מנהל אבטחת המידע החדש - מעבר ממדיניות של "לא" ל- Business Enabler

הייטק וטכנולוגיה : | קו ישיר | 27/7/2015

דרוג:

מאת: דורון סיון, יו"ר ובעלי חברת MadSec המתמחה בתחום אבטחת המידע.

אסור למנהל אבטחת המידע להסתפק במומחיות טכנית - עליו לקחת אחריות על קבלת החלטות מורכבות שיסייעו להניע את העסק קדימה

אבטחת המידע הפכה בשנים האחרונות לנושא בעל עניין תקשורתי וציבורי נרחב. מתקפות של האקרים מתפרסמות מדי שבוע והממצאים מוכיחים שהנושא מתעצם משנה לשנה.
אחת ההשלכות של מגמה זו באה לידי ביטוי בגיבושו של תפקיד חדש בארגון - מנהל אבטחת מידע ((CISO. תפקיד זה אף סומן לאחרונה כאחד התפקידים המבוקשים ביותר בתחום היי-טק. תחילה ביצע את התפקיד איש רשתות שעסק באופן מקצועי בהגדרת מערכות אבטחת מידע, ובהמשך עם עליית דרישות הרגולציה, התווספה גם מלאכת כתיבת נהלים ומדיניות אבטחת מידע.

תפקידו של מנהל אבטחת המידע הופך למורכב יותר ויותר ככל שעולה מורכבות הנושא, וככל שמופעלים לחצים מכיוון ההנהלה. אם בתחילה התפקיד התמקד בצד הטכני, הרי שכיום CISO של ארגון לא יכול להסתפק רק בניתוח, גיבוש והקטנה של סיכוני אבטחת מידע, הוא חייב לערב צוותי פעילות עסקית אחרים. התפקיד התבגר,ועל ה- CISO מוטלת החובה להתאים את דרישות אבטחת המידע ליעדים העסקיים, בכדי לסייע לחברה לעמוד ביעדי הצמיחה שלה ובמקביל להגן על הנכסים הקריטיים שלה.

וכיצד עליו לעשות זאת? ה- CISO חייב ללמוד לדבר באופן עסקי. מאחר ולחברי ההנהלה והדירקטוריון ברור שלאבטחת מידע ישנה השפעה מכרעת וישירה על ערך לבעלי מניות, הרי שהם בשלים לקבל ניתוח וייעוץ מהמומחה הארגוני. הבעיה היא שברוב המקרים ל- CISO אין ידע וניסיון עסקי. בישיבותיו בהנהלה הוא מוקף מנהלים בעלי ידע עסקי, תפעולי ופיננסי, אולם בניגוד למנהלים בכירים אחרים, ה-CISO חסר סט מוסכם של מדדים שיסיעו בידיו לקבל החלטות מושכלות וניהול תכנית אבטחה. ללא מדדים שניתנים לכימות, החלטותיו נתפסות לא פעם כפעולת הערכה וניחוש, מה שמקשה עליו להשיג מימון ומשאבים נוספים.

בסופו של דבר ה- CISO חייב להיות מסוגל לענות על השאלה: מה תהיה התמורה על סכום מסוים של כסף שהוצא על אבטחת סייבר? טבלת הסיכונים חייבת לשלב משמעויות עסקיות ברורות.

לא פעם, המגע הראשון של מנהל אבטחת המידע עם חברי דירקטוריון הוא בעקבות אירוע אבטחה שעלול להוביל לנזק כספי ולפגיעה במותג, כלומר מגע של מגננה. כיום, ה- CISO צריך לעבור לרמה מתקדמת יותר, עליו להיות מסוגל לראות את התמונה הגדולה ולהבין שיישום בקרות נוספות מגיע עם עלויות ולעתים מזיק יותר לזריזות העסקית. אסור לו להסתפק במומחיות באבטחת מידע טכנית, אלא עליו לקחת אחריות על קבלת החלטות סיכון/תועלת מורכבות שיסיעו להניע את העסק קדימה. כישורים נרכשים אלו, יחייבו אותו להכיר היטב את הארגון, לדבר בשפה של שאר המנהלים, להבין את המשמעות הפיננסית וכפועל יוצא מכך להיות מסוגל לחשב ולהוכיח החזר על השקעה באבטחת סייבר.

לסיכום, על ה- CISO להפנים שעליו לדבר גם בשפה עסקית. הוא חייב להיות בחזית העסקית, להיות מעורב בהחלטות ולסייע להנהלה לבצע את פעולותיה תוך התאמת מערכות אבטחת מידע בהיבט שתואם את הסיכונים הארגוניים. זה לא סוד שבארגונים רבים ה- CISO אינו כפוף למנהל מערכות המידע, אך בארגונים גדולים, דווקא מנהל מערכות המידע מיומן היטב בניהול פרויקטים מורכבים תוך עמידה בלחצי תקציב וניהול "פוליטיקה" פנים ארגונית. ייתכן איפוא ששיתוף פעולה ביניהם והחצנת פעולתו של ה- CISO, הם אלו שיספקו את השילוב היעיל ביותר.

אודות מועדון אבטחת המידע

מועדון אבטחת המידע, שהוקם על ידי MadSec ו- Mellanox, פועל על מנת להעלות המודעות והידע אודות איומי הסייבר השונים בקרב דרג המנהלים הבכיר בארגונים הישראלים, וכן במטרה לקדם שיתוף במידע חדש אודות טכנולוגיות חדשניות ודרכים להתמודדות עם איומי סייבר. בקבוצה פעילים כיום מנהלי אבטחת מידע ומנמ"רים מלמעלה מ- 100 חברות, הן באמצעות דף פייסבוק והן בקבוצת WhatsApp.

מועדון אבטחת המידע CYBERSECURITY CLUB בפייסבוק: https://www.facebook.com/groups/876164402443492/ .