يواجه مدراء تكنولوجيا المعلومات الجدد في هذا المنصب مهمة شاقة تتمثل في سرعة تنفيذ أولويات العمل الخاصة بمؤسستهم والتهديدات الأمنية المحتملة، كل ذلك أثناء بناء العلاقات مع الأعضاء الآخرين في المجموعة التنفيذية.
وفي ظل هذا العدد الكبير من المطالب المتنافسة، كيف ينبغي لمديري تكنولوجيا المعلومات الجدد أن يركزوا وقتهم وميزانياتهم لترسيخ مكانتهم كقادة استراتيجيين لا غنى عنهم؟
وقال سريناث سامباث، نائب الرئيس المحلل في شركة الأبحاث والاستشارات، إن استطلاع أجرته مؤسسة جارتنر مؤخرًا لمدراء تكنولوجيا المعلومات والمديرين التنفيذيين لتكنولوجيا المعلومات يقدم إرشادات واضحة.
“أكثر من أي جزء آخر من وظائفهم، الأمن السيبراني وإدارة المخاطر وقال سامباث، متحدثًا في ندوة Gartner IT Symposium/Xpo لهذا الشهر في أورلاندو بولاية فلوريدا: “تم اعتبارها الأنشطة الأكثر أهمية التي يحتاجون إليها تمامًا للقيام بها على النحو الصحيح، وإلا فإن وظائفهم ستكون على المحك”.
وقال سامباث إنه بصفتهم “كبار مسؤولي مخاطر التكنولوجيا الفعليين” في شركاتهم، يجب على مديري تكنولوجيا المعلومات الجدد أن ينفذوا على الفور عملية للتخفيف من مخاطر التكنولوجيا الكبرى بالنسبة للمؤسسة، مع توفير الضمانات لأصحاب المصلحة.
ونظرًا لأن عددًا قليلًا من مدراء تكنولوجيا المعلومات لديهم ميزانية غير محدودة لإدارة المخاطر، فيجب عليهم أولاً الحصول على فهم لأهداف أعمال مؤسساتهم من أجل تحقيق التوازن الاستراتيجي بين إدارة المخاطر والقيود المالية.
“[CIOs] يجب أن تقدم مستوى معينًا من القيمة المرغوبة مقابل تكلفة تكون المنظمة على استعداد لتحملها، وبمستوى مقبول من المخاطرة على المؤسسة،” قال سامباث، معترفًا بصعوبة المهمة.
وقال: “من الواضح أنه ليس لديك الكثير من الوقت لإثبات وظائفك، حيث يتم جذبك إلى اتجاهات مختلفة من قبل أصحاب المصلحة المختلفين، والجميع يريد منك تحقيق النتائج بالأمس”.
وعرض الخطوات التالية التي يجب اتخاذها:
ابدأ بخطة إدارة المخاطر
استجابةً للضغوط من أجل إثبات قيمتهم بسرعة للمؤسسة، يجب على مديري تكنولوجيا المعلومات الجدد أن يبدأوا بتطوير فريق قوي خطة إدارة المخاطر“، قال سامباث. وقال إن إحدى الخطوات الأولى هي تحليل موثوقية ومصداقية البيانات التنظيمية.
يجب على مدراء تقنية المعلومات الحصول على البيانات من الأقسام المختلفة في مؤسستهم وتحديد أكبر التهديدات ونقاط الضعف، بالإضافة إلى المشكلات الأمنية الناشئة. وأوضح سامباث أن هذه البيانات يمكن أن تتضمن تقارير الحوادث السابقة ونتائج التدقيق، ولكن يجب على مديري تكنولوجيا المعلومات أيضًا فحص منتديات وتقارير الصناعة “لفهم النقاط العمياء من وجهة نظرك والقضاء عليها”.
سيحتاج مدراء تكنولوجيا المعلومات الجدد إلى إنشاء إيقاع لإجراء تقييمات المخاطر وإعداد التقارير عنها، مثل التقييمات الشهرية أو ربع السنوية، “حتى تتمكن من إعادة التقييم والتحقق من صحة فهمك، وفهم مؤسستك، لماهية أكبر حالات التعرض للمخاطر، وأنك تنظر إليها من عدسات مختلفة مثل التأثير والاحتمالية”. “بعض المخاطر قد تأتي بسرعة كبيرة والبعض الآخر قد يكون بطيئا.”
سريناث سامباث، أحد المحللين في شركة Gartner، يتحدث في ندوة تكنولوجيا المعلومات/Xpo التي عقدتها الشركة مؤخرًا في أورلاندو. وقال سامباث إن استطلاع أجرته مؤسسة جارتنر وجد أن مديري تكنولوجيا المعلومات وقادة تكنولوجيا المعلومات يفكرون في أنشطة الأمن السيبراني وإدارة المخاطر التي يجب عليهم القيام بها بشكل صحيح. (المصدر: كيلسي زيزر/InformationWeek)
إقامة علاقات داخل جناح C
وقال سامباث إن بناء العلاقات سيكون أيضًا أمرًا أساسيًا في عملية تطوير إدارة المخاطر.
قال سامباث: “أحد الأشياء الأولى التي تريد القيام بها هو جمع الوعي الظرفي السريع واكتسابه حول التوقعات التي يتوقعها أصحاب المصلحة منك”. “متى يتوقعون رؤية أنواع معينة من النتائج والتغييرات؟”
لتحديد توقعات أصحاب المصلحة، يقترح سامباث إنشاء “جولة استماع” مع المديرين التنفيذيين الآخرين. خلال هذا التمرين، من المهم أن يقوم مدير تكنولوجيا المعلومات ببناء “علاقة عمل جيدة” مع رئيس أمن المعلومات وتحديد كيفية “التعاون وتنسيق أنشطة إدارة المخاطر” بحيث تكون هناك خطة معمول بها في حالة ظهور تهديد للأمن السيبراني.
وأضاف سامباث أن عملية جولة الاستماع يجب أن تكشف أيضًا عن “رغبة المخاطرة” لدى مجلس الإدارة والفريق التنفيذي. سيحتاج مدراء تكنولوجيا المعلومات إلى فهم كيفية الموازنة بين تحمل المديرين التنفيذيين لمدة الاضطراب التشغيلي أو التكنولوجي والتكلفة المالية للتخفيف.
إن الموازنة بين وقت الاستجابة للتهديد وقيود الميزانية تعني الهبوط “في مكان تشعر فيه المنظمة بالارتياح تجاه مستويات المخاطر التي تقبلها، وهو شيء يمكنك تقديمه كمنظمة”.
إدارة المخاطر هي جهد جماعي
وينبغي لمدراء تكنولوجيا المعلومات أيضا إنشاء لجنة أو الهيئة الإدارية كجزء من استراتيجية إدارة المخاطر الخاصة بهم، بما في ذلك التمثيل عبر أقسام الأعمال التي لا تقتصر على المشاركين الذين يمثلون أدوار تكنولوجيا المعلومات والأمن، كما قال سامباث.
وقال: “تأكد من وجود بعض التمثيل التجاري هناك، لأن الأمر لا يتعلق بالتكنولوجيا فقط”. “يتعلق الأمر بتأثيرات الأعمال التي تعتمد على التكنولوجيا ومخاطر الأعمال على المؤسسة ككل.”
ومن خلال وجود خطة قوية لإدارة المخاطر، والدعم في جميع أنحاء المؤسسة ومن كبار المديرين التنفيذيين، يمكن لمديري تكنولوجيا المعلومات الجدد في هذا المنصب إعداد أنفسهم لتحقيق النجاح على المدى القريب. يعد الربط بين مخاطر التكنولوجيا والإخفاقات (أو النتائج) المالية والتشغيلية أمرًا أساسيًا.
ينصح سامباث قائلاً: “حاول إنشاء صلة بين التعرض لمخاطر التكنولوجيا الأساسية والعواقب التجارية النهائية التي يهتم بها فريقك التنفيذي وأصحاب المصلحة في نهاية المطاف”.
