דרוש שינוי דחוף במעמדם של מנהלי אבטחת המידע

על פי חברת המחקר IDC, תפקידיו של מנהל אבטחת המידע בארגון (CISO) צריכים להיות הגנה על המוניטין של הארגון, על הנתונים והקניין הרוחני שלו, כמו גם הטמעת טכנולוגיות חדשניות שיבטיחו כי כל המהלכים העסקיים מנוהלים בצורה מאובטחת. אולם, בסקר שנערך לאחרונה על ידי PwC נמצא כי 57% ממנהלי אבטחת המידע (CISO) כפופים למנהל מערכות המידע או לראש אגף המחשוב בארגון, כלומר למנהל שעיקר תפקידו הוא להבטיח שמערכות המחשוב הארגוני פועלות ביעילות.

מצב זה עלול לגרום למנהל אבטחת המידע להתמקד יתר על המידה בהטמעה והרצה מוצלחות של מערכות המחשוב הארגוני, במקום להיות בעמדת השפעה אסטרטגית על סוגיות קריטיות ברמת הארגון – כגון השקעת משאבים בצורכי אבטחה וניהול הסיכונים".

הטכנולוגיה סביבנו מתפתחת במהירות ומאפשרת מודלים עסקיים חדשניים אשר מציבים את הארגונים בפני הזדמנויות עסקיות חדשות. עם זאת, ההתפתחויות הרבות שהארגונים מאמצים כיום, כגון וירטואליזציה, מודלים של מחשוב ענן, שימוש ברשתות חברתיות, הפיכת ה-IT למוצר צריכה, חופש רב יותר המתאפשר הודות למכשירים ניידים, ורמות גוברות של מיקור-חוץ – כל אלה מגבירות את היקף הסיכון המאיים על ארגונים. על מנת לאמץ בהצלחה את כל ההתפתחויות החדשות שהטכנולוגיה מאפשרת, ארגונים חייבים להעצים את מנהלי אבטחת המידע שלהם, כדי שאלה יוכלו לבחון את האבטחה מנקודת מבט אסטרטגית, במקום מנקודת מבט טקטית שמתמקדת בפיקוח על תפקודו היעיל של ה-IT.

על מנת להיערך טוב יותר לקראת כל הסיכונים הניצבים בפני הארגונים, חייב תפקיד מנהל אבטחת המידע בארגון להיות בעל אחריות ביצועית גדולה יותר מזו שקיימת כיום, ברמה דומה לזו של שאר חברי ההנהלה הבכירה. בין היתר, הדבר יבטיח שליטה והיכרות מלאה של ההנהלה הבכירה עם היבטים קריטיים לארגון הקשורים באבטחת מידע.

במחקר שנערך על ידי דלויט (Deloitte) בקרב מנהלי אבטחת מידע במיגזר הציבורי בארה"ב, נמצא כי למרות שרובם מצהירים שתפקידם צריך להתמקד בניהול המשילות והאסטרטגיה באבטחת סייבר, הרי ש-86% מהם מצהירים כי היעדר מימון מספיק מהווה מכשול עיקרי בפני התמודדות יעילה עם אתגרי אבטחת הסייבר.

הצורך להעניק למנהלי אבטחת המידע סמכות רחבה ומשמעותית יותר הופך דחוף, בעיקר בשל הצורך בהשגחה צמודה יותר על האבטחה לאור מכלול הסיכונים המאיימים על כל הארגונים. יתרה מכך, ככל שגדלים מורכבותם ותחכומם של הסיכונים שהארגונים ניצבים בפניהם, כך גדל ההכרח להציב את האבטחה בליבת האסטרטגיה והניהול המקיפים את הארגון כולו.

ארגונים לעולם לא יוכלו לשפר באמת את האבטחה הכוללת שלהם, כל עוד ימשיכו לראות באבטחה רק פונקציה בתוך מערך המיחשוב ולחשוב עליה במונחים טכניים בלבד, מבלי לקשר בין האבטחה למכלול רחב של אינדיקטורים ביצועיים מהותיים שהארגון מגדיר לעצמו.

תפקידם של מנהלי אבטחת המידע חייב לכלול את האפשרות לאבחן את מכלול הסיכונים ברמת ההנהלה הבכירה של הארגון, כדי שיוכלו להשפיע ביעילות על הוצאות הכספים עבור הפתרונות החדשניים של ה-IT ולהבטיח שהעסק יתמוך בחזון שלו, יצור ערך אמתי וידאג לכך שהסיכונים מנוהלים באופן הוליסטי על פני הארגון כולו. רק ארגונים שמעניקים למנהלי אבטחת המידע שלהם אחריות מלאה וסמכות ברמת ההנהלה הבכירה, יוכלו להשיג רמת אבטחה אשר הולמת את הצרכים האמיתיים שלהם עד לפרט האחרון.