בעולם עסקי דינמי, בו האיומים והחשיפות משתנים באופן תמידי, מתי ואיך מנהל ארגון את סיכוני אבטחת המידע שלו בצורה נכונה? בפוסט זה נסביר את השלבים לבניית תרבות ארגונית המנהלת סיכוני אבטחת מידע בצורה יעילה ואפקטיבית.
כולכם כבר יודעים, שממשל אבטחת מידע מהווה את הבסיס לניהול סיכוני אבטחת מידע, ולכן, נגדיר גם את האחראיים לבניית תרבות ארגונית זו.
שאלות נוספות לחשיבה: האם ניהול סיכוני אבטחת המידע ינוהלו תחת מנהל אבטחת מידע “אוונגליסט” או תחת ניהול סיכונים ארגוני? האם ארגונים מנהלים את סיכוני אבטחת המידע שלהם או שהם מנהלים בקרות וכלי אבטחת מידע? האם הנהלת הארגון יכולה לקחת אחריות על כך?
בואו נתחיל מהסוף. יותר נכון מהשאלה האחרונה, כי זו ההתחלה.
האחריות היא תמיד על הנהלת הארגון. זוהי אבן היסוד הראשונה של עקרונות ממשל.
האחריות היא תמיד על הדירקטוריון וההנהלה הבכירה.
ועדיין, הם לא הגוף המבצע, הם הגוף המושל. באחריותם לוודא כי הארגון פועל כפי שהם התוו לו.
אם כך, איך עושים זאת?
הפעולה הראשונה היא להבין איפה אנחנו נמצאים? מהי התרבות הארגונית בנוגע לסיכוני אבטחת מידע נכון לעכשיו. או בשפה המקצועית יותר – מהי רמת הבשלות הארגונית לטיפול בסיכוני אבטחת מידע?
אפשר לעשות זאת באמצעות שאלונים, רשימות סימון (Checklists) ואפילו שימוש במתודולוגיות סיכון היכולות לתת אינדיקציה לרמת הבשלות הארגונית.
בשורה התחתונה, כיוון שגיבוש דעה על בשלות היא סובייקטיבית מאוד, כדאי ומומלץ להשתמש בכמה גישות יחד ולבצע ממוצע מוסכם מהממצאים המתקבלים.
כאשר אנו משתמשים במודל בשלות, אנחנו בד”כ נשתמש בחמש רמות בשלות.
לראייתי, כדי להשתמש בחמש הבאות:
1. העדר תרבות סיכוני אבטחת מידע – עובדי הארגון אינם מתייחסים לסיכוני אבטחת מידע למרות קיומם של נהלים ובקרות.
2. תרבות בקרות אבטחת מידע – עובדי הארגון פועלים מול סיכוני אבטחת מידע שזוהו בנהלי אבטחת המידע ו/או בבקרות הקיימות בארגון.
3. תרבות סיכוני אבטחת מידע טובה – עובדי הארגון פועלים נכון ומפעילים שיקולי דעת גם בסיכונים שאינם חלק מהנהלים והבקרות.
4. תרבות סיכוני אבטחת מידע יעילה – עובדי הארגון פועלים ומפעילים שיקולי דעת לגבי הסיכונים הרלוונטיים לעובד על בסיס יומי.
5. תרבות סיכוני אבטחת מידע אולטימטיבית – כל עובד משמש כמנהל סיכונים וככזה הוא מעריך, מבצע בקרה ומנסה להפוך את הסיכון להזדמנות ליצירת יתרון תחרותי עבור הארגון.
מהי רמת בשלות לטיפול בסיכוני אבטחת מידע בארגונך?
כשיש לנו תשובה לשאלה זו (גם אם היא סובייקטיבית לחלוטין), זו ההתחלה.
אם נחזור רגע להתחלה, נראה ונבין שזו האחריות של?? נכון מאוד, הדירקטוריון וההנהלה הבכירה.
ולכן, עליהם לקבל החלטה לאן פני הארגון? האם הארגון מרוצה ממיקומו במודל הבשלות או שברצונו לפתח תרבות ארגונית המעלה את בשלותו לנהל סיכוני אבטחת מידע?
תוצרי דיון זה יניבו החלטות ממשל אילו פעולות ניהוליות הארגון רוצה לפתח ומאילו הוא מעוניין להיפרד ולהימנע.
מכאן, ההחלטות הניהוליות קלות יותר ועליהן לשקף החלטות הגוף המושל.
עקרונות מנחים:
הגישה של האחראי לתהליך (בין אם מדובר בהנהלת הארגון, מנהל הסיכונים או מנהל אבטחת המידע) תקבע את האווירה הארגונית.
הערכים של האחראי לתהליך ינחו את מקבלי ההחלטות
רמת ההשקעה של האחראי לתהליך יקבע את גישת העובדים. העיקרון ברור, ככל שמשקיעים יותר גישת העובדים עולה במודל.
דמות האחראי ומוסר העבודה שלו קובעת את רמת האמון והתפוקה מצד העובדים. תמיד רוצים ותמיד ירצו 100% רצינות.
.
נקודה חשובה מאין כמותה היא ההתייחסות לפן האנושי. בל נשכח שכל אדם מתייחס לסיכון באופו קצת שונה מרעהו. פרמטרים שעשויים להשפיע הם: דת, לאום, תרבות, חוויות עבר, השכלה, ניסיון עבודה ואחרים.
ההתייחסות לגורמים האנושיים של עובדי הארגון מעבר להיותה מחויבת המציאות, היא הגורם הראשון במעלה להבנה האם ניתן לבנות / לשפר תרבות ניהול סיכוני אבטחת מידע בארגון. אפילו אם הארגון החליט להשתמש בתקנים ומתודולוגיות מקובלות, עליו לוודא כי התרבות הארגונית מאפשרת קליטה של תרבות ניהול סיכוני אבטחת מידע.
ולכן לסיכום: בניית תרבות ניהול סיכוני אבטחת מידע ארגונית, ובעצם, כל תרבות ניהול סיכונים, מחייבת מודעות והכשרה הן לצדדים העסקיים והן לצדדים האנושיים של הארגון.
על תוכניות הפעולה להיבחן תקופתית ולבצע התאמות באם נידרש.
.
רוצים עזרה בבניית תרבות ניהול סיכונים בארגונכם?
רוצים לזהות את מיקום ארגונכם במודל בשלות ניהול סיכוני אבטחת המידע?
שלחו מייל לכתובת info@know-it.co.il ונתאם פגישה לבחון את הפעולות שישרתו את ארגונכם בצורה הטובה ביותר.
