يطرح أعضاء كل فريق تنفيذي ومجلس إدارة على أنفسهم السؤال نفسه فيما يخص القلق من الخطر السيبراني الذي يحدق بهم الآن: ما الذي يمكن أن نفعله على نحو مختلف لنتفادى ما نال من شركة "إكويفاكس" (Equifax) أو شركة "ياهو!" (Yahoo!) أو شركة "تارغت" (Target)، ونحمي القيمة السهمية للشركة؟
تنطوي الإجابة أساساً على إعادة صياغة واحد من الأركان الأساسية للمناصب التنفيذية العليا، ألا وهو دور الرئيس التنفيذي للشؤون المالية. لم يكن كافياً أو مقبولاً أن ينصب تركيز الرئيس التنفيذي للشؤون المالية ببساطة على إدارة المخاطر المالية لشركة ما. ففي هذا العصر الجديد، نحن في حاجة إلى التعاون مع مدراء أمن المعلومات لدينا للتعامل مع فجوة التعرض للهجمات السيبرانية، والمساحة المكشوفة الفاصلة بين التهديدات المعروفة الجاري التعاطي معها وتلك التي لا يتم التعامل معها، إما لأن الأدوات الأمنية ليست كافية وإما لأن التهديدات تتوارى عن الأنظار. وكلما اتسعت الفجوة، عظم خطر الحوادث التي يمكن أن تُكلف الملايين من الدولارات المهدرة في تنظيف البيانات، وفرص الأعمال الضائعة، وقيمة الأسهم المتراجعة.
اقرأ أيضاً: إنترنت الأشياء سيغير كل شيء عن الأمن السيبراني
استراتيجيات الرؤساء التنفيذيين لحماية أمن المعلومات
يُطبق الرؤساء التنفيذيون للشؤون المالية في الشركات الأكثر دراية بالمخاطر هذه الاستراتيجيات.
التَشارك مع مدير أمن المعلومات لدى الشركة
يحتاج الرؤساء التنفيذيون للشؤون المالية إلى التعاون مع مدراء أمن المعلومات لفهم الخطر الأمني الذي يتهدد شركاتهم التكاليف المالية المرتبطة بذلك. هناك انفصام الآن بين غالبية الرؤساء التنفيذيين للشؤون المالية وممارسي الأمن متى تعلق الأمر بتحصين الشركة ضد الهجمات السيبرانية: أثبتت البيانات الحديثة أن 39% من ممارسي تقنية المعلومات لا يعتقدون أن إدارتهم العليا تستوعب الأثر الذي يمكن أن يُحدثه الخرق الأمني في سمعة شركتهم. وعندما يصبح الرئيس التنفيذي للشؤون المالية عضواً نشطاً ضمن الفريق الأمني، بدلاً من أن يظل مراقباً سلبياً للمشهد، سيكون بوسعه - هو والرئيس التنفيذي وبقية العاملين في المناصب التنفيذية العليا - تقليص إهدار الإيرادات إلى حد كبير، عبر مجموعة من التقنيات الأمنية السيبرانية الأكثر تركيزاً وفعالية. ويعمل بعض الرؤساء التنفيذيين للشؤون المالية بالتعاون مع مدراء أمن المعلومات في شركاتهم، وكبار موظفي أمن المعلومات لنمذجة فجوة تعرضهم للمخاطر السيبرانية بالفعل. وتنطوي أعظم الشراكات فعالية على مراجعات أسبوعية للتعرض للهجمات السيبرانية.
اقرأ أيضاً: هل يؤدي التدريب الزائد إلى تقليل مخاطر الأمن السيبراني؟
تحقيق الأرباح من مجموعة التقنيات الأمنية
رغم أن النفقات التي تُخصصها الشركات للشؤون الأمنية قد زادت خلال السنوات الأخيرة، ما زال هناك قصور كبير في الاستثمار في الجانب الأمني. وتُمثل ميزانيات تقنية المعلومات عادةً 3-7% من إيرادات الشركة، وتبلغ نسبة الميزانيات الأمنية إجمالاً 5% من نفقات تقنية المعلومات.
ومن الضروري والمهم أن يعي الرؤساء التنفيذيون للشؤون المالية مكمن المخاطر الجديدة التي تهددهم. ولا يمكننا تجاهل الميزانيات الأمنية والبنود الرئيسية كما فعلنا في الماضي. إننا في حاجة إلى أن نباشر التفكير في استراتيجية للإنفاق وللتعامل مع البشر والعمليات. ولا يمكن أن يُتوقع منا فهم التقنية أو آلية عملها، ولكن ينبغي علينا فهم السبب وراء أهميتها، بما في ذلك الدور الذي يؤديه كل استثمار جديد في سد فجوة التعرض إلى الهجمات السيبرانية وتأهيل الشركة للنجاح على المدى البعيد. ويقتضي ذلك تحميل مدراء أمن المعلومات وكبار موظفي المعلومات مسؤولية وضع استراتيجية استثمار متنوعة في أمن تقنية المعلومات تتوافق مع القضايا الأمنية الراهنة، وكذلك مع أهداف التحول الرقمي بعيدة المدى. وفي ظل فهم أفضل لفجوة التعرض للتهديدات السيبرانية وما يتعلق بها من مخاطر مالية، يمكن أن يضمن الرؤساء التنفيذيون للشؤون المالية ومدراء أمن المعلومات وكبار موظفي المعلومات أن مجموعات تقنية أمن المعلومات الخاصة بنا قد بُنيت لتبقى وتدوم. ولن يُحسّن الاستثمار في ميزانياتنا الأمنية بهذه الطريقة وضعنا الأمني الكلي فقط، وإنما سيحقق لنا مكاسب أيضاً على المدى البعيد.
تحمل مسؤولية الخطر السيبراني
بالنظر إلى العلاقة الجديدة المتصاعدة بين المخاطر السيبرانية والمالية، ينبغي أن يكون الرئيس التنفيذي للشؤون المالية في نهاية المطاف مسؤولاً عن المخاطر السيبرانية. إن عمليات خرق البيانات تؤدي في المتوسط إلى تراجع في سعر السهم بنسبة 5%، بينما يُقدَّر الانخفاض في الإيرادات الناجم عنها بـ 3.4 ملايين دولار، حسب إحدى الدراسات الحديثة. وفور أن يتم تفعيل التشريعات العامة لحماية البيانات الأوروبية بدايةً من مايو/ أيار 2018، من الممكن أن يترتب على اختراق البيانات غرامات تصل إلى 20 مليون يورو بحد أقصى، أو 4% من الإيرادات السنوية العالمية للعام المالي السابق.
وبالنظر إلى المخاطر، فليس بوسع الرئيس التنفيذي للشؤون المالية إنجاز المهمة وحده، بل ينبغي عليه إقامة شراكة مع غيره ممن لديهم مصلحة راسخة وواضحة في إدارة هذه المخاطر، بما فيهم كبير موظفي المعلومات ومدير أمن المعلومات. وتحقيقاً لهذه الغاية، سيبحث الرؤساء التنفيذيون الأكثر استشرافاً للمستقبل في نهاية المطاف فكرة أن يضعوا في الحسبان الإجراءات والإنجازات الأمنية في علاوة الرئيس التنفيذي للشؤون المالية، وسيطالبون بتحديثات منتظمة من قِبَل الرئيس التنفيذي للشؤون المالية ومدير أمن المعلومات إلى مجلس إدارة الشركة.
إن الأثر المالي والتجاري للحوادث السيبرانية الآن يتطلب من الرئيس التنفيذي للشؤون المالية الإقدام والمشاركة لإيجاد حل لمشكلة القلق من الخطر السيبراني. وإن لم نفعل، فستتعرض بيانات زبائننا وتريليونات الدولارات إلى الخطر.
اقرأ أيضاً: الشركات بحاجة إلى إعادة النظر في ماهية قيادة الأمن السيبراني