يشكّل اليوم العالمي لخصوصية البيانات المناسبة الأمثل لتوجيه رسالة لمجالس الإدارة حيث إن الفرصة متاحة أمامنا لتحويل 2023 إلى عام بناء ثقافة الأمن السيبراني، بدءًا من رأس الهرم.
ولا يتمحور السؤال عندما يتعلق الأمر باستراتيجية الأمن السيبراني للشركات، حول “إمكانية” حدوث خرق ما، ولكن حول “توقيت” أي اختراق محتمل. ولا شك بأن مجرمي الإنترنت يزدادون حنكة وترتفع بالتوازي وتيرة الهجمات، وقد أضحت الإمارات العربية المتحدة والمملكة العربية السعودية الأكثر استهدافا ضمن دول مجلس التعاون الخليجي. ومع ازدياد التعقيد، بات التغلب على كل تهديد يطرأ أشبه بمحاولة السباحة عكس التيار. وحيث يتوقع أن يبلغ متوسط تكلفة اختراق البيانات 5 ملايين دولار في العام 2023 الأمر الذي يزيد من أهمية النظر في استراتيجية الأمن الخاصة بالشركات والتي تهدف لحماية البيانات الأكثر قيمة وحساسية.
ففي ظل ازدياد التهديدات وارتفاع وتيرتها وتطور أنواعها، يتوجب على المؤسسات إرساء ثقافة العقلية الأمنية التي تمنح الموظفين على جميع المستويات شعوراً بالتمكين وبالمسؤولية ليس فقط على مستوى حماية البيانات الحساسة، ولكن أيضاً على مستوى بناء المرونة في العمل. ومع ذلك، غالباً ما ينصبّ تركيز المؤسسات على التدريب الأمني للموظفين على حساب إدماج الإداريين في أعلى الهرم. ولكن مع إدراك مجالس الإدارة للأهمية التي تمثلها خصوصية البيانات وحمايتها، تضاعف الاهتمام بالاشتراك في إدراة كليهما.
من هذا المنطلق، نشارككم فيما يلي خمس خطوات فعالة تسمح لأعضاء مجالس الإدارة وللشخصيات على المستوى التنفيذي بتعميق الخبرات في مجال الأمن السيبراني في العام 2023 وعلى مدى الأعوام القادمة:
1. توظيف خبير في الأمن السيبراني ضمن فريق مجلس الإدارة. ستدفع هذه الخطوة ثقافة الأمن السيبراني إلى الأمام وتضع إدارة خصوصية البيانات وأمنها على رأس الأولويات وعلى أعلى المستويات في المؤسسة. ولا بد من التذكير بأن الشفافية هي المفتاح لبناء الثقة من خلال مساعدة الناس على فهم امتثال المؤسسة والتزامها بالحفاظ على خصوصية البيانات وأمنها. وينطبق ذلك على مجالس الادارة أيضاً، حيث يشجع وجود سياسات وحلول واضحة ومفهومة جيداً، الاستثمار والمشاركة. وفي الواقع، اقترحت هيئة الأوراق المالية والبورصات الأميركية مؤخراً قاعدة جديدة تنص على تجربة الأمن السيبراني على مستوى مجالس الإدارة، وشددت من ضمن توصياتها على تقديم تقارير منتظمة حول هذا الأمر. ولا يقتصر هذا الجهد على الهيئات التنظيمية، فقد أطلق معهد ماساتشوستس للتكنولوجيا مؤخراً دورة لتدريب أعضاء مجلس الإدارة حول التكتيكات الأمنية.
2. إنشاء لجنة للأمن السيبراني حيث يمكن لأعضاء مجلس الإدارة المؤهلين المشاركة في تقديم النصح والمشورة والتقليل من المخاطر. وتفتح مثل هذه اللجنة الأبواب أمام المزيد من الموارد والدعم، حيث يمتلك رئيس ضباط أمن المعلومات (CISO) وفريقه الفرصة لكسب حلفاء داخل مجلس الإدارة وداخل جناحها التنفيذي وعبر المؤسسة.
3. إجراء تحليل لتكاليف وفوائد تأمين الأمن السيبراني. على الرغم من أن تأمين الأمن السيبراني يشكّل جزءاً فعالاً من استراتيجية الأمن الشاملة للمؤسسة، لا تغطي تكلفته المرتفعة عادةً كل الحوادث. ويُعرف تأمين الأمن السيبراني كأداة ضمن صندوق أدوات الأمن الذي تلجأ إليه الشركة لتعويض الخسائر الناجمة عن الحوادث غير المتوقعة، لكنه لا يُقصد كبديل عن إدارة المخاطر. أضف إلى ذلك أن مدفوعات التأمين قد تغطي تكلفة الاختراق، لكنها لن تغطي الضرر الذي يلحق بسمعة المؤسسة وبالثقة بها. ومثلما تختلف كل شركة عن سواها، تختلف احتياجاتها الأمنية، لذلك من المهم تقييم جميع العوامل لتحديد ما إذا كانت المواصفات الأمنية تلبي احتياجات عملكم.
4. تمييز الاختلافات بين خصوصية البيانات وأمن البيانات. غالباً ما يتم الخلط بين هذه المصطلحات كأفكار مترادفة؛ لكنها تختلف اختلافاً جوهرياً على الرغم من تكاملها. وتركز خصوصية البيانات على كيفية جمع البيانات الشخصية واستخدامها ومشاركتها. وقد تختلف القوانين واللوائح المتعلقة بخصوصية البيانات باختلاف المناطق، كما تتميز كل منها بدرجات متفاوتة من الصرامة والتنفيذ. وعلى العكس من ذلك، يركّز أمن البيانات على كيفية حماية البيانات الحساسة من التهديدات الخارجية والداخلية. ترتبط مسؤولية أمن البيانات من منظور الامتثال بالالتزام بالإجراءات والقوانين المرعية مثل قانون حماية البيانات الشخصية. وفي حال تمكنت إحدى المؤسسات من الحصول على إطار العمل الخاص لإدارة أمن بياناتها بشكل صحيح، ستضمن خصوصية البيانات لعملائها. أما في حال استحال ذلك، ستصطدم بمشكلة. ومن ضمن جميع المعلومات المتاحة، تمثّل هوية الأشخاص أكثر البيانات المرغوبة، لذلك، عندما يتم التعامل معها بشكل خاطئ، تفتح نافذة أمام حدوث عملية احتيال.
5. لقد آن الأوان لتقبل بعض السلبية لصالح مصادقة المستخدم. يروّج بعض الخبراء منذ سنوات للحاجة للتخلص من المصادقة الإلكترونية السلبية في سياق تجربة مصادقة هوية المستهلك والقوى العاملة والمواطنين. ومع ذلك، غالباً ما يحدث اختراق الكتروني عند إزالة المصادقة السلبية بشكل كامل، وتحديداً عندما تلجأ للحلول البديلة بدلاً من تقليل التعقيد.
ولكن هناك فكرة متداولة بين الخبراء مفادها بأن الإبقاء على درجة معينة من المصادقة السلبية قد تنفع كعامل لبناء الثقة – ففي حال لم يجد الأشخاص عائقاً أمام الوصول إلى التطبيقات والخدمات، قد يتساءلون حول وجود أية إجراءات أمنية على الإطلاق في الأصل. ويؤكد ذلك أن المؤسسات بحاجة لتحقيق التوازن الصحيح بين تخفيف المصادقة السلبية والحفاظ على ثقة العملاء في قدرة المؤسسة أو الحكومة على الحفاظ على أمن بياناتهم الشخصية. وذلك لأن تأمين الأنظمة يزيد من تمكين الموظفين ومن ثقة الشركاء ومن شعور العملاء بالأمان عند ممارسة الأعمال، وهذه هي الصيغة الفعالة للعمل.
لا يمكن لإشراك الشخصيات على مستوى مجالس الإدارة في إدارة خصوصية البيانات وأمانها إلا أن يؤدي إلى تمكين الأمن والمساعدة في التخفيف من المخاطر. لذلك، لا تترددوا بالمبادرة والتعامل مع رئيس وفريق أمن المعلومات بمؤسستكم لمعرفة كيف يمكنكم المساعدة في الحفاظ على أمن البيانات الحساسة والقيمة.
كاتب المقال
أنوديب بارهار ، الرئيس التنفيذي للعمليات الرقمية لدى شركة إنتراست