תקשור אסטרטגיית אבטחת מידע להנהלה

בימים אלו אני מייעץ בפרויקט בניית אסטרטגיית אבטחת מידע בארגון גדול, אסטרטגיה אותה נציג להנהלה הבכירה. במקביל, קראתי מאמר על איך מתקשרים אסטרטגיית אבטחת מידע לדירקטוריון (ולהנהלה הבכירה), מפי אחד מבכירי המנהלים של הארגון ללא מטרות רווח, בעל מספר החברים הגדול ביותר בעולם בתחום אבטחת מידע ומסמיך הסכמת CISSP – ארגון 2(ISC).

להלן תובונותי:

הצגת אסטרטגיית אבטחת מידע בפני מנהלים עסקיים היא אחת הפעולות הקשות ביותר עבור אנשי אבטחת מידע. אם מדובר בדרישות חוק או רגולציה, סביר להניח שנקבל כל מה שיידרש על מנת לעמוד בדרישות. אם מדובר בפעילות מתקנת אחרי בעיה שהתעוררה או פריצה, קרי האירוע מאחורינו, ואנו מבקשים למנוע את התקיימות האירוע בשנית – גם אין בעיה.
יחד עם זאת, אם מדובר בבקשה לתקציב עבור תשתיות ו/או כלי אבטחה, זה כבר סיפור אחר לחלוטין.

במקרים בהם אנו מבקשים תקציב עבור תשתיות, החזר על השקעה הוא המוטיב הראשון שברצוננו להציג. עלינו להבין כי המנהלים העומדים מולנו, חושבים אחרת מאיתנו. הם חושבים על הכסף שייצא ועליהם לראות מה הם מקבלים בתמורה. לכן, חשוב מאוד להדגיש את התמורה העסקית שההשקעה בתשתיות תתן. במידה וניתן לכמת את התמורה בכסף, אנחנו בהחלט מתקדמים בנושא. במידה ולא, עלינו לשים דגש על התמורה המעשית ולא פחות חשוב על התרומה העקיפה של ההשקעה מבחינה עסקית.

אגב, אם אנחנו לא יודעים לומר מה נקבל בתמורה, הסיכויים שלנו לקבל תקציב נמוכים מאוד. יתרה מזאת, אני ממליץ בחום לבדוק שוב האם אנו צריכים את ההשקעה הזו מלכתחילה.

בעולם בו הסיכונים גדלים ומשתנים כל הזמן, כדאי לבדוק את סיכוני אבטחת המידע באופן תקופתי, על מנת לוודא כי אנחנו מעודכנים הן בסיכונים ובמיוחד בהשלכות העסקיות אותן יכול הסיכון לממש נגדנו. בדיקה תקופתית תאפשר מגע קבוע של תחום אבטחת המידע עם ההנהלה ותיצור תחושת שותפות בדרך להשגת המטרות העסקיות תוך כדי הגנה עליהן.

גם במצגת עצמה, זו שתראו למנהלים, הטקטיקה היא השורה התחתונה. מה אני מבקש ומה אני נותן.

יש הדוגלים בפתיח בסגנון “תנו לי לספר לכם איך אני הולך לחסוך לארגון כסף”.
פתיח הצהרתי שכזה, מושך תשומת לב ומסקרן, מה שגורם למנהלים להקשיב ולא רק להיות נוכחים בדיון. ועדיין, אני מאמין בקצת יותר רוך, וממליץ על פתיח בסגנון:
“אבטחת מידע כמאפשרת השגת יעדים עסקיים”. ואם בכל זאת רוצים לייצר פרובוקציה שתמשוך תשומת לב, אפשר לומר את אותו דבר, בדרך השלילה. משהו בסגנון:
“העדר אבטחת מידע כגורם לכישלון עסקי” (אישית, יותר אוהב את החיובי).

מוטיב קריטי נוסף הוא השפה. בל נשכח, הנהלת הארגון, ובטח חברי הדירקטוריון, אינם (בד”כ) אנשי טכנולוגיה ו/או אבטחה. הם בהגדרה מומחים לעסקים. לכן, הסברים מפורטים על הטכנולוגיה לא רק שלא ישרתו את המטרה, אלא להיפך, הדברים ירדימו אותם ויגרמו להם לאבד אותנו, עלינו לדבר בשפה העסקית.
נכון, אתם צודקים. לא כל סיכון הנובע מאבטחת מידע אפשרי לתיאור בשפה עסקית. אי אפשר להסביר התקפות קוד על מסדי נתונים (כגון: SQL Injuction) בשפה עסקית…. מה שכן אפשר לעשות הוא להשתמש באנלוגיות מהחיים או מעולם העסקים על מנת להסביר. במקרה של הזרקת SQL, להסביר את חשיבות בדיקות הקלט ואפילו להשתמש בדוגמא של קלט מספר תעודת זהות, במבנה של תשע ספרות לרבות ספרת ביקורת המוודא כי אכן המספר חוקי ודוגמאות נוספות לבדיקת הקלט. אלה דוגמאות שכל הדיוט מבין, על אחת כמה וכמה הדיוט מנוסה המשמש מנהל בכיר או חבר דירקטוריון.

אותו מנהל בכיר, מר הורד טיפטון, משתמש במאמרו בדוגמא של תוכנית אבטחת מידע כבניה של בית.
לא מספיק שיש תוכנית לשלד המבנה, אלא עלינו להתאימה לעמידה בדרישות חוקי העזר העירוניים כתנאי סף לביצוע הבניה (אנלוגיה לתאימות רגולציה כמובן). אנלוגיה נוספת היא השימוש בחיווט חשמל במקום כבלי סאונד ייעודיים. שימוש זה יחסוך כמה דולרים במהלך הבניה, אך מה ההשלכות בטווח הרחוק? מה ההשלכות של שימוש בחלונות זכוכית דו שכבתית או תלת שכבתית כאשר מתייחסים לחיסכון באנרגיה וטכנולוגיה ירוקה?

בסופו של דבר, הצגה למנהלים בכירים ולחברי דירקטוריון דורשת תרגול.
על מנת להצליח להעביר מסר ולקבל תקציב ראוי, עלינו לזכור מיהו הקהל היושב מולנו, עלינו לפרק כל נושא מורכב לפיסות מידע קליטות ומובנות ע”י קהל המטרה ועלינו תמיד לסכם במונחים של התמורה.

בבואנו להציג למנהלים בכירים את אסטרטגיית אבטחת המידע, עלינו לנסות לראות את פני הדברים מנקודת מבטם. נסו להיכנס לנעליהם ולהבין מה מניע אותם ומה חשוב להם.

כיוון שמדובר במשאבים מוגבלים, עלינו להדגיש מדוע אבטחת מידע חשובה לפעילות העסקית תוך דגש על הסיכונים הכרוכים סביב העדר אבטחה נאותה.

טיפ אחרון: נסו להיות ויזואליים. לא סתם אומרים שתמונה אחת שווה אלף מילים.

לסיכום:

1. אנחנו לא מבקשים תקציב על בסיס עלות, אלא על בסיס השקעה, לרבות הצגת החזר בגין ההשקעה (ROI).

2. עלינו לייצור אינטראקציה בין מנהל/י אבטחת המידע וההנהלה הבכירה על בסיס קבוע. גרמו להנהלה להיפגש עמכם באופן תדיר ולא רק בעת צורך בתקציב נוסף.

3. דברו בשפה עסקית ולא טכנולוגית. השתמשו באנלוגיות מחיי היום יום על מנת לוודא הבנה של מטרות אבטחת המידע.

4. בצעו תיאום ציפיות. לא יעלה על הדעת שמנהלים יחשבו שבעקבות מתן תקציב גבוה יותר הארגון יהיה 100% מוגן, מהסיבה הפשוטה שהוא לא.
תיאום ציפיות היא הסכמה או לפחות ההבנה כי שימוש בבקרות אלה ואחרות, יפחיתו את הסיכונים.

.

חושבים שיש לכם מה להוסיף? אשמח מאוד לשמוע את דעתכם.

פורסם בקטגוריה אבטחת מידע, דרישות חוק ורגולציה, כללי, ממשל, מתודולוגיות וסטנדרטים, ניהול סיכונים

תגובה אחת

  1. דודו says:

    אורן תודה, אני מסכים איתך.
    הבעיה היחידה “בנוסחה” היא שלא תמיד ניתן לכמת את אבטחת המידע (וגם אם כן, בהרבה מקרים מדובר בדעה סובייקטיבית).
    הנקודות המרכזיות הינן “שפת הנהלה” ותרגול. במילה אחרת … פוליטיקה 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *