أندرو روز *
يدرك كبار مسؤولي أمن المعلومات أن مشهد التهديدات السيبرانية يزداد تعقيدًا، ما يجعل مهمة الحفاظ على المؤسسة آمنة مهمة لا نهاية لها تتطلب مواكبة العصر في كل حين. ووفقاً لدراسة بحثية صادرة عن برووف بوينت، واجهت 82% من المؤسسات في دولة الإمارات العربية المتحدة هجوماً إلكترونياً واحداً على الأقل في عام 2019، مع العلم بأن مسألة اختراق الحساب هي الطريقة الأشهر للخداع السيبراني، يليه تصيد بيانات الاعتماد والتهديدات الداخلية
ومع استمرار دور التكنولوجيا في لعب دور محوري في دفع قيمة الشركة وميزتها التنافسية، أصبح من المهم، أكثر من أي وقت مضى، بناء علاقة تعاونية بين كبار مسؤولي أمن المعلومات والرؤساء الماليين
من خلال تعلم التحدث بلغة المدير المالي، ويمكن لرؤساء أمن المعلومات تحسين معدل فوزهم في الميزانية والتأكد من حصولهم على الاستثمار الذي يحتاجون إليه لتحقيق مسؤولياتهم. ولكن كيف؟
بطبيعة الحال، يهتم المديرون الماليون بشكل أساسي بالأداء المالي للمؤسسة، مثل حماية الأصول ودفع الربحية لضمان النجاح التكتيكي والاستراتيجي للمؤسسة. وعادة ما يعمل كل منهم بصفته الشخص المسؤول الأول للمدير التنفيذي، لحماية وبناء قدرة الشركة على خلق القيمة وزيادة الإيرادات.
والامتثال الأمني ليس شيئاً يقضي المديرون الماليون وقتاً طويلاً في التفكير فيه، ومع ذلك يدركون أن كلفة أي حادث أمني يمكن أن تكون مدمرة، وإلى جانب 85% من فئة الإدارة العليا، يعتقدون أن مخاطر خرق البيانات هي أولوية أساسية؛ على سبيل المثال، هجمات اختراق البريد الإلكتروني للأعمال (BEC)، التي سرعان ما أصبحت واحدة من أكثر الجرائم ضرراً مالياً.
وعلى الرغم من المخاطر المالية المؤكدة، لا تمتلك المؤسسات ميزانيات غير محدودة، ويجب على المديرين الماليين أن يكونوا مدروسين للغاية بشأن كيفية إنفاق الأموال لمواجهة مخاطر الأمان والامتثال المختلفة
عند التحدث إلى المديرين الماليين، ومن الواضح أن لديهم عملية تفكير رسمية نسبياً في كل مرة يتم فيها لفت انتباههم إلى طلب استثمار جديد. قادنا أحد المديرين الماليين خلال «الحوار الداخلي» لإجراء محادثة مع كبار مسؤولي أمن المعلومات:
* ما هي المخاطر التي يتناولها هذا، وما هو حجم هذه المخاطر مقارنة بالإيرادات؟
* ما هي كلفة هذا الحل بالمقارنة مع تأثير الاختراق، موزعة على فترة ثلاث إلى خمس سنوات؟
* ما هي القدرات التي لدينا بالفعل في هذا المجال، وما مدى فعاليتها؟ ما مدى فعالية هذا الحل بالمقارنة؟
* لماذا نحتاج إلى هذا الحل وليس البديل؟
* هل يمكننا دمج الموردين من أجل البساطة وزيادة النفوذ المالي؟
ويحتاج كبار مسؤولي أمن المعلومات إلى التعرف إلى هذا الحوار الداخلي والرد عليه، والتأكد من معالجة هذه الأسئلة في دراسة الجدوى والمحادثات الداعمة.
بالنسبة إلى المدير المالي، يأتي التخطيط التكتيكي للمؤسسة أولاً، لذا قبل أن تذهب إلى المدير المالي لمناقشة الاستثمار الجديد، من الحكمة مواءمة أهداف الأمن السيبراني مع اقتراح الميزانية مع أهداف الأعمال والامتثال الأوسع. واعمل من خلال هذه الخطوات لإنشاء دراسة جدوى مقنعة للاستثمار:
- تسليط الضوء على فجوة التحكم: تتمثل الخطوة الأولى في تقديم دراسة الجدوى للاستثمار في الأمن السيبراني في التأكد من أن لديك بيان المشكلة بشكل واضح وموجز ومحدد.
- ابدأ بوصف فجوة التحكم بعبارات غير فنية. صف كيف تمت ملاحظة أن أنظمتك، على سبيل المثال، تسمح لأنواع معينة من رسائل البريد الإلكتروني الضارة بالمرور عبر البوابة ؛ أو كيف تفتقر شركتك إلى القدرة على تتبع نقل البيانات الهامة بين أنظمة السحابة الخارجية.
- تحديد مستويات المخاطر والآثار المرتبطة: حدد بوضوح الخسائر المحتملة التي تنتج عن الاختراق، ومدى احتمالية حدوث هذه السيناريوهات. ضع في اعتبارك استخدام منحنى «القيمة المعرضة للخطر» للتوافق مع النماذج المالية الأخرى. وتضمين الإشارات إلى الخسارة كنسبة مئوية من الإيرادات السنوية وكمسألة تتعلق بالسمعة ؛ تضمين أي غرامات تنظيمية أو تكاليف إضافية قد تنتج عن زيادة التدقيق التنظيمي في المستقبل.
- وصف الحل: بالتمسك بلغة غير فنية، اشرح سبب معالجة هذا الحل للمخاطر، في حين أن الضوابط الحالية لا تفعل ذلك. وتأكد من أن اقتراحك يتضمن بعض البدائل.
تسليط الضوء على الفرص ضمن الاستثمار، مثل القدرة على التوحيد لتبسيط الحوزة التكنولوجية، أو السعي إلى زيادة فعالية الخصم، أو فرصة زيادة الكفاءة من خلال الأتمتة.
- إبراز قيمة الاستثمار: أخيراً، تأكد من أن دراسة حالة عملك تتناول مشكلات التكلفة المحددة. ويدرك المدير المالي أن إنشاء «عائد استثمار أمني» أمر صعب، لذا فإن غيابه لا يمثل مشكلة؛ ومع ذلك، حاول إظهار «القيمة مقابل المال».
احترام وقت المديرين الماليين أمر ضروري، سيساعدك الحفاظ على اقتراح الميزانية الخاص بك في إظهار فهمك لموقفهم.
* مسؤول أمن المعلومات لدى «بروف بوينت» في أوروبا والشرق الأوسط وإفريقيا
