بينما تستثمر المؤسسات في المرونة السيبرانية، فإن مرونة أولئك الذين يقودون المهمة، كبار ضباط أمن المعلومات (CISOs)، غالبًا ما يتم التغاضي عنه. يتم تصنيف دور CISO باستمرار من بين الأدوار الأكثر ضغطًا في المجموعة التنفيذية. وفقًا لـ ISACA حالة الأمن السيبراني 2025 تقرير، يقول 66% من المتخصصين في مجال الأمن السيبراني أن دورهم أصبح أكثر إرهاقًا الآن عما كان عليه قبل خمس سنوات.
غالبًا ما يعمل كبار مسؤولي أمن المعلومات في بيئات يعاني فيها الأمن من نقص التمويل، أو عدم تحديد الأولويات، أو سوء الفهم على مستوى مجلس الإدارة والمسؤولين التنفيذيين. وينتقل الافتقار إلى القبول على مستوى رفيع إلى ما يلي:
- قيود الميزانية التي تحد من نطاق وظيفة CISO وتأثيرها، بما في ذلك الموارد المخصصة للأدوات والأتمتة.
- نقص المهارات ونماذج التشغيل المقيدة التي تمنع التفويض الفعال.
- الاختلال الاستراتيجي، حيث يتم إعطاء الأولوية للتسليم على المدى القصير على مرونة الأعمال على المدى الطويل ونتائج العملاء.
وهذا يخلق حلقة مفرغة: حيث يتحمل كبار مسؤولي تكنولوجيا المعلومات المسؤولية عن النتائج دون موارد كافية أو دعم تنفيذي، مما يؤدي إلى التوتر والإحباط والإرهاق.
لا يزال يُنظر إلى الأمن في كثير من الأحيان على أنه عائق للأعمال حتى وقوع حادث كبير. إن الحاجة المستمرة إلى “بيع” الأمن السيبراني ضمن الأولويات المتضاربة للمسؤولين التنفيذيين تستهلك الجهد، في حين أن زيادة الوعي العام وأصحاب المصلحة يؤدي إلى تفاقم الضغوط.
على سبيل المثال، في مجال التمويل، يواجه كبار مسؤولي أمن المعلومات تنظيمًا صارمًا وتدقيقًا مكثفًا من مجلس الإدارة والعامة. وفي القطاع العام، يمكن أن تؤدي الاحتكاكات البيروقراطية والقيود المفروضة على المشتريات إلى تعقيد الاستثمارات الاستراتيجية، مما يجعل مسؤولي أمن المعلومات مكشوفين على المستويين التشغيلي والسمعة.
لتحريك الأمور فيما يتعلق بالأمن السيبراني، يجب على مسؤولي أمن المعلومات تجاوز الدفاعات التقنية وإعادة وضع الأمن كعامل تمكين استراتيجي للأعمال. ويبدأ ذلك بتغيير عقليات مجلس الإدارة والمسؤولين التنفيذيين، من خلال التعليم والتأثير والمشاركة المستمرة، لرؤية الأمن السيبراني كجزء لا يتجزأ من الابتكار والمرونة.
يمكن أن يوفر تطوير لوحات المعلومات على المستوى التنفيذي التي توضح وضع الأمن السيبراني للمؤسسة رؤية واضحة للتقدم والمرونة التشغيلية وكيفية توافق المبادرات الأمنية مع الإستراتيجية وأهداف المؤسسة. ومن المهم بنفس القدر تأطير المخاطر السيبرانية من حيث الأعمال، وترجمة التهديدات التقنية إلى تأثيرات قابلة للقياس على الإيرادات والتنظيم وتأثير المستخدم. يؤدي هذا النوع من التواصل إلى رفع دور CISO من مشرف تكنولوجيا المعلومات إلى شريك استراتيجي.
المشهد السيبراني المتغير باستمرار
على عكس الأدوار القيادية الأخرى، يجب على رئيس أمن المعلومات أن يتكيف باستمرار مع اللوائح المتداخلة والمعقدة، مثل قانون حماية البيانات في المملكة المتحدة، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR)، وأطر العمل مثل DORA وFCA PS21/3. كما أنهم يواجهون تهديدات بما في ذلك برامج الفدية والهجمات التي تعتمد على الذكاء الاصطناعي. بالإضافة إلى ذلك، يجب على CISOs إدارة مساحات الهجوم المتوسعة الناتجة عن النقل إلى الخارج، واعتماد السحابة، وزيادة تبعيات الطرف الثالث. ومما يزيد من تفاقم هذه التحديات التحولات التكنولوجية السريعة، مثل الحوسبة الكمومية والذكاء الاصطناعي التوليدي.
يجب على CISOs إدارة مخاطر اليوم بشكل متزامن، وضمان السلامة التشغيلية، وتوجيه الإستراتيجية المستقبلية، ومراقبة المشهد المتطور، كل ذلك في الوقت الفعلي. وتعني وتيرة التهديدات أنه يمكن استهداف الأنظمة أو التقنيات أو نقاط الضعف الجديدة في غضون ساعات من بدء التشغيل، مما لا يترك هامشًا كبيرًا للخطأ أو التعافي.
إن الوتيرة السريعة للتحول الرقمي، رغم أهميتها لنمو الأعمال، تعمل على توسيع المخاطر والتعقيد بما يتجاوز ما يمكن أن تستوعبه نماذج التشغيل التقليدية. يجب على CISOs التكيف بسرعة، وحماية المؤسسات من التهديدات المتطورة بشكل متزايد.
في مجال الرعاية الصحية، على سبيل المثال، يواجه كبار مسؤولي تكنولوجيا المعلومات تهديدات برامج الفدية التي تؤثر بشكل مباشر على سلامة المرضى. في المؤسسات العالمية الكبيرة، يؤدي انتشار الأدوات والاستعانة بمصادر خارجية لأطراف ثالثة إلى زيادة التعقيد وتقليل الرؤية، مما يترك لرؤساء أمن المعلومات قدرات تحكم مجزأة.
يتطلب بناء وضع أقوى للأمن السيبراني اتباع نهج موحد قائم على المخاطر ويفوض الضوابط والمساءلة بوضوح عبر الفرق والشركاء. من خلال دمج بنية الثقة المعدومة مع المراقبة المستمرة من طرف ثالث، يمكن للمؤسسات تقليص سطح الهجوم الخاص بها والحفاظ على مخاطر البائعين تحت السيطرة. يؤدي إجراء تمارين محاكاة التهديدات إلى زيادة سرعة فريق الأمن، وإعدادهم للرد على التهديدات الناشئة قبل أن تتصاعد.
الأوهام النظامية والحمل المعرفي الزائد
في حين أن الاختلالات الإستراتيجية وقيود الموارد تضع رئيس أمن المعلومات تحت الضغط، إلا أن مشكلة عدم التوافق بين المساءلة والسلطة لا تزال قائمة. يُتوقع من CISOs تأمين الأنظمة وإدارة المخاطر عبر وحدات الأعمال والخدمات والتقنيات الخارجية التي لا يتحكمون فيها بشكل مباشر مما يجعلهم مسؤولين عن النتائج دون حقوق اتخاذ قرار واضحة أو أدوات تعاقدية.
وينشأ وهم السيطرة عندما يكون كبار مسؤولي تكنولوجيا المعلومات مسؤولين عن مخاطر الأمن السيبراني ولكنهم يفتقرون إلى السلطة اللازمة لفرض الضوابط، وخاصة عبر البيئات المجزأة أو الاستعانة بمصادر خارجية أو الموحدة. ويتحول دورهم من العمل الحاسم إلى التفاوض المستمر، وزيادة الضغط والمساءلة دون القدرة على دفع التغيير. في بعض مؤسسات القطاع العام، يكون دور كبير مسؤولي أمن المعلومات ثانويًا أو تطوعيًا، وغالبًا ما يتم دمجه مع تقديم تكنولوجيا المعلومات، مما يجبر الأفراد على إعطاء الأولوية للأمن مقابل التسليم التشغيلي.
يتطلب قيادة التغيير في قيادة الأمن السيبراني التوافق الهيكلي والثقافي. إن إنشاء حوكمة متعددة الوظائف وتحديد ملكية المخاطر بين قادة الأمن ورجال الأعمال يضمن أن تصبح المخاطر السيبرانية جزءًا من عملية صنع القرار التنفيذي اليومية. إن دمج مخرجات الأمن ومعايير المخاطر في جميع مشاريع الأعمال يعزز من أن الأمن السيبراني هو مسؤولية مشتركة. وفي الوقت نفسه، يعد دعم مرونة CISO ورفاهيته أمرًا بالغ الأهمية. يمكن أن يساعد الوصول إلى شبكات الأقران والتدريب التنفيذي ووضع حدود واضحة في تخفيف العبء المعرفي الزائد.
من الإرهاق إلى التوازن
إن إرهاق CISO ليس ضعفًا شخصيًا ولكنه نتيجة للتصميم التنظيمي المتضارب. وإلى أن يتم دمج الأمن السيبراني كوظيفة أساسية للأعمال، سيستمر كبار مسؤولي أمن المعلومات في مواجهة توقعات مستحيلة وسلطة مجزأة. يجب على المؤسسات إعادة تعريف المساءلة وتمكين مدراء تكنولوجيا المعلومات بسلطة حقيقية لاتخاذ القرار، والاستثمار في المرونة لكل من موظفيها واستراتيجياتها. وعندها فقط سوف تصبح قيادة الأمن السيبراني مصدراً لقوة الأعمال، بدلاً من أن تشكل خطراً للإرهاق.
جون سكيبر وفاروق أحمد خبيران في الأمن السيبراني في استشارات السلطة الفلسطينية
