CISO المجهول يكافح تحت النار
يتحمل كبير مسؤولي أمن المعلومات قدرًا هائلاً من المسؤولية. وهم مسؤولون عن أمن المنظمة بأكملها عبر بصمتها الجغرافية والافتراضية، ليلاً ونهارًا. يعد تبسيط المهام العديدة للشركة أثناء الهجمات الإلكترونية أمرًا صعبًا، حتى بالنسبة لرؤساء أمن المعلومات الأكثر خبرة. عوامل إضافية، مثل ارتفاع الطلب وانخفاض العرض من العاملين المهرة في مجال الأمن السيبراني ومتطلبات الالتزام بالميزانية، تؤدي إلى تفاقم العديد من الوظائف، مما يجعل موقف CISO صعبًا.
عندما يخترق هجوم ضار إحدى الشركات، يتحمل رئيس أمن المعلومات (CISO) عبء اللوم في كثير من الأحيان. فلا عجب أن يستمر متوسط CISO لمدة عامين ونصف تقريبًا. وفيما يتعلق بهجمات التصيد الاحتيالي، فإن مسؤولي أمن المعلومات لا يمكنهم ببساطة التحكم في تصرفات كل عامل، ولا ينبغي لمصير الشركة بأكملها أن يعتمد على عامل واحد ينقر ببراءة على رابط ضار. تواجه الشركة مشكلات خطيرة بشكل أساسي إذا كان موقف الأمن السيبراني الخاص بها يعتمد على تجنب الفرد النقر فوق الرابط.
الروابط الضارة هي شيء واحد، ولكن هناك قضايا أكثر إثارة للقلق. على سبيل المثال، بسبب “سيتريكس تنزف“، وهي ثغرة أمنية حدثت في أكتوبر 2023 وأثرت على الوصول إلى تسجيل الدخول الموحد عبر العديد من المؤسسات في جميع أنحاء العالم، وحدثت اضطرابات في شركات مرافق المياه وسوق السندات والمعاملات المالية. بل كانت هناك حالة تم فيها تحويل خدمات الإسعاف من المستشفيات.
في أعقاب الهجمات الإلكترونية التي لا هوادة فيها في السنوات الأخيرة، والتي أصبحت عناوين وسائل الإعلام الرئيسية اليومية وتحذيرات من وكالات الأمن مثل المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC)، يدرك مديرو الشركة وأعضاء مجلس الإدارة أن السؤال الذي يحتاجون إلى طرحه على أنفسهم ليس “إذا” بل “متى” سيعرض ممثل سيء مؤسستهم للخطر.
يتمتع مجرمو الإنترنت بكفاءة عالية ويعملون بدوام كامل، غالبًا في فرق منظمة من اللاعبين المتعاقدين الذين يجمعون مجموعات مهارات متنوعة ومتكاملة. الجريمة السيبرانية هي مؤسسة تدار بشكل جيد. ال المنتدى الاقتصادي العالمي ينص على أن “الأضرار الناجمة عن جميع أشكال الجرائم الإلكترونية، بما في ذلك تكلفة التعافي والمعالجة، بلغت 3 تريليون دولار في عام 2015، و6 تريليون دولار في عام 2021، ويمكن أن تصل إلى 10.5 تريليون دولار سنويا بحلول عام 2025”. لو كانت الجريمة السيبرانية دولة، لكان لديها ثالث أكبر اقتصاد بعد الولايات المتحدة والصين.
ثقيل هو الرأس الذي يرتدي التاج
من المؤكد أن مسؤولي أمن المعلومات يتحملون مسؤوليات هائلة ولا يمكنهم ضمان حماية المنظمة بمفردهم. ولا حتى أفضل فرق تكنولوجيا المعلومات قادرة على حماية المؤسسات. إن عبء عملهم ثقيل بما فيه الكفاية، ولا يمكن أن يتوقع منهم أن يكون لديهم موظفين يتمتعون بالتدريب المناسب أو المعرفة لحماية التكنولوجيا وإدارتها.
كيف يمكن لمجلس الإدارة دعم كبير مسؤولي أمن المعلومات (CISO) لتعزيز المرونة على مستوى المؤسسة؟ وكيف يمكن لمسؤول أمن المعلومات الاعتماد على مجلس الإدارة دون القلق بشأن الأمن الوظيفي عندما يقرأ أحد أعضاء مجلس الإدارة عن هجوم آخر ببرامج الفدية؟ ومن الناحية المثالية، هناك حاجة إلى شخص ما في مجلس الإدارة – أو شخص يقدم المشورة لمجلس الإدارة – لفهم التهديدات الحالية، وإدارتها، ومواءمة التكاليف المالية وتكاليف السمعة للهجوم مع الاستثمارات التي تمت في الأمن السيبراني.
الخطوة الأولى لمساعدة مجالس الإدارة ورؤساء أمن المعلومات على العمل معًا في مجال الدفاع هي دراسة لغة الأمن السيبراني. غالبًا ما تتحدث الفرق الفنية وكبار المديرين غير الفنيين والمديرين لغات مختلفة. يجب على CISOs الذين يطلبون الأموال شرح فوائد الإستراتيجية الأمنية القائمة على المخاطر؛ يجب على أعضاء مجلس الإدارة فهم هذه المخاطر وتحديد أولويات الموارد مع الاهتمامات الأخرى مثل نقص المهارات، وقضايا سلسلة التوريد، والاستثمار في التكنولوجيا الجديدة.
لكي يعمل CISOs ومجالس الإدارة بشكل فعال معًا عند التعامل مع الجرائم الإلكترونية، هناك خمسة أسئلة حاسمة يمكن لمجلس الإدارة طرحها:
1. كيف يقيسون مدى نضج المعلومات والأمن السيبراني في المنظمة؟ يجب أن تتماشى مع الولايات المتحدة المعهد الوطني للمعايير والتكنولوجيا (NIST) أو ال إطار التقييم الإلكتروني لـ NCSC في المملكة المتحدة (CAF). ومن الأفضل التركيز على توحيد اللغة، وليس تسجيل أنفسهم في كل مقياس.
2. هل حاولوا تنفيذ الضوابط لفترة من الوقت ولكنهم بحاجة إلى مساعدة في تبرير الميزانية؟ ثم اربط ذلك بتقييم النضج للمنطقة المتضررة من عدم السيطرة. قد يكون من المفيد الاستعانة بشركة خارجية متخصصة في الأمن السيبراني لتقييم الوضع الأمني للمنظمة ونضجها في هذه المرحلة.
3. هل يمكنهم عرض إحصائيات حول حوادث الأمن السيبراني والهجمات السيبرانية على المنظمة؟ تتعرض جميع المؤسسات لهجوم شبه مستمر من الأدوات الآلية، والعديد منها من الهجمات المستهدفة أو اليدوية. يجب أن يكون CISO قادرًا على إظهار كيف يدافعون عن المنظمة ويتعلمون كيفية القيام بذلك بشكل أفضل وأكثر كفاءة.
4. هل سيستفيدون من أصحاب المصلحة الذين يركزون على الأعمال التجارية؟ إذا كانت الإجابة بنعم، فيمكن تعيينهم كمرشد أعمال من مجلس الإدارة. يضمن مرشد الأعمال أن رئيس أمن المعلومات لا يحاول فقط الدفاع عن المنظمة، بل يمكّنها من الازدهار.
5. هل يستخدمون الاستثمار الذي قاموا به بالفعل في المنتجات والخدمات والتراخيص بحكمة وإلى أقصى حد؟ تستخدم العديد من المنظمات جزءًا صغيرًا فقط من هذه.
في جوهر الأمر، يمكن لـ CISO، المدعوم من مجلس الإدارة، أن يفيد المؤسسة بشكل كبير. يمكنهم توفير خارطة طريق أمنية، وإنشاء ثقافة وعقلية أمنية، وبناء الأمان في مشاريع تكنولوجيا المعلومات الجديدة، وضمان استخدام الموارد على أفضل وجه، وخفض التكاليف بمرور الوقت. لا تدع حاجز اللغة يصبح نقطة دخول لاستغلال الجهات الفاعلة السيئة.