دیدگاه جوزف اشتاینبرگ: هیئت مدیره باید ریسک سایبری را نظارت کند نه مدیریت
جوزف اشتاینبرگ، مشاور امنیت سایبری، تشریح میکند که چرا هیئت مدیره باید بر مدیریت ریسک سایبری نظارت کند و نه اینکه خود آن را مدیریت نماید، و تفاوت حیاتی بین این دو نقش را روشن میسازد.
نقش هیئت مدیره در نظارت بر ریسک سایبری
یکی از مهمترین پرسشهای پیش روی هیئت مدیره سازمانها در عصر حاضر این است که چگونه باید در برابر ریسک سایبری که به عنوان بزرگترین تهدید برای اکثر سازمانها شناخته میشود، موضعگیری کنند. جوزف اشتاینبرگ، مشاور امنیت سایبری باتجربه، بر یک تمایز حیاتی تأکید دارد: هیئت مدیره باید بر مدیریت ریسک نظارت داشته باشد، نه اینکه خود مدیریت آن را بر عهده بگیرد. او بیان میکند که بسیاری از افراد در صنعت مشاوره امنیت سایبری، هیئت مدیره را با لنزی اشتباه نسبت به ریسک سایبری شرطی کردهاند. وظایف سنتی مشاوره سایبری بر کمک به مدیران ارشد اطلاعات امنیتی (CISO) در پیادهسازی دفاعیات، استقرار کنترلهای امنیتی، و مدیریت عملیات روزانه متمرکز است؛ اینها همگی عناصر مدیریت ریسک هستند.
در مقابل، نظارت هیئت مدیره تضمین میکند که CISOها کار خود را به درستی انجام میدهند، بدون اینکه اعضای هیئت مدیره خودشان آن کارها را انجام دهند. اشتاینبرگ این موضوع را با سایر عملکردهای کسبوکار مقایسه میکند: هیئت مدیره حسابداری را اداره نمیکند، بلکه اطمینان حاصل میکند که مدیر مالی (CFO) کار خود را به نحو احسن انجام دهد. مشکل زمانی پیش میآید که شرکتها فاقد تخصص لازم در هیئت مدیره برای نظارت مؤثر باشند و به جای آن، افرادی با تجربه فنی یا مدیریتی اجرایی را جذب میکنند که در نهایت به جای نظارت، درگیر مدیریت عملیاتی میشوند.
تفاوت بنیادین مشاوره و نظارت هیئت مدیره
بسیاری از شرکتهای مشاوره امنیتی بر عملیات یا پیادهسازیهای فنی خاص (مانند تست نفوذ یا معماری امنیتی) تمرکز دارند. اما اشتاینبرگ معتقد است که هیئت مدیره نیازی به درک جزئیات فنی مانند پیکربندی ضدحملات یا مدیریت آسیبپذیریها ندارد. در عوض، آنها به چارچوبهای حاکمیتی نیاز دارند تا سؤالات استراتژیک بپرسند. این سؤالات شامل موارد زیر است: آیا میزان تحمل ریسک با مدل کسب و کار مطابقت دارد؟ آیا منابع کافی برای مدیریت ریسک سایبری اختصاص یافته است؟ و آیا هیئت مدیره وظایف امانی خود را در قبال نظارت سایبری انجام میدهد؟
- هیئت مدیره باید تشخیص دهد که نقش آن «اطمینان از انجام صحیح کار توسط شخص دیگری» است، نه «انجام فعالانه کار».
- تمرکز هیئت مدیره بر گزارشهای عملیاتی جزئی (مانند شبیهسازیهای مهندسی اجتماعی) میتواند توهم مشارکت ایجاد کند، اما آنها را از پرسیدن سؤالات حاکمیتی واقعی دور نگه میدارد.
- اشتاینبرگ تأکید دارد که هیئت مدیره باید بر اطمینان از تخصیص منابع کافی و پاسخگو نگه داشتن مدیران اجرایی تمرکز کند.
- عدم تمایز میان مدیریت و نظارت میتواند به معنای سوءمدیریت و نقض وظایف امانی (Fiduciary Duties) هیئت مدیره تلقی شود، به ویژه پس از وقوع نقضهای امنیتی.
- تخصص اشتاینبرگ ناشی از تجربه چندوجهی اوست؛ او هم به عنوان پیادهساز امنیت و هم به عنوان مشاور هیئت مدیره فعالیت کرده است.
“تفاوت این است که آیا شما فعالانه در حال انجام کار هستید یا اطمینان حاصل میکنید که شخص دیگری آن را به درستی انجام میدهد.”
«هیئت مدیره باید چارچوبهایی برای پرسیدن سؤالات استراتژیک درست و ارزیابی اثربخشی عملکرد CISOهای خود داشته باشد، نه اینکه خودشان متخصص فنی امنیت سایبری شوند.»
نتیجهگیری این است که هیئت مدیره نباید در دام میکرومدیریت تصمیمات فنی بیفتد. وظیفه آنها ارائه راهنمایی استراتژیک و اعتبارسنجی مؤثر بودن رویکرد کلی سازمان در برابر ریسک سایبری است تا بتوانند از طریق نظارت صحیح، از سازمان در برابر بزرگترین ریسکهای آن محافظت کنند.
