|
המנכ"ל בסופו של דבר נושא באחריות לאובדן המוניטין של ארגון, במידה שתהיה דליפת מידע אישי של לקוחותיו או דליפת מידע עסקי של החברה לגורמים עוינים ולעיני כל. הוא גם זה שצריך להעמיד הסברים משכנעים ומלומדים למועצת המנהלים לסיבת הפריצה לארגון ולאובדן מידע קריטי, ובמקרים מסוימים ולא נעימים, צריך אפילו לשקול תשלום כופר לתוקפים. לכן, על המנכ"ל יותר ויותר לנקוט בגישה פרואקטיבית לנושא אבטחת המידע ולהוביל אותו.
המנכ"ל חייב להיות קשוב לחוות הדעת המקצועית של אנשי אבטחת המידע, להבין אילו פתרונות מותקנים כעת בארגון ומהן הנקודות החלשות, ולהקצות את התקציבים והמשאבים בהתאם לדרישות. נוף האיומים משתנה ללא הרף, ובהתאם לכך גם פתרונות אבטחת המידע מתפתחים ומתקדמים. לכן, המנכ"ל חייב להפוך את אבטחת המידע לאחד הנושאים בראש סדרי העדיפות בשגרת העבודה שלו, ולהוביל גם את תהליכי השינוי בתחום זה לאורך זמן.
· סמנכ"ל הכספים: סמנכ"ל הכספים של הארגון מודע יוותר מכל לנזק הכספי הישיר והעקיף שיכול להיגרם כתוצאה מפריצה לארגון, גניבת מידע או הצפנתו. חלק מהמידע הרגיש ביותר בארגון נמצא תחת אחריותו של סמנכ"ל הכספים – מחזור כספי, רכישות, השקעות ועוד.
מסיבה זאת, תפקידו של סמנכ"ל הכספים אינו מסתיים בהקצאת התקציבים הדרושים לרכישת פתרונות אבטחת מידע - עליו ללמוד את הסיכונים ואיומי הסייבר הרלוונטיים לארגון ולהעריך את הסיכון והעלות הכספית של פריצה למידע הארגוני וכן את החזר ההשקעה (ROI) בפתרונות אבטחת המידע. משמעות הדבר היא להתייחס לאבטחת המידע כחלק מ"ניהול הסיכונים" של הארגון.
מעבר לכך, סמנכ"ל הכספים חייב להיות מיודע מידית בעת פריצה לארגון ולהוות חלק בלתי נפרד מצוות התגובה של הארגון בעת התמודדות עם הפריצה עד לפתירתה, כיוון שעליו לדווח אודות הפריצה למועצת המנהלים ולהיות מסוגל להסביר את הדרך שבה הארגון נקט על מנת להתמודד אתה ועל מנת למנוע פריצות בעתיד.
· סמנכ"ל משאבי האנוש: חלק ניכר מהפריצות למידע בארגון נובע מטעויות אנוש או מחוסר מודעות של עובדים לסיכונים. בהתקפות הידועות כ"פישינג", פושעי הסייבר שולחים אימיילים המתחזים לאימיילים לגיטימיים על מנת לשכנע עובדים בארגון לבצע פעולה לא בטיחותית שיכולה לסכן את המידע הארגוני (אגב, התקפות פישינג לא שמורות לאימיילים בלבד, הן יכולות להגיע גם דרך הודעות SMS, רשתות חברתיות ועוד). במקרים רבים הפנייה של הפושעים אינה לדרג הבכיר, אלא דווקא לדרג זוטר שיש לו גישה למידע. מסיבה זאת נודעת חשיבות עליונה להדרכות של עובדי הארגון בדבר סיכוני הסייבר והנהלים של אבטחת המידע בארגון.
מנהל משאבי האנוש בחברה, הממונה על הדרכות והעברת ידע, חייב להתעדכן מול צוות אבטחת המידע ומערכות המידע, ללמוד היטב את הנושא ולבנות תכנית הדרכה והעשרה שכוללת גם אימון והתנסות בהתקפות דמה. ישנם גם כלים אוטומטיים שניתן להיעזר בהם על מנת להדריך את העובדים ובעולמות הללו.
· סמנכ"ל מערכות המידע: מאחר סמנכ"ל מערכות המידע הוא בעל תפקיד טכנולוגי ועסקי כאחד, הוא משמש כמוביל שינוי בארגון, הן מבחינה טכנולוגית והן מבחינה אסטרטגית. בתחום אבטחת המידע, עליו להעביר לדרג הניהול שאינו טכנולוגי את המשמעויות העמוקות של העבודה בעידן הדיגיטלי וסיכוני הסייבר שכרוכים בה, כמו גם את דרכי ההתמודדות. במילים אחרות, על סמנכ"ל מערכות המידע לשמש כגורם המתווך בין הנהלת אבטחת המידע להנהלה הבכירה ולהעביר למנכ"ל הארגון, לסמנכ"ל הכספים ולדירקטוריון. במקביל לכך, לעבוד בצמידות על סמנכ"ל משאבי האנוש בתפעול הדרכות עובדים.
לסיכום, ארגונים רבים שמים דגש רב על הצטיידות בפתרונות אבטחת מידע, ובצדק, אולם לא די בפתרונות מצוינים כדי להשיג אבטחת מידע מצוינת. כיום, האחריות לאבטחת המידע אינה נתונה רק בידי מנהלי אבטחת המידע ולא יכולה להתבסס רק על המערכות הטכנולוגיות. הדרג הבכיר בארגון חייב להיות מודע לנקודות התורפה הרבות בארגון, להיות מעורב, להעריך סיכונים ולהוביל את הארגון לרמת אבטחת המידע הטובה ביותר עבורו.
תגיות של המאמר:
|
