הארגון הדיגיטלי: זמן לשינוי בתפקיד ה-CISO

לפני החג פרסמתי כאן מאמר על השינוי הנדרש ממנהלי המחשוב הארגוני, כחלק ממגמת שינוי התפיסה העסקית של ארגונים והפיכתם ל-"ארגונים דיגיטליים", שמתבססים על מוביליטי, אנליטיקה, ענן, Connected products ומדיה חברתית. שינוי זה אינו מוגבל לתצורה הפיזית של פתרונות המחשוב ומחייב חשיבה אחרת בהתאם לציפיות. הפעם אני מבקש להתייחס לסוגיית השינוי במהות של מנהל אבטחת המידע, ה-CISO.

במאמרי הקודם כבר ציינתי כי בלא מעט ארגונים, עולם הדיגיטל, המתפתח באופן מהיר מאוד, נמצא בידי מנהלי השיווק, ה-CMO’s, ועולם ה-Shadow IT – בידי המשתמשים. המשמעות הנגזרת מכך היא שפעילות עסקית ענפה נתמכת טכנולוגיה מתרחשת מחוץ לגבולות המחשוב הארגוני הקלאסי. לצד עולם זה מתפתחת חזית רחבה של התגוננות ארגונים מפני איומי סייבר ואבטחת הפעילות העסקית בעולמות הדיגיטל.

ניתוח המציאות הזו מצביע על כשל אבטחת מידע נרחב בארגונים. ארגונים חוו ארועים רבים מסוג זה בתקופה האחרונה – מפגיעה משמעותית בפעילות העסקית, כמו במתקפה על סוני (Sony), ועד לחשש מזליגת מידע פיננסי, כפי שהיה באירועים רבים בארץ ובעולם, שכללו גניבת פרטי אשראי. הפגיעה בארגונים יכולה להיות עסקית, פיננסית או תדמיתית, אך תהא הפגיעה אשר תהא, התרגום המעשי שלה הוא נזק לטווח קצר, בינוני או ארוך באמון של הלקוחות, הספקים ובעלי העניין בארגון, עד כדי שאלה לגבי המשך הקיום שלו.

קיומה של פעילות עסקית נתמכת טכנולוגיה שלא באמצעות יחידת המחשוב הארגוני מעלה שאלה לגבי הגדרת תפקידו ומיקומו של ה-CISO בארגון. תפקידו החדש של ה-CISO רחב ומורכב יותר מבעבר. הארגון הדיגיטלי מחייב שינוי מוחלט של תפיסת אבטחת המידע. בעבר גבולות הארגון, פעילותו ומדיניות ההפעלה שלו היו שכל המידע שנכנס ויוצא ממנו מנותב דרך מעברים ידועים ומאובטחים בשכבות הגנה ברורות ברמת התקשורת, הניתוב והקשר לעולם החיצוני. לעומת זאת, בימינו, הפעילות במובייל, בענן ובאינטרנט של הדברים מעוררת שאלות נוקבות ביחס למדיניות אבטחת המידע הנדרשת. ארגונים המיישמים מדיניות של BYOx (ר"ת Bring Your Own X) עוקפים את מערכות האבטחה הקיימות בארגון. גישה למייל הארגוני מרשת Wi-Fi חיצונית או שימוש בשירותי ענן לצרכים עסקיים אינה מאפשרת למערכות אבטחת המידע המסורתיות לטפל בחשיפות אבטחת מידע.

הפתרון הקלאסי שמנהל אבטחת המידע היה נוקט הוא "לחסום" פעילות מסוג זה. מסיבה זו ארגונים רבים, גם כיום, אינם מאפשרים גישה לרשתות חברתיות ול-Port 80. מדיניות זו נכשלת פעם אחר פעם. גם כש-Port 80 חסום, משתמשים מסוימים בארגון, לרוב אנשי שיווק ומכירות, מקבלים גישה לאינטרנט ולרשתות חברתיות משום שעיסוקם הוא בדיוק בתחומים אלה. למשל, עובדים המקבלים גישה למייל הארגוני וגולשים אליו באמצעות Wi-Fi מחוץ לארגון, משתמשים העושים שימוש ב-Guest Wi-Fi או ברשת הסלולרית במקום ברשת המאובטחת של הארגון. חשיפות אלה מצביעות על חולשת התפיסה הקיימת באבטחת המידע שאינה נותנת מענה לצרכים העסקיים המשתנים של הארגון.

נדרש למקם מחדש את ה-CISO

השינוי הראשון הנדרש מה-CISO הוא לא לחסום פעילות מעין זו, אלא "לאפשר" אותה באופן מבוקר ומנוהל, תחת בקרת סיכונים מתמדת. כדי להגיע ליכולת הזו, עליו להבין את דרכי הפעולה החדשות ולהניח את התשתיות הנדרשות, על מנת לאפשר שקיפות ביחס לפעילות העסקית הנערכת בארגון שלא באמצעות המחשוב הקלאסי ולחשיפות אבטחת המידע הנגזרות מכך. ה-CISO צריך לעבוד בצמוד גם למנהלים עסקיים, משום שבמסגרת פעילות הארגון הדיגיטלי מתרחשות פעילויות עסקיות המייצגות ערכים פיננסיים, עסקיים, תדמיתיים וחדשניים שחשובים לארגון, וכבר ציינתי את המשמעויות הנגזרות מכך לאבטחת המידע.

מכאן נובעת מסקנה נרחבת יותר: אם חלק מהפעילות הטכנולוגית-עסקית נמצאת באחריות יחידת המחשוב הארגוני וחלקה האחר מבוצע במחלקות אחרות ועל ידי משתמשים, הרי שמיקומו המסורתי של ה-CISO ב-IT אינו משקף את הצורך הארגוני החדש. לפיכך, השינוי השני שנדרש מהארגון הוא למקם מחדש את מנהל אבטחת המידע (ה-CISO): במקום לדווח למנמ"ר (CIO), להכפיפו לאחד מבעלי התפקידים – המנכ"ל (CEO), מנהל התפעול הראשי (COO), מנהל הסיכונים הראשי (CRO) או סמנכ"ל הכספים (CFO). ההחלטה למי מהם להכפיף אותו צריכה להתקבל בהתאם למבנה הפעילות של הארגון. מעמדה זו יוכל ה-CISO לתת מענה אפקטיבי, יעיל ונכון יותר לצרכים העסקיים לצד אבטחת המידע וניהול הסיכונים הכרוכים בהם. במסגרת תפקידו הוא יעניק את השרותים ליחידות העסקיות וליחידת המחשוב הארגוני.

אני יודע שרבים יתנגדו למהות השינוי המוצע, אבל כל מי שרואה את תהליכי השינוי בתפיסת המחשוב הארגוני הדיגיטלי צריך להפנים שזהו חלק מהשינוי הנדרש.

הכירו את ה-CBSO

השינוי השלישי הנדרש הוא שינוי שם התפקיד. קראתי באחרונה מאמר שמציע לשנות את השם ל-CBSO (ר"ת Chief Business Security Officer), ואני חושב שזה רעיון טוב. שינוי השם מייצג את המעבר מתפקיד מנהל אבטחת המידע לתפקיד מנהל האבטחה העסקית של הארגון, כמו פירושם של שני ראשי התיבות – הישן והחדש. לתפיסתי, ה-CBSO הופך לשותף עסקי של הארגון. הוא אמור להיות בעל ידע רחב בתחום חשיפות באבטחת המידע הארגוני ולאפשר פעילות עסקית מבוססת טכנולוגיה, תוך ניהול הסיכונים ומתן מענה גמיש לצרכים העסקיים. Risk management ו-Compliance הם חלק מהשפה העסקית שהוא צריך לאמץ, לצד יכולות חקירה ומניעה של דלף מידע.

ארגון שיאמץ את השינויים הנדרשים יגלה עד מהרה כי ערכי החדשנות העסקית מבוססת הטכנולוגיה תשיא לו תוצאות עסקיות משופרות ביחס למתחרים העסקיים עימם הוא מתמודד. לדוגמה, התחרות בשוק הבנקאות מניבה תוצרי שירות מבוססי טכנולוגיה המבדלים בין בנק אחד למשנהו, אף על פי שהמוצר הבסיסי הפיננסי דומה או זהה. באיזה בנק תבחרו לנהל את הפעילות הפיננסית שלכם? האם בזה שמתעקש עדיין שתזדהו באמצעות שלושה או שני מזהים או בזה המשתמש בטכנולוגיה שמאפשרת לכם זיהוי באמצעות מזהה יחיד? כדי להגיע לתוצאה הזו ולאפשר את הפעילות העסקית הנדרשת, ההנהלה העסקית והטכנולוגית של הארגון חייבת CBSO שיכול לטפל בנגזרות הנדרשות בתחום אבטחת המידע.

הכותב הינו המייסד והבעלים של מוביסק טכנולוגיות – חברה המתמחה בפתרונות מובייל, ענן ושירותי ייעוץ המאפשרים מעבר מובנה של ארגונים לעולם המחשוב החדש.