الأجهزة والإلكترونيات

تحويل المخاطر السبرانية المجزأة يغير إشراف مجلس الإدارة

- by لينا الصقّار
تحويل المخاطر السبرانية المجزأة يغير إشراف مجلس الإدارة

كان نقل مخاطر الإنترنت سابقاً بسيطاً نسبياً: شراء التأمين، مراجعة الحدود واعتبار أن المؤسسة قد نقلت جزءاً معنوياً من تعرضها. لم تعد تلك الافتراضات صحيحة. اليوم، نقل مخاطر الإنترنت مجزأ عبر سياسات متداخلة، واستثناءات، وحمايات ناشئة – العديد منها لا ينطبق إلا إذا كانت المنظمات قادرة على إثبات كيف استجابت خلال حادث.

بالنسبة لمجالس الإدارات، فإن هذا التحول ذو دلالة. لم يعد نقل مخاطر الإنترنت يتعلق فقط بالتغطية. إنه يتعلق بما إذا كانت تلك التغطية ستثبت فعاليتها تحت الاختبار، وما إذا كانت المؤسسة قادرة على إثبات أنها تصرفت بشكل مناسب تحت الضغط.

لم يعد نقل مخاطر الإنترنت سياسة واحدة

قبل عقد من الزمان، كان يُنظر إلى تأمين الإنترنت غالباً كحل شامل. أوضح ستيفن شوارتز، الشريك المؤسس والشريك العام في FireTower Risk Solutions، كيف تحول السوق عن سياسة واحدة شاملة. وقال: “كانت شركات التأمين تسعر للخسائر التي يمكنها نموذجها – الابتزاز، انقطاع الأعمال وإشعارات الخصوصية.” ومع ذلك، كانت الخسائر التي تؤذي الشركات حقيقة خارج هذا النموذج.

أدى التحول إلى إنشاء نظام طبقي من تأمين الإنترنت، تغطية المديرين والضباط (D&O) وحمايات أكثر استهدافًا، كل منها يتعامل مع جوانب مختلفة من المخاطر، ولكن ليس دائماً يعمل بشكل متكامل. قال شوارتز: “الضرر الذي تتعرض له الشركات في النهاية يحدث عندما يكون لديها حدث مثل خرق من قبل بائع، حيث لا توجد سياسة واحدة مصممة لتكون أول من يستجيب، أو مسألة تنظيمية صغيرة جداً بالنسبة لتأمين الإنترنت ولكنها متخصصة جداً بالنسبة لتأمين D&O.”

تعرض التنفيذيين الفرديين، ولا سيما ضباط أمن المعلومات، هو فجوة محددة ضمن هذا التجزؤ. إن الإدانة الجنائية لجو سوليفان، CISO في أوبر وقضية ضد تيم براون من SolarWinds تشكيل متزايد لكيفية تقييم قادة الأمن لأدوارهم ومسؤولياتهم.

حيث يتعطل نقل تغطية مخاطر الإنترنت

تظهر التجزؤات بشكل أكثر وضوحاً خلال حادث، عندما يتم تفعيل سياسات متعددة وتصطدم التوقعات بالواقع.

أوضح شوارتز كيف يتفاعل تأمين الإنترنت وتأمين D&O. “يمكن أن يلمس حادث إنترنت كليهما: استجابة تأمين الإنترنت لخسارة من الطرف الأول واستجابة D&O عندما يسعى المساهمون أو المنظمون ضد المديرين. إن التفاعل بين الاثنين يصبح فوضوياً.” يمكن أن تخلق الخطوط الزمنية المتنافسة، والفرق القانونية المنفصلة، والاستثناءات المتزايدة احتكاكاً أثناء الاستجابة للحادث.

عزز الرئيس التنفيذي والمؤسس المشارك لبريتش Rx، أندي لونسفورد، تلك الفجوة من منظور مختلف، مشيراً إلى أنه حتى عندما تستثمر المنظمات بشكل كبير في التغطية، غالباً ما تفشل في تلبية المتطلبات لاستخدامها. في الواقع، غالباً ما تكون خطط الاستجابة للحوادث و سياسات التأمين وثائق ثابتة لا يتم اتباعها تحت الظروف الواقعية.

النتيجة هي أن التغطية موجودة، لكن فعاليتها تعتمد على مدى نجاح المنظمات في التنفيذ تحت الضغط.

من نقل مخاطر الإنترنت إلى الإثبات

يُعيد التحول من التغطية إلى الإثبات تعريف نقل مخاطر الإنترنت.

قال شوارتز: “خلافات التغطية لا تتعلق أبداً بالحدث. بل تتعلق بما إذا كان المؤمن يمكنه إثبات كيف استجاب له.”

وصف لونسفورد كيف تطورت التوقعات استجابة للتدقيق التنظيمي وأصبحت الآن تمتد إلى اتخاذ القرار عبر المنظمة. قال: “يجب أن تكون قادراً على إظهار عملك.” “يجب أن يكون لديك نظام سجلات يقول ليس فقط كيف تعامل فريق الأمن مع شيء ما، ولكن كيف استجابت الأعمال عبر جميع المعنيين.”

أضاف سوليفان: “سيتم الحكم على قادة الأمن أقل بناءً على ما إذا حدث حادث و أكثر بناءً على كيفية استعدادهم، وكيف تصاعد، وما تم التواصل به.”

تعزز هذه الرؤى معاً أن الحماية تعتمد بشكل متزايد على السلوك والاستجابة أثناء وبعد الحادث.

التنفيذ تحت الضغط – وحدود نقل مخاطر الإنترنت

إذا كان الإثبات هو المعيار الجديد للتغطية، فإن التنفيذ والتوثيق يصبحان التحدي.

في المراحل الأولى من الحادث، كثيراً ما تعتمد الفرق على مجموعة من قنوات الاتصال. قال سوليفان: “أصعب شيء توثيقه هو عادة من كان مشاركاً في قرار وما هي الحقائق المعروفة في الوقت.” “تعود الفرق إلى التحديثات الشفوية، والدردشات المجزأة، والمكالمات العشوائية، مما يخلق لاحقاً فجوات في القصة التي سيعتبرها المنظمون متعمدة.”

شرحت ريني غوتمان، CISO السابقة في رويال كاريبيان، كوكاكولا وTime Warner Inc., ما يحدث عندما يستجيب القادة للحوادث في الوقت الفعلي وتحت الضغط. قالت: “أكبر الفجوات غالباً ما تكون في التفاصيل ‘الواضحة’ التي لم يتم توثيقها: من حدد المشكلة، من أعلن الحادث، من كان مشاركاً ومتى وما إذا كانت التأخيرات أو الأخطاء قد زادت من التأثير.” “هذه هي بالضبط الأسئلة التي سيسألها المنظمون – وأصعبها للإجابة في وقت لاحق”، بعد مرور أشهر أو سنوات وعدم اكتمال التوثيق.

تتجاوز الانهيارات التوثيق. أوضح سوليفان: “تحدث الانهيارات غالباً عند تقاطع الأمن والقانون والأعمال عندما لا يتم تعريف حقوق القرار والملكية مسبقاً.”

أضاف لونسفورد أن الخطط المُعدة جيداً غالباً ما لا تُتبع في الممارسة العملية. قال: “الواقع هو أنه عندما تدخل في حادث فعلي، لا أحد يستخرج سياسة التأمين الخاصة بهم وخطة الاستجابة للحوادث، ويتأكد من أنهم يتبعونها بدقة.” يكمن هذا الانفصال بين الخطة والتنفيذ حيث توجد المخاطر بشكل متزايد، ولماذا طورت شركة بريتش Rx منصتها لإدارة استجابة الحوادث الإلكترونية، التي تشمل ما يصل إلى 3 ملايين دولار في تغطية للرسوم القانونية، والغرامات، وغيرها من التكاليف للحوادث التي تُدار على المنصة للمديرين التنفيذيين الأفراد بالإضافة إلى الشركات.

ارتفاع التعرض الشخصي في نقل مخاطر الإنترنت

ومع تحول التوقعات، تتغير المساءلة أيضاً. قال سوليفان: “انتقلت المحادثة من الإجراءات التقنية إلى المسؤولية الشخصية.” وأشار أيضاً إلى أنه بينما يسعى العديد من CISOs الآن للحصول على ضمانات صريحة أن تأمين D&O سيغطيهم، فإنهم يفتقرون إلى السيطرة على التخصيص، ولا سيما إذا ساءت العلاقات مع أرباب عملهم بعد حادث.

لاحظت غوتمان مخاوف مماثلة عبر مجتمع CISOs. “تظل المسؤولية الشخصية حاضرة جداً في الأذهان”، مع إعادة بعض القادة التفكير فيما إذا كانوا سيستمرون في استخدام لقب CISO على الإطلاق، نظراً للتعرض المحتمل الذي أُشير إليه من خلال الدعاوى الفردية الأخيرة.

ربط لونسفورد تلك الاتجاهات بفجوات هيكلية في التغطية، مشيراً إلى أن العديد من الدعاوى التي تواجهها CISOs لا تتم معالجتها بوضوح من قبل كل من تأمين الإنترنت أو سياسات D&O.

تسلط هذه الرؤى معاً الضوء على عدم توافق متزايد بين السلطة، والمسؤولية، والحماية.

ما يعنيه نقل مخاطر الإنترنت المجزأ لمجالس الإدارة

بالنسبة لمجالس الإدارة، تمتد الانعكاسات إلى ما هو أبعد من قرارات شراء التأمين. قال شوارتز: “تمتلك المجالس الانضباط في الاستجابة.” “شراء التأمين سهل. جعلها تدفع هو الحوكمة.”

يوصي بأن يسأل المديرون: “متى كانت آخر مرة اختبرنا فيها لغتنا السياسية ضد خطة استجابة الحوادث وبرنامجنا، وأرني الفرق؟” يعكس هذا السؤال تحولاً أوسع في الإشراف. يجب على المجالس الآن أن تفهم ليس فقط ما هي التغطية المتاحة، ولكن كيف تتفاعل مع عمليات استجابة الحوادث في الممارسة العملية.

شدد لونسفورد على أن الاعتماد على الخطط السياسية الثابتة ليس كافياً. يجب أن تكون المنظمات قادرة على التنفيذ بشكل متسق وعلى نطاق واسع، خاصة مع زيادة حجم وتعقيد الحوادث.

من منظور CISO، يعتمد هذا التنفيذ على حقوق القرار الواضحة والتوافق عبر المعنيين. بدون ذلك التوافق، يمكن أن تتحول الحوادث بسرعة إلى استجابات مفككة تضعف كل من النتائج التشغيلية والجدوى القانونية.

معيار مختلف للإشراف على الإنترنت

التغيير الأساسي هيكلي. لم يعد نقل مخاطر الإنترنت يعرف بالسياسات فقط، ولكن بكيفية عمل المنظمات تحت الضغط ومدى قدرتها على إظهار تلك الأداء، أحيانًا بعد مرور أشهر أو سنوات.

بالنسبة لمجالس الإدارة، يعني ذلك تحويل الإشراف من تغطية التأمين إلى القدرة. يجب أن تكون المجالس قادرة على تأكيد ليس فقط أن الحماية موجودة، ولكن أن المنظمة يمكنها إثبات بالتفصيل كيف يمكنها الاستجابة عند الاختبار.

هل استمتعت بهذه القصة حول نقل مخاطر الإنترنت؟ لا تفوت قصتي القادمة: استخدم زر “متابعة” الأزرق في أعلى المقال بالقرب من توقيعي لمتابعة عملي، وتحقق من أعمدتي الأخرى هنا.

Related Posts

بعد حظر أجهزة التوجيه الأجنبية، تقول FCC إن الأجهزة الموجودة يمكن أن تتلقى التحديثات حتى عام 2029

بعد حظر أجهزة التوجيه الأجنبية، تقول FCC إن الأجهزة الموجودة يمكن أن تتلقى التحديثات حتى عام 2029

ستقوم الولايات المتحدة باختبار سلامة نماذج الذكاء الاصطناعي الجديدة من جوجل ومايكروسوفت وxAI

ستقوم الولايات المتحدة باختبار سلامة نماذج الذكاء الاصطناعي الجديدة من جوجل ومايكروسوفت وxAI

الباريستا إنسان لكن وكيل الذكاء الصناعي يدير هذا المقهى السويدي التجريبي

الباريستا إنسان لكن وكيل الذكاء الصناعي يدير هذا المقهى السويدي التجريبي

About لينا الصقّار

لينا الصقّار كاتبة تهتم بقضايا المجتمع وأسلوب الحياة، تقدم محتوى إخباريًا وإنسانيًا يلامس اهتمامات القارئ اليومية.

View all posts by لينا الصقّار →