تزخر عناوين الصحف اليوم بأخبار عن انتهاكات متعلقة بالبيانات، وهجمات فيروس رانسوم وير، والهجمات القائمة على استغلال نقاط الضعف المعروفة باسم "ثغرة زيرو داي"، وهو ما قد يجعل قضية الأمن السيبراني تظهر على نحو أكثر تواتراً على جداول أعمال العديد من اجتماعات مجالس الإدارة، إذ لا تريد أي شركة أن تصبح العلامة التجارية التالية التي يرد ذكرها على الصفحة الرئيسة لصحيفة "وول ستريت جورنال"، أو التي يُدلي رؤساؤها التنفيذيون بشهاداتهم أمام الكونغرس.

خلال شهر رمضان المبارك فقط: استفد من خصم 30% على الاشتراكات الرقمية السنوية والنصف سنوية

ورغم أن قضية الأمن السيبراني أصبحت اليوم على جداول أعمال اجتماعات مجالس الإدارة، فهذا لا يعني أن أعضاءها يفهمون كيفية معالجة هذه المشكلة، ذلك أن خبراتهم تنحصر في أشكال أخرى من المخاطر، وليس في كيفية حماية أصول الشركات من المهاجمين من الدول القومية والخصوم السيبرانيين الذين يتمتعون بدرجة عالية من التنظيم.

والخبر السار هو وجود العديد من الخطوات العملية التي لا تتطلب خبرة سيبرانية متعمقة، والتي يُمكن أن يتخذها المدراء لحماية مؤسساتهم:

مساعدة المسؤولين التنفيذيين المعنيين بأمن المعلومات على فهم الأعمال التجارية. في حين يمتلك المسؤولون التنفيذيون للأمن سمعة عرقلة العمليات وتطوير المنتجات مع توليهم أعباء إدارة العمليات التقنية، إلا أن دورهم ينطوي في الواقع على تمكين الأعمال التجارية، وتعتمد وظيفتهم على هذا الدور بالفعل. كما أن إشراكهم في المناقشات التي تدور حول أولويات العمل الفورية وطويلة الأجل، وقضايا الزبائن، والاستراتيجيات الشاملة يتيح للمدراء ضمان أن تكون خطة أمن الشركة متوائمة مع أهداف الشركة التجارية.

من الناحية المثالية، يجب أن يحضر مسؤولو الأمن التنفيذيون اجتماعات مجلس الإدارة، مثل الرؤساء التنفيذيين للشؤون المالية. وفي حال تعذّر ذلك، يجب إطلاعهم على مشاريع المؤسسة من قبل مجلس الإدارة على الأقل، وأن تتاح لهم فرصة الاستجابة بخطط وظيفية لدعم أولويات الشركة العليا.

وعند الاجتماع مع قادة الأمن، يجب على مدراء الإدارة أن يناقشوا أهمية خطة الأمن السيبراني في تحقيق بعض أهداف الشركة النهائية المتمثّلة في الإيرادات، والتكلفة، وهامش الربح، ورضا العملاء، وكفاءة الموظفين، أو الاستراتيجية. ورغم أن هذه الشروط مألوفة لدى أعضاء مجالس الإدارة والمسؤولين التنفيذيين للشركة، فقد يحتاج قادة الأمن إلى إرشادات حول كيفية تأطير واجبات إداراتهم في سياق العمليات التجارية.

تأكد من تضمين موضوع الأمن في المناقشات التي تدور حول المنتجات والخدمات الجديدة. غالباً ما يجري التعليق على قضية الأمن في نهاية الاجتماعات، أو بعد اكتشاف عيب في منتج بيع بالفعل، إلا أن دمج قضية الأمن في المراحل المبكرة من تطوير المنتجات يُسفر عن تقديم عروض أكثر أماناً وأمناً، ويحمي الشركات من النفقات والمتاعب والإحراج العام المحتمل الذي يصاحب عملية إدخال التحديثات الأمنية.

تأكد من وضع المؤسسة لمنهج للأمن السيبراني، وتطبيقه على الموظفين جميعاً. يجب أن يتضمن المنهج التعليمي أمثلة عملية حول أثر الحوادث الأمنية على المؤسسة. ولا يقصد من ذكر هذه القصص التحذيرية نشر الخوف، بدلاً من ذلك، يجب أن تحوّل هذه الأمثلة مصطلح الأمن السيبراني من مفهوم غامض إلى سيناريوهات ملموسة يفهمها الجميع.

خطط مسبقاً للحوادث الأمنية. يجب على الشركات أن تدرك أنه رغم بذلها قصارى جهدها الدفاعي، إلا أنها قد تتعرض إلى اختراق أمني في مرحلة ما. ويجب على مجالس الإدارة أن تسأل عن خطة الشركة فيما يخص الاستجابة للحوادث والتأكد من تطبيقها، وأن تضمن وجود طرق للتصدي لحالات الطوارئ في السيناريوهات الخطيرة أو الحوادث المتعددة أو عند تضرر أطراف ثالثة.

كما يجب على أعضاء مجلس الإدارة أيضاً التأكد من أن تكون الخطة شاملة، فقد تكون إجراءات التسويق، والتواصل في حالة الأزمات، وتخفيف المخاطر، وصنع القرار في لحظة الحوادث عوامل بالغة الأهمية وتُسفر عن حدوث أخطاء. وإضافة إلى إشراك موظفي تكنولوجيا المعلومات والأمن، ينبغي أن تتضمن الخطة تكليف لجنة مخاطر متعددة التخصصات تتمتع بكامل الصلاحيات التنفيذية. ومن الضروري أن تشمل الخطة موظفي التسويق والموظفين القانونيين، للتعامل مع جهود العلاقات العامة أو الامتثال للقوانين الحكومية المتعلقة بالإفصاح العلني عن الانتهاكات.

ركز على الثقافة بقدر تركيزك على التكنولوجيا. لا ينطوي الأمن على مجرد شراء برامج مكافحة الفيروسات وإجراء اختبارات الاختراق، وإنما يستلزم تغيير ثقافة الشركة، ومساعدة الموظفين في إدراك أن واجب الحفاظ على أمن الملكية الفكرية ومعلومات الزبائن وبيانات العمل الأخرى لا يقتصر على موظفي الأمن وتكنولوجيا المعلومات، بل هو مهمة تتطلب جهود موظفي الشركة كلها.

ومن الناحية المثالية، ينبغي على مجالس الإدارة إزالة العقبات التي تُعيق المؤسسات من تطوير ثقافة الأمن الاستباقي، ومن غير المحتمل أن تطور الشركات ممارسات قوية للأمن السيبراني دون دعم قوي من الإدارة التنفيذية ومجلس الإدارة. ويجب على مدراء الإدارة التأكد من توافق النفقات التشغيلية والنفقات الرأسمالية مع أولويات الحد من المخاطر ومشاريعها، لأن إرساء الأمن لا يُعتبر هدفاً بحد ذاته، وإنما هو ضرورة لحماية الشركة.

وقد يصبح الإلمام بقضية الأمن السيبراني أمراً ضرورياً لمعظم المدراء في المستقبل. لكن في الوقت الحالي، يمكن اتخاذ العديد من الخطوات العملية على المستوى الإداري لتقليل مخاطر الهجمات السيبرانية بشكل كبير.

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

ﺟﻣﯾﻊ اﻟﺣﻘوق ﻣﺣﻔوظﺔ ﻟﺷرﻛﺔ ھﺎرﻓﺎرد ﺑزﻧس ﺑﺑﻠﯾﺷﻧﻎ، ﺑوﺳطن، اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻷﻣﯾرﻛﯾﺔ - 2020

اترك تعليق

قم بـ تسجيل الدخول لتستطيع التعليق
avatar
  شارك  
التنبيه لـ
error: المحتوى محمي !!