لماذا تحتاج المناصب التنفيذية العليا إلى الاهتمام أكثر بالمخاطر السيبرانية؟

4 دقائق

عندما يتعلق الأمر بالأمن السيبراني، غالباً ما تكون سلاسل الاتصالات الموجودة داخل المؤسسات في حالة من الفوضى، هذا إن كانت موجودة على الإطلاق. فقد تجرى محادثات متعددة حول المخاطر السيبرانية في العديد من الأقسام بشكل منفصل. وفي الوقت نفسه، يقيس شاغلو المناصب التنفيذية العليا تأثيرها المحتمل باستخدام مقاييس مختلفة، مالية وتنظيمية وتقنية وتشغيلية، مما يؤدي إلى تقديم تقييمات متضاربة. لذا، يجب على الرؤساء التنفيذيين معالجة نقاط الفصل هذه من خلال خلق ثقافة تعزز التواصل المفتوح، والشفافية حول نقاط الضعف، والتعاون للتصدي لحالات التعرض لتلك المخاطر.

تشهد المؤسسات، من الأحجام كلها، وفي القطاعات جميعها، زيادة هائلة في تعرضها للمخاطر السيبرانية. إذ يزداد عدد النقاط الطرفية التي تحتاج إلى حماية بدرجة كبيرة مع طلب المستهلكين للمزيد من التفاعلات الرقمية والأجهزة الذكية. (تقدر شركة "غارتنر" Gartner أنه سيكون هناك أكثر من 20 مليار جهاز متصل بالإنترنت بحلول عام 2020). وقد تحول الخصوم من أفراد سيئين إلى مجموعات إجرامية منظمة ذات قدرات عالية ودول قومية. وأصبح المشهد التنظيمي متغيراً على نحو متزايد، وفي بعض الأحيان متناقضاً، على المستويات المحلية والوطنية والدولية. والهجمات السيبرانية الشهيرة، مثل تلك التي عانت منها شركة "سوني بيكتشرز" Sony Pictures عام 2014 وهجمات برامج الفدية الخبيثة العالمية التي حدثت في الأعوام السابقة، تسلط الضوء على مخاطر ضخمة مالية ومتعلقة بالسمعة.

ولذا، يجب على الرؤساء التنفيذيين، الملتزمين بالسيطرة على تلك المخاطر دائمة التطور، كسر الصوامع المنعزلة الموجودة في مؤسساتهم، ليقيّموا الأبعاد الكاملة للمخاطر على صعيد المؤسسة، وليتصدوا لحالات التعرض للخطر على نحو شامل. وعواقب عدم فعل هذا قد تجعلهم يفقدون ثقة المساهمين والعملاء وحتى وظائفهم، كما اتضح من اختراق شركة "إكويفاكس" Equifax مؤخراً.

غالباً لا يتفق شاغلو المناصب التنفيذية العليا حول المخاطر السيبرانية، كما أن قنوات رفع التقارير تقوي الصوامع المنعزلة. على سبيل المثال، يفكر المستشار العام في المشكلة من جانب الامتثال لنُظم أمن المعلومات مثل "النظام الأوروبي العام لحماية البيانات" (General Data Protection Regulation) في قانون الاتحاد الأوروبي. ويقدم مدير أمن المعلومات والرئيس التنفيذي للمعلومات تقارير حول نقاط الضعف التقنية التي نجح فريقه أو فريقها في إصلاحها، ثم يدرس الرئيس التنفيذي للمخاطر المشكلة من ناحية نقل المخاطر والتأمين السيبراني الذي تم شراؤه، وينظر الرئيس التنفيذي للشؤون المالية للأمر من جانب الأثر المالي المحتمل.

فهذا الافتقار إلى التواصل والتنسيق بين المهام يجعل من الصعب للغاية تقييم أثر المخاطر السيبرانية على الأعمال ككل أو وضع أي مقاييس موحدة للقيام بهذا. وهذا بدوره يجعل من الصعب إيلاء الأولوية للمخاطر التي يلزم التعامل معها بشكل أكثر إلحاحاً، ويزيد من صعوبة توجيه الجهود والموارد على نحو مناسب.

هناك عدة خطوات يجب أن يتخذها الرؤساء التنفيذيون للاتفاق حول الأمور المتعلقة بالأمن السيبراني في مؤسساتهم.

أولاً يجب أن يلتقي الرؤساء التنفيذيون بمختلف الأعضاء في المناصب التنفيذية العليا ليتواصل المساهمون جميعاً، ويعملون في إطار من الشراكة، بغية تكوين صورة واقعية ومتكاملة للمخاطر التي تتعرض لها المؤسسة. ويشمل هذا: تحديد البيانات والأصول بالغة الأهمية التي قد تكون معرضة للخطر، وتقييم نقاط الضعف التقنية، وفهم المشهد العام للتهديدات، وتقدير العواقب المحتملة للهجمات السيبرانية ذات الصلة بالأمور التنظيمية والامتثال، وتحديد حجم الآثار المالية للهجمات (مثل تكاليف تعطل الأعمال، والدعاوى القضائية، وتكاليف المعالجة، وفقدان قيمة المؤسسة، والأضرار التي لحقت بالعلامة التجارية والسمعة)، ورسم صورة أكثر دقة لأثر ذلك على القيمة السهمية.

تتمثل الخطوة الثانية في خلق ثقافة تُشجع الموظفين على التحدث بصراحة حول التعرض للمخاطر السيبرانية دون خوف من حدوث تبعات سلبية. ونادراً ما يُحفز الرئيس التنفيذي الأعضاء الأساسيين في المناصب التنفيذية العليا، خصوصاً مدير أمن المعلومات أو الرئيس التنفيذي للمخاطر، ليبلغوا عن مدى خطوة ما تتعرض له الشركة من مخاطر أثناء مرحلة تطورها. ولأن المخاطر السيبرانية دينامية، يجب على الرؤساء التنفيذيين خلق بيئة تستوعب إجراء محادثات مستمرة حول الآثار المترتبة على أمن الأحداث الجديدة، مثل إدخال تقنيات ونُظم جديدة، والتهديدات السيبرانية الجديدة وعمليات الاندماج والاستحواذ التي تنطوي على الدمج بين نُظم المعلومات والثقافات الأمنية لمؤسسات مختلفة.

وينبغي للرؤساء التنفيذيين أن يتعرفوا على الأشخاص الذين لا يشغلون مناصب تنفيذية عليا، ويعملون في الأخاديد الأمنية. فكلما تحدث المسؤولون التنفيذيون مع مهندسي النُظم والفرق التقنية، ازداد شعورهم بالراحة تجاه طرح أسئلة حول أمن المؤسسة، فإذا قدّم الرئيس التنفيذي للمخاطر ومدير أمن المعلومات تقارير حول ما يسير بشكل جيد فقط، لن تقرع أجراس الإنذار عند وجود تهديدات.

ثالثاً، ينبغي للرؤساء التنفيذيين الاستعداد للهجمات السيبرانية للتأكد من أن كل فرد يعلم ما عليه فعله، وأن الجميع يتواصلون معاً بفاعلية أثناء الواقعة. كما ينبغي أن تكون هناك خطة مصممة خصيصاً للاستجابة للحوادث، وأن تُختبر بصفة منتظمة، من خلال شن هجمات صورية، وهو ما يُمكن أن يكشف أيضاً عن نقاط ضعف الشركة. يمكن أن تساعد الخطة في الحد من تعطل العمل، وتقليل الوقت الذي يستغرقه المهاجمون لسرقة البيانات بالغة الأهمية أو الأموال، وأيضاً خفض حجم الضرر.

يجب أن تتضمن خطة الاستجابة للحوادث أربع مراحل: الاستعداد، والفحص والتحليل، والاحتواء والإبادة والتعافي، ومرحلة ما بعد الحادثة.

تعد مرحلة الاستعداد هي المرحلة الأكثر أهمية، لأن وضع خطة للاستجابة للحادثة أثناء حدوثها لن يجدي نفعاً. ويساعد التخطيط أصحاب المصلحة جميعهم على فهم دورهم ومسؤولياتهم، بدءاً من ما الذي يُعد حادثة أمنية، إلى مَن يجب أن يشرع في تنفيذ الخطة. كما أنه يساعد القادة على التواصل بثقة خلال الحادثة الفعلية داخلياً مع كبار المسؤولين التنفيذيين وأعضاء مجلس الإدارة، وخارجياً مع العملاء والمستشارين الخارجيين وشركات التأمين والجهات التنظيمية وجهات إنفاذ القانون.

وفي مرحلة الفحص والتحليل، يحدد الفريق الأمني نطاق الحادثة ويجمع البيانات الضرورية لإجراء التحليل. والمرحلة الثالثة هي مرحلة الاحتواء، والتي يُمنع فيها الهجوم من الانتشار، عبر إزالة أي عدوى من النظام، وإصلاح نقاط الضعف المكتشفة. وتنطوي مرحلة ما بعد الحادثة على استعراض ما سار بشكل جيد، وما سار بشكل خاطئ، وما الذي يمكن فعله بشكل أفضل في المرة المقبلة.

يمكن لخبراء الأمن السيبراني الخارجيين المساعدة في تطوير الخطة، وإذا لم يشاركوا، يتعين على الرؤساء التنفيذيين على الأقل النظر في إشراك خبير واحد لاختبار فاعلية الخطة، والتأكد بشكل حاسم من أنهم أشركوا شركات خارجية في خدمات الاستجابة للحوادث قبل وقوعها. فبالتأكيد لن ترغب في أن تكافح لتتفاوض حول التفاصيل الدقيقة لبنود العقود أثناء التعرض للهجمة.

أخيراً، ينبغي للشركات استحداث مهمة داخلية، بقيادة الرئيس التنفيذي لإصلاح نقاط الضعف، بهدف إجراء تفتيشات دورية للتأكد من مدى استعداد الشركة. وهذه الوحدة، التي ينبغي أن تُقدم تقاريرها مباشرة إلى الرئيس التنفيذي، ينبغي أن تُدبر هجمات صورية على الشركة، إضافة إلى تلك الهجمات الصورية التي يشنها مدير أمن المعلومات أو الرئيس التنفيذي للمعلومات. وينبغي لها أيضاً الاستفادة من الخبراء الخارجيين في الأمن السيبراني، الذين يمتلكون رؤى محدثة حول أحدث الطرق والتهديدات والتوجهات ذات الصلة بالأمن السيبراني، ليقدموا رؤى محايدة وليساعدوا في انتقاد القرارات الإدارية.

يجب على الرئيس التنفيذي حشد الاختصاصات كلها سعياً إلى وضع مقاييس موحدة لتقييم المخاطر السيبرانية، وبذلك سوف يتحدث الجميع باللغة نفسها، وينبغي له أيضاً خلق ثقافة أمنية من خلال الحوار المفتوح والتخطيط والاختبار. ومن ثمَّ، عندما يطرح أسئلة من قبيل "ما هي أكبر المخاطر التي تواجهنا؟" و"ما هي أصولنا بالغة الأهمية؟" و"مَن لديه إمكانية الوصول إليها؟" و"ما هي سياستنا الحالية ذات الصلة بأمن المعلومات؟" و"وما هي خطتنا للاستجابة للحوادث؟"، سوف يَنتج عن ذلك تكوين صورة أكثر دقة.

فقط عندما يدرك الرؤساء التنفيذيون الحجم الحقيقي للمخاطر السيبرانية التي قد تتعرض لها مؤسساتهم، سوف يتمكنون من إعطاء الأولوية لتخصيص الموارد اللازمة لإدارة تلك المخاطر.

تنويه: يمكنكم مشاركة أي مقال من هارفارد بزنس ريفيو من خلال نشر رابط المقال أو الفيديو على أي من شبكات التواصل أو إعادة نشر تغريداتنا، لكن لا يمكن نسخ نص المقال نفسه ونشر النص في مكان آخر نظراً لأنه محمي بحقوق الملكية الدولية. إن نسخ نص المقال بدون إذن مسبق يعرض صاحبه للملاحقة القانونية دولياً.

جميع الحقوق محفوظة لشركة هارفارد بزنس ببليشنغ، بوسطن، الولايات المتحدة الأميركية 2024 .

المحتوى محمي