עיצוב מחדש של תפקידי ניהול טכנולוגיים

המצב הביטחוני בעולם בכלל ובישראל בפרט משנה את ההתייחסות שלנו לביטחון ואבטחה גם בעולם העסקי. ארגונים רבים, שהסתמכו על אמצעי אבטחה פיזיים וטכנולוגיים קונבנציונליים, מוצאים עצמם עם חשש מהתקפות קיברנטיות ובעיקר מתוקפים מתוחכמים יותר ויותר.

שינויים עולמיים של גלובליזציה, התקדמות הטכנולוגיה, התקשורת ובעיקר הצורך ביכולת פיתוח המתאימה לשינויים זריזים (Agile) מחייבים ארגונים לחשוב שונה. כיום, ארגונים המשתמשים בכלים “הרגילים” לאבטחה ומנהלים את הטכנולוגיה שלהם בצורה “ישנה”, אינם עומדים בקו אחד אל מול האיומים והסיכונים המתרחבים.

אנשי הטכנולוגיה ומנהל ואנשי אבטחת המידע בראשם, נדרשים לא רק להגן על המידע הארגוני מפני האקרים חיצוניים (כמו שהיה פעם), אלא גם להגן על “שמו הטוב” של הארגון ואף על יתרונו התחרותי, תוך יצירת תהליכים ארגוניים יעילים וזריזים (מי אמר Agile, ולא קיבל?).

לכן, חיוני שמנהלי טכנולוגיים ואנשי אבטחת מידע יבינו כי עליהם להרחיב את ספקטרום ההתעניינות שלהם מטכנולוגיה להבנה עסקית כללית ותהליכי העבודה בארגונם בפרט. כפי שדני דורון, מנהל גלוב מערכות מידע מקבוצת אסם, תיאר את הדברים.

.

עיצוב מחדש של תפקידי ניהול טכנולוגיים מאפשר:

.

חיבור עדיפויות טכנולוגיות ונקודות אבטחה ליעדים עסקיים
חיבור זה יאפשר כיוון הבקרות הנדרשות למתן תועלת עסקית מירבית וצמצום השפעה שלילית על התהליך העסקי.

לדוגמא: ארגון שרוצה להרחיב את סל מוצריו בשנים הקרובות, על הטכנולוגיה והאבטחה לתת דגש על הגנת נתוני התכנון, הפיתוח, הייצור והקניין הרוחני של הארגון, כאשר הבקרות יסובו סביב כמות בעלי הגישה לנתונים, איכות הצפנת נתונים מסווגים, הסכמי סודיות וכדומה .
או ארגון שאסטרטגית מעוניין להיכנס לשווקים חדשים בעולם, על הטכנולוגיה והאבטחה לתת דגש על זמינות הנתונים וקישוריות מרחוק למקסימום מידע אמין ומאובטח, כאשר הבקרות ינועו סביב איכות התקשורת, הצפנת מעבר הנתונים, כמות המידע הזמין ואיכותו.

עופר לקסמן, מנכ”ל חברת ITAnalyzer, מרחיב בנושא, במאמר שפורסם באנשים ומחשבים

חשיפה וקבלת “זמן איכות” של אותם מנהלים עם הנהלת הארגון
בניית תהליכי דיווח, זמן תקשורת והבנה טובה יותר של הסיכון שהנהלת הארגון מוכנה לקבל (Risk Appetite) יאפשרו למנהלים טכנולוגיים לדבר בשפה העסקית, לקבל תמיכה וחסות מהנהלה בכירה יותר ומכאן משאבים הנדרשים לתמיכה באסטרטגיה הארגונית.
במציאות הניהולית כיום, הנושא הקל ביותר להתחיל בו הוא ניהול הסיכונים הארגוניים.
זהו הממשק הברור ביותר בין העולם הטכנולוגי לבין העולם העסקי. חיבור הגורמים המטפלים בתחומים אלו בהחלט יכול לייצור תהליך בנייה בנדון.
כפי שציינתי קודם: שמירת על שמו הטוב של הארגון הוא שם פרקטי לסיכוני מוניטין ואילו שמירה על היתרון העסקי יכול לבוא כנגזרת של מספר סיכונים (כגון: סיכונים תפעוליים, פיננסיים, סיכוני שוק ועוד).
חברת גרטנר פירסמה בכנס אנליסטים באוסטרליה, כי בהחלט ניתן לראות מגמה של ארגונים בהם מנהלי אבטחת מידע הופכים להיות חלק בלתי נפרד מהפעילות העסקית.

קבלת יכולת השפעה ולהוות דוגמא
הטכנולוגיה משמשת מעין מוביל דרך ארגוני. יש הטוענים שמערכות המידע הארגוניות הן ראי ליכולתו. לפיכך, מנהלים טכנולוגיים, לרבות מנהלי אבטחת מידע, יכולים לבנות את המוניטין שלהם דרך כללים ומושגים עסקיים ולא על הבנתם הבלעדית בטכנולוגיה.
כמו כן, עיצוב מחדש של מנהל טכנולוגי יכול להשפיע רבות על הקולגות שלו ועל עובדיו.
באחד המאמרים שקראתי בעבר (אינני זוכר את המקור ולכן אין לינק מחובר), צוטט מחקר שציין כי למעלה מ- 50% ממנהלים בתחומים הטכנולוגיים בארה”ב מצפים כי על הנהלת הארגון להיות יותר מעורבת בהחלטות טכנולוגיות, אבטחת מידע ו/או בנושא פרטיות העובד.

מנהלי הטכנולוגיה ואבטחת המידע שייקחו אחריות להבנת הצדדים העסקיים בארגונם, יצליחו לקדם את ארבעת השלבים של מודל PDCA (תכנן, עשה, בדוק, פעל – Plan, Do, Check, Act).
למשל, בצורה הבאה:

תכנן – היכולת לזהות משמעויות עסקיות של צרכי טכנולוגיה ואבטחה, יאפשרו תכנון טוב יותר של הפעולות הנדרשות למימוש צרכים אלו.

עשה – בניית תוכנית פעולה ומשאבים טכנולוגיים הנדרשים לתמיכה ביעדים העסקיים.

בדוק – היכולת לוודא כי המשאבים, לרבות האנושיים, הנדרשים למימוש תוכניות הפעולה קיימים.

פעל – הוצאת תוכנית העבודה לפועל, תוך מדידת הבקרות בתהליכים למתן ערך עסקי מרבי ולתכנון עתידי.

במקביל, ארגונים שישכילו לתת את קידמת הבמה למנהלים אלו, ירוויחו מנהלים טובים יותר, יכולת קבלת החלטות טובה יותר ויגדילו את האפקטיביות העסקית שלהם.
בדיוק כפי שד”ר מארק מקדונלד, ראש תחום המחקר בפיתוח מנהלים בכירים בגרטנר התראיין לעיתון אנשים ומחשבים בנושא המנ”מר בקדמת הארגון.

פורסם בקטגוריה אבטחת מידע, כללי, ממשל, ניהול סיכונים

3 תגובות

  1. Roman Ratman says:

    אומנם אני מסכים שעם הצבת איומים לא כל כך חדשים אבל בעלי מעטפת סקסית חדשה כמו התקפות סייבר יצטרכו מנהלי אבטחת מידע להיות פחות מעורבים בטכנולוגיה ויותר הבנה עסקית בתחום שבו עוסק ארגונם מאשר צלילה לתוך טכנולוגיה.
    כגון תדמית הארגון תהיה חשובה ונדרש לדעת ולייחצן את ולהגן על ה”שם הטוב”.
    אבל כל האיומים האלה היו כבר קודם ויהיה פשוט יותר קל לשכנע את ההנהלה בצרכים מיוחדים וחשיבות אבטחת המידע.
    מבחינתנו לא השתנה שום דבר בסוג אלא רק במדד הכמותי. תמיד ידענו והתרענו שאנחנו חייבים להיות חלק אינטגרלי בכל תהליך עסקי המתבצע בארגון. ורק נעזרנו באירועים אחרונים לחיזוק עמדותינו כשתחושת הבטן שלנו הוכחה כצודקת.
    אבל אך עלינו להתרחק מגישה טכנולוגית לגמרי ולשכוח ממנה. הבטן הרכה לדעתי זה כמות עצומה של מערכות Legacy ודינוזאורים שאין אפשרות להוות חידושם עם היבט אבטחת מידע, אלא רק בעזרת כלים טכנולוגים הפרוסים מעל אותן מערכות ומגנים עליהן מנסיונות זדוניים.
    באירועים אחרונים נוכחנו לדעת על מערכות Legacy שאין באפשרותינו לשנות או להתאים בנידון, אלא רק לפרוס מעליהם רשת ביטחון בעזרת אותן טכנולוגיות חיצוניות משתכללות ולמזער סיכונים תוך מיפוי איומים מבחוץ ומבנים כאחד.

    • orenh says:

      רומן, ראשית, תודה על התגובה.
      יש לי המון מה לומר (לכתוב), ואני אשתדל לתמצת ככל האפשר.
      תפקידם של מנהלי הטכנולוגיה ואבטחת המידע לא השתנה!!
      הסביבה החיצונית להם, משתנה. שים לב, הפוסט מיועד הן למנהלים טכנולוגיים והן למנהלים בכירים, ומטרתו להסביר כי תפקיד הטכנולוגיה מקבל יותר ויותר חשיבות עסקית, ולכן יש לעצב מחדש את תחומי האחריות והסמכויות שניתנות למנהלי הטכנולוגיה.
      המקרים האחרונים משקפים הן את השינויים וההחמרה באיומים הסובבים ארגונים (סקסיים או לא), והן את החשיבות ומכאן את המשאבים שהטכנולוגיה בכלל ואבטחת המידע בפרט דורשים.
      עפ”י תפיסת עולמי (מגובה בסטנדרטים וב- Best Practices), וכך ציינתי זאת בפוסט, ארגונים שישכילו להשקיע את החשיבות והמשאבים הנדרשים לשיפור מעגלי הטכנולוגיה ואבטחת המידע בתוך הפעילות העסקית שלהם, יזכו ביכולת קבלת החלטות טובה יותר ואפקטיביות גבוהה יותר בצד התפעולי עסקי שלהם.
      ודבר אחרון במענה לתגובתך, שימוש “ברשתות ביטחון – בעזרת טכנולוגיות חיצוניות משתכללות” היא בהחלט אחת האפשרויות, כפועל יוצא מהחשיבה הנדרשת. לצערי, ארגונים רבים אינם מוכנים לשאת את העלויות הנדרשות ולא מכירים בחשיבות מזעור הסיכונים בעזרת אותן “רשתות ביטחון”…

      • רומן says:

        לגבי הנהלה בכירה הסכמה שלי איתך מלאה.

        לגבי הנהלה טכנולוגית – אומנם תחומי אחריות מתרחבים, אך עדיין לא שכנעת אותי שזה גיע לשלב של עיצוב מחדש. או שאולי החזון שלך עדיין מעבר לאופק שאני רואה 🙂

        כתבה עניינית מאד נהנתי לקרוא.

Leave a Reply

Your email address will not be published. Required fields are marked *