على مر السنين ، رأيت مدى دراماتيم كبير مسؤولي أمن المعلومات لقد تطور دور (CISO) وكيف لا يزال هذا التطور في العديد من غرف الإدارة. انتقل الأمن السيبراني إلى قمة جدول الأعمال ، وحقًا. ومع ذلك ، على الرغم من الإلحاح المتزايد ، ما زلت أرى لوحات غير متأكدة مما ينبغي أن يبحث عنه حقًا في CISO.
لا يتعلق الأمر فقط بتوظيف شخص ما مع أوراق الاعتماد الصحيحة أو النسب الفنية. يعد اختيار زعيم الأمن المناسب أحد أهم القرارات الإستراتيجية التي يمكن أن يتخذها مجلس الإدارة. نظرًا لأن CISO اليوم ليس هناك فقط لإخماد الحرائق ، فهم هناك للمساعدة في منعهم من الحدوث من أي وقت مضى ، والقيام بذلك بطرق تحمي العمل مع تمكينها من النمو.
والسؤال هو: كيف تبدو CISO العظيمة من منظور اللوحة؟
لقد تجاوز الدور وصف وظيفته
لم يمض وقت طويل على أن معظم CISO قد ظهرت من خلال صفوف البنية التحتية أو الهندسة. كان الدور تقنيًا للغاية ، ومعظمه يواجه داخليًا ، ويركز على الحفاظ على أنظمة تعمل بشكل آمن في الخلفية. لقد تغير هذا.
يُطلب من CISO اليوم أن يكون أكثر من مهندسي الأمن. من المتوقع أن يفهموا مخاطر العلامة التجارية ، وتفسير اللوائح المعقدة ، والتحدث بطلاقة إلى المستثمرين ، والتنقل في المناظر الطبيعية للتهديدات العالمية ، مع ضمان أن تتمكن فرقهم من الاستجابة بسرعة وحجم عندما يحدث خطأ ما. في بعض الحالات ، يوقعون على الإيداعات المالية ويأخذون المسؤولية القانونية عن الحوادث.
إنها وظيفة كبيرة. ويتطلب أكثر من مهارة تقنية. إنه يتطلب فطنة الأعمال ، والبراعة في التواصل ، والعقلية المتجذرة في الشراكة والمساءلة.
مترجم المخاطر ، وليس فقط مراسل المخاطر
واحدة من أكثر المهارات قيمة التي يمكن أن يجلبها CISO إلى الطاولة هي القدرة على ترجمة المخاطر في اللغة التي يفهمها المجلس. هذا لا يتعلق بتخليص الأشياء. يتعلق الأمر بتأطير القرارات بطريقة تتماشى مع أولويات العمل.
عندما يعرض CISO ، هل هم ببساطة يسردون التهديدات ونقاط الضعف؟ أم أنهم يعبرون بوضوح معنى تلك المخاطر للعمل؟ هل يمكن أن يشرحوا كيف قد يؤثر التأخير في تصحيح النظام على ثقة العملاء أو الإيرادات أو الموقف التنظيمي؟
Cisos الرائعة لا تقل فقط عن المخاطر. إنها تساعد المجالس في اتخاذ خيارات مستنيرة حول المخاطر التي يجب قبولها ، والتي يجب التخفيف منها ، ومكان الاستثمار. هذا المستوى من الوضوح يبني الثقة ، حتى في مواجهة عدم اليقين.
شريك استراتيجي مع عقلية النمو
CISO القوي هو الشخص الذي يفهم كيفية عمل الأعمال ، وليس فقط أدوات الأمان التي تعمل عليها. إنهم يعرفون الأنظمة التي تدفع الإيرادات ، حيث تتدفق البيانات ، وكيفية تفاعل العملاء مع المنتج أو النظام الأساسي.
لا ينبغي أن يكون الأمن مانعًا. يجب أن يكون عامل تمكين. يجب أن تبحث الألواح عن CISO التي تسأل ، “كيف يمكننا تأمين هذا و يجعل من الأسهل على فرقنا التحرك بسرعة؟ ” هذا هو نوع القائد الذي يساهم في الابتكار ، بدلاً من إعاقة ذلك.
ما يناسبني هو التعامل مع الأمن كوظيفة عمل ، وليس مجالًا منفصلاً. عندما يتم نسج الأمن في المحادثات الاستراتيجية منذ البداية ، تصبح المحاذاة أسهل بكثير ، وهكذا تبني الزخم الذي يلتصق بالفعل.
مريح في الغموض
بغض النظر عن مدى جودة دفاعاتك ، فإن طبيعة الأمن السيبراني تعني أن هناك دائمًا درجة من عدم اليقين. أفضل cisos لا تتعرض للشلل من قبل ذلك ، فإنها تزدهر فيها. إنهم يعرفون كيفية اتخاذ القرارات بمعلومات غير مكتملة ، وكيفية توجيه فريق من خلال ضباب من الإشارات المتضاربة ، وكيفية الحفاظ على الهدوء عندما يكون الضغط الأعلى.
لا يمكن دائمًا التقاط هذا النوع من المرونة على السيرة الذاتية. تحتاج المجالس إلى المشاركة مباشرة مع المرشحين للتعرف على كيفية عملها في أزمة. لأنه عندما يحدث خرق ، أو يتحول اللوائح بين عشية وضحاها – فأنت تريد شخصًا يحضر الاستقرار ، وليس الذعر.
الطلاقة المجلس والمحاذاة الثقافية
المعرفة التقنية مهمة. ولكن على مستوى مجلس الإدارة ، غالبًا ما يهم أسلوب التواصل والقيادة أكثر.
هل يمكن لهذا الشخص الاحتفاظ بمفرده في قاعة اجتماعات مليئة بالمديرين التنفيذيين المتمرسين؟ هل يغرسون الثقة؟ هل هم قادرون على تحدي الافتراضات بشكل بناء وتأطير مدخلاتهم حول مخاطر المؤسسة ، وليس فقط قوائم المراجعة الأمنية؟
والأهم من ذلك ، اسأل نفسك هل هي مناسبة ثقافية جيدة؟ كل منظمة لديها إيقاع مختلف. بعضها سريع الحركة والعدواني. البعض الآخر يحركه الإجماع. CISO الصحيح هو شخص يمكنه التكيف مع هذا الإيقاع بينما لا يزال يحمل الخط على ما يهم.
حيث تخطئ المجالس
لقد رأيت لوحات تجعل بعض الأخطاء ذاتية النية في هذا المجال. واحدة من أكثر الشركات شيوعًا هي التوظيف بناءً على نسب الشعار أو الشهادات الفنية وحدها. قد تبدو هذه الأشياء مثيرة للإعجاب ، لكنها لا تضمن قدرة القيادة.
فخ آخر يفترض أن CISO “يمتلك” المخاطر بالكامل. في الواقع ، المخاطر هي مسؤولية مشتركة. CISO جيد يسهل المحادثات عبر الفريق التنفيذي. إنهم لا يتخذون قرارات من جانب واحد وهم يدفعون المحاذاة والعواقب السطحية.
وأخيرا ، هناك ميل لعرض الحوادث السابقة كعلم أحمر تلقائي. الأمن حول التحسين المستمر. ما يهم ليس ما إذا كان الانتهاك قد حدث على الإطلاق. هذه هي الطريقة التي استجاب بها القائد ، وما تعلموه ، وما الذي تغير نتيجة لذلك.
دروس من جانبي الجدول
بعد أن خدمت على المجالس بنفسي ، رأيت مدى التحول عندما تتفهم الشركة حقًا دور CISO. يتحول المحادثات. تصبح الاستثمارات أكثر استراتيجية. وتبدأ وظيفة الأمان في قيادة الحماية فحسب ، بل تقدم.
إنه أيضًا شارع ثنائي الاتجاه. تحتاج CISO إلى فهم لغة المجلس. وهذا يعني أن تكون قادرًا على التحدث إلى مخاطر المواد وتأثير الأعمال والمرونة طويلة الأجل.
إذا تمكنت CISO من سد هذه الفجوة ، فهي ليست مجرد واقي. انهم شريك.
تبدأ القيادة الآمنة من القمة
اختيار CISO الصحيح ليس مجرد قرار أمني. إنه قرار قيادة الأعمال. وهو الذي يمكن أن يشكل مستقبل شركتك أكثر من أي استئجار تنفيذي آخر تقريبًا.
لذلك إذا كنت جالسًا على لوحة وتقييم قيادة الأمن ، فسأشجعك على التفكير فيما وراء الوصف الوظيفي. اسأل كيف يرى CISO الخاص بك العمل. اسأل كيف يؤثرون على التغيير. اسأل عما إذا كنت قد منحتهم ما يحتاجون إليه لتحقيق النجاح.
لأنه عندما تعود إلى CISO الأيمن ، فأنت لا تقلل فقط من المخاطر. أنت تبني شركة أكثر ذكاءً وأقوى.
Rinki Sethi هو كبير ضباط الأمن في أمن الاتجاهو أخصائي الأمن السحابي في منطقة الخليج.
