أعاد تقرير حديث حول أعداد مسؤولي أمن المعلومات التنفيذيين في العالم فتح النقاش حول طبيعة النقص في هذا المنصب، وما إذا كانت المشكلة تعود فعلياً إلى غياب الكفاءات، أم إلى توقعات وظيفية متسعة تجعل الدور أكثر تعقيداً مما تستطيع الكثير من المؤسسات استيعابه.
ونقل تقرير عن دراسة أجرتها Cybersecurity Ventures بالشراكة مع Sophos، أن عدد مسؤولي أمن المعلومات التنفيذيين (CISO) عالمياً يقدر بنحو 35 ألفاً في عام 2026، مقابل نحو 359 مليون شركة؛ أي ما يقارب مسؤولاً واحداً لكل 10 آلاف شركة. ويعرض التقرير هذه النسبة بوصفها مؤشراً على فجوة قيادية في الأمن السيبراني، لا سيما لدى الشركات الصغيرة والمتوسطة.
غير أن القراءة الميدانية تشير إلى صورة أقل حدة وأكثر تفاوتاً؛ إذ أوضح بعض مسؤولي التقنية أنهم لا يواجهون صعوبة واضحة في العثور على مرشحين مؤهلين للأدوار القيادية، بينما ترى مؤسسات أخرى أن عدم تعيين مسؤول أمن معلومات تنفيذي مستقل قد يكون قراراً تنظيمياً مقصوداً، وليس بالضرورة نتيجة مباشرة لنقص في سوق العمل.
وتتمثل النقطة الجوهرية في أن دور مسؤول أمن المعلومات التنفيذي قد اتسع خلال السنوات الأخيرة، لينتقل من قيادة الضوابط الأمنية التقليدية إلى إدارة المخاطر، والامتثال، والتواصل مع مجالس الإدارة، ومتابعة مخاطر الذكاء الاصطناعي. هذا الاتساع جعل المنصب أقرب إلى وظيفة تنفيذية متعددة الأبعاد، تتطلب مزيجاً من الخبرة التقنية، والقدرة القيادية، وفهم قطاع الأعمال، والقدرة على اتخاذ القرارات تحت الضغوط.
وبحسب التحليل، فإن بعض المؤسسات تزيد تعقيد المشكلة عندما تصوغ توصيفات وظيفية تطلب مزيجاً مبالغاً فيه من المؤهلات؛ تشمل الخبرة التقنية العميقة، والشهادات الأكاديمية، والمهارات التنفيذية. ويؤدي ذلك إلى تضييق دائرة المرشحين بشكل أكبر مما قد تكون عليه إذا ركزت المؤسسة على الخبرة العملية والقيادة والقدرة على إدارة المخاطر.
ويشير تقرير Sophos إلى أن الشركات الصغيرة والمتوسطة هي الأكثر تعرضاً لهذه الفجوة، نظراً لأن تكلفة تعيين مسؤول أمن معلومات تنفيذي بدوام كامل قد تتجاوز قدرتها المالية. ومن هنا يبرز دور مزودي الخدمات المدارة (MSP) ومزودي خدمات الأمن المدارة (MSSP) ونماذج مسؤول أمن المعلومات الافتراضي (vCISO)، بوصفها وسائل لتوسيع الوصول إلى الخبرة القيادية، دون أن تكون بديلاً كاملاً عن المساءلة الداخلية فيما يخص القرارات الأمنية.
وتدعم الأمثلة التي أوردتها TechTarget هذا الاتجاه؛ إذ يمكن لبعض الشركات دمج مسؤوليات مسؤول المعلومات التنفيذي (CIO) ومسؤول أمن المعلومات التنفيذي (CISO) في منصب واحد، أو إبقاء القيادة الأمنية داخل المؤسسة مع الاستعانة بمزود خارجي للمراقبة المستمرة أو الدعم خارج ساعات العمل. غير أن فاعلية هذا النموذج ترتبط بوضوح المسؤولية الداخلية، وبقدرة القيادة التقنية على مواءمة الأمن مع احتياجات التشغيل والأعمال.
وتكشف هذه القضية في النهاية عن تحدٍ أعمق من مجرد إحصاء الوظائف الشاغرة؛ فالسؤال لا ينحصر في عدد مسؤولي أمن المعلومات المتاحين، بل في كيفية تعريف المؤسسات لهذا الدور، ومستوى الدعم المقدم له، وما إذا كانت تنظر إلى الأمن السيبراني باعتباره وظيفة تقنية منفصلة أم مسؤولية حوكمة وإدارة مخاطر تتطلب توزيعاً واقعياً للمهام.
