ما يلزم لتصبح مدير أمان المعلومات (CISO): النجاح والقيادة في أمان تكنولوجيا المعلومات في الشركات

يناير 10, 2019

كيف ينظر شاغلو منصب مدير أمان المعلومات أو ما يناظره لأمان الإنترنت؟ ما المشكلات التي تعترضهم؟ لمعرفة إجابات هذه الأسئلة، طرحت Kaspersky Lab استبيانًا شارك فيه 250 مديرًا أمنيًا من جميع أنحاء العالم. وأتت آراؤهم مثيرة للاهتمام جدًا، برغم أنني لا أستطيع أن أجزم أنني أتفق تمامًا مع كل زملائي.

لنلق نظرة على السؤال الذي تناول مسألة قياس مؤشرات الأداء الأساسية لمدير أمان المعلومات (CISO). ليس من المفاجئ أن معظم من أجاب قالوا إن معيار وظيفتهم الأساسي هو جودة معالجة الاستجابة للحادثة وسرعتها. في الشركات الحديثة، لا يحبذ الناس التفكير في حوادث الإنترنت كفشل في الأمان. ومن الجيد ملاحظة أن معظم المتخصصين قد بدأوا في إدراك أن الحوادث أمر حتمي وعادي أيضًا. اليوم، يُعد أمان الإنترنت – قبل كل شيء- تحدي بقاء للشركة.

وأعني بالدوام أن يكون للشركة مستوى حماية يضمن أنه في حالة تعرض الشركة إلى هجوم لخطر متقدم متواصل, أو تسرب البيانات أو هجوم DDoS هائل، يمكن للشركة أن تستعيد ذاتها بدون أضرار جسيمة أو عدم فقدان أكثر من الحد الأدنى المحدد مسبقًا. بعبارة أخرى، يركز مديرو أمان المعلومات اليوم على الاستجابة للحادثة.

من ناحية، هذا أمر رائع حقًا. فمنذ بضعة أعوام مضت، سادت نظرة “بلا حوادث” لحماية الإنترنت، وظنت الشركات أنه بمقدور مديري أمان المعلومات حماية البنية التحتية من الحوادث بضمان لا يرقى إليه شك. ولكن من ناحية أخرى، فالتركيز على التقنيات التفاعلية فحسب ليس بالأمر الأفضل. بالسنبة لي، يجب على مديري أمان المعلومات إحداث توازن. فكل عنصر من عناصر الهيكل الأمني المتوائم وهي الوقاية والاكتشاف والاستجابة والتكهن، له أهميته.

الحديث عن المخاطر

يتفق معظم مديري أمان المعلومات على أن أكبر المخاطر على المؤسسة بعد الاختراق هو أي ضرر ينال من السمعة. وأنا أتفق مع ذلك تمامًا. وسأجيب على ذلك بنفس الطريقة. إن الضرر المتعلق بالسمعة هو أساس كل تداعيات الحوادث الأخرى — كهبوط الأسهم وثقة العميل والمبيعات وما إلى ذلك.

إن السمعة هي السبب الحقيقي وراء عدم سماع أي شيء بخصوص أغلبية حوادث الأمان. تتستر الشركات على حوادث الإنترنت إذا تمكنت من ذلك — برغم وجود قوانين في بعض الدول تلزم الشركات بالإفصاح عن أي معلومات حيال مشاكل الأمان لحملة أسهمها أو عملائها.

على ما يبدو، فإن مديري أمان المعلومات يرون الاختلافات في دوافع مجرمي الإنترنت وبإمكانهم التفريق بين الهجمات التي ترعاها الدولة والجرائم ذات الدوافع المالية. ولكن بالنسبة لي، سأضع الهجمات الداخلية في المرتبة الأولى. بخصوص الخسائر، فهي الأكثر خطورة — والخبرة أثبتت أنه من المحتمل أن يتسبب موظف غير أمين في ضرر أكبر بكثير من مجرمين خارجيين.

التأثير في قرارات الشركات

كان من المثير للاهتمام رؤية مشاركة مديري الأمان في اتخاذ قرارات الشركات. لقد فوجئت عندما علمت أن الجميع لا يعدون أنفسهم مشاركين بشكلٍ كافٍ. ولكن ما الذي يعدونه “كافيًا”؟

في الأساس، هناك استراتيجيتان. يمكن لمسؤول الأمان أن يتحكم في كل خطوة يتخذها الكيان التجاري، موافقًا على كل خطوة. أو يمكنه أن يشغل منصب الاستشاري، حيث تستفسر منه الشركة ما إذا كانت طريقتها سليمة.

للوهلة الأولى، يبدو التحكم التام أكثر فعّالية — وسيكون الأمر كذلك، إن كان أمان اٌلإنترنت هو هدفًا في حد ذاته. في الواقع، يتطلب هذا الأسلوب المزيد من الموظفين كما يبطئ من تطور الشركة. يمكن أن يكون ذلك تحديًا على وجه الخصوص للشركات المبتكرة التي تستخدم عمليات الأعمال لا تتمتع بأفضل ممارسات الحماية حتى الآن.

مبررات الميزانية

إن الإجابات على سؤال “كيف تبرر ميزانيتك بدون عائد استثمار واضح؟” تضايقني. يبدو أن أكثر وسائل التبرير شهرة هي تكتيكات الترويع — أي تقارير اختراق أمان الإنترنت وتقييمات الأضرار التي تم إلحاقها بالشركة بواسطة هجمات سابقة. نعم إن هذا الأمر ناجح — كأول مرة وربما المرة الثانية. ولكن عندما تحل المرة الثالثة، ستكون الإجابة كالآتي “حسنًا هذا مخيف. كيف يدير الآخرون الأمور؟”

إن معرفة ما مرت به الشركات الأخرى يُعد أكثر أهمية لأي كيان للأعمال. ولسوء الحظ، جاءت “معايير الصناعة وأفضل الممارسات” في المرتبة السابعة في قائمة الحجج، على الرغم من أنه يمكن معرفة هذه المعلومات في العلن. على سبيل المثال، لدينا أداة مفيدة، وهي: IT Security Calculator.