نظرًا لأن الأمن السيبراني أصبح أحد الاعتبارات ذات الأهمية المتزايدة في عملية صنع القرار في الشركات، فقد كانت هناك خطوة مقابلة لرفع دور كبير مسؤولي أمن المعلومات (CISO) إلى نقطة أعلى في التسلسل الهرمي التنفيذي. ويبدو أن المنطق هو: "إذا كان الإنترنت مهمًا، فيجب أن يكون كبار مسؤولي أمن المعلومات مهمًا". ومع ذلك، فإن رفع مستوى الدور يجعل رئيس أمن المعلومات صوتًا وحيدًا في الصحراء يصرخ "الأمن"، مع القليل من الاتصال بصناع القرار اليومي في مجال تكنولوجيا المعلومات أو الهندسة أو المنتجات.
وقد أدى هذا إلى بعض العواقب غير المرغوب فيها، مثل المدير التنفيذي لشركة فيسبوك الذي اعتقد أنه من المقبول أن تكون الإجراءات الأمنية للشركة تسببت في تأخير ساعات طويلة ردًا على انقطاع الخدمة في 4 أكتوبر 2021، أو المدير التنفيذي لشركة Uber الذي دفعت المتسللين الذين انتهكوا نظامه، بدلاً من الاعتراف بالانتهاك، أو العديد من مديري أمن المعلومات الذين استثمروا في "طبقات إضافية من الأمان" بدلاً من الاعتراف بأنهم قاموا باختيارات سيئة في البداية. وفي جميع هذه الحالات، لعب عزل رئيس أمن المعلومات عن وحدات الأعمال الوظيفية بلا شك دورًا في التفكير النفقي الذي تعكسه هذه القرارات.
التأثير التنظيمي
ربما حان الوقت لإعادة تصور دور CISO. ربما من الأفضل أن نرى أهمية CISO تنعكس في التأثير التنظيمي بدلاً من الوضع التنظيمي. ربما يؤدي تضمين الأمان في الوحدات الوظيفية إلى تحسين الأمان.
تخيل أن CISO جزء من النظام البيئي لمؤسسات تكنولوجيا المعلومات. وسوف يشاركون في كل قرار يتعلق بالبنية التحتية، وستكون المخاوف الأمنية جزءًا لا يتجزأ من تلك القرارات بدلاً من معالجتها بعد وقوعها. وهذا من شأنه أن يسمح بمجموعة من الحلول "الأمنية" التي تعتمد على كيفية هيكلة الشبكة وإدارتها، وليس على القدرات الأمنية الخاصة التي يتم إدراجها في البنية التحتية من قبل مجموعة خارجية.
تخيل وجود خبير أمني مضمن في مؤسسة تطوير البرمجيات. سيكونون قادرين على تحسين عملية التطوير للتأكد من كتابة التعليمات البرمجية واختبارها مع مراعاة الأمان، دون تحميل المطورين بعمليات غريبة عنهم، وبالتالي تقليل نقاط الضعف في تعليمات الشركة البرمجية. تخيل وجود خبير أمني مضمن في خطوط الإنتاج. سيكونون قادرين على التأكد من أن البنية التحتية للشركة تحمي الملكية الفكرية الخاصة بهم وأن عملية التطوير الخاصة بهم تقلل من نقاط الضعف في منتجاتهم.
وفي جميع هذه الحالات، يصبح الأمن عاملاً في قرارات الشركات المرتكزة على واقع عمليات الشركة. تصبح الخبرة الفنية لمسؤول أمن المعلومات (CISO) جزءًا لا يتجزأ من العمل اليومي بدلاً من أن تكون قيدًا مفروضًا عليه. وبالمثل، يجب أن يعمل الأمان والامتثال بسلاسة حتى تظل الأنظمة المالية والاتصالات مع الشركاء والبائعين آمنة. يمتد هذا إلى أنظمة الاتصالات والأجهزة الأخرى.
عامل الخطر
ويبدو أن هذه طريقة أكثر تأثيرًا لجعل البعد التقني للأمان صوتًا قويًا في تنفيذ الشركة. ومع ذلك، قد يتساءل المرء عما إذا كان هذا سيؤدي إلى تقليص البعد السياسي، وتقسيمه لمعالجة المصالح الخاصة للوحدات الوظيفية الفردية. يمكن معالجة هذا القلق من خلال توسيع دور كبير مسؤولي المخاطر ليشمل وظائف السياسة الأمنية التي ينفذها حاليًا رئيس أمن المعلومات.
وهذا له فائدة إبقاء السياسة الأمنية على المستوى التنفيذي، حيث تحظى بالاهتمام الذي تحتاجه. وله فائدة إضافية تتمثل في أخذ مخاطر الأمن السيبراني في الاعتبار في سياق المخاطر الأخرى (المخاطر التي تهدد التوفر، والمخاطر التي تهدد السمعة، ومعالجة الحالات المذكورة أعلاه). ولن يعد الأمن هدفا في حد ذاته، بل بعدا من أبعاد ممارسة الأعمال التجارية. وهذا لا يعني أن الاحتياجات الأمنية يجب أن تتعارض مع الاهتمامات الأخرى وأن تقوم بالتسويات التي تعرض الوضع الأمني للمنظمة للخطر. وبدلاً من ذلك، فهو يهيئ بيئة تستبدل عقلية إما/أو بعقلية تسعى إلى تلبية جميع المتطلبات.
هناك العديد من تقنيات التحكم في الوصول التي كان من شأنها حماية فيسبوك بشكل فعال دون إغلاق موظفيه. عندما يتم النظر في المخاطر الأمنية إلى جانب مخاطر التوفر، ستظهر تلك الحلول الأكثر واقعية.
