حذرت جولي تشاتمان، خبيرة الأمن السيبراني وإدارة المخاطر الأميركية، من اتساع الفجوة بين حجم المساءلة القانونية والصلاحيات الفعلية الممنوحة لمدراء أمن المعلومات (CISO). وأشارت إلى تصاعد توجهات تقضي بتحميل القادة الأمنيين مسؤوليات شخصية تتعلق بالحوكمة والإفصاح عن الاختراقات، في وقت تفتقر فيه فرق الأمن أحياناً إلى السلطة الكافية لفرض القرارات داخل المؤسسات.
وفي مقابلة معها، استعرضت تشاتمان جملة من التحديات المتزامنة التي تواجه القيادات الأمنية، أبرزها صعوبة إقناع أصحاب المصلحة بأن الأمن جزء أصيل من دورة العمل وليس عائقاً لها، إضافة إلى ضغوط التمويل التي غالباً ما تتأخر حتى وقوع الحادث، تزامناً مع موجة هجمات تكيفية مدعومة بالذكاء الاصطناعي قادرة على تغيير سلوكها وفقاً للهدف المستهدف.
من المختبرات الطبية إلى مكتب التحقيقات الفيدرالي
تستند رؤية تشاتمان إلى مسار مهني انطلق من الخدمة في البحرية الأميركية كأخصائية في تقنيات المختبرات الطبية، قبل انتقالها إلى مكتب التحقيقات الفيدرالي (FBI)؛ حيث عملت محللة ميزانية، ثم شاركت في مشروع ضخم لتحويل الملفات السرية الورقية إلى منظومات رقمية.
تضمن ذلك المشروع تطبيق نظام “التحكم بالوصول المبني على الأدوار” (RBAC)، وهو أسلوب تقني يحدد صلاحيات كل مستخدم بناء على مهامه الوظيفية فقط، بالإضافة إلى بناء “بنية المفاتيح العامة” (PKI)، وهي المنظومة المسؤولة عن إدارة التشفير والتواقيع الرقمية لضمان أمان البيانات.
وترى تشاتمان أن الانضباط في بيئات “الحياة أو الموت” شكل أساس تفكيرها المنظم في الأمن السيبراني، وهو ما قادها لاحقاً للعمل في شركات كبرى مثل Deloitte و McKinsey، وصولاً إلى تأسيس شركتها ResilientTech Advisors.
مدير أمن المعلومات: كبش فداء محتمل
في توصيف مباشر للضغوط الراهنة، لفتت تشاتمان إلى أن قضايا بارزة أدت إلى ملاحقات جنائية ومدنية بحق قادة أمنيين بسبب طريقة إدارتهم للإفصاح عن الاختراقات. وحذرت من أن منصب مدير أمن المعلومات قد يتحول إلى “كبير كباش الفداء”، حيث يحمل المسؤولية الشخصية عن قرارات الحوكمة بينما تظل السلطة الفعلية والميزانيات بيد قيادات أخرى.
هذا الواقع دفع كفاءات أمنية لتجنب المنصب، مع بروز نماذج بديلة مثل “مدير أمن المعلومات الافتراضي” (vCISO) أو “الجزئي” (fractional CISO)، وهي صيغ تمنح المؤسسات خبرة قيادية مرنة دون وضع كامل المسؤوليات التنفيذية والقانونية على عاتق شخص واحد داخل الهيكل التنظيمي.
ركائز قبول المنصب: الحماية أولاً
قدمت تشاتمان 3 نصائح عملية للمرشحين لهذا المنصب لضمان حمايتهم وحماية مؤسساتهم:
- التفاوض على الحماية القانونية: ضرورة التأكد من شمول المدير بتأمين “المسؤولية للمدراء والمسؤولين” (D&O)، الذي يغطي تكاليف الدفاع القانوني. وفي حال الرفض، يجب تحديد من يتحمل كلفة التغطية الفردية.
- إعادة توزيع ملكية المخاطر: دعت تشاتمان إلى عدم انفراد مدير الأمن بقرار قبول المخاطر. وطالبت بتوثيق هذه القرارات عبر أدوات الحوكمة والمخاطر والالتزام (GRC)، بحيث يوقع مالك العمل أو مالك البيانات على قرار قبول المخاطرة، ما يوضح من اتخذ القرار التجاري النهائي ومن قدم المشورة الأمنية.
- لغة الأعمال قبل لغة الأمن: يحتاج القائد الأمني إلى التحدث بمصطلحات العائد على الاستثمار (ROI)، وبناء سيناريوهات ميزانية مرنة تشمل ميزانية لسد الفجوات، وأخرى لتحقيق مستوى مقبول، وثالثة تحذيرية عند استشعار خطر اختراق وشيك.
الذكاء الاصطناعي والتدريب القيادي
أكدت تشاتمان أن فهم آليات الذكاء الاصطناعي أصبح ضرورة للدفاع، خاصة مع ظهور تقنيات التزييف العميق (Deepfakes) التي تولد صوراً وأصواتاً مفبركة، وهجمات احتيال البريد الإلكتروني للأعمال (BEC) المدعومة بالذكاء الاصطناعي لانتحال شخصيات قيادية.
وختمت تشاتمان بالإشارة إلى أهمية الإرشاد المهني، موضحة أنها أطلقت برنامجاً لتدريب التقنيين على مهارات التواصل وصياغة الرسائل الأمنية بلغة مفهومة لصناع القرار، مؤكدة أن قوة الأنظمة لا تقاس بمنع الاختراق فحسب، بل بالقدرة على التعافي بشكل أسرع وأقوى.
