כללים לצעדים ראשונים למנהל האבטחה המתחיל

על אף שעולם האבטחה עובר הרבה מאוד שינויים בתקופה האחרונה, עדיין יש מספר מהלכים שכל מנהל אבטחה חייב לעשות במסגרת עבודתו – כיום כבעבר: להעריך ולמצב נכון את מערך האבטחה של הארגון, לפתח קבוצת אבטחה טובה ולבנות יחסי אמון עם מנהלי קווי העסקים השונים, ובעיקר עם ההנהלה הראשית.

אלא שיש עוד דברים שעל מנהלי האבטחה המתחילים לעשות, ואין טוב לשמוע מהם ממומחים ו-ותיקים בתחום. מנהלי אבטחה בכירים מארגונים בארצות הברית התראיינו באחרונה למגזין CSO וסיפקו כמה תובנות שבהחלט יכולות לעניין את הקולגות הצעירים. יתרה מזאת, אם את/ה מנהל/ת אבטחה מתחיל/ה, כדאי שתקרא/י את הפסקאות הבאות ותפנים/מי.

אחת מאותן תובנות היא שבניגוד לתדמית הקשוחה שהצטיירה סביב מנהל האבטחה, עליו להיות קצת יותר גמיש – לא על חשבון האבטחה עצמה, כמובן, אבל בכל מה שקשור למדיניות כוללת. זאת, מאחר שמנהלי האבטחה חשופים כיום יותר מתמיד לעבודה מול רגולציה, ועליהם לדעת איך להתנהל מולה. בין היתר, ללמוד את הקודים והשפה של הרגולטורים.

כמו המנמ"רים, גם ה-CSOים וה-CISOים צריכים ללמוד את שפת הביזנס, כדי לדעת לתקשר עם עמיתיהם לקומת ההנהלה. התחזית של גרטנר היא שעד 2020, כלל הארגונים הגדולים יצטרכו לדווח באופן שוטף לבעלי המניות שלהם עדכונים שוטפים בנושאי סייבר, אבטחה וטכנולוגיה בכלל. השינוי בתחום זה הוא עצום, משום שב-2018, רק 40% מהארגונים עשו זאת.

עצה מעשית חשובה שמשיאים ה-וטרנים למנהל האבטחה המתחיל היא לשריין ביומנו תקופה של עד חודשיים כדי להבין את עסקי הארגון ולמפות את צרכי האבטחה שלו. עליו גם לשתף פעולה כמה שיותר עם קולגות בנושאי אבטחה, ללמד אותם ובמקביל ללמוד מהם. הבנת השפה העסקית ובניית מערכת יחסים עם מנהלי העסקים בארגון חשובה לא רק לעצם הלימוד של מנהלי האבטחה את הביזנס, אלא גם לפעילות הליבה של הארגון. יותר ויותר פעולות ארגוניות קשורות ומתנגשות עם חוקים ותקנות בתחום הפרטיות, ודורשות ניהול סיכונים. תקנות הרגולציה האירופית GDPR טלטלו ארגונים רבים. המשימה לייצב את הספינה מול תקנות אלה ואחרות מוטלת במידה רבה על מנהל האבטחה, ועליו להיערך לכך.

להבין את השיח הטכנולוגי בארגון

מומלץ גם לאמץ מדיניות של מתן מענה מהיר לכל פנייה או אתגר, וזאת כדי לחזק את האמינות של הלקוחות הפנימיים בארגון במנהלי האבטחה. המתחילים שבהם נוהגים לבזבז זמן רב כדי להכיר את חבריהם לארגון ולנסות למצוא חן בעיניהם. אבל בזמן הזה הם לא מטפלים באתגרים וצרכים של אותם חברים לעבודה. התוצאה היא שהם חוטפים ביקורת וטענות על אי אספקת מענה מהיר.

על מנהלי האבטחה להבין, מיד עם כניסתם לעבודה בארגון, שהשיח הטכנולוגי הפנים ארגוני בנוי משפה מאוד מסוימת, והמנכ"ל ואפילו המנמ"ר לא ממש מעוניינים לשמוע את כל האתגרים הטכניים שמנהל האבטחה מתמודד אתם. אחת העצות שנותן בהקשר זה אחד ממנהלי האבטחה הוותיקים שרואיינו היא: "כאשר המנכ"ל ישאל אותך למה מטלה מסוימת לא בוצעה, אל תתחיל לספר לו את הצרות שלך ואת עקרונות האסטרטגיה שלך. נסה למצוא את הפתרון המהיר ביותר כדי שהוא יבין שהמשימה בוצעה. אל תעסיק אותו בצרות שלך, בשביל זה הוא משלם לך שכר כל חודש".

כמו כן, כחלק מתפקידו, מנהל האבטחה הוא היועץ הראשי של הארגון בנושאים אלה וההנהלה לא יכולה לתפקד בלעדיו, כפי שהיא לא יכולה לתפקד ללא מנהל משאבי אנוש. כדי שייעץ על הצד הטוב ביותר, ממליצים הוותיקים לעמיתיהם המתחילים להיות חברים בפורומים מקצועיים או בקבוצות ברשת, כדי שיפגשו את הקולגות שלהם, יתמנגלו אתם וילמדו מהם. לא צריך לחשוש שזה יפגע בתחרות העסקית: יש אתגרי אבטחה רבים שהינם זהים בארגונים רבים, והכלים דומים. מה גם שהמטרה ליצור אבטחה טובה יותר משותפת לכל עסק ואין בכך תחרות אמיתית.

לבסוף, מנהל האבטחה, כמו כל בעל תפקיד אחר בארגון, צריך לזהות במהירות ולהבין את מעמדו בארגון, כמו גם את הפוליטיקה הארגונית. מומלץ לו ללמוד מהר מאוד עם מי הוא צריך לעבוד, למי לדווח ומי צריך לדווח לו, ולבנות את מערכת היחסים הזו כבר מראשית הדרך. חולשה או יהירות יתר עלולים לפגוע בעבודה שלו ובעקיפין בכל הארגון.

מתעניינים בנושאי אבטחת מידע וסייבר? הירשמו לכנס InfoSec 2019 של אנשים ומחשבים.