האם מנמ"רים ומנהלי אבטחה יכולים לחיות ביחד?

בהיררכיית משרות הניהול הטכנולוגיות, תפקיד ה-CISO, מנהל אבטחת המידע, היה תמיד מאתגר והכי פחות לא ברור. תחום אחריותו של מנהל האבטחה נושק לעולם ה-IT ולפעילות המנמ"ר. מציאות זו הולידה מערכת יחסים מורכבת בין שני בעלי התפקידים, ובאופן טבעי יצרה קונפליקטים.

עיקר המחלוקת היא על סמכות ובכירות: מנמ"רים מצפים שמנהלי אבטחת המידע בארגונם ידווחו להם, מה שלא תמיד מוצא חן בעיני האחרונים ובעיני ההנהלות. בנוסף, מערכת היחסים שבין המנמ"ר למנהל האבטחה יצרה אי הבנות רבות. יש להוסיף לכך את הניגוד המובנה שקיים ביניהם: מנהל האבטחה נוטה לחשוף כמה שפחות מידע לעיניהם של כמה שפחות אנשים, ואילו המנמ"ר רוצה לרוץ קדימה עם הטרנספורמציה הדיגיטלית, שמטבעה בנויה על שיתוף ופתיחת אתרים ושרתים לגורמים שונים, חלקם מחוץ לארגון.

אלא שמשבר הקורונה יצר מציאות שונה, כי המעבר לעבודה מרחוק הצריך שיתופי פעולה בין המנמ"רים למנהלי האבטחה, ובעיקר מאחר שעלתה במהלכו החשיבות של הגנת הסייבר ואבטחת המידע. המתקפות על שלל ארגונים, מוסדות ממשלה וחברות פרטיות שעליהן אנחנו מדווחים בתקופה האחרונה, ההתגוננות מפניהן ומניעתן, מחייבות יחסים הדוקים יותר בין שני בעלי התפקידים. הדבר הביא בארגונים רבים לשיפור במערכת היחסים שביניהם ומי יודע, אולי מדובר אפילו בתחילתה של ידידות מופלאה.

למה זה קורה ומה לעשות כדי לשפר את המצב?

יש למצב הזה כמה סיבות, שחלקן מפורטות במאמר שפרסם מגזין האונליין CIO. אחת מהן היא שארגונים ברחבי העולם העבירו יישומים רבים יותר לענן, כדי לאפשר לעובדים לעבוד מרחוק, מה שמחייב את שני בעלי התפקידים להיות מתואמים יותר. ההנהלות דורשות מהם להיות יותר מסונכרנים כדי לבצע את המהלך המורכב טוב יותר, ללא קשר להגדרת תפקידיהם, מי מדווח למי ועוד נושאים פנים ארגוניים שונים.

מחברי המאמר מציעים כמה טיפים שיעזרו למנמ"רים ולמנהלי האבטחה לחיות זה לצד זה. או, כפי שמגדירים זאת המחברים, "נישואי עבודה תקינים מבלי להגיע לגירושין".

הטיפ הראשון הוא שכל אחד מבעלי התפקידים ישאיר את האגו שלו בצד. המנמ"ר צריך להפסיק לצאת מנקודת המוצא שלפיה הוא הבוס של מנהל האבטחה ולכפות עליו את דעתו. זה לא עובד – מנהלי האבטחה הם אנשים דעתניים.

הטיפ השני הוא לא למהר להעלות את הקונפליקטים ביניהם למועצת המנהלים של הארגון. יש ארגונים שבהם שני הג'נטלמנים עושים זאת, כי הם לא מצליחים להגיע להסכמה – ונכשלים בכך. בלא מעט מקרים, מרבית המשתתפים בדיון כלל לא מבינים על מה הם רבים, והם שולחים אותם לדבר האחד עם השני ולמצוא פתרון. השיחות האלה גם גורמות לחברי מועצת המנהלים להבין שלפעמים, שני הצדדים מנהלים ויכוח על טכנולוגיה לשם טכנולוגיה, ולא מדברים על הערך העסקי – צד שבו צריך המנמ"ר להבין ולהביא אותו.

יש גם עניין של טרמינולוגיה: מנהלי אבטחה מרבים להשתמש במילים כמו איומים, פגיעות, סייבר ועוד כל מיני איומים שלא ממש משפיעים על העובדים ולא על ההנהלה, כי בתפיסת העולם שלהם, זה לא מתפקידם – מנהל האבטחה הוא הרמטכ"ל של הארגון, ועליו להגן עליהם ועל המידע שלו. המנמ"ר צריך לזקק את האיומים של מנהל האבטחה ולהעביר מסרים מתאימים לאנשים שלו, כדי לאפשר הן להגן על הארגון והן להוציא את האסטרטגיה שלו לפועל.

שאלה של תקציב

כמו במקרים רבים אחרים, אחת הסיבות לחיכוכים בין ה-CIO ל-CISO היא התקציב, ובעיקר ההנחיות לקיצוצים שההנהלות מנחיתות חדשות לבקרים, בטח בתקופת הקורונה. לא אחת, מנהל הכספים רואה אבטחה, סייבר ומערכות מידע כאותו הדבר. מקסימום כאותה הגברת בשינוי אדרת. עם ההנחתה מתחיל הוויכוח מי צריך לקצץ יותר, כאשר לכל צד יש את הנימוקים הכי טובים למה זה צריך לקרות אצל הצד השני. בדרך כלל, ויכוחים כאלה נגמרים בלשכת המנכ"ל, שצריך לתעדף ולקבל החלטות.

אחרי שאמרנו את כל זה, חייבים לאזן ולומר שברור שזה לא מצב שמאפיין את כל הארגונים את כל המנמ"רים ומנהלי האבטחה.

בשורה התחתונה, בסופו של דבר, הכול אישי ותלוי ביכולת של המנהלים לעבוד ביחד. בארגונים רבים שבהם זה לא הצליח עד לבוא הקורונה, באה המגפה וחייבה את המנמ"ר ומנהל האבטחה לעבוד בצוותא, שלא לומר בהרמוניה, זה לצד זה, כי הסכנות כתוצאה מהמשך העימותים הן גדולות ולעתים קריטיות, ועלולות לגרום לכל אחד מהם להיפרד מהארגון בנסיבות לא נעימות.