CISO الهندسة مقابل CISO الشامل: المخاطر والفرص

Khaled AlZahrani2025-12-08

2 دقائق

A Tale of Two CISOs: Why An Engineering-Focused CISO Can Be a Liability

في عالم الأمن السيبراني، تلعب أدوار CISO دورًا حاسمًا في حماية المؤسسات من التهديدات المتزايدة. لكن هل تعرف الفرق بين CISO الهندسة وCISO الشامل؟

السؤال: ما الفرق بين CISO الذي يركز على الهندسة وCISO الشامل، وماذا يعني ذلك للمنظمة؟

ديفيد شفيد، المدير التنفيذي للعمليات في SovereignAI: في الوقت الحالي، هناك سباق عالمي لتوظيف CISOs. مختبرات الذكاء الاصطناعي، وتبادلات العملات المشفرة، والمؤسسات المالية تتنافس على نفس المجموعة الصغيرة من قادة الأمن. أيضًا، من المتوقع أن يكون عام 2025 هو أسوأ عام لسرقة الأصول الرقمية، مع سرقة أكثر من 2 مليار دولار بحلول منتصف العام، مع هيمنة اختراق واحد بقيمة 1.5 مليار دولار لتبادل Bybit على الخسائر.

على السطح، يبدو أن هذا التسارع في توظيف CISOs هو تقدم، ولكن هناك مفترق طرق. معظم المنظمات لا تدرك أنها تختار بين نوعين مختلفين جدًا من CISO. إذا اخترت النوع الخطأ، ستحصل على قصة هشة حول الأمن تنهار في أول مواجهة لها مع مهاجم مصمم.

النموذج الأول: CISO الهندسة

النموذج الأول هو CISO الهندسة، وغالبًا ما يكون الخيار الافتراضي. هذا هو القائد الذي نشأ في بنية تكنولوجيا المعلومات، أو تطوير التطبيقات، أو الهندسة السحابية، وبناء أنظمة معقدة على نطاق واسع. غريزتهم هي حل الأمن كمشكلة هندسية، مع التركيز على الضوابط الوقائية القوية، والاعتماد الكبير على التكنولوجيا، والهياكل النظيفة ذات الأسطح الهجومية المصغرة. بشكل ضمني، يعتقدون أنه إذا تم بناء النظام بشكل صحيح، فإن معظم التهديدات ستقل، وأن الأمن هو مشكلة ثابتة يمكنك حلها من خلال ما يكفي من التشفير، والعزل، والأتمتة.

مرتبط: مستقبل الأمن السيبراني أكثر خطورة مما تتخيل

يمكنك رؤية هذه العقلية في بعض من أعلى قرارات التوظيف في هذا العام. مختبرات الذكاء الاصطناعي الرائدة تقوم بتوظيف CISOs من التكنولوجيا الاستهلاكية، بما في ذلك عالم البث، حيث لا تترجم المهارات في حماية بيانات المشتركين تلقائيًا إلى تأمين أوزان النماذج، والإضافات، وأنابيب البيانات، والتهديدات على مستوى الدول.

الخطأ الجوهري: لم تقم بإزالة المخاطر، بل نقلتها

CISO الهندسة لا يقضي على المخاطر؛ بل ينقلها، غالبًا إلى أجزاء من النظام التي لا تراقب عن كثب مثل الضوابط الأساسية.

اعتبر مثالًا مبسطًا. يقوم CISO الهندسة بتصميم ضابط يقول: نفذ هذا التداول فقط إذا كانت هناك توقيع رقمي صالح. على الورق، يبدو أن التشفير وإدارة المفاتيح قوية.

يرى المهاجم فرصة مختلفة. ليس لديه اهتمام بمحاولة هزيمة التشفير المنحني البياني. بدلاً من ذلك، يذهب إلى الكود الذي يتحقق من التوقيع. في مكان ما، هناك دالة تقول، على سبيل المثال، إذا كان التوقيع صالحًا، فقم بتنفيذ التداول. إذا استطاعوا تغيير المنطق الذي يحدد ما يعنيه

في النهاية، اختيار CISO المناسب يمكن أن يكون له تأثير كبير على قدرة مؤسستك على مواجهة التحديات الأمنية. تأكد من تقييم احتياجاتك بعناية قبل اتخاذ القرار.

الوسوم