"מיקומו של מנהל הגנת הסייבר בארגון חייב להשתנות"

כך אמרה סיון דרור, ראשת תחום סייבר ואבטחת מידע, בפירמת ראיית החשבון וייעוץ עסקי BDO-זיו האפט, שהשתתפה במפגש פורום סייבר ואבטחת מידע CSC של אנשים ומחשבים

סיון דרור, ראשת תחום סייבר ואבטחת מידע, בפירמת ראיית החשבון והייעוץ העסקי BDO-זיו האפט. צילום: יח"צ

"מיקומו של מנהל הגנת הסייבר בארגון חייב להשתנות. הוא צריך להיות פונקציה בכירה בארגון. אנו, מנהלי האבטחה, הבעלים של אחד הסיכונים המהותיים בארגון, וככאלה – עלינו להיות חלק מההנהלה המנהלת את הסיכונים. מנהל הגנת הסייבר הוא האיש האחראי לבצע את השינוי", כך אמרה סיון דרור, ראשת תחום סייבר ואבטחת מידע, בפירמת ראיית החשבון והייעוץ העסקי BDO-זיו האפט.

דרור דיברה במפגש פורום סייבר ואבטחת מידע CSC של אנשים ומחשבים. המפגש נערך אתמול (ב') ב-Yes Planet בראשון לציון, והנחה אותו גיא מזרחי, סגן נשיא לסייבר ב-Rayzone Group.

הפירמה, אמרה דרור, פועלת ב-162 מדינות בעולם, ובישראל היא מונה 1,500 עובדים. ליחידת הסייבר המנהלת את הייעוץ לתחום והמונה כ-70 עובדים, הצטרפה הרכישה של הפירמה את SECOZ ב-2016.

"בעולם הישן, לפני יותר מעשרים שנים", אמרה דרור, "מנהל אבטחת המידע היה קב"ט, האחראי על אבטחה פיסית בארגונים. הוא לא ידע מה זה אבטחה לוגית, עיקר תפקידו היה אבטחה פיסית. בתחילת האלף, מנהלי אבטחת המידע עסקו ב'ברזלים' ובהיבטים טכניים. במחצית העשור הקודם, בעקבות כניסת סרבנס-אוקסלי (SOX), חוק פדרלי בארה"ב שנחקק ב-2002, השתנה תפקיד מנהל האבטחה, הוא נכנס לעולם ה-GRC, עם בקרות, והתפקיד היה למונחה תקנים ורגולציות". לדבריה, "כיום אנו חיים בעולם שהוא כל כולו מחובר וממוחשב. אנו נדרשים להבין גם באבטחה פיסית וגם לוגית, להכיר את הארגון, ההנהלה, היחידות העסקיות, לעשות ניהול ובקרה, ניהול סיכונים ו-IT".

"לא תורמים לרווחיות"

"פעמים רבות", אמרה, "ה-CISO נמצא אצל ה-CTO. אנו נתפשים בהנהלות כאנשי תפעול, ו-או כטכנולוגיים, אבל בשל כך אנו מנותקים מהביזנס. מנהל האבטחה לא נתפש כגוף עסקי ומקצועי. לכן, מנהל אבטחת המידע חווה כמה קשיים: בהעברת החלטות הנהלה, בקבלת תקציבים, בביצוע פרויקטים, ובהטמעת הנחיות אבטחת המידע בגופים העסקיים. זה הקושי: אנו גוף מגן, לא תורמים לרווחיות, נתפשים כבזבזנים סוחטי תקציבים".

לדברי דרור, "סיכוני סייבר אינם חדשים, הם מהותיים לארגון. הם הפכו לפופולריים בעקבות הפרסום התקשורתי שלהם, ובראשם – הפריצה של צפון קוריאה לאולפני סוני (Sony Pictures Entertainment) ב-2014. קיימים שלושה סיכונים מהותיים לארגון: פיננסי, משפטי ותדמיתי. את הסיכון הפיננסי מנהל סמנכ"ל הכספים, את הסיכון המשפטי, היועץ המשפטי ואת התדמיתי – יחסי ציבור או דובר. בשלוש השנים האחרונות הנהלות ארגונים הבינו כי קיימים סיכוני סייבר המאיימים על המשך קיום הארגון".

"אלא", אמרה דרור, "שמנהל הגנת הסייבר הוא המנהל את סיכוני הסייבר. הוא לרוב מדווח למנמ"ר, שמדווח לסמנכ"ל התפעול, המדווח למנכ"ל. יש לקצר את השרשרת".

"המסקנה", סיכמה דרור, "היא שמיקומו של מנהל הסייבר חייב להשתנות. התחלנו לדבר עם הגופים העסקיים בארגון. אנו שואלים מה נכסיו האסטרטגיים של הארגון. לאט לאט, אוזני ההנהלה יותר קשובות".

פער גדול בין ארגוני אנטרפרייז וארגוני SMB

מזרחי אמר בפתח המפגש כי "יש הבנה מאד משמעותית של הנהלות, לגבי מה נדרש מהן לעשות לטובת איומי הסייבר. מנהל אבטחת המידע יודע להציג את צרכיו, ולעתים הוא אף מתוקצב לכך".

גיא מזרחי, סגן נשיא לסייבר ב-Rayzone Group.

גיא מזרחי, סגן נשיא לסייבר ב-Rayzone Group.

הוא ציין כי "קיים פער גדול ברמת האבטחה וברמת מודעות ההנהלות – בין ארגוני אנטרפרייז וארגוני SMB. יש פערים שלעולם לא ייסגרו. האיומים פשוטים – אך להתגבר עליהם זה כמעט בלתי אפשרי".

"ההנהלה בארגון", אמר מזרחי, "לא מבינה טכנולוגיה ואין זה מצופה ממנה. מנהל אבטחת המידע משמש כאזור החיץ בין תפקוד הארגון ובין הרעים. ההנהלה נדרשת להבין שיש בעיה, להגדיר את הסיכון, לתקצב אותו, ולהביא לתפקיד אדם בעל היכולות לעשות זאת".

 

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים