چشم‌انداز ریسک برای شرکت‌ها با تهدیدات، مقررات، رشد آسیب‌پذیری‌های امنیت مجازی و روش‌های جدید حمله به طور مداوم در حال تغییر است. رخنه داده‌های Equifax که به‌تازگی افشا شده است، آخرین رویداد برجسته‌ای است که مدیران ارشد و هیئت مدیره شرکت‌ها را در سراسر دنیا برانگیخته که از خود بپرسند: «آیا این ممکن است برای ما رخ دهد؟»، متأسفانه از منظر امنیت مجازی پاسخ « بله » است. خطر هرگز به طور کامل برطرف نمی‌شود. با این حال، هیئت مدیره شرکت می‌تواند حکمرانی امنیت مجازی برای کاهش خطر و محافظت بهتر از زیرساخت‌های مهم شرکت، سیستم‌های داده‌ای و اعتبار شرکت ایجاد کند.

حملات مجازی اخیر به دلیل تأثیر قابل‌توجه در درآمد شرکت‌ها در سال 2017، چشم بسیاری از اعضای هیئت‌های مدیره را در سراسر کشور گرفته است. به‌عنوان مثال، فدرال اکسپرس (FedEx) گزارش داده است که به دلیل حمله پتیا (petya) در ژوئن سال 2017، به درآمدشان 300 میلیون دلار ضرر رسیده است. مندلز (mondelez) که پیش‌تر با عنوان کرفت (kraft) شناخته می‌شد، دومین شرکت بزرگ شیرینی‌پزی جهان، از افت 5 درصدی فروش سه ماهه خبر داد و مقصر آن را تأخیر در حمل و نقل و تأخیر در صورت‌حساب ناشی از همان حمله ماه ژوئن اعلام کرد. به همین ترتیب، شرکت کشتیرانی Maersk گزارش داد که حمله پتیا (یک نوع دیگر) منجر به خسارت‌هایی بین 200 تا 300 میلیون دلار خواهد شد. Lloyd’s از لندن تخمین زده است که حمله مجازی جهانی می‌تواند به طور متوسط 53 میلیارد دلار ضرر اقتصادی به‌همراه داشته باشد، رقمی مشابه با یک فاجعه مصیبت‌بار طبیعی مانند ابرطوفان سندی در سال 2012. بر این اساس، ضررهای بالقوه مالی و اعتباری ناشی از این رخنه‌های مجازی، با تأثیرگذارتر و گسترده‌تر شدن آن‌ها، قابل‌توجه و در حال افزایش هستند.

هیئت مدیره شرکت‌ها دیگر نمی‌توانند هنگام ارزیابی موفقیت شرکت‌ها، فقط به شنیدن معیارها، منابع و انطباق آنها راضی شوند. آن‌ها همچنین باید در نظر بگیرند که سازمان برای محافظت از موجودیت تجاری خود، از جمله دارایی‌های اطلاعاتی خود، خطر موجود برای این دارایی‌ها و اهمیت آن‌ها برای انجام عملیات‌های تجاری جاری، چه کاری انجام می‌دهد. برای افزایش هوشیاری هیئت مدیره در این زمینه، مسئولان ارشد امنیت اطلاعات (CISO) باید هیئت مدیره خود را با محرمانگی، یکپارچگی و در دسترس بودن اطلاعات درگیر نمایند.

باج‌افزارهای اخیر، رد سرویس، فیشینگ و سایر حملات مخرب، اعضای هیئت مدیره را فرامی‌خوانند تا سؤالات دشواری را در مورد ریسک شرکت خود بپرسند. ریسک شرکت چیست؟ آیا ارزیابی‌های ریسک و آسیب‌پذیری برای ارزیابی ریسک شرکت به وجود آمده است؟ آیا سازمان از تخصص و منابع لازم برای کاهش ریسک برخوردار است؟ سازمان کدام ریسک‌ها را کاهش، حذف، انتقال یا پذیرفته است؟ هر تجارتی ریسکی دارد. این که آیا شما در نیروگاه در حال تولید برق باشید یا اینکه در یک غرفه لیموناد محله‌ای کار می‌کنید، محاسبه و کاهش ریسک، عامل مهمی برای موفقیت و بقاء سازمانتان است.

خطر را می‌توان به عنوان ترکیبی از احتمال یک رویداد و پیامدهای آن تعریف کرد. اگر رویداد پیامد و تأثیری نداشته باشد، خطری محسوب نمی‌شود. برعکس، هرچه عواقب یا تأثیر آن بیشتر باشد، این خطر بیشتر است. اعضای هیئت مدیره باید ریسک امنیت مجازی را به‌طور منظم یا حادثه محور از قبیل هرگونه حادثه یا رویداد امنیتی ارزیابی کنند، زیرا هرگونه مخاطره موفقیت‌آمیز نتیجه فقدان کنترل کافی یا شکست در کنترل است، که نشان می‌دهد ریسک به‌طور دقیق ارزیابی نشده و باید دوباره ارزیابی شود. این مفاهیم اساسی در مورد ریسک به اعضای هیئت مدیره این امکان را می‌دهد که آسیب‌پذیری‌های امنیتی را ارزیابی کرده و از شرکت خود در مقابل ضررهای احتمالی محافظت کنند. امروزه، هیئت مدیره شرکت‌ها برای داشتن یک عضو دیگر با سابقه امنیتی به خوبی توجیه می‌شوند تا تضمین کنند اهداف امنیتی مانند ارزیابی و کاهش ریسک مجازی، با اهداف و مأموریت‌های تجاری هماهنگ هستند.

هنگامی که هیئت مدیره ریسک‌های شرکت خود را تعیین و انتظارات امنیتی خود را مشخص کرده است، باید این انتظارات برای بهبود حکمرانی امنیت مجازی ، در تمام سطوح شرکت رعایت شوند. مجازات‌های عدم رعایت نیز باید از سطح هیئت مدیره به پایین تعریف، ابلاغ و اجرا شود. فراتر از این الزامات، هیئت مدیره وظیفه‌ای مداوم برای ارائه یك سطح نظارتی بر فعالیت‌های امنیت اطلاعاتی دارد. علاوه بر این، هیئت مدیره با هماهنگی مدیریت ارشد، وظیفه اطمینان از وجود کارکردهای مناسب سازمانی، منابع و زیرساخت‌های پشتیبانی جهت تحقق یک راهبرد امنیتی کاملا مصور برای شرکت را به عهده دارد. بررسی برنامه راهبردی تجاری سازمان احتمالا از فرصت‌های امنیت اطلاعاتی که به طور مستقیم می‌تواند ریسک، ضررهای مالی و اختلالات عملیاتی احتمالی را کاهش دهد، پرده‌برداری می‌کند. این فرصت‌ها برای کاهش ریسک، باید در راهبرد امنیت اطلاعاتی یک شرکت گنجانده شوند تا مسیری رو به جلو در این زمینه ارائه نمایند.

بدون یک راهبرد امنیت اطلاعاتی و یک چارچوب حکمرانی برای اجرای آن، سازمان به جای یک برنامه عملیاتی معنادار و یکپارچه، به اجرای راه‌حل‌های تاکتیکی خاص و موقتی ادامه خواهد داد. حکمرانی امنیت مجازی زیر مجموعه‌ای از مدیریت شرکت است که مسیر راهبردی فعالیت‌های امنیتی را ارائه می‌کند و تضمین می‌کند که اهداف امنیت مجازی مانند ریسک مؤثر و مدیریت منابع حاصل می‌شوند. برای دستیابی به حکمرانی امنیت اطلاعاتی، هیئت مدیره شرکت‌ها باید توسعه و نگهداری چارچوب امنیت اطلاعاتی را پشتیبانی کنند و به‌طور طبیعی آن‌ها را با اهداف تجاری هماهنگ سازند.

یک مسئله مهم و غالبا مورد سوءتفاهم در امنیت مجازی که به‌طور دائمی در راه‎‌اندازی شرکت‌ها بدون در نظر گرفتن برنامه‌ای نظارتی مورد بحث قرار می‌گیرد، تفاوت بین رعایت و امنیت است. رعایت یک نظارت حداقلی است که باید به آن دست یافت، حتی می‌تواند به عنوان ابزاری تلقی شود، اما یک راهبرد امنیت مجازی نیست. هیئت مدیره باید تشخیص دهند که رعایت نکات امنیتی، یک امر حداقلی است و آن حداقل ممکن نیست یک شرکت و منابع آن را ایمن نگه دارد. کاهش ریسک از طریق کنترل‌های امنیتی و اقدامات متقابل، باید ریسک را به حدی قابل قبول کاهش دهد. با این حال، آخرین بار چه زمانی ارزیابی ریسک یا تحلیل تأثیر تجاری برای تعیین تهدیدات فعلی و نوظهور انجام شده است؟ برای مقابله با افزایش تهدیدات اطلاعاتی، شرکت‌ها باید امنیت مجازی را در قلب تجارت خورد قرار دهند. در عصر مدرن، برای داشتن امنیت اطلاعات باید امانت‌داری، نظارت و مدیریت ریسک در حدود اختیارات هیئت مدیره تنیده شود.

به عنوان رهبران راهبردی شرکت، اگر می‌توانید فرهنگی امنیتی را ترویج کنید، به بخشی از عملکرد سازمان تبدیل خواهدشد. این یکی از بهترین و مهمترین محافظت‌هایی است که هر سازمان می‌تواند داشته باشد و کارکنان را به این درک و پیش‌بینی سوق می‌دهد که وقتی آن‌ها هیئت مدیره را با موضوعات اطلاعاتی مشتری، ارتقاء زیرساخت‌ها و تأثیرات تجاری درگیر می‌کنند، امنیت به جزئیات مورد بحث قرار می‌گیرد. این موضوعی غیرطبیعی است که به روندی عادی تبدیل شده است. از این گذشته، غفلت، می‌تواند منجر به لطمه جبران‌ناپذیر به اعتبار و محصول شود.