عندما عمل تشاد كلوير كرئيس لأمن المعلومات في أحد أنظمة المستشفيات، أصبحت الوظيفة مرهقة للغاية، ولم يتحول شعره إلى اللون الرمادي فحسب، بل بدأ في التساقط، كما يقول. خلال حياته المهنية، تعرض لما يعرف الآن بنوبات الذعر الناجمة عن العمل بسبب الضغط. جاءت الوظيفة مصحوبة بمكالمات هاتفية في أي ساعة من اليوم، ومعالجة انقطاع تكنولوجيا المعلومات أو مشكلات الامتثال لقانون HIPAA، وتركته يرسل رسائل إلى زملائه أثناء تواجده خارج المكتب وفي إجازة.
يتذكر أنه استيقظ في الساعة الثالثة صباحًا على اتصال طبيب من المستشفى الريفي حيث انقطع الإنترنت. لم يتمكن الطبيب من إرسال نتائج الفحص إلى أخصائي الأشعة، ويتذكر كلوير قوله: “لا أعرف ما إذا كان يجب وضع هذا المريض على متن طائرة هليكوبتر أو إعادته إلى المنزل”. بصفته عامل الأمن الأعلى والوحيد، كان كلوير في مأزق. “أنا لست طبيبًا في غرفة الطوارئ، لكن أطباء الطوارئ يعتمدون على خدماتي.”
لقد أصاب الضغط الهائل أدمغة CISOs (كبار مسؤولي أمن المعلومات) بالبرامج الضارة، وهم يتطلعون إلى إنهاء الأمر. تستمر فترة ولاية رئيس أمن المعلومات النموذجية من 18 إلى 26 شهرًا فقط، مقارنة بما يقرب من خمس سنوات لأدوار C-suite الأخرى، وفقًا لتقرير صادر عن شركة الأبحاث والناشر Cybersecurity Ventures. يقول نصف كبار مسؤولي أمن المعلومات أن نطاق عملهم أصبح خارج نطاق الإدارة، ويقول ما يقرب من 70% منهم أنهم منفتحون على تغيير وظائفهم أو حتى ترك دور كبير مسؤولي أمن المعلومات بالكامل خلال العام المقبل، وفقًا لتقرير صادر عن شركة الأبحاث الأمنية IANS.
تعمل الوظيفة على ربط الجانب الفني المعقد للشركة وأهدافها التجارية، بدءًا من التمويل إلى الموارد البشرية وحتى العمليات اليومية. يُنظر إليهم على أنهم قسم “لا”، الذي يكبح اعتماد الذكاء الاصطناعي حيث يقوم الموظفون ذوو الياقات البيضاء بتوصيل البيانات الحساسة إلى أنظمة غير مصرح بها، ويتحولون إلى الذكاء الاصطناعي الظلي باسم الكفاءة. لقد تضخم دورهم على مدى العقود الثلاثة الماضية، مما يتطلب منهم تلبية قائمة متزايدة من المتطلبات التنظيمية، والتواجد بشكل متزايد أمام أعضاء مجلس الإدارة الذين نادرا ما يتحدثون بمصطلحات تكنولوجية، ومحاربة التهديدات المركبة للذكاء الاصطناعي مع تمكين إمكاناته لجعل العمال أكثر كفاءة. إنهم يفعلون كل هذا بينما يواجهون المسؤولية الشخصية المحتملة عن الانتهاكات الأمنية.
لا عجب أن رؤساء الأمن في عالم الشركات قد وصلوا إلى أقصى حدودهم. يواجه مدراء تكنولوجيا المعلومات في الشركات الكبيرة ضغوطًا متزايدة، في حين لا يوجد عدد كافٍ من الأشخاص الذين يعملون في هذا الدور لخدمة الشركات الصغيرة والمتوسطة. ومع توقع تضاعف خسائر الجرائم الإلكترونية من 6 تريليون دولار في عام 2021 إلى 12 تريليون دولار في عام 2031 وفقًا لتقديرات Cybersecurity Ventures، فإن هذا يعني أن المزيد من التهديدات تلوح في الأفق ليس فقط في أماكن عملنا، ولكن أيضًا في الشركات التي تحتفظ ببياناتنا الشخصية كعملاء.
يقول مارتن ويتوورث، كبير مسؤولي أمن المعلومات المتقاعد: “من المتوقع أن يقوم كبار مسؤولي تكنولوجيا المعلومات بالدور التشغيلي والاستراتيجي والمخاطر والإنساني”. “هذا يكفي لحرق أي شخص.”
تم تعيين أول رئيس تنفيذي لأمن المعلومات (CISO) في منتصف التسعينيات في Citicorp، وقد ظهر هذا الدور الجديد كرد فعل على الاختراق. الآن، يعمل ما يقدر بنحو 35000 شخص كمدراء أمن معلومات، غالبًا في مناصب أصغر في فئة C-suite. تقوم بعض الشركات، عادةً ما تكون شركات صغيرة أو شركات ناشئة، بتوظيف عدد من CISOs الذين يعملون بدوام جزئي فقط في شركات متعددة. يستخدم آخرون CISOs الافتراضيين الذين هم تحت الطلب للحصول على الدعم. بدأت وظيفتهم كدور مسؤول بشكل أساسي عن الدفاع ضد تهديدات الأمن السيبراني. ولكن في السنوات الأخيرة، تطورت هذه المهمة، وكذلك المخاطر السيبرانية التي تواجهها الشركات، ولا تواكب مواردها دائمًا الوتيرة. في عصر الذكاء الاصطناعي الذي يتطور باستمرار، أصبح الأمن أكثر تعقيدًا ويتطلب المزيد من الإستراتيجية. ولكن لا يوجد مجال تدريب حقيقي للجانب الدبلوماسي والتجاري من الوظيفة، كما أخبرني كبار مسؤولي تكنولوجيا المعلومات، بعد أن أمضوا حياتهم المهنية في إتقان التكنولوجيا في العمل الذي غالبًا ما يكون منعزلاً ومعزولًا عن العمل المعروف علنًا أن الشركة تقوم به.
يقول جو سيلفا، كبير مسؤولي أمن المعلومات السابق الذي تحول إلى الرئيس التنفيذي لشركة Spektion الأمنية: “إن ما يوصلك إلى الطاولة لا يجعلك بالضرورة فعالاً على الطاولة”. “أو، وصلت إلى الطاولة، لكنك أدركت بعد ذلك أنها طاولة الأطفال،” حيث يجلس كبار مسؤولي تكنولوجيا المعلومات عادة في أسفل سلم الشركة، أسفل كبار المسؤولين التنفيذيين مثل الرؤساء التنفيذيين.
تستمر فترة ولاية رئيس أمن المعلومات النموذجية حوالي 18 شهرًا، مقارنة بما يقرب من خمس سنوات لأدوار المديرين التنفيذيين الأخرى.
وجدت دراسة استقصائية أجريت عام 2024 على 500 من كبار مسؤولي تكنولوجيا المعلومات حول العالم أجرتها شركة الأمن السيبراني Trellix أن 72% من المشاركين لديهم مخاوف بشأن مستقبلهم في هذا الدور بسبب توسيع المسؤوليات، مثل المتطلبات التنظيمية (تشمل خصوصية الرعاية الصحية، مثل HIPAA، إلى الصناعة المالية) وعبء العمل اليومي المتزايد الذي يفرض التدابير الأمنية. يقول رون جرين، كبير مسؤولي الأمن السابق في شركة ماستركارد: “الجميع يريد تحميل رئيس أمن المعلومات المسؤولية”. في عام 2023، اتهمت هيئة الأوراق المالية والبورصة شركة البرمجيات SolarWinds بالاحتيال بعد أن قام مهاجمون إلكترونيون مرتبطون بروسيا بإدخال تعليمات برمجية ضارة في برنامج SolarWinds، والتي قامت الشركة بعد ذلك بدفعها إلى عملائها، بما في ذلك الوكالات الحكومية الفيدرالية وآلاف الشركات. قامت هيئة الأوراق المالية والبورصة أيضًا بتسمية CISO بشركة SolarWinds تيم براون في الشكوى، سعيًا إلى منع براون من العمل كضابط ومدير. أسقطت هيئة الأوراق المالية والبورصة هذه القضية في أواخر العام الماضي، لكنها قدمت مثالًا مخيفًا لكيفية تحمل كبار مسؤولي أمن المعلومات شخصيًا المسؤولية عن خطأ الشركة.
يقول مات هيلاري، رئيس أمن المعلومات في شركة Drata لبرمجيات الذكاء الاصطناعي، إن وظيفة CISO “تضخمت إلى هذا الدور المكثف للغاية”. “يمكننا أن نفعل كل شيء حرفيًا وما زلنا نفتقد شيئًا ما أو نتغاضى عن شيء ما.” وتقول هيلاري إنه كان متمسكاً بالكمال. في وقت مبكر من فترة ولايته، يقول إنه اضطر إلى تغيير طريقة تفكيره، مدركًا للضرر العقلي الذي لحق به عندما حاول الوصول إلى مستوى مستحيل من المخاطرة صفر في عالم مليء بالمخاطر اللانهائية. في كثير من الأحيان، يقول إنه سيضع أهدافًا وغايات ربع سنوية لفريقه، ولكن بعد ذلك يتعرضون لهجوم من المخاطر الجديدة أو الحرائق غير المتوقعة التي يجب إخمادها. يقول هيلاري إنه بحاجة إلى إيجاد طرق حتى لا يشعر بأن ذلك يترجم إلى فشل، مع التواصل أيضًا مع الشركة بوضوح بأن الفريق لا يستطيع محاربة كل المخاطر الأمنية. “كنت بحاجة إلى أن أفهم أن هناك منطقة رمادية كبيرة يجب أن توجد،” وأن الكمال غير ممكن.
ومع تزايد حجم المسؤولية، يعتقد 84% من مدراء تكنولوجيا المعلومات أن الوظيفة يجب أن تصبح دورين منفصلين: حيث يتولى شخص واحد الجوانب الفنية وآخر يركز على الاهتمامات التجارية، وفقًا لاستطلاع تريليكس. وقد اتخذت بعض الشركات بالفعل هذا الطريق، حيث قامت بتعيين كبار مسؤولي الثقة لتولي الجوانب الاستباقية والتواصلية لهذا الدور، في حين يمتلك كبار مسؤولي تكنولوجيا المعلومات قطعة الدفاع السيبراني. يعتقد بعض مسؤولي أمن المعلومات أنه يمكن حل المشكلات إذا دخلوا في محادثات حول قرارات العمل في وقت أقرب، لتعكس مسؤولياتهم المتزايدة. يقول رينكي سيثي، رئيس قسم تكنولوجيا المعلومات في شركة Upwind Security للأمن السحابي: “إننا نتولى ما هو أكثر بكثير من مجرد الأمن”. “هناك الكثير من الأشياء التي لا يعرف الناس مكانها، ويتم إلقاؤها في أيدي رجال الأمن.”
لقد فر العديد من كبار مسؤولي تكنولوجيا المعلومات من الميدان. في العام الماضي، ترك Google Cloud CISO Phil Venables منصبه ليصبح شريكًا في المشروع، متوجًا بأربع سنوات في Google وعقدين من العمل في مجال الأمن في Goldman Sachs. استقال كبير مسؤولي الأمن السابق في T-Mobile في عام 2023 وتولى الاستثمار الملائكي. تقاعد المدير السابق للأمن السيبراني في وكالة الأمن القومي ثم تولى وظيفة مشروع. عندما يغادر مديرو تكنولوجيا المعلومات، فإن رحيلهم يمكن أن يؤدي إلى تعطيل فريق تكنولوجيا المعلومات. غالبًا لا يكون هناك شخص ثانٍ في القيادة مستعد لتولي الجانب الإنساني من هذا الدور. يقول سيلفا: “الكثير منهم لا يطلعون كثيرًا على هذه المحادثات والديناميكيات السياسية”. “وبالتالي يمكن أن يتم قمع الأمن.”
بدأ كلوير ما يسميه رحلته بصفته كبير مسؤولي أمن المعلومات (CISO) المتعافي منذ حوالي أربع سنوات، ويقوم الآن بتدريس الأمن السيبراني في جامعة ويسترن جفرنرز. يقول: “لقد عشت التوتر وقررت للتو أنني وصلت إلى هذه النقطة في حياتي حيث لم يعد التوتر يستحق كل هذا العناء”. ويهدد ضغوط الوظيفة بطرد كبار مسؤولي تكنولوجيا المعلومات، تمامًا كما تجعل المخاطر والفرص التي يوفرها الذكاء الاصطناعي الأمن السيبراني أكثر أهمية من أي وقت مضى.
أماندا هوفر هو أحد كبار المراسلين في Business Insider ويغطي صناعة التكنولوجيا. تكتب عن أكبر شركات التكنولوجيا واتجاهاتها.
توفر قصص خطاب Business Insider وجهات نظر حول القضايا الأكثر إلحاحًا في اليوم، مستنيرة بالتحليل وإعداد التقارير والخبرة.
