ل كبار ضباط أمن المعلومات (رؤساء أمن المعلومات) الذين ما زالوا يتطلعون إلى تحديد بعض الأهداف المهنية للعام الجديد، أو للتوسع في القائمة التي قاموا بتجميعها بالفعل، فكر في تعزيز العلاقة مع الوظيفة القانونية لمؤسستك.
ربما تكون قد قضيت بالفعل وقتًا طويلاً في بناء الجسور مع محامي الشركة. بعد كل شيء، أصبح الآن جانبًا مهمًا من دور CISO الحديث، وفقًا لـ 2024 منظمة CISO العالمية ومسح التعويضات من شركة التوظيف التنفيذي Heidrick & Struggles، وهو استطلاع رأي شمل أكثر من 400 من كبار مسؤولي تكنولوجيا المعلومات في جميع أنحاء العالم.
عندما سُئلوا عن الوظائف التي يقضون معظم وقتهم في العمل والتشاور معها، كانت الإجابتان الأوائل اللتان قدمهما المشاركون تتعلق بمحترفي تكنولوجيا المعلومات الآخرين، مع مجموعات الشبكات والسحابة والهندسة في المقام الأول، وتطوير البرمجيات وتطوير/هندسة المنتجات في المركز الثاني. وفي المركز الثالث، جاءت الشؤون القانونية والامتثال والمخاطر – متقدمة بكثير على المالية أو الموارد البشرية أو مجلس الإدارة.
في عام 2025، يجب أن تكون الروابط بين الأمن السيبراني والفرق القانونية أوثق من أي وقت مضى، لأن وظيفة أمن تكنولوجيا المعلومات – والأشخاص الذين يقودونها – في جميع أنحاء العالم أصبحت هدفًا متزايدًا للوائح الجديدة والتدقيق الحكومي الصارم.
التحديات القانونية
تضع التغييرات التنظيمية وعدم اليقين ضغوطًا هائلة على محترفي الإنترنت. وحتى عندما تكون القواعد واضحة، فإن حجمها يتزايد ويتزايد عبء الالتزام بها. تواجه أي شركة تعمل على أساس دولي مجموعة واسعة من اللوائح الخاصة بكل بلد والتي قد تتعارض مع بعضها البعض، أو على الأقل تتضمن متطلبات لا تتوافق بشكل واضح.
في الاتحاد الأوروبي، تواجه الشركات قانون الاتحاد الأوروبي بشأن الذكاء الاصطناعي, شيكل 2 و قانون المرونة التشغيلية الرقمية (دورا). ويمكن للإدارة القادمة في الولايات المتحدة أن تقترح تغييرات كبيرة على الأنظمة الحالية أيضًا. وتواجه كل مؤسسة بالفعل تفويضات صارمة لتحديد الهوية الشخصية عندما يتعلق الأمر بكيفية تخزين وإدارة المعلومات الشخصية للعملاء والموردين والشركاء.
كل هذا يجعل من الصعب على فرق أمن تكنولوجيا المعلومات معرفة أفضل السبل لتنفيذ اللوائح في مؤسساتهم. سيكون زملاؤهم في القسم القانوني أفضل حلفائهم في مساعدتهم على التنقل في حقل الألغام هذا.
يمكن للمحامين مساعدة CISO وفريقهم على تطوير فهم أقوى وأعمق لكيفية ومكان تطبيق القواعد على مؤسستهم المحددة وأين لا تنطبق، على سبيل المثال. يمكن أن يكون نطاق تغطية اللائحة أمرًا دقيقًا للغاية وغالبًا ما تكون هناك حاجة إلى الخبرة القانونية لتحليله بفعالية ودقة.
هناك مهمة مهمة أخرى – ومجال آخر للتعارض المحتمل بين اللوائح المختلفة – وهي تحديد متطلبات الاتصال وإعداد التقارير، ومعرفة الجداول الزمنية المختلفة وأنواع المعلومات التي تحتاج إلى إعداد تقارير. وهنا، تحتاج وظائف أمن تكنولوجيا المعلومات والوظائف القانونية إلى العمل على إجراءات فعالة والتأكد من توصيلها بوضوح إلى الموظفين المناسبين.
المنافع المتبادلة
ولكن هذا ليس طريقا ذو اتجاه واحد. قد يكون للوظيفة القانونية دور مهم تلعبه كمستشار للأمن السيبراني، ولكن CISO ليس مجرد مستهلك سلبي للمعلومات المقدمة. في حين أن اللوائح عادة ما تكون ذات نوايا حسنة، إلا أن الصياغة أو التنفيذ المقترح في بعض الأحيان لا يكون فعالا كما ينبغي. يجب أن يكون CISO قادرًا على اكتشاف الثغرات والتناقضات والتشاور مع الفرق القانونية حول أفضل السبل لمعالجتها.
ومن خلال العمل معًا، يمكن لفرق الأمن السيبراني والفرق القانونية أيضًا تحديد أفضل الممارسات وتنفيذها؛ على سبيل المثال، قد يتبنون نموذج “خطوط الدفاع الثلاثة”، الأكثر شيوعًا في قطاع الخدمات المالية.
في هذا النموذج، يتم توفير المستوى الأول من الدفاع من قبل موظفي الخطوط الأمامية الذين يؤدون العمل اليومي. يتم توفير المستوى الثاني من قبل المديرين المسؤولين عن تلك الفرق، ومراقبة عملهم للتأكد من أنه يفي بالمعايير المحددة مسبقًا. وأخيرا، يتم توفير المستوى الثالث من الدفاع من قبل المدققين الداخليين والخارجيين – أولئك المسؤولين عن “مراقبة المراقبين”. ومن خلال تنظيم الموارد في خطوط الدفاع الثلاثة هذه، يمكن للمؤسسات من أي قطاع صناعي تحقيق مستويات جديدة من الرؤية والمساءلة.
هناك مجال آخر يمكن أن يقدم فيه CISO مساعدة كبيرة لنظيره القانوني وهو الفهم التكنولوجي. ليس سراً أن التكنولوجيا تتطور بشكل أسرع بكثير من الوقت الذي تستغرقه كتابة اللوائح والموافقة عليها وتنفيذها. ونتيجة لذلك، ليس من غير المألوف أن نرى لوائح موضوعة لا تعرف ببساطة كيفية التعامل مع التقنيات الجديدة. كان هذا صحيحًا بالتأكيد مع التكنولوجيا السحابية، وهذا هو الحال بشكل متزايد مع أساليب الذكاء الاصطناعي (AI). هناك الكثير مما يمكن أن يقدمه CISO فيما يتعلق بالمشورة للمستشار القانوني الرئيسي لمؤسسته.
يمكن أن تكون هذه علاقة قيمة للغاية. بعد كل شيء، هناك الكثير من القواسم المشتركة بين رئيس أمن المعلومات والمستشار القانوني الرئيسي. كلاهما يؤدي وظيفة حاسمة ومعقدة، والهدف منها هو حماية مؤسساتهم من التهديدات. كلاهما مهتمان بشدة ببناء المرونة من خلال السياسات والإجراءات وتعليم الموظفين. ويحتاج كلاهما إلى التخطيط للمستقبل عندما يتعلق الأمر بتخفيف المخاطر الجديدة التي تواجه مؤسستهما. وقبل كل شيء، كلاهما ضروريان للحوكمة الرشيدة للشركات وسلاسة إدارة العمليات.
وفي عام 2025، نصيحتي لرؤساء أمن المعلومات هي مواصلة البناء على هذه الأسس الراسخة.
