إن المخاطر كبيرة بالنسبة لرؤساء أمن المعلومات

إن المخاطر كبيرة بالنسبة لرؤساء أمن المعلومات


أمن الأعمال

إن أعباء العمل الثقيلة وشبح المسؤولية الشخصية عن الحوادث تؤثر سلبًا على قادة الأمن، لدرجة أن الكثير منهم يبحثون عن مخارج. ماذا يعني هذا بالنسبة للدفاعات السيبرانية للشركات؟

أصبح الأمن السيبراني أخيرًا قضية على مستوى مجلس الإدارة. وهذا ما ينبغي أن يكون، نظراً للدور المتزايد الأهمية الذي تلعبه إدارة المخاطر السيبرانية في عملية صنع القرار الاستراتيجي. تعد المخاطر السيبرانية في الأساس من المخاطر التجارية الأساسية التي تنطوي على إمكانية إنشاء مؤسسة أو انهيارها. هذا بالتأكيد هو التفكير وراء القواعد التنظيمية الجديدة في الولايات المتحدة.

ولكن من خلال الاعتراف بأهميته، تعمل مجالس الإدارة والجهات التنظيمية أيضًا على فرض المزيد من الضغوط على كبار مسؤولي أمن المعلومات، دون منحهم بالضرورة الاعتراف والمكافأة المناسبة. والنتيجة: ارتفاع التوتر والإرهاق وعدم الرضا. ثلاثة أرباع (75%) من مدراء تكنولوجيا المعلومات ويقال ان مفتوحة للتغيير، بزيادة ثماني نقاط مئوية عن العام الماضي. و64% راضون عن دورهم، بانخفاض 10%.

ولهذه التحديات آثار خطيرة على الأمن السيبراني داخل المنظمات. ويجب أن تكون معالجتها أولوية ملحة.

دور مرهق بشكل متزايد

لقد كان لدى CISOs دائمًا وظيفة مرهقة. من بين السائقين مؤخرًا:

  • ارتفاع مستويات التهديدات السيبرانية، مما يترك العديد من المؤسسات في وضع مكافحة الحرائق المستمر
  • نقص المهارات الصناعية الذي يترك الفرق الرئيسية تعاني من نقص الموظفين
  • عبء العمل المفرط بسبب زيادة متطلبات مجلس الإدارة
  • – الافتقار إلى الموارد والتمويل الكافي
  • عبء العمل الذي يجبر CISOs على العمل لساعات طويلة وإلغاء العطلات
  • التحول الرقمي، الذي يستمر في توسيع سطح الهجمات الإلكترونية للشركات
  • متطلبات الامتثال التي تستمر في النمو مع مرور كل عام

ليس من المستغرب أن ربع (24٪) قادة تكنولوجيا المعلومات والأمن العالميين اعترفت إلى العلاج الذاتي لتخفيف التوتر. لا تؤدي مستويات التوتر المتزايدة إلى زيادة احتمالية الإرهاق و/أو التقاعد المبكر فحسب، بل يمكن أن تؤدي إلى ضعف عملية اتخاذ القرار (كما أشار هذه الدراسةعلى سبيل المثال)، فضلاً عن التأثير على المهارات المعرفية والقدرة على التفكير العقلاني. في الواقع، لقد قيل أنه حتى توقع يوم مرهق في المستقبل يمكن أن يؤثر على الإدراك. حوالي ثلثي (65٪) من CISOs يعترف أن الإجهاد المرتبط بالعمل قد أضعف قدرتهم على الأداء في العمل.

يمارس التدقيق المزيد من الضغط على CISO

علاوة على هذا الخط الأساسي من التوتر، جاء المزيد من التدقيق التنظيمي والقانوني وتدقيق مجلس الإدارة خلال الأشهر الأخيرة. هناك ثلاثة أحداث أخيرة مفيدة:

  • مايو 2023: منظمات المجتمع المدني السابقة في أوبر، حكم على جو سوليفان إلى ثلاث سنوات تحت المراقبة بعد إدانته بارتكاب جريمتين تتعلقان بدوره في محاولة التستر على خرق ضخم عام 2016. يزعم المؤيدون أنه كان كبش فداء من قبل الرئيس التنفيذي آنذاك ترافيس كالانيك ومحامي أوبر الداخلي كريج كلارك، مع وأوضح سوليفان أن كالانيك قد وقع على دفعته المثيرة للجدل البالغة 100 ألف دولار للقراصنة.
  • أكتوبر 2023: في البداية، فرضت هيئة الأوراق المالية والبورصة رسومًا على SolarWinds CISO تيموثي براون للتقليل من شأن المخاطر السيبرانية أو الفشل في الكشف عنها مع المبالغة في تقدير الممارسات الأمنية للشركة. تشير الشكوى إلى العديد من التعليقات الداخلية التي أدلى بها براون وتزعم أنه فشل في حل أو رفع هذه المخاوف الخطيرة داخل الشركة.
  • ديسمبر 2023: قواعد الإبلاغ الجديدة لهيئة الأوراق المالية والبورصات تدخل حيز التنفيذ، مما يتطلب من الشركات المدرجة في البورصة الإبلاغ عن الحوادث السيبرانية “الجوهرية” في غضون أربعة أيام عمل من تحديد الأهمية النسبية. ستحتاج الشركات أيضًا إلى وصف عملياتها سنويًا لتقييم وتحديد وإدارة المخاطر وتأثير أي حوادث. وسيحتاجون إلى تفصيل إشراف مجلس الإدارة على المخاطر السيبرانية وخبرته في تقييم هذه المخاطر وإدارتها.

لا يقتصر الأمر على الولايات المتحدة فقط حيث يتم بناء الرقابة التنظيمية. إن توجيه NIS2 الجديد المقرر نقله إلى قانون الدول الأعضاء في الاتحاد الأوروبي بحلول أكتوبر 2024 يضع مسؤولية مباشرة على مجلس الإدارة للموافقة على تدابير إدارة المخاطر السيبرانية والإشراف على تنفيذها. يمكن أيضًا أن يتحمل أعضاء C-suite المسؤولية الشخصية إذا وجدوا إهمالًا في حالات الحوادث الخطيرة.

وفق محلل مجموعة إستراتيجية المؤسسات (EST) جون أولتسيكومع ذلك، فإن الضغط المتزايد الذي تفرضه مثل هذه التحركات على كبار مسؤولي أمن المعلومات يجعل مهمتهم الأساسية المتمثلة في الاستجابة للتهديدات وإدارة المخاطر السيبرانية أكثر صعوبة. كشفت دراسة حديثة عن الحوكمة البيئية والاجتماعية والحوكمة (ESG) أن مهام مثل العمل مع مجلس الإدارة، والإشراف على الامتثال التنظيمي، وإدارة الميزانية، تعمل على تحويل دور CISO من دور تقني إلى دور موجه نحو الأعمال. وفي الوقت نفسه، أصبح الاعتماد المتزايد على تكنولوجيا المعلومات لدعم التحول الرقمي ونجاح الأعمال أمرًا ساحقًا. تشير الدراسة إلى أن 65% من مدراء تكنولوجيا المعلومات قد فكروا في ترك مناصبهم بسبب التوتر.

cisos-الإرهاق-الإجهاد-المسؤولية

الوجبات السريعة لرؤساء أمن المعلومات ومجالس الإدارة

خلاصة القول هي أنه إذا كان كبار مسؤولي تكنولوجيا المعلومات يكافحون من أجل التعامل مع عبء العمل، وفي خوف من الانتقام التنظيمي وحتى المسؤولية الجنائية عن أفعالهم، فمن المرجح أن يتخذوا قرارات أسوأ يومًا بعد يوم. وقد يترك الكثير منهم هذه الصناعة. وسيكون لهذا تأثير ضار للغاية على قطاع يعاني بالفعل من نقص المهارات.

ولكن ليس من الضروري أن يكون الأمر على هذا النحو. هناك أشياء يمكن لكل من مجالس الإدارة ورؤساء أمن المعلومات القيام بها للتخفيف من حدة الوضع. من مصلحتهم أن يجدوا طريقة للتغلب على هذا. خذ بعين الاعتبار ما يلي:

  • يجب على مجالس الإدارة تقييم الصحة العقلية لكبار مسؤولي أمن المعلومات وعبء العمل والموارد وهياكل إعداد التقارير لتحسين فعاليتها. يمكن أن تؤدي معدلات الاستنزاف المرتفعة إلى فجوات طويلة بدون وجود رئيس أمناء أمن بدوام كامل، مما يثبط عزيمة الفرق ويؤثر على استراتيجية الأمان.
  • يجب على مجالس الإدارة مكافأة كبار مسؤولي أمن المعلومات بما يتماشى مع المخاطر المرتفعة التي ينطوي عليها دورهم الآن.
  • تعد المشاركة المنتظمة بين مجلس الإدارة ومسؤولي أمن المعلومات أمرًا ضروريًا، مع وجود خطوط إبلاغ مباشرة إلى الرئيس التنفيذي إن أمكن. سيساعد ذلك على تحسين التواصل بين الاثنين ورفع مكانة رئيس أمن المعلومات بما يتماشى مع مسؤولياتهم.
  • يجب على مجالس الإدارة تزويد كبار مسؤولي أمن المعلومات (CISOs) بها تأمين المديرين والموظفين (D&O). للمساعدة في عزلهم عن المخاطر الجسيمة.
  • يجب على CISOs الالتزام بالصناعة التي يحبونها، وتحمل مسؤولية أكبر بدلاً من الهروب منها. ولكن يجب عليهم أيضًا أن يتذكروا أن دورهم هو تقديم المشورة وتوفير السياق لمجلس الإدارة. دع الآخرين يقومون بالمكالمات الكبيرة.
  • يجب على CISOs دائمًا إعطاء الأولوية للشفافية والانفتاح، خاصة مع الهيئات التنظيمية.
  • يجب أن يكون CISOs على دراية بما يتم تداوله داخليًا والتأكد من تسجيل القرارات أو الطلبات المثيرة للجدل من C-suite كتابيًا دائمًا.

عند العثور على دور جديد، يجب على CISOs تعيين محامٍ شخصي لمراجعة عقدهم المحتمل بالتفصيل.

لتحسين استراتيجية الأمن السيبراني، يجب على مجالس الإدارة أن تبدأ بإعادة تقييم الدور الذي تريد أن يكون عليه دور رئيس أمن المعلومات. والخطوة التالية هي التأكد من أن متخصص الأمن السيبراني في هذا الدور لديه ما يكفي من الدعم والمكافأة الكافية لرغبته في البقاء هناك.



Source link

إرسال التعليق

تفقد ما فاتك