השבוע פגשתי חבר המשמש כמנהל אבטחת מידע בארגון בינוני (כ- 500 משתמשי מחשב). במהלך שיחתנו, התלונן הבחור שהתקציב שניתן לו לא מאפשר לו אפילו לעמוד בדרישות אבטחה מינימליות, כל שכן, לרכוש ולשדרג כלי אבטחה קיימים או נוספים. נשמע לכם מוכר?
איך אפשר לנהל אבטחת מידע ללא תקציב נאות?
בעצם, יש שתי תשובות אפשריות:
א. להיות “עציץ” – לעשות את ההכרח ולהתפלל לטוב (ולחשוב מהו התפקיד הבא שלי)
ב. לייצור שינוי ארגוני ותרבותי – להפעיל שיקול דעת (וגם עקרונות ממשל) ולתכנן איך מפיקים את המיטב מהתקציב (הקטן) שיש לנו.
באופציה הראשונה, כולנו יודעים מה עושים. משדרגים את פרופיל הלינקדאין שלנו, ומתחילים לחפש..
ברשותכם, אני אנסה לעזור לאלה שבחרו באופציה השנייה.
האחריות הארגונית היא העול שלנו כמנהלי ואנשי אבטחת מידע בארגונים.
מניסיוני, מנהלי אבטחת מידע רבים מרגישים שבכל כשל טכנולוגי, איכשהו הטענות מגיעות לפתח דלתם.
כשווירוס מצליח לתקוף מחשב במשרד, הם אשמים כי לא מנעו זאת. וזאת, למרות שהמנכ”ל בכבודו ובעצמו הביא את האייפד של הבת שלו וחיבר לרשת למרות האיסור…
כל האטה ברשת אנשי אבטחת המידע אשמים, כיוון שזו תוצאה של כשל בפיירוול או כלי אבטחה אחרים המאיטים את הרשת (ברור, לא?) והעובדה שכבר שנתיים הם מתריעים על רוחב פס קטן מדי לא נחשב…
גישת הניהול הרווחת כיום היא לפתור פרצות אבטחה ברגע שנתגלו. הארגון חווה בעיית אבטחה, הוא מקצה תקציב לפתרון הנקודתי “ותופר” טלאי נוסף במערך אבטחת המידע (תהליך זהה לדרישת רגולציה חדשה, כפי שכתבתי בפוסט על דרישות הרגולציה).
ושוב, למרות שבמרבית המקרים, “הפרצה” היא תולדה של התהליך העסקי, מנהל אבטחת המידע נושא באחריות (כבר ציינתי שזהו עול?). מצד אחד הבעיות נובעות מהתנהלות התהליך העסקי או מפעיליו (העובדים) ומצד שני, כמנהלי אבטחת מידע אין לנו מנדט לומר למנהלים העסקיים מה לעשות ובטח לא לשנות את התהליך העסקי.
זה כמו להיות מנהיג טייסת כאשר לכל טייס יש את המנדט לטוס כפי שהוא רואה לנכון.
ברור לכולם שזה לא הדרך הנכונה ועדיין כאשר מערבבים פוליטיקה עסקית ואגו ניהולי איכשהו אנחנו נתפסים למשחק הקלוקל הזה.
ממשיכים? פרסמנו מדיניות אבטחת מידע ארגוני. המדיניות קובעת כללים אלה ואחרים, אך בפועל, אין לנו כמנהלי אבטחת מידע דרך לאכוף אותה, ויותר גרוע, אין לנו תקציב לעשות שינוי רוחבי בארגון. זה גם גורם לנו לנסות ולהפוך “לעציצים”…
אז מה בכל זאת ניתן לעשות?
היכולת לשנות מבוססת על היכולת לאכוף רצון.
בין אם מדובר במדיניות ובנהלי החברה, ובין אם מדובר בתקציב, או אפילו ניהול קבוצת עובדים.
כלומר, אם אתם לא יכולים לאכוף לעבוד לפי הנהלים על עצמכם יהיה לכם קשה מאוד לשכנע אחרים בשינוי הנדרש. זה בלתי אפשרי להיות רק בצד המתגונן. אם לא מקבלים את הנהגת השינוי / תקציב לשינוי מלמעלה, עלינו להרוויח אותה בכבוד ובכלים עסקיים ולא טכנולוגיים.
פעולה ראשונה שעלינו לעשות היא להבין מהו תפקידנו האמיתי בארגון?
מי שחושב שתפקידו למנוע כניסת קוד זדוני ולתפעל את כלי האבטחה הקיימים, ימצא עצמו כ- בר החלפה מהר מאוד.
אנשי אבטחת מידע ומנהלים בפרט חייבים להכיר את התהליכים העסקיים של הארגון.
עלינו לשאול מה יכול להשתבש בתהליכים הללו בעקבות סיכוני אבטחת המידע? בנוסף, האם אבטחת המידע בתהליך יכולה להוות יתרון? האם ניתן לשפר את התהליך? אל תתביישו, לכו למנהלים העסקיים ותשאלו שאלות. אחרת איך תדעו?
נסו להיפגש איתם כמה שיותר, חפרו עמוק, ואל תשכחו שהאנשים שיושבים מולכם, הקולגות שלכם, הם בהחלט אלה שנלחמים על התקציבים וההשפעה הארגונית. גלו מה מעניין אותם, מהם נקודות התורפה, איפה אפשר לעזור ומה ניתן לשפר. וכמו בפוסטים קודמים – אל תמציאו את הגלגל. המידע הזה נמצא בארגון, עליכם למצוא אותו ולהשתמש בו. נסו בהתחלה לספק מידע מהימן שעוזר להם. טבלאות, נתונים, מידע גולמי לגבי התהליכים עליהם הם ממונים.
אח”כ התחילו לעבור לשדרת הניהול (C suite management), אם כמנהלי אבטחת מידע אתם לא חלק משדרה זו, זה כבר אומר משהו על המיקום שלכם בתרשים הארגוני ויכול להיות שהתפקיד שלכם שונה מאלה שכן. יחד עם זאת, נסו להגיע אל אלה שכן בהנהלת הארגון (בין אם הם מקבילים ובין אם לא), הבינו מהם מהן מטרות הארגון?, מהם היעדים שלו? מה ההנהלה רוצה להשיג בזמן הקצר? הבינוני והארוך? נסו להבין ככל שתוכלו את הסביבה והתרבות הארגונית, ומן הסתם איפה אבטחת המידע משתלבת / משפרת בסיפור.
הנושאים והמטרות שרבים ממנהלי האבטחה מקבלים בשיחות הללו, הם קודם כל הסיסמאות: “צמצום עלויות”, “יעילות”, “העלאת פרודוקטיביות”, “שינוי חיובי”, ושאר מושגי הניהול הרווחים כיום בז’רגון. יחד עם זאת, ככל שתעמיקו ותיצרו חברויות (אישיות ועסקיות) תוכלו לרדת לרזולוציית השוטף (כולנו עובדים באותה צורה, מתחילים בסיסמאות ואח”כ פורטים למעשים בפועל, תוצרים ומדדים).
בשלב הזה, אני ממליץ לעשות מיפוי (כתוב או בראש, כל אחד איך שנוח לו), מה בתחום אבטחת המידע יכול לתרום לפעולות הללו, זה הזמן ללכת לתקנים, למתודולוגיות ולבחור את החלקים הרלוונטיים לארגון שבו אתם נמצאים. לאחד רלוונטי ניהול הרשאות כי הארגון עובד עם מידע חסוי / מסווג ואחת מהמטרות היא לשפר את יכולות מידור המידע, לעומת ארגון אחר שמטרתו לייצר אפשרות של התאוששות מאסון וזו הפרטיקה הרלוונטית לעכשיו.
דוגמא למיפוי שכזה בנושא צמצום עלויות:
מטרות ארגוניות – הקטנת זמן השבתת שרתים מתוכנן או לא (Downtime), הפחתת עלות העבודה על שינויים בתוכנית העבודה, הפחתת עלות עבודה על שינויים שנעשו ללא צורך/ נעשו לא תקין … ועוד
מטרות אבטחת המידע – ניהול אירועים ותקלות טוב יותר (לשרתים), שימוש בכלי ניטור אוטומטיים (לשרתים), ניהול גרסאות מערכת הפעלה (Patch Management), שימוש בסביבת טסטים מהימנה יותר ובכלל שימוש במתודולוגיית מחזור חיים של מערכות (SDLC) וכדומה.
שימו לב: את מרבית הדברים הללו אפשר לעשות גם ללא תוספת תקציבית!!
אנחנו מדברים על ייעול ושיפור תהליכים ולא כלים טכנולוגיים (זה יבוא בשלבים הבאים).
מיפוי שכזה מחייב הן את מנהלי אבטחת המידע והן את המנהלים העסקיים המעורבים לחשיבה. הוא מצדיק את הפעילות ויצדיק בהמשך את ההשקעה בטכנולוגיית המידע בכלל ובאבטחת המידע בפרט.
.
כיוון שהפוסט הזה יצא ארוך מהרגיל ועדיין יש לי מה לכתוב, ברשותכם, אני אמשיך בפוסט נפרד שיפורסם, כרגיל, בשבוע הבא.
.
רוצים להגיב, לשאול, לבקש בקשות, אשמח לשמוע את דעתכם כאן ולהתייחס בפוסט ההמשך לתגובותיכם.
.
זקוקים לעזרה ביישום עקרונות ממשל לשיפור טכנולוגיית המידע?
שלחו מייל ל info@know-it.co.il או התקשרו לטלפון: 076-5436466, ונשמח לתאם פגישת הכרות ללא עלות וללא התחייבות ולבדוק יחד עד כמה אימוץ עקרונות ממשל יכולים לעזור לארגונכם.
