interview with Sullivan that appeared in InformationWeek last year].
أخبر سوليفان الجمهور أن الأمر الأكثر أهمية فيما يتعلق بما تفعله الشركة بعد الاختراق هو ما تقوله الشركة داخليًا وخارجيًا. وتركز السلطات بشكل متزايد على الاتصالات.
يقول سوليفان، الذي يدير الآن شركة الاستشارات الأمنية الخاصة به، إن تجربته غيرت بعض المواقف حول دور رئيس أمن المعلومات.
“لقد كنت أتلقى مكالمات من أشخاص يفكرون في تولي منصب كبير مسؤولي أمن المعلومات… كانوا يتصلون بي ويقولون: “مرحبًا جو، كيف يمكنني الحصول على الوظيفة؟” ماذا أقول عندما أجري مقابلة مع المدير المالي أو المستشار العام؟’ الآن، عندما أتلقى تلك المكالمات، يكون السؤال: هل أريد حقًا الوظيفة؟
ضمت اللجنة أيضًا غادي إيفرون، المؤسس والرئيس التنفيذي لشركة Knostic لأمن الذكاء الاصطناعي، وتشارلز بلاونر، رئيس Cyber Aegis، وديفيد كروس، نائب الرئيس الأول ورئيس قسم تكنولوجيا المعلومات في Oracle SaaS Cloud. وأشار سوليفان إلى أنه على الرغم من عنوان المناقشة، “مسؤولو تكنولوجيا المعلومات المتهمون: دراسات حالة، والدروس المستفادة، وما هي الخطوة التالية”، إلا أنه كان “الشخص الوحيد الذي تم توجيه الاتهام إليه بالفعل” مما أثار ضحك الجمهور.
وقال إيفرون إن ارتفاع الضغط على مسؤولي أمن المعلومات يرتبط ارتباطًا مباشرًا بارتفاع الجرائم الإلكترونية. “إن التوتر (قادم) لأن الواقع هو أن لديك هذه الكيانات في الحكومة، التي تستجيب للارتفاع الهائل في الجرائم الإلكترونية. الأمر ليس كالأيام الخوالي، حيث تقع حادثة ولا يلاحظها معظم الناس. عندما تحدث أشياء اليوم، فإن العالم كله يعرف ذلك”.
كيف يمكن لرؤساء أمن المعلومات خفض درجة الحرارة
إذن ما الذي يجب على CISO فعله الآن بعد ارتفاع الضغط؟ وقال سوليفان إن المفتاح هو إنشاء معايير تنشر المسؤولية الأمنية في جميع أنحاء القيادة.
وقال: “أعتقد أننا بحاجة إلى تبني معايير موضوعية حقًا، وتوثيقها بوضوح إلى مجلس الإدارة”. “نحن بحاجة إلى الابتعاد عن العالم حيث يتم اتخاذ جميع القرارات من قبل فريق الأمن. يجب أن يتم ذلك على مستوى الرئيس التنفيذي ومجلس الإدارة وعليهم التوقيع على كل شيء.
سأل أحد الحضور عن المسؤولية التي تواجهها الشركات من خلال اتصالات البريد الإلكتروني الخاصة بالموظفين. وقال بلاونر إنه لا توجد إجابة سهلة، ولكن هناك بعض الأشياء التي يمكن لقادة تكنولوجيا المعلومات القيام بها.
وقال: “أحدها هو زيادة الوعي حول كونك محترفًا في اتصالاتك”. “لقد أخبرت فريقي دائمًا، إذا كنت تريد التنفيس، تعال إلى مكتبي واصرخ في وجهي. لا تضعه في البريد الإلكتروني. يمكنك إنشاء ثقافة تسمح للأشخاص بالتواصل بشكل أكثر احترافية. والأمر الآخر الذي يعود إليه الأمر هو الحوكمة حول المخاطر… إذا كان لديك حوكمة جيدة، ولديك عملية جيدة حول كيفية تصعيد المخاطر وإدارتها، أعتقد أن الأمر يزيل الكثير من المخاطر الناجمة عن بعض تلك الثرثرة.
وقالت Oracle’s Cross إنه من المهم أيضًا أن يكون لدى CISOs وثائق واضحة تحدد الدور والمسؤوليات داخل كل مؤسسة.
وأضاف: “الأمر كله يتعلق بالتوثيق”. “من لديه توثيق واضح لدورك ومسؤوليتك؟ [A small portion of the audience raised their hands]. إذا كنت من بين 5% من الجمهور الذي تم توثيق أدواره ومسؤولياته بشكل واضح، فهذا هو سبب وقوعك في مشكلة. لم يتم توثيقه. فلماذا لا يمكن إلقاء اللوم عليك؟
