تزخر عناوين الصحف اليوم بأخبار عن انتهاكات متعلقة بالبيانات، وهجمات فيروس رانسوم وير، والهجمات القائمة على استغلال نقاط الضعف المعروفة باسم "ثغرة زيرو داي"، التي قد تجعل قضية الأمن السيبراني تظهر على نحو أكثر تواتراً على جداول أعمال العديد من اجتماعات مجالس الإدارة، إذ لا تريد أي شركة أن تصبح العلامة التجارية التالية التي يرد ذكرها على الصفحة الرئيسة لصحيفة "وول ستريت جورنال"، أو التي يُدلي رؤساؤها التنفيذيون بشهاداتهم أمام "الكونغرس".
ورغم أن قضية الأمن السيبراني أصبحت اليوم على جداول أعمال اجتماعات مجالس الإدارة، فهذا لا يعني أن أعضاءها يفهمون كيفية معالجة هذه المشكلة، ذلك أن خبراتهم تنحصر في أشكال أخرى من المخاطر، وليس في كيفية حماية أصول الشركات من المهاجمين من الدول القومية والخصوم السيبرانيين الذين يتمتعون بدرجة عالية من التنظيم.
حماية الأمن السيبراني للمؤسسات
والخبر السار هو وجود العديد من الخطوات العملية التي لا تتطلب خبرة سيبرانية متعمقة، والتي يُمكن للمدراء اتخاذها لحماية مؤسساتهم:
مساعدة المسؤولين التنفيذيين المعنيين بأمن المعلومات على فهم الأعمال التجارية
في حين يمتلك المسؤولون التنفيذيون للأمن سمعة عرقلة العمليات وتطوير المنتجات مع توليهم أعباء إدارة العمليات التقنية، فإن دورهم ينطوي في الواقع على تمكين الأعمال التجارية، وتعتمد وظيفتهم على هذا الدور بالفعل. كما أن إشراكهم في المناقشات التي تدور حول أولويات العمل الفورية وطويلة الأجل، وقضايا الزبائن، والاستراتيجيات الشاملة يتيح للمدراء ضمان أن تكون خطة أمن الشركة متوائمة مع أهداف الشركة التجارية.
اقرأ أيضاً: ماذا يمكن أن تفعل البلدان والشركات عندما تتداخل التجارة مع الأمن السيبراني؟
من الناحية المثالية، يجب أن يحضر مسؤولو الأمن التنفيذيون اجتماعات مجلس الإدارة، مثل الرؤساء التنفيذيين للشؤون المالية. وفي حال تعذّر ذلك، يجب إطلاعهم على مشاريع المؤسسة من قبل مجلس الإدارة على الأقل، وإتاحة الفرصة لهم للاستجابة بخطط وظيفية لدعم أولويات الشركة العليا.
وعند الاجتماع مع قادة الأمن، يجب على مدراء الإدارة مناقشة أهمية خطة الأمن السيبراني في تحقيق بعض أهداف الشركة النهائية المتمثّلة في الإيرادات، والتكلفة، وهامش الربح، ورضا العملاء، وكفاءة الموظفين، أو الاستراتيجية. ورغم أن هذه الشروط مألوفة لدى أعضاء مجالس الإدارة والمسؤولين التنفيذيين للشركة، فقد يحتاج قادة الأمن إلى إرشادات حول كيفية تأطير واجبات إداراتهم في سياق العمليات التجارية.
تأكد من تضمين موضوع الأمن في المناقشات التي تدور حول المنتجات والخدمات الجديدة
غالباً ما يجري التعليق على قضية الأمن في نهاية الاجتماعات، أو بعد اكتشاف عيب في منتج بيع بالفعل، إلا أن دمج قضية الأمن في المراحل المبكرة من تطوير المنتجات يُسفر عن تقديم عروض أكثر أماناً وأمناً، ويحمي الشركات من النفقات والمتاعب والإحراج العام المحتمل الذي يصاحب عملية إدخال التحديثات الأمنية.
تأكد من وضع المؤسسة لمنهج للأمن السيبراني، وتطبيقه على الموظفين جميعاً
يجب أن يتضمن المنهج التعليمي أمثلة عملية حول أثر الحوادث الأمنية على المؤسسة. ولا يقصد من ذكر هذه القصص التحذيرية نشر الخوف، بدلاً من ذلك، يجب أن تحوّل هذه الأمثلة مصطلح الأمن السيبراني من مفهوم غامض إلى سيناريوهات ملموسة يفهمها الجميع.
اقرأ أيضاً: ما هو تأثير الخصوصية والأمن السيبراني على الشركات والأشخاص؟
خطط مسبقاً للحوادث الأمنية
يجب على الشركات أن تدرك أنه رغم بذلها قصارى جهدها الدفاعي، فقد تتعرض إلى اختراق أمني في مرحلة ما. ويجب على مجالس الإدارة أن تسأل عن خطة الشركة فيما يخص الاستجابة للحوادث والتأكد من تطبيقها، وأن تضمن وجود طرق للتصدي لحالات الطوارئ في السيناريوهات الخطيرة أو الحوادث المتعددة أو عند تضرر أطراف ثالثة.
ويجب على أعضاء مجلس الإدارة أيضاً التأكد من أن تكون الخطة شاملة، فقد تكون إجراءات التسويق، والتواصل في حالة الأزمات، وتخفيف المخاطر، وصنع القرار في لحظة الحوادث عوامل بالغة الأهمية وتُسفر عن حدوث أخطاء. وإضافة إلى إشراك موظفي تكنولوجيا المعلومات والأمن، ينبغي أن تتضمن الخطة تكليف لجنة مخاطر متعددة التخصصات تتمتع بكامل الصلاحيات التنفيذية. ومن الضروري أن تشمل الخطة موظفي التسويق والموظفين القانونيين، للتعامل مع جهود العلاقات العامة أو الامتثال للقوانين الحكومية المتعلقة بالإفصاح العلني عن الانتهاكات.
ركز على الثقافة بقدر تركيزك على التكنولوجيا
لا ينطوي الأمن على مجرد شراء برامج مكافحة الفيروسات وإجراء اختبارات الاختراق، وإنما يستلزم تغيير ثقافة الشركة، ومساعدة الموظفين في إدراك أن واجب الحفاظ على أمن الملكية الفكرية ومعلومات الزبائن وبيانات العمل الأخرى لا يقتصر على موظفي الأمن وتكنولوجيا المعلومات، بل هو مهمة تتطلب جهود موظفي الشركة كلها.
اقرأ أيضاً: ما سبب صعوبة تحقيق الأمن السيبراني؟
ومن الناحية المثالية، ينبغي على مجالس الإدارة إزالة العقبات التي تُعيق المؤسسات من تطوير ثقافة الأمن الاستباقي، ومن غير المحتمل أن تطور الشركات ممارسات قوية للأمن السيبراني دون دعم قوي من الإدارة التنفيذية ومجلس الإدارة. ويجب على مدراء الإدارة التأكد من توافق النفقات التشغيلية والنفقات الرأسمالية مع أولويات الحد من المخاطر ومشاريعها، لأن إرساء الأمن لا يُعتبر هدفاً بحد ذاته، وإنما هو ضرورة لحماية الشركة.
وفي نهاية الحديث عن موضوع مسؤولية الإدارة في الأمن السيبراني، قد يصبح الإلمام بقضية الأمن السيبراني أمراً ضرورياً لمعظم المدراء في المستقبل. لكن في الوقت الحالي، يمكن اتخاذ العديد من الخطوات العملية على المستوى الإداري لتقليل مخاطر الهجمات السيبرانية بشكل كبير.
اقرأ أيضاً: هل يؤدي التدريب الزائد إلى تقليل مخاطر الأمن السيبراني؟