مثل كل قائد في مجال أمن تكنولوجيا المعلومات، غالبًا ما يجد مات رايلي، مسؤول حماية البيانات وأمن المعلومات في شركة Sharp في أوروبا، نفسه في محادثات صعبة مع زملائه في العمل حول ما يمكنهم وما لا يمكنهم فعله من منظور الأمن السيبراني.
يقول رايلي: “إن نهجي هو أن الإجابة لا تكون أبدًا “لا”. لا يمكنك كسب القلوب والعقول بموضوع مهم حقًا من خلال قول “لا” طوال الوقت”. وفي إشارة إلى أبحاث الحكومة البريطانية، يقول رايلي إن الشركات ترى الأمن السيبراني وأمن تكنولوجيا المعلومات كأولوية قصوى. “نحن نعلم أن مستوى القلق بشأن الأمن السيبراني آخذ في الازدياد. ولكن مقارنة بما كان عليه الحال قبل 10 سنوات، هناك الآن وعي أكبر بكثير بأسباب أهميته”.
ومع ذلك، يقول رايلي إن من بين التحديات التي تواجه المتخصصين في مجال الأمن السيبراني هو حقيقة أن مستوى المعرفة حول الأمن السيبراني منخفض نسبيًا. صناع القرار في مجال الأعمال ليسوا خبراء في الأمن السيبراني. ويضيف: “مجرد قول “لا”، يعني أننا نضع الحواجز”.
تستخدم رايلي أسلوب سرد القصص عند التعامل مع المحادثات الصعبة مع زملاء العمل بخصوص الأمور المخاطر السيبرانية المرتبطة بالمبادرات أو المشاريع التي يريدون المضي قدمًا بها. ويقول: “يتعلق الأمر بجعل المخاطر مرتبطة بالشخص الذي تتحدث إليه”.
نظرًا لأن أمن تكنولوجيا المعلومات يستخدم الكثير من المصطلحات الفنية، فإن إقناع الناس يعني توفير طريقة لهم تقييم المخاطر “في سياق يمكنهم فهمه. يقول: “لدي مثال جميل مع فريق القيادة في شركة شارب”، حيث تمكن صناع القرار التجاري من اتخاذ قرار مستنير بشأن ما إذا كان عليهم التعامل مع مورد جديد لمعدات الشبكات اللاسلكية. يقول: “لقد كان اقتراحًا جيدًا حقًا، حقًا. كان الجميع متحمسين للغاية لأن هذه كانت فكرة رائعة. لذلك اتخذت الخطوات اللازمة لمراجعة الشركة. كنا بحاجة إلى فهم كيف سيحمون بياناتنا”.
وبعد إجراء العناية الواجبة، يقول رايلي إنه جلس مع فريق القيادة وسأل من يرغب في المشاركة على مستوى مجلس الإدارة لرعاية مورد تكنولوجيا المعلومات المعني. “ثم قلت إن هناك بعض التحذيرات. [the wireless equipment supplier] لن تقدم لنا اتفاقيات مستوى الخدمة؛ لن يمنحونا الجهوزية؛ لن يقدموا لنا أي نوع من الطمأنينة بأن منتجهم يلبي الحد الأدنى من متطلبات الأمان لدينا.
يقول رايلي إنه بعد هذه المحادثة، لم يكن أحد على استعداد لأن يكون الراعي التنفيذي. ويضيف: “لم أقل لهم “لا”، لكنني قادتهم إلى قرار مستنير حيث توصلوا إلى هذا الاستنتاج على أي حال”.
من بين مجالات الاهتمام المتزايدة لرؤساء أمن تكنولوجيا المعلومات هي سلسلة التوريد باعتبارها نقطة فشل محتملة وضعف الأمن السيبراني. ويتوقع رايلي أن تتزايد تهديدات سلاسل التوريد بشكل كبير خلال السنوات المقبلة. إن التصدي لمثل هذه الهجمات يتطلب تغييراً ثقافياً، وهو أمر صعب دائماً. ويقول: “نحن كشركة، وكل شركة، يجب أن يكون لدينا مستوى حقيقي من العناية الواجبة بشأن سلسلة التوريد. لكننا بحاجة إلى اتباع نهج قائم على المخاطر لأننا لا نعيش في عالم أبيض وأسود: نحن نعيش في طيف رمادي من ما هو آمن وما هو غير آمن. وعلى هذه الخلفية، يقول إن قادة أمن تكنولوجيا المعلومات بحاجة إلى التأكد من أنهم قد وضعوا الضوابط المناسبة للمساعدة في حماية الأعمال.
