لقد أمضى الأمن السيبراني سنوات يناضل من أجل الحصول على مقعد على طاولة مجلس الإدارة، وقد نجح في ذلك بمعظم المقاييس. أصبح مدراء تكنولوجيا المعلومات الآن حاضرين بشكل منتظم، حيث يقدمون تحديثات حول المخاطر والمرونة والاستعداد.
لكن العديد من قادة الأمن يكتشفون أن الوصول كان مجرد مرحلة واحدة. إن مجرد التواجد في الغرفة لا يعني أن يتم فهمك.
يستمر المقال أدناه
لقد كنا ندور حول هذه المشكلة منذ بعض الوقت، وأصبحت مجالس الإدارة أكثر وعيًا بالأمن السيبراني مما كانت عليه من قبل. لكن العديد من CISOs ما زالوا يتوقعون أن يقابلهم مجلس الإدارة بشروط أمنية. هذه ليست الطريقة التي يعمل بها.
يحتاج مدراء تكنولوجيا المعلومات إلى التحرك نحو أولويات مجلس الإدارة، وليس انتظار مجلس الإدارة للتحرك نحو أولوياتهم.
لماذا تحد التقارير الفنية من تأثير CISO
لقد أصبح الأمن مريحًا جدًا في تقديم نفسه على أنه سلطة المخاطر في المنظمة. توفر الأطر وعمليات التدقيق والمعايير الهيكل والطمأنينة، خاصة لفرق الأمان. إنها مهمة، لكنها ليست مقنعة في حد ذاتها.
الأمن يفهم المخاطر بعمق. ويمكنه تفسير الاحتمالية وسهولة الاستغلال والتعرض المتبقي بدقة مذهلة، وغالبًا ما يتم التحقق من صحتها من قبل أطراف ثالثة. ومع ذلك، لا تتخذ مجالس الإدارة قرارات على هذا المستوى من التفاصيل. بالنسبة لهم، يعد الإنترنت مجرد عنصر واحد من عناصر مخاطر الأعمال، والمخاطر نفسها مجرد مصدر قلق واحد من بين العديد من المخاوف، وعادة ما تكمن وراء نمو الإيرادات والتحكم في التكاليف.
وهذا يخلق عدم تطابق. من المرجح أن يقود مدراء تكنولوجيا المعلومات محادثات مجلس الإدارة بشأن أحد البنود المدرجة على جدول الأعمال والتي تعتبر الأقل إقناعًا لأي شخص آخر في الغرفة. المخاطر مهمة، لكنها نادرًا ما تبقي المديرين مستيقظين في الليل ما لم تكن هناك أزمة أمنية فعلية تحدث في تلك اللحظة.
ومع ذلك، لا يزال العديد من القادة الأمنيين يصلون مسلحين بسجلات المخاطر ولوحات معلومات إشارات المرور التي تبدو مشابهة إلى حد كبير لما كانت عليه قبل عشر سنوات. المشكلة ليست أن هذه الأدوات خاطئة. هو أنهم غير مكتملين للمهمة التي بين أيديهم.
كيفية ترجمة المخاطر السيبرانية إلى الربح والخسارة
إن التحول الذي يتعين على مسؤولي أمن المعلومات القيام به لا يتعلق بالتخلي عن التفكير في المخاطر، بل يتعلق بتغيير كيفية استخدامه. وينبغي النظر إلى المخاطر كأداة، وليس كعنوان رئيسي. لا تحتاج مجالس الإدارة إلى فهم نماذج التهديدات أو أعداد نقاط الضعف، بل تحتاج فقط إلى فهم ما تعنيه مشكلة الأمان بالنسبة إلى الأعمال التي يتحملون المسؤولية عن إدارتها.
غالبًا ما تقوم فرق الأمن بتفكيك المخاطر بدقة أكبر بكثير من بقية المؤسسة. ويقومون بتقييم الأصول والاحتمالات والتأثيرات بالتفصيل، في حين لا تزال الوظائف الأخرى تعمل بأحكام وتقديرات تقريبية واسعة النطاق. يعد هذا العمق ذا قيمة كبيرة، ولكنه أيضًا المكان الذي تفقد فيه المحادثة جمهورها.
والأسئلة الأخرى التي تهتم بها مجالس الإدارة في الواقع بسيطة: “كيف يمكن لحادث ما أن يعطل قدرتنا على التجارة؟ ما هي الإيرادات التي ستكون على المحك إذا تعطلت الأنظمة؟ وما مقدار الخسارة التي يتجنبها هذا الاستثمار في فترات التوقف عن العمل، أو استعادة البيانات، أو فقدان العملاء؟”
عندما تجيب المحادثات الأمنية على هذه الأسئلة مباشرة، تتغير الديناميكية. لا يزال بإمكان كبار مسؤولي تكنولوجيا المعلومات التحدث عن المخاطر، لكنهم يتوقفون عن خوض المعركة وهم يلوحون بنماذج المخاطر المتبقية ونتائج إشارات المرور الغامضة.
وهذا مهم بشكل خاص عندما أدى حادث إلكتروني وقع مؤخرًا في قطاع الشركة إلى زيادة الاهتمام في مجلس الإدارة. عندما يتصدر أحد النظير أو المنافس عناوين الأخبار بعد حدوث اختراق كبير، يتطلع الجميع إلى رئيس أمن المعلومات: “هل سنكون التالي؟ كيف تعرف؟”
لا يمكن لأي قائد أمني أن يجيب على هذا السؤال بيقين مطلق. ولكن إذا استطاعوا أن يشرحوا بثقة عوامل الخطر المؤثرة، وكيفية معالجتها، وما يعنيه ذلك بالنسبة للتكاليف التشغيلية والإيرادات، فيمكنهم إظهار الثقة وكسب الثقة.
إن اتخاذ عقلية استباقية أمر بالغ الأهمية بشكل خاص. إن مدراء تكنولوجيا المعلومات الذين لا يستطيعون فقط الإبلاغ بوضوح عن المخاطر، ولكنهم أيضًا يشرحون سبب تمكنهم بالفعل من معالجتها، سينتقلون من النفقات العامة الباهظة الثمن إلى حل مشكلات الأعمال.
تحويل الفضاء الإلكتروني من النظرية إلى التطبيق
لا تتعلم اللوحات من خلال عرض المزيد من الشرائح. يتعلمون من خلال المناقشة والتحدي والنقاش. وفي كثير من الحالات، من خلال القيام بشيء ما بالفعل.
واحدة من أكثر الطرق فعالية لترجمة المخاطر السيبرانية إلى واقع الأعمال هي من خلال تمارين الطاولة. إذا تم تنفيذها بشكل صحيح، فإنها تجبر المحادثات الأمنية على الخروج من مجرد السيناريوهات التي يتعرف عليها المسؤولون التنفيذيون على الفور. بدلاً من مناقشة التهديدات الافتراضية، تطرح تمارين الطاولة سؤالاً عملياً: ماذا يحدث بالفعل للشركة عندما يحدث خطأ ما؟
تمارين الطاولة تخلق تلك البيئة بالضبط. فهي تبرز التبعيات الخفية، وتكشف عن اختناقات عملية صنع القرار، وتكشف أين تكون المسؤوليات غير واضحة تحت الضغط.
والأهم من ذلك أنها توضح كيف تترجم الأعطال الفنية إلى نتائج أعمال حقيقية: فقدان الإيرادات، وتعطل العمليات، وزيادة التكلفة. ويساعد هذا في إنشاء لغة مشتركة أساسية بين الأمن والأعمال، مما يجعل الجميع يلتف حول التأثير بدلاً من التجريد.
نضج الطاولة كاختبار لمصداقية CISO
مع ارتفاع توقعات مجلس الإدارة، أصبحت التدريبات المكتبية بمثابة اختبار لمصداقية كبار مسؤولي تكنولوجيا المعلومات. ولم يعد يكفي القول بأن الخطط موجودة أو أن الضوابط موجودة. تريد مجالس الإدارة بشكل متزايد أدلة على أن المنظمة يمكن أن تعمل عندما تفشل تلك الضوابط.
وتثبت برامج الطاولة التي يتم تشغيلها بشكل جيد ذلك بالضبط. وهي تظهر أن رئيس أمن المعلومات يفهم كيف تتداخل القرارات الأمنية مع واقع الأعمال ويمكنه جمع القادة معًا لاختبار الافتراضات. وهنا تنتقل القيادة الأمنية من الطمأنينة إلى الإثبات.
إن التمارين الأكثر فعالية تفرض أيضاً تحولاً ضرورياً في الأولويات. ونادرا ما يكون الهدف هو حماية كل شيء بأي ثمن. في كثير من الحالات، يكون الأمر أبسط بكثير: الحفاظ على استمرارية العمل. سواء كان ذلك يعني الحفاظ على الخدمات التي تواجه العملاء أو ضمان إمكانية معالجة المدفوعات، فإن التركيز ينصب على الحفاظ على الإيرادات مع الحد من التكاليف الإضافية.
إن مدراء تكنولوجيا المعلومات الذين يمكنهم إجراء هذه التدريبات بانتظام وترجمة النتائج إلى قرارات استراتيجية يضعون أنفسهم كمستشارين موثوقين. أولئك الذين لا يستطيعون المخاطرة بأن يُنظر إليهم على أنهم متخصصون تقنيون وليسوا قادة أعمال.
حان الوقت للقاء المجلس في منتصف الطريق
دور CISO يتغير. لا تنتظر مجالس الإدارة أن تتقن أطر العمل الأمنية، ولن تكون المخاطر السيبرانية أبدًا على رأس جدول الأعمال بمفردها.
سيتم الحكم على الأمان من خلال مدى دعمه للنمو والتحكم في التكلفة والحفاظ على استمرارية المؤسسة. يحتاج قادة الأمن إلى التفكير في الأمن السيبراني من حيث المرونة، والتحول من الدفاع التفاعلي إلى الاستجابة الوقائية.
بالنسبة لرؤساء أمن المعلومات، هذا يعني تكييف الطريقة التي يقودون بها المحادثة. لا يتعلق الأمر بإضعاف الأمن، بل يتعلق بلقاء المديرين التنفيذيين حيث يعملون بالفعل. لن يتحرك الجبل بغض النظر عن عدد الإحصائيات الموجودة في مجموعة الشرائح.
سيقوم مدراء تكنولوجيا المعلومات الذين يختارون القيام بهذا التحرك بصياغة القرارات وتأمين الاستثمار وكسب مكانتهم كمستشارين موثوقين. أما أولئك الذين لا يفعلون ذلك فقد يظل لديهم مقعد على الطاولة، ولكن تأثيرهم سيكون أقل بكثير على ما سيحدث بعد ذلك.
تحقق من قائمتنا لأفضل منصات ذكاء الأعمال.
التعليقات