يناضل مدراء تكنولوجيا المعلومات من أجل الحصول على مكانة C-Suite حتى مع ارتفاع التوقعات

يُطلب من كبار مسؤولي أمن المعلومات على نحو متزايد أن يتحملوا مسؤوليات ما يمكن اعتباره عادةً دورًا تنفيذيًا، ولكن دون أن يتم اعتبارهم أو معاملتهم على هذا النحو في العديد من المؤسسات، حسبما أظهر استطلاع جديد شمل 663 مديرًا تنفيذيًا في مجال الأمن.

تم إجراء الاستطلاع من قبل IANS بالتعاون مع Artico Search، واستطلعت آراء كبار مسؤولي أمن المعلومات حول مجموعة متنوعة من القضايا المتعلقة بوظائفهم ومسؤولياتهم والدعم الإداري ومواضيع أخرى.

وقال 75% منهم أنهم يبحثون عن تغيير في الوظيفة.

لقد تغيرت التوقعات بشأن دور CISO

وأظهرت الردود أن التوقعات بشأن دور رئيس أمناء أمن المعلومات قد تغيرت بشكل كبير في مؤسسات القطاعين العام والخاص بسبب، من بين أمور أخرى، زيادة التدقيق من جانب الهيئات التنظيمية، وتزايد المطالبات بالمساءلة عن الخروقات الأمنية.

كمثال على ذلك تقرير استطلاع وأشار إلى قواعد مثل تلك التي اعتمدها الأوراق المالية وهيئة الأوراق المالية (SEC) في يوليو الماضي والتي تطلب من الشركات المتداولة علنًا الإبلاغ عن جميع الحوادث الأمنية المادية في غضون أربعة أيام من وقوع الحادث. مثال آخر هو إصدار وزارة الخدمات المالية لولاية نيويورك (NYDFS). متطلبات الأمن السيبراني الجديدة لشركات الخدمات المالية.

وجاء في تقرير IANS وArtico: "يحمل المنظمون الآن مسؤولي أمن المعلومات المسؤولية عن الشفافية وحتى الاحتيال نيابة عن مؤسساتهم". هناك توقعات متزايدة بأن يعمل رئيس أمن المعلومات في المقام الأول كوظيفة لإدارة مخاطر الأعمال، مع صوت واضح في اجتماعات القيادة التنفيذية وخط اتصال مباشر مع الرئيس التنفيذي والمدير التنفيذي. ومع ذلك، "على الرغم من ارتفاع توقعات الدور إلى المستوى التنفيذي، فإن كبار مسؤولي أمن المعلومات يكافحون من أجل أن يُنظر إليهم على هذا النحو، وكثيرًا ما لا يكون دور كبير مسؤولي أمن المعلومات جزءًا من فريق القيادة العليا".

أظهر الاستطلاع على سبيل المثال أنه في حين أن أكثر من 63% من كبار مسؤولي تكنولوجيا المعلومات لديهم منصب نائب الرئيس أو منصب المدير، فإن 20% منهم فقط هم على مستوى C-suite على الرغم من وجود كلمة "رئيس" في مسمياتهم. وفي حالة المؤسسات التي تزيد إيراداتها عن مليار دولار، فإن هذا الرقم أقل من ذلك، حيث يصل إلى 1%. من وجهة نظر إعداد التقارير، فإن 15% من مديري أمن المعلومات هم على الأقل في مستويين تنظيميين أو أكثر بعيدين عن الرئيس التنفيذي والمدير التنفيذي. ويتفاعل 90% منهم فقط مع مجلس إدارة شركاتهم على أساس ربع سنوي. ويتفاعل ربعهم مع مجلس الإدارة مرة أو مرتين فقط في العام، ويجتمع 50% منهم مع مجلس الإدارة على أساس مخصص فقط، بينما أفاد 12% أنهم ليس لديهم أي اتصال مع مجلس الإدارة على الإطلاق.

الافتقار إلى التوجيه بشأن مسؤولية CISO

في كثير من الحالات، لا يحصل مدراء تكنولوجيا المعلومات الذين يريدون توجيهات واضحة بشأن المخاطر من مجلس إدارتهم على ذلك. بالكاد وصف أكثر من الثلث (36%) مجلس إدارتهم بأنه يقدم لهم رؤية واضحة بما فيه الكفاية حول مستويات تحمل المخاطر في مؤسستهم ليتمكنوا من التصرف بناءً عليها.

يقول نيك كاكولوفسكي، مدير الأبحاث في IANS: "لقد تسارع تطور دور CISO على مدار السنوات القليلة الماضية بشكل كبير". ومع قيام المؤسسات برقمنة المزيد من عملياتها، يتولى كبار مسؤولي تكنولوجيا المعلومات المزيد من المسؤوليات وأصبحوا المالكين الفعليين للمخاطر الرقمية، كما يقول. "[لكن] المنظمات لم تتوصل إلى كيفية دعمها وتمكينها مع نمو نطاق الدور".

تزايدت المخاوف داخل مجتمع CISO في السنوات الأخيرة بشأن التوقعات المتصاعدة حول الدور، حتى مع بقاء قدرتهم على تلبية تلك التوقعات دون تغيير إلى حد كبير. حوادث مثل تلك التي وقعت في أكتوبر الماضي حيث قامت هيئة الأوراق المالية والبورصة (SEC) بتكليف تيم براون، رئيس قسم تكنولوجيا المعلومات بشركة SolarWinds الاحتيال وفشل الرقابة الداخلية بشأن خرق عام 2020 في الشركة، وأين القاضي حكم على Uber CISO السابق جو سوليفان إلى ثلاث سنوات من المراقبة بسبب انتهاك عام 2016، أثارت هذه المخاوف. وفي حين أن هناك بعض الجدل حول ما إذا كانت الإجراءات المتخذة ضد المسؤولين التنفيذيين في هذه الحوادث مبررة، فقد قال الكثيرون إنه من غير العدل تحميلهم وحدهم المسؤولية عن الانتهاكات.

التحيز التاريخي ضد الأمن كوظيفة على المستوى التنفيذي

يقول كاكولوفسكي إن أحد الأسباب التي تجعل العديد من المؤسسات لا تزال لا ترى أن دور رئيس قسم تكنولوجيا المعلومات ينتمي إلى الطبقة التنفيذية هو التحيز التاريخي. ويقول: "يُنظر إلى كبار مسؤولي تكنولوجيا المعلومات - غالبًا بشكل غير عادل - على أنهم تقنيون لا يستطيعون التحدث بلغة الأعمال"، مضيفًا أنهم غالبًا ما يميلون إلى العزلة عندما يتعلق الأمر بتطوير المهارات. وغالباً ما تميل الجهود هناك إلى التركيز على القدرات التقنية وقيادة الفريق، بدلاً من التركيز على تنمية المهارات التنفيذية.

وبعضها أيضًا جمود. تستغرق المؤسسات الكبيرة والمعقدة وقتًا للتكيف مع التحديات الجديدة والتحولات التنظيمية.

يقول كاكولوفسكي: "إن التحدي الأكبر هو النضال من أجل إيجاد التوافق بين كبار مسؤولي أمن المعلومات وبقية المجموعة التنفيذية". "لقد بدأ قادة الأعمال يدركون مخاطر عدم الاستفادة بشكل كافٍ من كبار مسؤولي تكنولوجيا المعلومات كمدراء تنفيذيين للأعمال، وهناك فرصة لرؤساء أقسام تكنولوجيا المعلومات لإثبات قدرتهم على تقديم قيمة للمؤسسة خارج المكتب الخلفي."

يرى كاكولوفسكي أن رفع دور رئيس أمناء أمن المعلومات (CISO) إلى المكان الذي ينتمي إليه، في الطبقة التنفيذية، يمكن أن يكون له فوائد عديدة. إن كونك جزءًا من الإدارة العليا يمنح CISO وعيًا ورؤية أفضل حول الاتجاه الذي تتجه إليه المنظمة، ويسهل عليهم التعاون مع أصحاب المصلحة الآخرين في إدارة المخاطر الرقمية.

ويشير إلى أن ذلك "يضع مدير أمن المعلومات في مكانة تمكنه من استباق المخاطر، وبالتالي تقليل الاحتكاك الذي قد يحدث عند تخفيف المخاطر".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cybersecurity-operations/cisos-struggle-csuite-status-expectations-skyrocket