השבוע הרצתי בפני תלמידי קורס CISO של חברת טיטנס סקיוריטי, בנושא ממשל אבטחת מידע.
במהלך השיעורים הצגתי לתלמידים את תפיסת עולמי האומרת שמנהל אבטחת מידע הוא בראש ובראשונה מנהל ובנוסף יש לו התמחות מסויימת. במקרה שלהם, תחום ההתמחות הספציפי הוא אבטחת מידע.
הדגש בשיעור היה הצורך של מנהל אבטחת המידע להבין תהליכים עסקיים, לא פחות מטכנולוגיה, ולמצוא איך לאפשר את התנהלות התהליכים בצורה תקינה ככל הניתן, תוך שמירה על אבטחת המידע הזורם בתהליכים אלו. היה חשוב לי לומר, כי דווקא כיוון שההתמחות שלהם היא טכנולוגית, זה מחייב יכולת ניהול גבוהה ממנהל של תהליכים עסקיים אחרים.
למה בעצם? למה נדרש ממנהל אבטחת מידע, או מנהלי טכנולוגיות בכלל, יכולת ניהולית גבוהה יותר? מיהו מנהל אבטחת המידע החדש? ובמה הוא שונה מהעבר?
בשנים האחרונות בכלל ובשנה האחרונה בפרט, ישנם לא מעט סקרים ומאמרים בנושא. אחד הסקרים שקראתי לאחרונה פורסם ע”י חברת IBM, תחת השם Finding a strategic voice. הסקר מצא כי שני שליש ממנהלי אבטחת המידע מאמינים שמנהלים בכירים בארגונים בהם הם עובדים, מבינים יותר ולכן נותנים יותר תשומת לב לאבטחת מידע, לעומת המצב לפני שנתיים או שלוש.
קצת נתונים על הסקר: הוא כלל 138 מנהלים הן מהצד הטכנולוגי והן מנהלי תהליכים אחרים בארגון. בנוסף למנהלים, בוצעו ראיונות עומק עם 25 אנשי אבטחת מידע בכירים, והנתון האחרון הוא שלמעלה מ- 75% מהנשאלים היו מארגונים של למעלה מ- 1,000 עובדים.
הסקר העלה שמנהלים עסקיים מודאגים יותר ויותר מנושא אבטחת המידע בתהליכים הארגוניים. אחד האתגרים הגדולים ביותר העומדים מול מנהלי אבטחת המידע הוא להבדיל בין איומים חיצונים לאיומים פנימיים, והטמעת טכנולוגיות חדשות המתמודדות עם הבדלים אלו וכל זה תוך שמירה על חוקים ודרישות רגולציה, ולבסוף, שלמעלה מ- 50% מהנשאלים שמים את אתגר אבטחת המידע במחשוב נייד (טאבלטים וסמארטפונים) כאתגר המהותי ביותר לשנים הקרובות. אחד הנתונים המעניינים ביותר מהסקר הוא שאצל למעלה מ- 70% מהנשאלים (להזכירכם, לא רק מהצד הטכנולוגי) תקציב אבטחת המידע בארגונם גדל בשנה האחרונה ולהערכתם ימשיך לגדול גם בשנים הבאות. כלומר, זה לא רק בתחושה, אלא גם בהקצאת יותר משאבים לתחום אבטחת המידע. ואכן, לאור המגמות הללו, ניתן להסיק כי הציפייה ממנהלי אבטחת מידע משתנה ומגורם האחראי על אבטחת מערכות הארגון, הופך מנהל אבטחת מידע להיות מנהל סיכונים ברמה הגבוהה ביותר והציפייה עוד תמשיך לעלות.
אם בעבר מנהל אבטחת המידע נדרש בעיקר להגנה היקפית של רשת הארגון, הגדרת מדיניות, כתיבת נהלים ובעיקר להגיב לאירועים… הרי שכיום זה פשוט לא מספיק.
מנהל אבטחת מידע (מודרני) נדרש להרבה יותר, הוא נדרש לבצע:
– פיתוח תוכנית הגנה לנכסי מידע נקודתיים (בד”כ בעלי רגישות גבוהה לארגון)
– הפחתת סיכוני אבטחה בתהליכים עסקיים, תוך הבנת התהליכים הארגוניים ובשילוב עם גורמי ניהול הסיכונים הארגונייים (לאוו דווקא רק של טכנולוגיה ואבטחת המידע)
– עבודה מול גורמי אכיפה חיצוניים – גורמי חוק, ביקורת חיצונית ובקרה פנימית
– זיהוי מקורות תקיפה על הרשת הארגונית וניסיונות לגניבת זהויות ארגוניות
– לבצע בדיקות מוכנות ותגובה למקרי אבטחת מידע נקודתיים (Security breaches)
.
מיותר לציין שדרישות אלו לא היו קיימות לפני כמה שנים. אז מה השתנה?
אני מאמין שבראש ובראשונה השינוי נובע מהתפתחות יכולות התקיפה וההכרה כי לא ניתן להגן על פלטפורמת המחשוב הארגונית באופן מוחלט. אם בעבר, תפיסת אבטחת המידע הייתה סביב בניית חומות הגנה וכלי איתור נסיונות כניסה במרכיבים המוגדרים לתעבורה, הרי שתפיסה זו כבר אינה רלוונטית. תפיסת ההגנה בעידן איומי הסייבר גורסת כי לא משנה כמה חומות וביצורים נבנה סביב הרשת הארגונית, תוקף מיומן יצליח לחדור אותן. ולכן יש חשיבות גדולה בסיווג נכסי המידע ורכיבי הרשת תוך התאמת הגנה ייעודית לכל אחד מהם בהתאם לדרישה העסקית.
סיבה שניה ולא פחות חשובה, היא ההבנה שלא כל סיכון אבטחתי נפתר באמצעות כלי טכנולוגי ואנשי אבטחת המידע הם לא תמיד גיבורי על טכנולוגיים שיצילו את הארגון.
הבנה זו יוצרת מעבר מניהול כלי אבטחה לניהול סיכונים. מנהל אבטחת מידע “חדש” מבין כי תפקידו לשלב בין הצורך בהגנה על המידע הארגוני לבין הצורך בהרצת התהליכים העסקיים. עליו לתקשר את הצורך בהגנת המידע בשפה ברורה ומובנת לקולגות הלא טכנולוגיים שלו (במילים אחרות, בשפה ניהולית / עסקית ולא טכנולוגית), מבלי שתורגש הפרעה להתנהלות התהליכים העסקיים.
אם כך, בואו נחזור לשאלה המקורית – מדוע מנהל אבטחת מידע נדרש ליכולת ניהולית גבוהה יותר?
ובכן, תשובתי במהלך ההרצאות הייתה שמנהל “רגיל” צריך לדעת לדבר ולנהל את צוות העובדים שלו (ניהול כלפי מטה) והן את המנהלים שלו (נהול כלפי מעלה), רק שמנהל אבטחת מידע, ולמעשה כל מנהל טכנולוגי, עושה זאת בשפות שונות !!
על מנהל אבטחת המידע לדבר “ניהולית – עסקית” עם מנהלים מקבילים אליו ומול המנהלים הישירים שלו ושבפה “טכנולוגית” אל מול צוות העובדים שלו. ובחשבון פשוט, לדעת שתי שפות קשה יותר משפה אחת.
סט היכולות להן מנהל אבטחת מידע נדרש כולל (ולא רק):
– הכרות מעמיקה ככל הניתן של תהליכי העבודה בארגון לרבות הבנה של היעדים האסטרטגיים
– יכולת תקשורת מילולית גבוהה
– יכולת לימוד גבוהה ואת הרצון להתעדכן תמידית
– הבנה של ניהול סיכונים ועקרונות ממשל
– ידע ובעיקר הבנה טכנית / טכנולוגית גבוהה
ואם כל זה לא מספיק, אז תפקיד מנהל אבטחת מידע הוא גם לאפשר ואפילו לדחוף את הארגון לפעילות פרואקטיבית הפועלת אל מול סיכונים לפני מימושם במקום לפעול כתגובה לאירועים.
אני בטוח שלחלקכם יהיה מה להוסיף ולהרחיב, ואתם יותר ממוזמנים לעשות זאת.
ואם נפשכם חפצה בלימוד מתקדם על מנהל אבטחת מידע חדש אתם יותר ממוזמנים להצטרף אלינו לקורס CISO ולשמוע את הפרזנטציות במלואן…
מחכה לתגובתכם ולהארותיכם….
