الشركات بحاجة إلى إعادة النظر في ماهية قيادة الأمن السيبراني

5 دقائق
قيادة الأمن السيبراني
استمع الى المقالة الآن هذه الخدمة تجريبية
Play Audio Pause Audio

بالنسبة لموضوع قيادة الأمن السيبراني والأعمال اليوم، فإنّ الخطر السيبراني موجود في كل مكان. وما زالت الشركات تواجه صعوبة في جعل الأمن السيبراني جزءاً مزدهراً ومهماً من الاستراتيجية والعمليات والثقافة، على الرغم من جميع الاستثمارات التي قامت بها لتأمين أنظمتها وحماية زبائنها. وينقسم السبب الرئيس إلى شقين: (1) يُعامل الأمن السيبراني كأحد وظائف المكاتب الخلفية و(2) يعتبر معظم قادة الأمن السيبراني غير مؤهلين لممارسة نفوذ استراتيجي. ونظراً إلى أنّ متوسط فترة شغل قادة الأمن السيبراني لمنصبهم تبلغ 18 شهراً فقط، فمن الواضح أنه لا بد من تغيير شيء ما. فما هو معنى الأمن السيبراني الذي يجب علينا فهمه؟

لطالما توقعت الشركات من رؤساء أمن المعلومات ورؤساء الأمن التركيز على مهام فنية، ولم تتوقع منهم أكثر من ذلك. فلدى قادة الأمن السيبراني هدف كبير بالغ الأهمية يتمثل في حماية العمل، لكن عندما تتخذ الشركات قرارات استراتيجية كبيرة، تتعلق بنماذج الأعمال والاستراتيجية الرقمية ومزيج المنتجات وعمليات الاندماج والاستحواذ، يكون الأمر السيبراني أمراً ثانوياً. وهذا يعني أنّ الشركات تخسر القيمة التي يمكن أن توفرها تلك الإدارة المختصة. (ليست مختلفة عن الوضع الذي يجد كثير من مدراء التسويق أنفسهم فيه).

كان هذا النهج مقبولاً في السابق، عندما كانت التهديدات أبطأ وأقل تعقيداً، لكنه لم يعد كافياً. يجب على قادة الأمن السيبراني اليوم دمج الأمن على مستوى عمليات الشركة، والاستجابة بسرعة إلى التهديدات، والتأثير على زملائهم من كبار القادة. وباختصار، يجب أن يمتلكوا القدرة على القيادة. وهذا يعني أنّ على الشركات توظيف تنفيذيين أمنيين ممن يمتلكون المهارات لفعل ذلك، والقيام بتطويرهم.

كيفية قيادة الأمن السيبراني ضمن الشركات بنجاح

حان الوقت لمجالس الإدارة والتنفيذيين في المناصب التنفيذية العليا كي يغيروا توقعاتهم بشأن وصف الأمن السيبراني ومعنى قائد السيبراني. ويشير بحث أجري بالتعاون مع مؤسسة “نيو أميركا فاونديشن” (New America) (حيث أنا زميل متخصص في سياسات الأمن السيبراني)، إلى جانب ملاحظاتي من عشرات المشاركات الاستشارية، إلى إطار عمل لما يجب أن يفعله قادة الأعمال لدفع عجلة النجاح على صعيد الأمن السيبراني.

1. حدّد نواياك فيما يتعلق باستراتيجية الأمن السيبراني:

ما هي المخرجات التي تنشدها؟ لا يوجد نهج موحّد يناسب جميع الأعمال لأنّ كل عمل يواجه مجموعة مخاطر مميزة. وعلى أي حال، توجد بضعة خيارات رئيسة يتعين على جميع الشركات مراعاتها في بناء استراتيجيتها، وهي: استمرار العمل، وحماية العلامة، والامتثال، ونمو الإيرادات. ستؤثر ظروف عملك في خياراتك، حيث سترغب بالتفكير بشأن عوامل مثل الضغط التنظيمي والتعرض للمخاطر وما يقدِّره الزبائن. فمثلاً، قد تقوم شركة خدمات كهربائية بتفضيل استمرار العمل لضمان أعلى فترة تشغيل للخدمة في سوق تشهد ضغوطاً في التكلفة، بينما يمكن أن يركّز أحد مصنّعي خدمات إنترنت الأشياء على النمو، ويراهن على قدرة الأمن السيبراني على أن يكون عاملاً فارقاً وأن يبرر الأسعار المرتفعة.

اقرأ أيضاً: البصمة البيولوجية لن تحل أزمة الأمن في بياناتنا

يجب على قادة الأعمال أن يقوموا بتحليل سبب استخدام الأمن السيبراني بشكل عميق وأن يكونوا واضحين جداً فيما يتعلق بخيارهم. وستتفرع الاستراتيجية المختارة إلى أنشطة تشغيلية، ستدفع بدورها إلى تحقيق مخرجات الأعمال. ولا يمكنك تحمل أن تكون بلا هدف أو شمولياً مع استراتيجيتك الخاصة بالأمن السيبراني، حيث هناك الكثير على المحك.

2. قم بخلق مكانة لإدارة الأمن السيبراني كي تكون ذات تأثير:

بهذا المعنى، فإنّ “خلق المكانة” يشمل المكان والسلطة والحوافز. من السهل التخلف عن تعيين الأمن السيبراني داخل الإدارة المختصة بتكنولوجيا المعلومات (تحت إدارة كبير موظفي المعلومات)، لكن وضع عمليات تكنولوجيا المعلومات وأمنها تحت سقف واحد، وإدراجها في نفس الموازنة، يمكن أن يؤدي إلى مشاكل.

قبل اتخاذ قرار بشأن المكان الذي سيوضع فيه الأمن السيبراني، حدّد أنواع التأثير التي تريد له امتلاكها. تعمل الأعمال ضمن بيئات عمل متكاملة وممتدة، بينما لا تكون البنية التحتية الرقمية والبيانات مشمولة بإحكام، ولا بد من تكييف الأمن السيبراني مع عناصر محددة. فمثلاً، إذا كانت احتياجاتك السيبرانية مرتفعة بشكل خاص في البحث والتطوير والتصنيع ودعم الزبائن، فستحتاج إلى تأهيل الإدارة ليكون لها أثر جانبي. ويعتبر إعطاء قائد الأمن السيبراني والبرنامج السيبراني سلطة مناسبة مهم أيضاً، حيث يجب أن يمتلكا نفوذاً سياسياً وتفويضاً عالي المستوى لتخطيط التغيير على مستوى العمل.

اقرأ أيضاً: الأمن السيبراني الأفضل يبدأ بتقويم عادات موظفيك السيئة

وأخيراً، يجب على قادة الأعمال تحفيز أصحاب المصلحة المناسبين للعمل بشكل وثيق مع إدارة الأمن السيبراني نظراً لأنّ الأمن السيبراني لا يمكن أن يعمل في فراغ. وفي قسم إدارة سلسلة التوريد، على سبيل المثال، قد ترغب أن تكون “فحوصات” الأمن السيبراني جزءاً من عملية تقييم شركاء الأعمال المحتملين، بينما تريد في وحدة التصنيع أن تضمن تثبيت آلات آمنة داخل المصنع. تقوم إحدى الشركات العالمية المختصة بصناعة المستحضرات الصيدلانية، والتي عملت معها، بتحفيز سلوك “أفضل” من خلال تصميم مؤشرا أداء رئيسة سيبرانية لكل وحدة عمل، ما ينتج ضغط أقران صحي يشجِّع التنفيذيين على التعاون مع الإدارة المختصة بالأمن السيبراني، ونشر مكافآت لأولئك القادة الذين تقوم إداراتهم بذلك.

3. قم بتعيين قائد الأمن السيبراني الذي يناسب احتياجاتك:

من الواضح أنّ هوية الشخص مهمة للمناصب القيادية الحساسة، لذا فمن الجدير تحليل السمات التي تبحث عنها. ويتعين على مجالس الإدارة والتنفيذيين في المناصب التنفيذية العليا تفضيل العقلية على المهارات الفنية عند النظر في قادة الأمن السيبراني وتقييمهم. وبالنظر إلى ما يفعله قادة الأمن السيبراني الناجحون، تبرز سمات العقلية، مثل امتلاك نظرة عالمية واسعة، وفهم كيف لعلم الأعصاب أن يعزز القيادة، والشغف إزاء تنمية الآخرين، والتعطش بشدة للتعلم.

تتعارض هذه العقلية بشكل صارخ مع مجموعة المهارات، وهي محور التركيز الأكبر لدى مجتمع الأمن السيبراني حتى الآن. وبينما تتطلب المؤسسات مهارات سيبرانية رئيسة مثل أمن الشبكة، واستقصاء التهديدات، والاستجابة للحوادث، يتعين ألا تكون هذه الأمور المقياس الذي يستخدم لتقييم قادة الأمن السيبراني. بالتأكيد يجب على قادة الأمن السيبراني تقدير هذه الإمكانات الفنية وأن يكون لديهم موظفون للتعامل معها، لكن القادة أنفسهم بحاجة إلى شيء مختلف، صوت مؤثر في استراتيجية العمل، وقرارات تكنولوجية، وإدارة مخاطر على مستوى الشركة.

اقرأ أيضاً: كيف تحسّن الأمن الرقمي في مؤسستك؟

ولجعل هذا واقعاً، فإنّ عليهم بناء علاقات محكمة على مستوى بيئة العمل المتكاملة بالتزامن مع هيكلة الفرق وتنميتها وتمكينها. كما يجب عليهم ترجمة المفاهيم الفنية المجردة إلى رسائل تستحوذ على اهتمام كبار القادة منطقياً وعاطفياً، وتحثهم على المساهمة. وما يعنيه ذلك هو أنه تماماً كما أنّ الشخص الأفضل لقيادة التحول الرقمي ليس بالضرورة خبيراً رقمياً، فإنّ أفضل قائد للأمن السيبراني ربما يكون أحد التنفيذيين المعتمدين من غير ذوي الخبرة بالأمن السيبراني ولكنه يعرف العمل، ويمتلك علاقات مهمة على مستوى الشركة، ويولي تقديراً عاماً للتكنولوجيا. ووظيفتك هي إيجاد ذلك الشخص وضمان عمله كقوة نشطة ومستمرة داخل الشركة.

من خلال أبحاث مؤسسة “نيو أميركا فاونديشن” وعملي الاستشاري، فقد رأيت كيف لإطار العمل هذا أن يساعد في تقليل المخاطر في العمل، وتقليص الاحتكاك مع الجهات الرقابية، ووضع ضوابط للتكنولوجيا والأمن، وزيادة الميزة التنافسية. كما رأيت أنّ إنجاز تقدم ملموس يتطلب التحلي بروح المبادرة بشكل أساسي من القمة إلى القاعدة في أوساط قادة الشركة، وإلا فسيكون الجمود كبيراً جداً، ويبقى الأمن السيبراني بمثابة نشاط غير مهم في المكاتب الخلفية.

اقرأ أيضاً: تعلّم الأمن السيبراني ضروري للحصول على شهادة في علوم الحاسب الآلي

تجاوزنا الآن مرحلة العلاج التدريجي لثغرات قيادة الأمن السيبراني، واحدة تلو الأخرى. ويمكن للإدارة المختصة بالأمن السيبراني أن تكون مكوّناً أساسياً لنجاح الأعمال، ويتعين أن تكون كذلك. ومن أجل أن يتحقق ذلك، يتعين على التنفيذيين أن يتقبلوا دورهم في دمج الأمن السيبراني على مستوى المشهد العام للشركة، وتطوير القادة المناسبين لازدهار هذه الإدارة.

اقرأ أيضاً: تطوير الأمن السيبراني يعني الاهتمام أكثر بالمحتوى الذي ندخله للعالم الرقمي

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشنغ، بوسطن، الولايات المتحدة الأميركية 2024 .

Content is protected !!