يحتل أمن الفضاء الإلكتروني مرتبة أكثر أهمية في جدول أعمال العديد من اجتماعات مجالس الإدارة بشكل متزايد وخاصة بعد تخصيص العناوين الرئيسية لتتصدرها أخبار الاختراقات الأمنية للبيانات، وهجمات البرامج الخبيثة التي تحجب الولوج إلى الشبكة طلباً للفدية، ومهاجمة نقاط الضعف في مختلف البرامج. إذ لا ترغب أي شركة في نهاية المطاف أن تصبح العلامة التجارية التالية التي تتصدر الصفحة الأولى من صحيفة "وول ستريت جورنال" أو يضطر مدراؤها التنفيذيون للإدلاء بشهادتهم أمام الكونغرس.
ولكن لا يشير إدراج أمن الفضاء الإلكتروني في جدول أعمال اجتماعات مجلس الإدارة إلى تمتع أعضاء مجلس الإدارة بالفهم الكافي لكيفية معالجة هذه المسألة. إذ يمتلك معظم أعضاء مجلس الإدارة خبرة واسعة في مجالات متعددة من المخاطر، ولكن لا تشمل هذه الخبرة كيفية حماية أصول الشركة من المهاجمين الذين يستهدفون شركات دولة محددة أو من الخصوم المنظمين للغاية على صعيد أمن الفضاء الإلكتروني.
لكن الخبر السار هنا، هو توفر العديد من الخطوات العملية التي لا تتطلب خبرات إلكترونية عميقة والتي تمكّن المدراء من حماية شركاتهم.
ساعد المدراء التنفيذيين المسؤولين عن أمن المعلومات في فهم الأعمال بشكل أفضل
في حين يُشتهر المدراء التنفيذيون المسؤولون عن النواحي الأمنية بعرقلة عمليات الشركة وإعاقة تطوير منتجاتها بما لديهم من أعباء تقنية، يتمثل دورهم في الواقع بدعم الأعمال التجارية، إذ تعتمد وظيفتهم على ذلك. يمكن للمدراء التأكد من أن الخطة الأمنية للشركة تتماشى مع الأهداف التجارية من خلال إشراك المسؤولين الأمنيين في مناقشة أولويات العمل سواء كانت حالية أو طويلة الأجل، وقضايا العملاء، والاستراتيجيات العامة.
ومن الناحية المثالية، يجب على المدراء الأمنيين حضور اجتماعات مجلس الإدارة على نحو مماثل لحضور كبير المسؤولين الماليين. وإذا تعذر ذلك، فينبغي على المجلس أن يطلعهم في أقل تقدير على مشاريع الشركة وأن تتاح لهم فرصة إبداء الرأي من خلال تقديم خطط وظيفية لدعم أولويات الشركة.
عند اللقاء مع القادة الأمنيين، ينبغي أن يسألهم المدراء عن طريقة استفادة الشركة من خطة أمن الفضاء الإلكتروني في تحقيق أحد أو بعض الأهداف التالية: الإيرادات، والتكلفة، والهامش، ورضا العملاء، وكفاءة الموظفين، والاستراتيجية. وفي حين أن هذه المصطلحات مألوفة لأعضاء مجلس الإدارة والمدراء التنفيذيين في مجال الأعمال، يحتاج القادة الأمنيون إلى إرشادات حول كيفية تأطير واجبات قسمهم في سياق العمليات التجارية.
تأكد من تضمين الجانب الأمني في المناقشات التي تدور حول المنتجات والخدمات الجديدة
غالباً ما يتم التعامل مع الناحية الأمنية في نهاية الأمر، أو حتى أسوأ من ذلك، بعد اكتشاف عيب في منتج يتم بيعه بالفعل. ويؤدي دمج الأمن في المراحل الباكرة من تطوير المنتجات إلى عروض أكثر أمناً، ويمكن أن يكفي الشركات عناء التكاليف، والمتاعب، والحرج العلني المحتمل الذي يصاحب التعديلات التي تُضاف إلى الإجراءات الأمنية لاحقاً.
تأكد من أن الشركة تطور منهج أمن الفضاء الإلكتروني وتنفذه على صعيد الموظفين كافة
يجب أن يتضمن منهج التعلم أمثلة عملية حول كيفية تأثير الحوادث الأمنية على الشركة. إذ لا تستهدف الحكايات التحذيرية نشر الخوف بالطبع. بل بدلاً من ذلك، ينبغي لهذه الأمثلة أن تحول أمن الفضاء الإلكتروني من مفهوم غامض إلى سيناريوهات ملموسة يفهمها الجميع.
خطط مسبقاً لكيفية التعامل مع الحوادث الأمنية
ينبغي على الشركات قبول أنه على الرغم من بذلها أفضل الجهود الدفاعية، فمن المرجح أن يتم اختراقها في مرحلة ما. ويتعين على مجالس الإدارة أن تسأل عن خطة الاستجابة للحوادث الخاصة بالشركة وأن تضمن أنها قيد العمل، وتضمن كذلك توفر خطط طارئة لمواجهة أسوأ السيناريوهات، أو الهجمات المتعددة، أو عندما تتأثر أطراف أُخرى بالموضوع.
كما يجب أن يتأكد أعضاء مجلس الإدارة من شمولية الخطة: إذ عند حصول هجوم أمني، يمكن أن يكون التسويق، والاتصالات في أثناء الأزمات، والتخفيف من وطأة المخاطر، واتخاذ القرارات الآنية أمراً مربكاً، ما يؤدي إلى ارتكاب أخطاء. وبالإضافة إلى إشراك موظفي تكنولوجيا المعلومات والأمن، ينبغي أن تعين الخطة لجنة مخاطر متعددة الوظائف تتمتع بسلطة تنفيذية كاملة. وينبغي أن تشمل الخطة موظفي التسويق والموظفين القانونيين أيضاً للتعامل مع جهود العلاقات العامة أو الامتثال للوائح الحكومية المتعلقة بالكشف العلني عن الانتهاكات.
ركز على الثقافة بقدر تركيزك على التكنولوجيا
يتخطى الجانب الأمني مجرد الاكتفاء بشراء برامج مكافحة الفيروسات وإجراء اختبار الاختراق. فهو يستلزم تغيير ثقافة الشركة ومساعدة الموظفين على إدراك دورهم في الحفاظ على أمن الملكية الفكرية ومعلومات العملاء وغيرها من البيانات التجارية، إذ لا تقتصر هذه المهمة على موظفي الأمن وتكنولوجيا المعلومات، بل تتطلب من الشركة بأكملها بذل قصارى الجهد في هذا المجال.
ينبغي من الناحية المثالية أن تزيل مجالس الإدارة العقبات التي تمنع الشركات من تطوير ثقافة الأمن الاستباقي. ومن غير المحتمل أن تطوّر الشركات إجراءات فعالة في مجال أمن الفضاء الإلكتروني دون دعم قوي من الإدارة التنفيذية ومجلس الإدارة. ينبغي أن يتأكد المدراء من أن تكون النفقات التشغيلية والنفقات الرأسمالية متسقة مع أولويات ومشاريع الحد من المخاطر، إذ إنه في نهاية المطاف، لا تُتخذ الإجراءات الأمنية لمجرد الرغبة في الحصول عليها لذاتها، بل لدعم الشركة.