بينما نشرت هيئة الأوراق المالية والبورصة الأمريكية مبادئ توجيهية لتحسين إدارة الأمن السيبراني لسنوات، تجاهلتهم الشركات العامة في الغالب. وبينما قد يكون من الصعب تلبية المتطلبات، فإن الشركات التي بذلت هذا الجهد حققت ما يقرب من أربعة أضعاف قيمة مساهميها مقارنة بتلك التي لم تفعل ذلك.

هذا هو الاستنتاج الذي توصل إليه استطلاع جديد أجراه معهد Bitsight وDiligent بشكل مشترك، بعنوان "الأمن السيبراني والتدقيق ومجلس الإدارة". وقد تعمق الاستطلاع في أكثر من 4,000 شركة متوسطة إلى كبيرة حول العالم، حيث قام بالتحقيق في خبرات المديرين إلى جانب خلفيات التدقيق وأعضاء لجان المخاطر المتخصصة. وقاموا بقياس خبرة الأمن السيبراني عبر 23 عامل خطر مختلف، مثل وجود إصابات بشبكة الروبوتات، والخوادم التي تستضيف برامج ضارة، وشهادات التشفير القديمة لاتصالات الويب والبريد الإلكتروني، ومنافذ الشبكة المفتوحة على الخوادم العامة.

يقول لادي أديفالا، مستشار الأمن السيبراني والرئيس التنفيذي لشركة Omega315، الذي يوافق على ذلك: "إن المجالس التي تمارس الرقابة الإلكترونية من خلال لجان متخصصة تضم عضوًا خبيرًا في مجال الإنترنت بدلاً من الاعتماد على مجلس إدارة كامل، من المرجح أن تعمل على تحسين أوضاعها الأمنية العامة وأدائها المالي". مع استنتاجات التقرير. لقد عمل في إحدى شركات Fortune 500 في هذه القضية، ووجد أن "مجلس الإدارة لم يكن لديه لجنة مركزة لقضاء الوقت في البحث في الموضوعات السيبرانية. كما أنه لم يكن لديهم العدد الكافي من الأعضاء، وبالتالي لا يمكنهم تحمل تكاليف إنشاء لجان متخصصة في مجال الإنترنت. جزء من ممارساته الاستشارية هو المساعدة في إنشاء مثل هذه اللجان، وهو ما يسميه تقديم دروس التربية المدنية السيبرانية.

وبغض النظر عن الموارد البشرية، فإن سوء إدارة الأمن السيبراني ليس بالأمر الجديد حقًا: فالشركات العامة تعطي اهتمامًا قصيرًا للأمن السيبراني لسنوات. على سبيل المثال، خبير أمني ديفيد فرود لقد كتب عن هذا الموضوع منذ عام 2017 على الأقل. ولكن الجديد هو رؤية مدى صعوبة تقييم المعرفة السيبرانية وبناء حوكمة دائمة.

وفقًا لتقرير Bitsight، فإن وجود لجان مجلس إدارة منفصلة تركز على المخاطر المتخصصة والامتثال لمراجعة الحسابات يؤدي إلى أفضل النتائج. كتب المؤلفون: "هذه اللجان في وضع أفضل للتعمق في قضايا محددة تتعلق بالأمن السيبراني، ويمكنها تطوير علاقات أقوى مع المديرين التنفيذيين المكلفين بعمليات الأمن السيبراني اليومية. وهذا بدوره يمكن أن يؤدي إلى تحسين السياسة والميزانية وغيرها من القرارات المتعلقة بالأمن السيبراني على مستوى مجلس الإدارة.

ووجد الاستطلاع نطاقًا واسعًا من الخبرة السيبرانية بين الشركات المرتبطة بالرعاية الصحية والخدمات المالية - والتي احتلت المرتبة الأعلى - مقارنة بالشركات الصناعية التي احتلت المرتبة الأدنى.

والأمر الواضح هنا هو أن الغالبية العظمى من الشركات كان أداؤها سيئاً في دمج هؤلاء المتخصصين في مجالس إدارتها ولجانها. ووجد التقرير أن 5% ممن شملهم الاستطلاع (و12% من الشركات المدرجة على مؤشر ستاندرد آند بورز 500) لديهم هؤلاء المتخصصين في مجالس إدارتهم. لكن مجرد وجود CISO أو CTO في مجلس الإدارة لا يضمن أداء الأمن السيبراني. وأشارت "بيتسايت" إلى أن "هؤلاء الخبراء بحاجة إلى الاندماج في الهياكل القائمة" وإجراءات الحماية.

ولم يذكر التقرير نقطة ضعف أخرى في الحوكمة: وهي بناء مرونة إلكترونية دائمة. كان هذا موضوع دراسة استقصائية أخرى أجراها الأمن السيبراني في اتحاد أبحاث MIT Sloan و نشرت في مجلة هارفارد بيزنس ريفيو العام الماضي. قام فريق معهد ماساتشوستس للتكنولوجيا باستطلاع رأي 600 من أعضاء مجلس الإدارة ووجد أن تفاعلاتهم مع CISOs غير موجودة. أقل من نصف المشاركين لديهم أي اتصال منتظم مع كبار مسؤولي تكنولوجيا المعلومات، ويقتصر معظمهم على العروض التقديمية المقدمة في اجتماعات مجلس الإدارة وليس أكثر من ذلك.

في كثير من الحالات، تقتصر هذه العروض التقديمية على آليات التدابير الوقائية، مثل عدد المرات التي يقومون فيها بإجراء تمارين الفريق الأحمر أو التدريب على التوعية بالتصيد الاحتيالي. كيري بيرلسون، المدير التنفيذي لاتحاد معهد ماساتشوستس للتكنولوجيا والمؤلف المشارك (مع لوسيا ميليتشا، كبير مسؤولي تكنولوجيا المعلومات المقيم العالمي في Proofpoint) لمقال هارفارد بزنس ريفيو، يقارن مع عالم الطب: "عندما نتعرض للعدوى، فإننا إما لا نتعرض لها" "إذا مرضنا، أو إذا مرضنا، لدينا أشياء في أجسامنا تعمل تلقائيًا لتعيدنا إلى حال أفضل."

وتضيف أن المطلوب هو أن "تقوم مجالس الإدارة بمناقشة المخاطر الناجمة عن الأمن السيبراني في مؤسساتها وتقييم الخطط اللازمة لإدارة تلك المخاطر".

وكما لخص أديفالا الأمر قائلاً: "إن الطريقة الأكثر إلحاحاً هي الاستفادة من الأمن السيبراني باعتباره أصلاً استراتيجياً لتوليد الإيرادات أو المرونة التشغيلية، وليس كضرورة تشغيلية".

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyber-risk/study-corporations-with-cyber-governance-create-almost-4x-more-value