ومع توسع دور كبير مسؤولي أمن المعلومات ليشمل المزيد من القيادة الإستراتيجية وإدارة المخاطر والامتثال، يتخذ كبار مسؤولي أمن المعلومات قرارات أكثر تكاملاً على مستوى الأعمال، مما يعكس الأهمية المتزايدة للأمن السيبراني في استراتيجية الأعمال الشاملة.
أكتوبر استطلاع من Portnox، وجد أن مدراء تكنولوجيا المعلومات يواجهون بشكل متزايد تحديات الامتثال، والثغرات في التأمين السيبراني، ويشعرون بقلق متزايد بشأن الأمن الوظيفي.
ومع اقتراب عام 2025، من المتوقع أن يشارك كبار مسؤولي تكنولوجيا المعلومات بشكل أعمق في المجالات الأخرى على المستوى التنفيذي بما في ذلك الشؤون القانونية والمالية والموارد البشرية والعمليات.
يقول جيمس سكوبي، كبير مسؤولي أمن المعلومات في شركة Keeper Security، إن هذا التكامل الموسع مع الفرق التنفيذية ومجالس الإدارة أدى إلى تضييق نطاق مجموعة المرشحين الذين يلبون متطلبات السوق لهذا الدور.
ويقول: “تجد العديد من الشركات نفسها الآن توظف مرشحين يتمتعون بمهارات قوية في مجال واحد، بينما تستثمر في تطويرهم في مجالات أخرى أو تبني خطوط أنابيب داخلية لتطوير المرشحين المستقبليين الذين يتمتعون بمجموعات المهارات اللازمة”.
ونظرًا لمتطلبات وقتهم، يقول سكوبي إن كبار مسؤولي تكنولوجيا المعلومات سيحتاجون إلى موارد إضافية لتولي المسؤوليات الفنية التي كانوا يديرونها بشكل مباشر في السابق.
ويقول: “سيؤدي هذا أيضًا إلى زيادة الاستثمارات في مجالات تشمل الأمن السيبراني وذكاء الأعمال وإدارة الأداء المالي لدعم دورهم المتوسع”.
CISOs والمساءلة الشخصية
أدت الإجراءات القانونية الأخيرة إلى زيادة القلق بشأن المساءلة الشخصية بين CISOs.
وعلى وجه الخصوص، في عام 2023، اتهمت لجنة الأوراق المالية والبورصة، CISO في SolarWinds، تيموثي جي براون، بالاحتيال وإخفاقات الضوابط الداخلية المتعلقة بمخاطر الأمن السيبراني، وهي المرة الأولى التي يتم فيها استهداف CISO بشكل فردي.
يقول جورج جونز، كبير مسؤولي أمن المعلومات في Critical Start، عبر البريد الإلكتروني، إن هذا قد يشير إلى تحول نحو تحميل قادة الأمن المسؤولية الشخصية عن الانتهاكات والإفصاحات المرتبطة بها.
ويقول: “إن المشهد التنظيمي المتشدد يعيد تشكيل القيادة الأمنية”.
ويوضح أن إنشاء تمييز قانوني واضح وتحديد المسؤوليات الوظيفية يمكن أن يوفر لرؤساء أمن المعلومات بعض الحماية ضد المسؤولية، مثل شروط التعويض والتأمين الموسع للمدير والمسؤول (D&O).
يقول جونز: “يؤكد هذا أيضًا على المساءلة المشتركة، مما يخفف الضغط الشخصي على رئيس أمن المعلومات مع ضمان تلبية المؤسسات للمعايير التنظيمية”.
من وجهة نظر Gareth Lindahl-Wise، كبير مسؤولي أمن المعلومات في Ontinue، فقد مرت المسؤوليات الرئيسية الأخرى في مجال الأعمال بهذا التحول من قبل، مع ملاحظة أن الرؤساء التنفيذيين والمديرين الماليين والمديرين العامين ومديري الأشخاص ذوي الإعاقة تحملوا التزامات محددة لفترة من الوقت.
ويقول: “أعتقد أن كلا الطرفين سوف ينظران في ما إذا كانا راضين عن المكان الذي تقع فيه المسؤوليات – المنظمة مع رئيس أمناء أمن المعلومات (CISO) الخاص بهم والعكس صحيح”.
ويضيف أن ذلك قد يدفع المزيد من المؤسسات إلى نقل الأمن إلى أيدي أكثر نضجًا تقليديًا مثل المالية أو القانونية.
ويقول: “لقد اعتمد مدراء تكنولوجيا المعلومات دائمًا إلى حد كبير على الشراكات التجارية الرئيسية لتحقيق النجاح”. “أعتقد أن الميل نحو المسؤولية الشخصية والتنظيمية يجعل العلاقة مع رئيس المستشار القانوني أو المستشار العام أكثر أهمية.”
ومن شأن العلاقة الوثيقة أن تسمح لكلا الطرفين بفهم المخاطر بشكل صحيح وكيف تبدو الاستجابات المناسبة.
يقول ليندال-وايز: “من وجهة نظري، يحتاج كبار مسؤولي تكنولوجيا المعلومات إلى أن يكونوا قادرين بشكل متزايد على فهم المبادئ القانونية مع إدراك الوقت الذي يحتاجون فيه إلى البحث عن مشورة قانونية حقيقية بشأن مسألة ما”.
التكامل في المجالس والفرق التنفيذية
تقرير Bugcrowd لشهر يونيو، داخل عقل CISO، وجدت أن المزيد من كبار مسؤولي أمن المعلومات ينضمون أيضًا إلى مجالس الإدارة لتوفير إشراف أفضل على استراتيجيات الأمان، مع تقديم تقارير مباشرة إلى الرئيس التنفيذي أو مجلس الإدارة.
يقول جونز إن هذا يعكس اتجاهًا أوسع لرؤساء أقسام تكنولوجيا المعلومات كمستشارين استراتيجيين يؤثرون على قرارات العمل.
ويوضح قائلاً: “تقوم العديد من الشركات ومجالس الإدارة بإنشاء لجان فرعية للأمن السيبراني لمعالجة المخاطر السيبرانية بشكل أفضل، ودمج رئيس أمن المعلومات في هذه الهياكل لتقديم رؤى حول مرونة المخاطر، والامتثال، واستراتيجيات التأمين السيبراني”.
يقول سكوبي إنه نظرًا لأنه كان يُنظر إلى الأمن السيبراني تاريخيًا على أنه وظيفة فنية أو وظيفة دعم، فإن كبار مسؤولي أمن المعلومات الذين يقدمون تقاريرهم مباشرة إلى مجلس الإدارة كان الاستثناء وليس القاعدة.
“ومع ذلك، نظرًا لأن الأمن السيبراني يؤثر بشكل متزايد على استراتيجية الأعمال ويصبح عامل تمييز رئيسي، فإننا نشهد تحولًا،” كما أوضح في مقابلة عبر البريد الإلكتروني. “من المتوقع الآن أن يتواصل كبار مسؤولي تكنولوجيا المعلومات بشكل متكرر مع الفرق التنفيذية وأن يقدموا تقاريرهم مباشرة إلى مجلس الإدارة”.
ارتفاع رواتب CISO وانخفاض مدة العمل
يقول Agnidipta Sarkar، نائب الرئيس لاستشارات CISO في ColorTokens، عبر البريد الإلكتروني إنه يعتقد أن الشركات ستطور دور CISO في العام المقبل.
