يتم تعريف ثقافة المؤسسة من خلال الكثير من الأشياء المختلفة: القيم التنظيمية المشتركة، وكيفية تصرف القادة، والطريقة التي تتفاعل بها الفرق. يمكن لثقافة الشركة أن تصنع أعمالها أو تحطمها. وعلى نحو متزايد، يشكل الأمن السيبراني خطراً لا يمكن لثقافة المؤسسة أن تتجاهله. عمليات التصيد الاحتيالي. ثغرات يوم الصفر. برامج الفدية. يمكن للجهات التهديدية فرض أدوات مختلفة في ترسانتها على أي شخص في المؤسسة، بدءًا من المديرين التنفيذيين وحتى أعضاء مكتب المساعدة.
تحدثت InformationWeek إلى قادة الأمن من ثلاث شركات مختلفة حول كيفية تعاملهم مع بناء ثقافة الأمن أولاً عبر مؤسساتهم وكيف يمكن أن يبدو ذلك بالنسبة لشركات مختلفة.
التعرف على العوائق
الثقافة مفهوم معقد، ليس من السهل بناؤه وصيانته. ما هي بعض أكبر العقبات التي يواجهها قادة الأمن السيبراني عند ترسيخ الأمن كقيمة ثقافية أساسية؟
بادئ ذي بدء، لدى المؤسسات الكثير من الأولويات: زيادة الإيرادات، وتسويق المنتجات والخدمات، ودعم العملاء والموظفين، وبالطبع الأمن. في حين أن كل أولوية تلعب دورًا مهمًا في الحفاظ على الأعمال التجارية، إلا أنها قد تتنافس مع بعضها البعض على الموهبة والوقت والميزانية.
“كيف يمكنك جعل المؤسسة تضع الأمان على قدم المساواة مع زيادة الأرباح قبل الفوائد والضرائب والإهلاك والاستهلاك أو محاولة زيادة إيراداتك إلى الحد الأقصى؟” يسأل جون كانافا، مدير تكنولوجيا المعلومات فيهوية بينغ، شركة لإدارة الهوية والحوكمة.
هذا سؤال يصعب الإجابة عليه، خاصة عندما تنظر فرق المؤسسات إلى الأمان باعتباره حجر عثرة وليس عامل تمكين للأعمال. في كثير من الأحيان، تجبر البروتوكولات الأمنية، ولأسباب وجيهة، الأشخاص على التباطؤ.
“بمجرد أن يعتقد الموظفون أن هذه عقبة يجب التغلب عليها، فقد يبحثون عن طرق مبتكرة لتجاوز تلك السيطرة الأمنية،” مونيكا لاندن، نائب الرئيس الأول ورئيس قسم تكنولوجيا المعلومات في شركة مجتهد، تقول شركة برمجيات مجلس الإدارة والحوكمة.
لا يمكن أن يكون الأمن السيبراني مسؤولية فرق الأمن وتكنولوجيا المعلومات وحدها، ولكن تقع على عاتق قادة الفرق هذه مسؤولية إثبات قيمته للجميع في المؤسسة.
يقول سيباستيان لانج، كبير مسؤولي العمليات في شركة البرمجيات والتكنولوجيا: “هناك حاجة مستمرة ليس فقط للتوصل إلى مجموعة التحكم الصحيحة، ولكن أيضًا لمعرفة أفضل الطرق لتوسيع نطاق تلك الضوابط عبر مثل هذا المشهد الكبير غير المتجانس”. ساب.
تحديد أبطال الأمن
إن تحديد عناصر التحكم الأمنية الصحيحة، وتوسيع نطاقها عبر المؤسسة، وربط عقلية الأمان أولاً في جميع أنحاء المؤسسة بأكملها يتطلب أبطالًا أمنيين. في كثير من الأحيان، يرتدي CISO وCIO هذا العباءة، ولكن الشخص أو الأشخاص الذين يشغلون هذا الدور سيختلفون اعتمادًا على حجم المؤسسة وهيكلها ونضجها. في SAP، لانج ومارييل إيرمان، مسؤول الامتثال الأمني العالمي والمخاطر في الشركة، والقيادة المشتركة للأمن العالمي والامتثال السحابي.
لدى SAP أكثر من 100.000 موظف حول العالم. “كل مجال عمل في SAP غالبًا [has its] التفرد المعماري الخاص بهم، وأحيانًا ثقافة التنفيذ الخاصة بهم. كيف تتناسب مع ذلك؟ يسأل لانج.
لدى الشركة موظفين لأمن معلومات الأعمال لكل مجال من مجالات الأعمال. “إنهم يقومون بخط تنفيذ الأمان الخاص بالأعمال. لذلك، ضمن هذا النموذج، نقوم بنشر إستراتيجية الأمان والامتثال الخاصة بنا في كل مجال من مجالات الأعمال،” يوضح إيرمان.
تُعرّف SAP أيضًا الموظفين في جميع أنحاء الشركة بأنهم أبطال الأمان، وهم الأشخاص الذين يمكن لزملائهم في الفريق أن يلجأوا إليهم لطرح الأسئلة الأمنية المتعلقة بعملهم اليومي. “هناك عدد لا بأس به من العناصر المضمنة في جميع مجالات العمل المختلفة للمساعدة في زيادة توافر الأشخاص ذوي الخبرة ولكن أيضًا السياق [and] معرفة العمل اليومي [of] يقول لانج: “… موظفون”.
في Ping Identity، يلعب رئيس المنتج دورًا كبيرًا في دعم المبادرات الأمنية. يقول كانافا: “لقد أخذنا فريقًا أمنيًا وقمنا بدمجه داخل منظمتنا الهندسية بحيث لا يكون هناك تفاعل عالي الاحتكاك بين تلك المنظمات”. “إنهم جزء من نفس الفريق الذي يقدم حلاً يعتبر الأمان جزءًا من قيمته الأساسية.”
يجب أن يكون الشخص الذي يقود الجهود الأمنية متاحًا للجميع في الشركة، بدءًا من مجلس الإدارة والمديرين التنفيذيين وما دونه. “[Make] يقول لاندن: “تأكد من أن قائد الأمن السيبراني … مرئي ويمكن الوصول إليه ويضع أولويات تنظيمية واضحة عبر الشركة بعبارات سهلة الفهم”.
تأمين عملية الشراء
يحتاج كل من يدعم الأمن على مستوى المؤسسة إلى تأمين المشاركة من الجميع داخل المؤسسة. على المستوى الأعلى، هذا يعني جعل الإدارة العليا ومجلس الإدارة يلقون بثقلهم خلف الأمن.
“في نهاية المطاف، إذا لم يكن لديك رئيس تنفيذي في مجلس الإدارة ولم يكن الرئيس التنفيذي … يعبر عن نفس المستوى من تحديد الأولويات، فسيكون ذلك شيئًا يُنظر إليه على أنه نصف خطوة إلى الوراء من … أولويات العمل الأساسية، “يحذر كانافا.
يعد التواصل الفعال جزءًا كبيرًا من الحصول على هذا التأييد من القيادة. كيف يمكن لقادة الأمن أن يشرحوا لمجالس إدارتهم وزملائهم التنفيذيين أن الأمن هو عامل تمكين أساسي للأعمال؟
“حقًا [convert] لغة التكنولوجيا أو اللغة السيبرانية أو المصطلحات الخاصة بكيفية تأثير هذه المخاطر المحتملة على الإيرادات أو السمعة أو امتثالنا؟ يقول لاندن.
يمكن أن تكون تمارين الطاولة وسيلة قوية ليس فقط لإخبار المديرين التنفيذيين بقيمة الأمن السيبراني، بل أيضًا لتوضيحها. إن السير عبر سيناريوهات حوادث الأمن السيبراني المختلفة يمكن أن يوضح أهمية الاتصال الأمني بالعمليات ونتائج الأعمال. تقوم Ping Identity بشكل دوري بإشراك العديد من أعضاء المجموعة التنفيذية في هذه التمارين.
ويقول: “لا يقتصر الأمر على معرفة ما هي الفجوة فحسب، بل تتعلم أيضًا من خلال الممارسة… لقد تم جذبك والمشاركة كعضو في المجموعة التنفيذية، والآن أصبحت مستثمرًا”. “لذا، عندما تعود إلى فرقك، يمكنك أن تشاركهم سبب أهمية هذا الأمر.”
يمكن للمديرين التنفيذيين، بل ينبغي عليهم، التحدث عن أهمية الأمن، ولكن الموظفين في جميع أنحاء المؤسسة مشغولون بمسؤولياتهم اليومية. يمكن للأمن السيبراني أن ينزلق بسهولة من خلال الشقوق.
فهو يتطلب تواصلًا منتظمًا، وليس تدريبًا واحدًا يتم إجراؤه كجزء من عملية الإعداد وسرعان ما يتم نسيانه. يقول كانافا: “نجد أنه من المهم حقًا أن نشرح لموظفينا “سبب” الأمان وما يعنيه لنجاح الشركة أو علامتها التجارية بشكل عام”.
شرح أن “لماذا” يمكن أن يأتي في شكل تعليم. على سبيل المثال، يمكن للفرق مناقشة أحداث الأمن السيبراني الواقعية وعواقبها، مثل فترات التوقف عن العمل والإيرادات المفقودة.
يمكن لقادة الأمن أيضًا مساعدة مؤسساتهم على تبني طرق مختلفة لجعل الأمن أكثر جاذبية وأقل شبهاً بعنصر تحديد المربع الذي يمكن نسيانه. “لذلك، لدينا العديد من جوائز التميز، ولكننا أيضًا نجعلها موضوعًا ممتعًا، كما هو الحال مع مسابقة التقاط العلم. لذا، هناك عوامل التلعيب،” يشاركنا إيرمان.
بناء ثقافة قوية وقابلة للتكيف
إن ثقافة الشركة واستراتيجية الأمان ليستا مقاسًا واحدًا يناسب الجميع. في حين أن الأساليب المختلفة قد تنجح مع مؤسسات مختلفة، إلا أن ثقافات الأمن الأول الناجحة تشترك في بعض القواسم المشتركة. يجب أن تكون المبادرات الأمنية قابلة للتنفيذ والقياس والإدارة عبر المؤسسة حتى تكون فعالة. باستخدام إطار عمل ثابت، مثل إطار عمل الأمن السيبراني للمعهد الوطني للمعايير والتكنولوجيا (NIST).، يمكن أن تساعد قادة الأمن في بناء وتتبع نجاح ثقافة الأمن أولاً.
تتغير التكنولوجيا والتهديدات السيبرانية باستمرار، مما يعني أن ثقافة الأمن السيبراني يجب أن تكون قابلة للتكيف. واليوم، يتنافس قادة الأمن مع طفرة GenAI وقدرتها على الدفاع عن الأنشطة السيبرانية الشائنة وتغذيتها.
يقول لاندن: “باعتبارنا ممارسي الأمن، يتعين علينا المضي قدمًا والتأكد من أننا اعتمدنا السياسات والممارسات الصحيحة داخل المنظمة، حتى لا نكشف عن غير قصد عن البيانات الحساسة أو يحتمل أن نؤثر على أي سياسات خصوصية”.
بينما يعمل قادة الأمن على ضمان مواكبة ثقافة الأمن أولاً للتقنيات والتهديدات المتغيرة، فإنهم بحاجة إلى المشاركة المستمرة مع الموظفين. هل يعرف كل موظف عن مخاطر الأمن السيبراني لشركته ودوره في التخفيف منها؟ هل يعرفون إلى أين يتوجهون للأسئلة وأين يمكنهم الإبلاغ عن أي شيء مشبوه؟
يقترح كانافا: “عندما يتعلق الأمر بالإبلاغ عن حادث أمني أو ما قد يعتبرونه نشاطًا مشبوهًا، اجعل ذلك عائقًا منخفضًا للغاية أمام المشاركة، حتى يتمكنوا من الإبلاغ عن ذلك”.
تربط ثقافة الأمن السيبراني القوية الأمن بالأهداف العامة للشركة، وتعيش في التصرفات اليومية للأشخاص الذين يعملون هناك.
“إنه بالأحرى مثل السباحة أو ركوب الدراجة. في اللحظة التي تحتاج إليها، يجب أن تعرف كيفية القيام بذلك. يقول إيرمان: “يجب أن يأتي الأمر بشكل طبيعي”. “لا يمكنك إنشاء هذا المخصص. إنها تحتاج إلى الوقت والقيادة المناسبة والتي تشمل جميع مستويات الشركة بدءًا من مجلس الإشراف إلى المجلس التنفيذي وحتى كبار المسؤولين التنفيذيين وصولاً إلى كل موظف في الشركة.
