کمبود متخصص امنیت سایبری در هیئت مدیره شرکتهای آمریکایی

به گزارش کارگروه امنیت خبرگزاری سایبربان، تعداد کمی از مدیران هیئت‌مدیره در برجسته‌ترین شرکت‌های فهرست‌شده در ایالات متحده، تجربه مستقیمی در زمینه امنیت سایبری دارند، که همین امر چالشی برای نحوه مدیریت حملات سایبری توسط مدیران بشمار می آید.

تجزیه و تحلیل ترکیب هیئت مدیره در شرکت‌های دارای شاخص اس اند پی 500 (S&P 500) نشان داد که 88 درصد از این شرکتها هیچ کارشناس امنیت سایبری به عنوان مدیر ندارند.

این تحقیق نشان داد که تنها هفت شرکت یک مدیر ارشد امنیت اطلاعات فعلی یا سابق را در هیئت مدیره خود داشتند و در دو مورد، نام یک شخص به چشم می خورد.

دیو دی والت، بنیانگذار و مدیر اجرایی شرکت سرمایه گذاری خطرپذیر نایت دراگون، که در هیئت مدیره دلتا ایر لاین و شرکت نرم افزاری فایو ناین (Five9) نیز حضور دارد، گفت:

این فقدان حرکت در اتاق هیئت مدیره همچنان مرا شگفت زده می کند. نایت دراگون و موسسه دیلیجنت (Diligent)، بازوی تحقیقاتی و اتاق فکر توسعه دهنده نرم افزار اجرایی دیلیجنت، این مطالعه را انجام داده اند که نتیجه آن در روز پنجشنبه منتشر شد.

متخصص سایبری به طور گسترده به افرادی گفته می شود که در حال حاضر یا قبلاً در نقش های افسر ارشد امنیت اطلاعات (CISO) کار می کردند؛ کسانی که سمت‌های فنی ارشد داشتند، اما لزوماً نقش‌های سایبری نداشتند و همچنین کسانی که بدون داشتن سمت های ارشد، تجربه کار در زمینه فناوری را داشتند.

حدود 52 درصد از شرکت‌ها دارای یک مدیر هیئت مدیره با تجربه فناوری در حوزه امنیت سایبری بودند.

این تعداد شامل افرادی می شود که در هیئت مدیره شرکت های سایبری حضور دارند یا به یک سازمان حرفه ای مرتبط با امنیت سایبری وابستگی دارند.

امیلی هیث، شریک عمومی شرکت وی سی سایبر استارتس (VC Cyberstarts)، گفت:

اعتبار سایبری در هیئت مدیره اکنون برای حکمرانی خوب بسیار مهم است.

هیث، رئیس سابق امنیت خطوط هوایی متحده و ارائه‌دهنده فناوری داکیوساین (DocuSign)، در هیئت مدیره شرکت‌های سایبری ویز (Wiz) و جن دیجیتال (Gen Digital) نیز حضور دارد.

هیث گفت که مدیران در نقش نظارتی خود مسئول اطمینان از مدیریت صحیح ریسک ها از جمله ریسک سایبری هستند.

او گفت:

شما باید آن دانش و تخصص سایبری را داشته باشید تا بدانید چه سوالاتی باید بپرسید.

نتایج مطالعات نایت دارگون و دیلیجنت تا حد زیادی منعکس کننده تحقیقات مشابهی است که توسط وال استریت ژورنال در نوامبر 2022 انجام شد.

این تجزیه و تحلیل نشان می داد که تنها 86 نفر از 4621 مدیر در هیئتهای مدیره در شرکت های اس اند پی 500، تجربه مرتبط در امنیت سایبری در 10 سال گذشته را داشته اند.

قوانین پیشنهادی کمیسیون بورس و اوراق بهادار ایالات متحده، شرکت‌ها را ملزم می‌کرد تا اعلام کنند که کدام از اعضای هیئت‌مدیره تجربه سایبری دارند، اگرچه این ماده از قوانین نهایی که از 5 سپتامبر اجرایی شد، حذف شد.

مدیران می گویند که پیدا کردن نامزدهای مناسب برای یک پست در سطح هیئت مدیره اغلب دشوار است.

امنیت سایبری یک زمینه بسیار فنی است که در آن مدیران به تازگی به سطح رهبری ارشد ارتقا یافته اند.

میرانا سوتو، بنیانگذار و مدیر اجرایی شرکت مشاوره دهنده ی آپوجی (Apogee)، گفت که کار هیئت مدیره مستلزم تجربه تجاری گسترده ای است که بسیاری از روسای امنیتی فاقد آن هستند.

سوتو که همچنین مدیر شرکت هواپیمایی اسپیریت (Spirit Airlines)، گروه بانکی پاپیولار (Popular)، و مدیر حقوق و دستمزد و مزایا گروه ترینت (TriNet) است، گفت که هیئت‌ها معمولاً در طول جلسات خود برای مدت زمان محدودی در مورد موضوعات سایبری بحث می‌کنند؛ مسائل دیگر توجه آنها را می طلبد و هر متخصص سایبری باید بتواند جایگاه خود را با مشارکت در آن بحث ها توجیه کند.

او گفت:

بسیار مهم است که کاندیداهایی که برای ارائه این نوع تخصص به اتاق هیئت مدیره شرکت خواهند کرد، مدیران تجاری بسیار خوبی نیز باشند.

دی والت نیز گفت که حل این مشکل به تلاش هیئت مدیره و متخصصان امنیت سایبری نیاز دارد.

روسای امنیتی باید دانش کلی کسب و کار خود را گسترش دهند، شرکت ها باید نقش افسر ارشد امنیت اطلاعات را به یک موقعیت واقعی ارتقا دهند، و هیئت مدیره باید در مورد مسائل سایبری آموزش بهتری کسب کنند.

او گفت:

من واقعاً می‌خواهم یک الزام آموزشی مستمر برای سواد سایبری در اتاق هیئت مدیره ببینم.