لا تتحدث بلغة "غريبة" أمام مجلس الإدارة، وإلا فسوف تتلقى استقبالاً بارداً.
في مرحلة ما من حياتنا المهنية، سيُطلب من العديد منا تقديم عرض لمجلس الإدارة. وقد يكون ذلك لتقديم تقرير عن نتائج التدقيق، أو الامتثال، أو تقييم المخاطر. وقد يكون ذلك لتقديم تحديث سنوي أو ربع سنوي عن "حالة الاتحاد"، أو للإبلاغ عن حادثة وقعت مؤخرًا، أو لطلب الدعم لمبادرة جديدة.
مهما كان الأمر، فإن تقديم عرض أمام مجلس الإدارة ليس بالمهمة السهلة - ومن المستحسن للمبتدئين أن يستعدوا جيدًا لهذا النوع من الظهور، والذي يختلف كثيرًا عن الاجتماعات مع كبار المسؤولين التنفيذيين، والأقران، والمدققين، والمستشارين، ومحترفي التكنولوجيا.
إن أعضاء مجلس الإدارة ينتخبهم أو يعينهم مساهمو الشركة لتمثيل مصالح المساهمين وضمان عمل إدارة الشركة نيابة عنهم. وتتلخص مهمة مجلس الإدارة في وضع السياسات لإدارة الشركة والإشراف عليها، واتخاذ القرارات بشأن القضايا الرئيسية للشركة. ولابد أن يكون لكل شركة عامة مجلس إدارة، وفي مجال الرعاية الصحية ــ بغض النظر عما إذا كان نظام الرعاية الصحية "هادفاً إلى الربح" أو "غير هادف إلى الربح" ــ فإن مجالس الإدارة تحكم وتشرف على كبار المسؤولين التنفيذيين في أغلب الأحيان.
يتألف أعضاء مجلس إدارة المستشفى من المساهمين والمستثمرين والصناعات المستقلة والخبراء من مختلف الصناعات، وغالبًا ما يشملون الأكاديميين والأطباء البارزين. بشكل عام، هم رجال أعمال ويعرفون كيفية إدارة الأعمال. معظمهم لا يفهمون التكنولوجيا أو يتحدثون عنها - فهم من خلفيات الأعمال / التمويل / الأطباء بعد كل شيء. وتقريباً لن يتحدث أو يفهم أي منهم "الأمن السيبراني". في الواقع، قد يجد البعض صعوبة في تهجئة الكلمة! ومع ذلك، فهم يفهمون مخاطر المؤسسة التجارية، والربح والخسارة، وتكلفة قبول المخاطر ونقلها ومعالجتها.
عند مخاطبة مجلس الإدارة، يتعين على مسؤولي أمن المعلومات التحدث بالمصطلحات واللغة التي يفهمها أعضاء مجلس الإدارة، بدلاً من اللغة المستخدمة في تقديم التقارير إلى مسؤول المعلومات أو غيره من أعضاء الإدارة العليا. سيؤدي الفشل في القيام بذلك إلى ضياع الرسالة أو عدم سماعها إلى حد كبير.
لقد اكتسب معظم أعضاء مجلس الإدارة القليل مما يعرفونه عن الأمن السيبراني من المقالات التي قرأوها في Wall Street Journal والدوريات الأخرى. فهم يفتقرون إلى الخلفيات التكنولوجية والخبرة في هذا المجال لفهم التفاصيل الفنية للأمن السيبراني.
فكيف يمكنك إنشاء لغة مشتركة وتوصيل مقاييس مفهومة إلى مجلس الإدارة؟
من خلال ترجمة مخاطر واستراتيجيات الأمن السيبراني إلى المخاطر والاستراتيجيات التجارية من أجل جعلها ذات صلة بأعضاء مجلس الإدارة. من غير المرجح أن تحصل على أموال مقابل الأدوات اللازمة للتعامل مع التهديدات المستمرة المتقدمة، ولكن قد تحصل على أموال لضمان استمرار عمل الشركة بعد الهجوم.
كان هذا موضوع العرض التقديمي الذي قدمته هذا الأسبوع في مؤتمر فرجينيا HIMSS السنوي في ويليامزبيرج بولاية فرجينيا، حيث اجتمع حوالي 300 من قادة الرعاية الصحية من مختلف أنحاء المنطقة لتعلم ومشاركة أفضل الممارسات في إدارة الرعاية الصحية والتكنولوجيا والأمن والمخاطر والامتثال.
إذن ما هي بعض النتائج التي توصلنا إليها؟
جعل الأمن السيبراني جزءًا من إدارة المخاطر المؤسسية الأوسع:
استخدم لغة مماثلة لتلك المستخدمة لوصف المخاطر التجارية الأخرى في كيفية التحدث عن الأمن السيبراني. إن كبار المديرين التنفيذيين ومجالس الإدارة على دراية كبيرة بتقييم احتمالية وتأثير المخاطر السلبي، وتحديد مستوى تحمل المخاطر، وتطوير خطط إدارة المخاطر. إذا استخدمت نفس النهج والمصطلحات، فسيساعدهم ذلك على فهم الصورة الكبيرة واتخاذ قرارات أكثر استنارة بشأن الإجراءات التي تقترحها.
تحدث عن نضج البرنامج:
إن نماذج النضج تتبناها الإدارة العليا ومجلس الإدارة لأنهم على دراية بها من خلال العديد من البرامج الأخرى، مثل إدارة الجودة. استخدم نفس التكتيكات واللغة لمناقشة الأمن السيبراني.
الأشخاص والعمليات والتكنولوجيا:
ساعد الإدارة العليا على فهم أن الأمن السيبراني يتطلب تنسيق الأشخاص والعمليات والتكنولوجيا - وأنهم يلعبون دورًا حاسمًا في ذلك. عادة ما يفشل ممارسو الأمن من خلال التركيز على التكنولوجيات والأدوات فقط.
إرساء ثقافة الأمن السيبراني:
احرص على إشراك الجميع في مهمة تأمين المنظمة؛ من مجلس الإدارة والرئيس التنفيذي وحتى المتدربين. ويعد الحصول على دعم من قادة الأقسام أمرًا مهمًا بشكل خاص من أجل إنشاء دعم وظيفي متعدد للمبادرات الأمنية.
المعايير والأطر:
إن مواءمة برنامج الأمان مع معيار أو إطار عمل أمان واسع الاستخدام يسمح لك بمقارنة البرنامج بالشركات الأخرى وهذا المعيار. لا مفر من أن يسألك كبار الإداريين، "كيف نؤدي مقارنة بالشركات الأخرى؟" إذا كان برنامجك يمكنه الرجوع إلى إطار عمل الأمن السيبراني التابع للمعهد الوطني للمعايير والتكنولوجيا، أو ISO27001، أو CIS CSC، فسوف تتمكن من مقارنة نضج برنامجك بمجموعة واسعة ومتنوعة من الشركات.
مخاطبة المجلس
- الانطباعات الأولى مهمة، لذا ارتدِ ملابس وتصرف بشكل مناسب. وهذا يعني ارتداء ملابس رسمية في العمل - من الأفضل أن ترتدي ملابس أكثر من اللازم بدلاً من أن ترتدي ملابس أقل من اللازم.
- ابحث عن كل عضو في مجلس الإدارة على LinkedIn أو في الصحافة.
- احصل على تدريب من أحد أعضاء مجلس الإدارة أو الرئيس التنفيذي لفهم ما يبحث عنه مجلس الإدارة منك.
حدد هدفك
- لماذا أنت هنا؟ امتلكه!
- كن مختصرًا وصادقًا ومباشرًا - لا يتسامح رؤساء الشركات مع الحمقى بسهولة.
- قم بتدريب الأعضاء على الأساسيات ولكن لا تعاملهم كأغبياء - فهم لا يأتون من عالمك ولكنهم بحاجة إلى التثقيف حول الأساسيات من أجل اتخاذ قرارات مستنيرة.
- تجنب التفاصيل الصغيرة - ركز على الصورة الكبيرة وعلى فوائد العمل، وليس على تفاصيل الأمن.
كن مستعدا
- إذا كنت محظوظًا، فسوف تحصل على 5 إلى 8 دقائق لعرض قضيتك - خطط واستخدم الوقت بحكمة.
- تحدث إلى الرئيس التنفيذي أو غيره من المديرين التنفيذيين مسبقًا لطلب النصائح والإرشادات.
- قم بإعداد ملخص مكتوب بشكل جيد واطلب من مسؤول إدارة الرئيس التنفيذي طباعة وتجليد نسخ جاهزة للاجتماع.
- استخدم نماذج وأطر النضج. هذا ما يريد أعضاء مجلس الإدارة رؤيته. هذه هي الطريقة التي يفكرون بها!
- حاول فهم كيفية مقارنة الشركة بالشركات الأخرى. إن القول بأن شيئًا ما هو مجرد "أفضل ممارسة" لن يكسبك الدعم.
- توقع الأسئلة - فسوف تتلقى الكثير منها. كن مستعدًا بإجابات سلسة واثقة.
- كن مستعدًا للسياسة! إن المجالس الإدارية لديها خلافاتها وأجنداتها الفرعية - حاول أن ترى من خلال الضباب
كن استراتيجيا
- إن مجالس الإدارة إستراتيجية وليست تكتيكية، لذا تجنب الخوض في التفاصيل. هذا الأمر متروك للمسؤولين التنفيذيين لفهمه.
- ابحث عن المقاييس التي ترتبط بمهمتك فيما يتعلق بالامتثال وسلامة المرضى والوقت الفعلي/التوافر وما إلى ذلك.
- تحدث عن السمعة - إن حماية السمعة هي مسؤولية مجلس الإدارة.
تجنب المفاجآت
- تكره مجالس الإدارة المفاجآت، لذا قم بتوفير موجز مسبق قبل الاجتماع لمساعدتهم على التكيف مع المعلومات الجديدة - وخاصة إذا كانت معلومات سيئة.
- حافظ على الأمور عالية المستوى والاستراتيجية - والأهم من ذلك التركيز على الأعمال.
- تجنب الحديث عن تقنية محددة، وأنواع الهجمات، وخاصة الاختصارات.
الوجبات السريعة
في نهاية المطاف، يحتاج مجلس الإدارة إلى الشعور بالثقة في أنك بصفتك مسؤول أمن المعلومات تعرف ما تفعله، وأن المؤسسة في أيدٍ أمينة. إن تقديم عرض أمام مجلس الإدارة يتعلق ببناء سمعتك لدى المجلس، كما يتعلق بحصول برنامجك على الدعم والرعاية النشطين اللذين يحتاجهما من أجل النجاح في حماية الشركة.
اقرأ المزيد من المقالات من مدونة Cylera.
