בפוסט הקודם שלי “ניהול אבטחת מידע במגבלות תקציב“, סיפרתי לכם איך בעקבות פגישה על חבר המשמש כמנהל אבטחת מידע, מצאתי לנכון להראות מה אפשר לעשות בתחום אבטחת מידע ללא תקציב ראוי.
כפעולה ראשונה, הלכנו על הבנת המשמעות האמיתית של תפקידנו, כמנהלי אבטחת מידע, בארגון.
לשם כך, עלינו לדעת ולהבין את מטרות הארגון, יעדיו, התוכנית האסטרטגית שלו (למספר שנים קרובות ולא רק לשנה הנוכחית), ולא פחות מיהם השחקנים הראשיים בארגון.
לאחר מכן, מיפינו את המטרות העסקיות ומצאנו מהן פעולות אבטחת המידע המתאימות ביותר להשגת אותן מטרות עסקיות. לאחר ביצוע המיפוי, אנחנו מוכנים לשלבים הבאים.
ובמקרה, השלבים הבאים הם בדיוק מה שברצוני לכתוב עליהם היום. מוכנים, הנה מתחילים…
אחרי שמיפינו את המטרות והיעדים הארגוניים, אנחנו יכולים לרדת לרזולוציית האנושית.
עכשיו עלינו לזהות אילו מנהלים מקושרים לאילו מטרות ולהתחיל לרתום אותם לחשיבה “מאובטחת”.
לכל מנהל, בכיר או זוטר, יש מטרות ויעדים המהווים את התחייבותם לארגון להשגת המטרות הכלליות של הארגון. למה זה רלוונטי? מהסיבה הפשוטה שאם תצליח להראות להם למה אבטחת המידע שלהם יעזור להם להשיג את מטרותיהם ויעדיהם, או לסירוגין, תעזור להם להימנע מכשל בהשגת מטרותיהם, הרי השגתם תמיכה במקום לחימה (מצב השורר עם לא מעט מנהלים “הנלחמים” על יוקרה, ותקציבים ארגוניים).
תבינו, המיפוי שעשינו בתחילת הדרך, מוביל להבנה טובה יותר של הארגון, הכרה בחלק אבטחת המידע בתהליכים העסקיים, בניית קשרים אישיים, באיחוד מטרות ויעדים וכדומה.
כל הידע הזה מוביל בסופו של דבר ליכולת קבלת החלטות טובה יותר עבור הארגון ואפשרות לניהול סיכוני אבטחת המידע בצורה אפקטיבית יותר.
מהר מאוד, אנחנו פועלים לא לטובת אבטחת המידע אלא לטובת התייעלות עסקית, צמצום עלויות, העלאת פרודוקטיביות ואפילו גמישות עסקית. האם אלה לא היו סיסמאות הז’רגון שאיתם התחלנו את ההכרות שלנו בארגון? כנראה שכן…
אני מאמין כי תפקיד מנהל אבטחת המידע הוא: לעזור למנהלים עסקיים להבין את הערך הטמון בניהול אבטחת המידע בתהליכים עליהם הם אמונים, כאשר חוק KISS תקף מתמיד (Kiss – Keep it simple).
כיוון שתהליכים עסקיים מבוססים על מידע ומערכות תומכות לניהול המידע הנ”ל, הרי הגיוני שמנהל האמון על התהליך יוודא כי המידע “שלו” חסוי, זמין, שלם ואמין (עקרונות הבסיס לאבטחת מידע), שילוב אבטחת המידע בתהליך מאפשר וודאות שכזו.
כמו תמיד, אין כאן קסם. מה שכן יש הוא שינוי תרבות ארגונית ומעבר מגישת “האבטחה מחייבת” לגישה של “צרכים עסקיים”.
מכאן הדרך לקבלת הכרה, סמכות ותקציב מתאים קלה הרבה יותר.
וחשוב אף יותר – שינוי חשיבה והתאמת תהליכים אינה דורשת תקצוב מיוחד אלא חשיבה חדשה.
–
רוצים ללמוד מה עוד ניתן לעשות? שלחו מייל לכתובת info@know-it.co.il ונשמח לתאם פגישת הכרות עמכם ולנסות להבין איתכם איך אבטחת המידע יכולה לעזור ולהתאים לצרכים העסקיים של ארגונכם.
