אתגרי האבטחה שעומדים בפני המנמ"רים בעידן הסייבר
עידן הדיגיטל הביא לכך שמנמ"רים מתעסקים גם בתחומים שבעבר היו באחריותו הבלעדית של מנהל האבטחה ● אלא שיש מנמ"רים שלא מבינים את השינוי, וכדאי להם להתעורר - ומהר!
מאז שתחום הסייבר פרץ לעולמנו חל שינוי דרמטי במערכת היחסים שבין המנמ"ר בארגון לבין מנהל אבטחת המידע. עד אז, היו נקודות השקה בין שני התפקידים, אבל זה לא עסק בתחומו של האחר באופן ישיר. בארגונים רבים, נושא האבטחה בכלל היה תחת הכובע של קצין הביטחון של הארגון, שעסק בעיקר באבטחה הפיזית של הארגון. ההתפתחויות הטכנולוגיות שפתחו את מערכות המידע של הארגונים לגורמים חיצוניים העבירו חלק מהאחריות על הגנת המידע למשרדו של המנמ"ר.
אחד התחומים שבהם המנמ"ר עוסק בהקשר זה הוא ניהול סיכונים. הכוונה היא לקביעת ויישום אסטרטגיה שתאזן בין הצורך בהפחתת סיכונים אל מול הצורך בצמיחה ובחדשנות. הקו הבלתי משורטט בין נהלי אבטחה קשוחים מתמיד לבין הצורך לעודד פתיחות ולאפשר למשתמשים לעבוד בצורה חופשית הוא אחת הדילמות הבסיסיות שקיימות בעבודת ה-IT בארגון. זוהי שאלה פתוחה, שאין עליה פתרון בית ספר, והיא תלויה באישיות של המנמ"ר ובסביבת העבודה שלו.
המנמ"רים שיודעים שחוו פריצה – ואלה שלא
נושאים אלה ואחרים עלו במפגש של מספר מנהלי טכנולוגיות מארצות הברית שיזם המגזין CIO. כל אחד מהם נדרש לתת את פילוסופיית האבטחה שלו. מעיון בדברים שפורסמו עולות התובנות הבאות:
ראשית, החשיפה לאבטחה היא נושא קריטי בעבודת המנמ"ר. מנמ"ר ותיק אמר פעם שמנמ"ר שלא מתעורר לפחות פעם אחת בלילה עם זיעה קרה משום שחשב שהודיעו לו על תקלה במערכות המחשוב – כנראה שלא ידע להתמודד עם תופעה כזו אם וכאשר יקרה אסון.
ככלל, אומרים מומחים, המנמ"רים נחלקים לשתי קבוצות: אלה שחוו פריצות ויודעים על כך, ואלה שזה קרה להם אבל הם לא יודעים על כך. הקורא ישפוט מצבו של מי עגום יותר. בדיקה מעמיקה מגלה שאלה ששייכים לקבוצה השנייה הם לא בהכרח חסרי אחריות או בטלנים, אלא הם ניזונים באופן כמעט מוחלט ממנהלי אבטחת המידע, שאומרים להם שהכל בסדר ושהכל מוגן.
כאן מגיע שלב שבו המנמ"ר חייב לקחת מנהיגות. מנמ"ר אחראי צריך לשנן את המסר הבא: "אני סומך על חבריי באבטחת המידע ובטוח שהם עושים את מה שצריך, אבל אני יודע היטב שנכסי המידע שלי יכולים להיות חשופים להתקפות. לכן, כמנמ"ר, אני חייב להבטיח לעצמי כלי שליטה ובקרה אחד לפחות, שבאמצעותו אוכל לדעת ממקור ראשון עד כמה אני מוגן ומה אני יכול לעשות כדי להגן טוב יותר".
תובנה אחרת עוסקת ברמת הסיכון שמנמ"רים מייחסים למערכות המידע ברמות השונות. הגישה המקובלת כיום גורסת כי דין מייל פרטי של לקוח קצה כדין מערכת מידע מורכבת של מרפאה עם כמה עשרות רופאים. המידע של שני אלה חשוף באותה המידה לעיני הפורצים ולכן, יש להגן על שניהם באותה רמת סיכון.
ההאקרים המקצועיים יודעים שבמקביל לעובדה שהם משתכללים, גם המשתמשים לומדים לזהות ניסיונות פישינג ופגיעויות. על המנמ"ר לזהות את האנשים האלה בארגון, לחבק אותם ולהפכם למובילי דעה. במקביל, הוא צריך להגביר את ההסברה, ההטמעה – ואת האכיפה.
מערכת יחסים לא אידילית
משתתפי הפאנל התייחסו גם למערכת היחסים בין המנמ"ר למנהל האבטחה, שמעולם לא הייתה אידילית, במילים עדינות. על אחת כמה וכמה במציאות החדשה, שבה סדרי העדיפויות של המנמ"ר נותרו שונים מאלה של מנהל האבטחה, אבל הממשק ביניהם גובר. המנמ"ר מציג בפני מנהלי האבטחה את נכסי המידע הקריטיים בארגון כפי שהוא רואה אותם, בעיקר אלה שיש להם ערך מוסף מרכזי לליבת העסקים של הארגון, ולדרוש מהם לבצע תהליכי אודיטינג והגנה טובה יותר מפני סייבר. מנהל האבטחה לא תמיד רואה את זה בעין יפה.
יש עוד תובנות רבות, שעוסקות בין היתר בהטמעת חשיבות ההבנה של סיכונים מצד עובדי הארגון, והתמודדות עם רגולציה, שהיא מרכיב מאוד מרכזי בשיקולי הפעילות של מנהל אבטחת המידע אבל לא תמיד עולים בקנה אחד עם האסטרטגיה של המנמ"ר, לרבות בנושא הטרנספורמציה הדיגיטלית. הדרך היחידה היא למצוא את שביל הזהב, שיאפשר את ביצועם של כולם ביחד.
השורה התחתונה: העידן הדיגיטלי, שהביא עמו את עידן הסייבר, הפך את המנמ"ר למי שאחראי באופן טבעי גם על הגנת המידע בארגון – דבר שלא היה בעבר. זה בא לידי ביטוי במדיניות, ראייה רוחבית ובעיקר מנהיגות. מנמ"רים שעדיין לא הפנימו את השינוי, מוטב שייפגשו עם עמיתיהם בארגונים אחרים ויכינו את עצמם ליום סגריר, שאין מי שמייחל להגיע אליו.
תגובות
(0)