המיצוב החדש של מנהל אבטחת המידע

כמו בתחומים אחרים בעולמות הטכנולוגיים, גם תפקיד מנהל אבטחת המידע בארגון משתנה בקצב מהיר. אם בעבר, ספר ההפעלה לתפקיד זה הכיל מספר מוגדר של פונקציות, מוכרות וידועות, הרי שכיום המציאות שונה לחלוטין. ריבוי האיומים, אתגרי הסייבר והטכנולוגיה שמשתנה חדשות לבקרים מעמידים את מנהל האבטחה בפני מציאות כמעט בלתי אפשרית, שלא לדבר על גודל האחריות הענק שרובץ על כתפיו – ללא שום פרופורציה למה שהיה רק לפני 3-5 שנים.

השינויים הם לא רק ברמה הטכנולוגית, אלא גם בקשר עם האנשים שה-CSO'ים וה-CISO'ים צריכים לדווח להם. על פי הערכות, כבר בשנה הבאה מנהלי אבטחה בארגונים גדולים יצטרכו להופיע בפני מועצת המנהלים של הארגון ולמסור להם דיווחים, בעיקר בתחומי הסייבר וניהול הסיכונים.

מה מומלץ למנהלי האבטחה החדשים לעשות?

מנהלי האבטחה החדשים חווים אתגרים קשים הרבה יותר מעמיתיהם הוותיקים. המגזין CSO אסף כמה טיפים שיקלו עליהם את ההסתגלות למציאות החדשה. על פניו, נראה שהטיפים האלה מתאימים גם למציאות הישראלית, שלעתים מורכבת הרבה יותר מאשר בחו"ל.

העצה הראשונה שמשיאים מומחי המגזין היא למפות בצורה מדויקת את מצבם של האבטחה והנכסים הקיימים בארגון ולקבוע מדיניות כיצד להגן עליהם. אם אתה מנהל אבטחה חדש, קח לך את הזמן הדרוש כדי לבצע פעולה זו, כותבים ב-SCO (הדברים כתובים כאן בלשון זכר, אבל פונים לכל המינים והמגדרים). היא תסייע לך בהמשך, ותחסוך הרבה זמן וצרות. אל תשכח את הצורך בתעדוף ענייני וקר של המשימות, מבלי להתחשב ברעשים סביבתיים.

השלב הבא הוא היכרות וקביעת נהלי עבודה עם העמיתים לעבודה, עם המנהלים ועם שאר אלה שצריכים לדעת שאתה קיים. בכל ארגון יש פוליטיקה פנימית. כמנהל אבטחה חדש, עליך ללמוד מהר מאוד את הפוליטיקה הזו ולהתנהג בהתאם. דבר עם אנשים, הקשב להם, נסה לפתור בעיות שמפריעות להם בעבודה השוטפת – כל זאת, לפני שאתה מתחיל לדבר אתם על איומי סייבר למיניהם, שתמיד ייראו להם מעבר לטווח הצפי הקרוב, ושהם יכולים לחשוב ש-"לי זה לא יקרה". בשיחות עם המנכ"ל, השתדל להגיע אחרי שווידאת שדברים חשובים לו טופלו, כי אחרת, שיחה שנועדה להיסוב סביב סייבר תתמקד מיד ב-"למה לא עשית את זה"? או "מדוע עדיין לא סיימת פרויקט"?

מערכת יחסים משוקעת יותר רצוי לנהל עם מנהלי קווי העסקים – אלה שאתה צריך להגן עליהם ושעוזרים לך למלא את משימתך המרכזית: להגן על מערכות הארגון. מערכת יחסים טובה תאפשר לך לצלוח בשלום את אתגר ה-GDPR, שמכיל הרבה מאוד אלמנטים של אבטחת מידע, שמירה על הפרטיות ועוד.

העצה האחרונה היא גם זו שהכי חשובה: כמנהל בארגון למד היטב את גבולות הגזרה שלך ואת סמכויותיך. במיוחד בסביבת המנהלים שאתה משתייך אליהם.

אפשר להעלות עוד שורה ארוכה של עצות ורשימת פעולות. כך או כך, כולן נוגעות בנקודה מרכזית אחת: מעמדו של מנהל האבטחה בעידן הנוכחי. בראייה אחורה אפשר לומר שבעשור האחרון תפקידו עבר שינוי דרמטי – לא רק באופי העיסוק שלו אלא גם במיצובו במפת הארגון, ולא תהיה זו הגזמה לומר שמעמדו משתווה לזה של המנמ"ר. הנהלות מבינות שהשומר של הנכסים הדיגיטליים של הארגון חייב להיות חלק מהן, וכן שעליו להכיר את כל התהליכים העסקיים ולספק להנהלה את כל הכלים והמידע, כדי שתוכל לדעת מתי לקחת סיכונים, איפה צריך להשקיע ועוד. המגמה הזו קיימת גם בשוק הארגוני הישראלי, ואפשר לראות יותר ויותר מנהלי אבטחה שמגיעים משדרות הניהול הבכירות יותר, בהתאם לגודל האחרית והסיכונים שהם צריכים לתת להם מענה.