השינויים שמחוללים המהפכה הדיגיטלית והקלאוד נייטיב בתפקיד מנהל האבטחה
פוטנציאל איומי הסייבר גדל משמעותית בעידן של טרנספורמציה דיגיטלית ותפקידו של מנהל אבטחת המידע משתנה מגורם שמגן מפני סכנות לגורם מאיץ חדשנות, המאפשר יוזמות חדשות להתממש במהירות ולא בולם אותן
הטרנספורמציה הדיגיטלית הפכה לפופולרית מאוד בארגונים רבים, ועוד יותר בשנת הקורונה, והיא זוכה להאצה בזכות הופעתן של טכנולוגיות ייעודיות לענן (Cloud-Native), כגון קונטיינרים וקוברנטיס. במקביל, איומי הסייבר רק מתגברים וגם הם מתאימים עצמם לטכנולוגיות החדשות. תפקיד מנהל אבטחת המידע, ה-CISO, הופך למשמעותי ואסטרטגי יותר ויותר. במירוץ שבין הרצון של היחידות העסקיות בארגון להשיק שירותים ומוצרים מקוונים חדשניים לבין החשש מאיומי הסייבר, מנהל אבטחת המידע צריך לתמרן ולהיות זה שמאפשר לחדשנות לפרוץ ללא סיכון מיותר.
כדי לאפשר ל-CISO לבצע את תפקידו כהלכה, עליו ועל הארגון כולו לאמץ כמה עקרונות מפתח להתנהלות נבונה בעידן הדיגיטלי החדש.
המהירות הכרחית
כל ארגון שעובר תהליך טרנספורמציה דיגיטלית הופך את התוכנה ואת היישומים לחלק חשוב מאוד בפעילות הארגון ומגדיר מחדש את חוויית הלקוח, קודם כל בערוצים הדיגיטליים. הטרנספורמציה הדיגיטלית מעבירה משקל משמעותי מאוד מפעילות העסק המסורתית לידיים של מפתחים ואנשי IT, שדואגים לכך, שיישומים ואפליקציות יספקו מענה ללקוחות ושאוטומציה תהפוך את העסק ליעיל יותר. כיוון שהיישומים "מתדלקים" את החוויה הדיגיטלית, היכולת להביאם לשוק באופן המהיר ביותר הופכת לדבר קריטי.
הטכנולוגיה שמאחורי הטרנספורמציה הדיגיטלית
טכנולוגיות ייעודיות לענן, Cloud-Native, מועילות מאוד בתהליכי טרנספורמציה דיגיטלית. ברגע שמטמיעים מערך Cloud-Native קל יותר להפוך שירותים לדיגיטליים. ניתן לספק את דרישת הלקוחות מהר יותר, להשיק שירותים ומוצרים דיגיטליים בתוך ימים ולא חודשים, להיכנס לשווקים חדשים, להרחיב את בסיס הלקוחות, וכתוצאה מכך להגדיל הכנסות ורווחים. כאשר שוברים את היישומים למיקרו-שירותים, ארגונים מרוויחים יתרון נוסף מה-Cloud Native – חוסן. מכיוון שניתן לעדכן מיקרו-שירותים באופן עצמאי מיתר היישומים, וקונטיינרים ניתנים לשכפול או לצמצום בתהליך פשוט על פי הצורך, הארגון משיג גמישות, ולכן יכול להיערך מהר יותר לכל שינויי השוק. אך טרנספורמציה דיגיטלית מחייבת גם שינוי חשיבה במערך האבטחה, ומעצימה את חשיבותו של מנהל אבטחה המידע כמאיץ עסקי ולא רק כשוטר. בעולם החדש, עם שינויים מהירים כאלו, קריטי לשתף את מנהל אבטחת המידע בתחילת הפרויקט, כך שהאבטחה תהיה חלק ממארג הטרנספורמציה הדיגיטלית כבר בהתחלה.
התפקיד המשתנה של מנהל אבטחת המידע
תפקיד מנהל אבטחת המידע השתנה באופן משמעותי בעשור האחרון. לפני 10-15 שנים, אבטחת המידע היתה ישות נפרדת ולא קשורה לצוותי הפיתוח, ואף נתפסה כמכשול ליוזמות חדשות, כאשר אישורי האבטחה נמשכו לעיתים קרובות כמה חודשים. באופן מסורתי תפקיד מנהל אבטחת המידע היה לשמור על הארגון מפני איומי הסייבר ולהפחית את פוטנציאל הסכנה. עם תהליכי הטרנספורמציה הדיגיטלית, המיקוד של מנהל אבטחת המידע משתנה, והתפקיד הופך ליותר אסטרטגי ומשפיע. כיום התפקוד של מנהל אבטחת המידע לא נמדד רק בשאלה האם הארגון סובל מהפסדים כתוצאה מאיבוד מידע, אלא גם בשאלה האם אבטחת המידע מאפשרת ליוזמות חדשות להתממש ולשירותים חדשים לצאת לשוק מהר. בעולם ה-Cloud Native, מפתחים דוחפים קודים חדשים באופן מתמיד לפרודקשן. ארגונים מעדכנים יישומים באמצעות קונטיינרים בתוך דקות ולא בימים או שבועות. בתהליך פיתוח ב-Cloud Native, פרצות ניתנות לגילוי ותיקון מהיר מאוד.
לאמץ שינוי ולהישאר לפני המתחרים
אז כיצד מנהל אבטחת המידע יכול לתמוך בחדשנות דיגיטלית במקום לעכב אותה? אחת הדרכים היא לעסוק באבטחה בשלב מוקדם של תהליך פיתוח התוכנה, היכן ש- DevSecOps מאפשר פיתוח מהיר על ידי הפיכת אבטחת המידע לחלק מן הפיתוח. מנהל אבטחת המידע צריך לשתף פעולה, ללמד ולסמוך על אנשי הפיתוח וה-DevOps. יתרון חשוב נוסף הוא שאבטחה צריכה תמיד להתמקד בתיקון ופתרון בעיות נקודתיות במהירות, מה שיאפשר לתהליך פיתוח התוכנה להתקדם, ולהפחית סיכון קונטקסטואלי במקום לעצור את תהליך הפיתוח לגמרי.
עם המחסור במומחי אבטחת מידע והמעבר של ארגונים רבים ל-Cloud Native, קיים צורך לחולל שינוי בתחום אבטחת המידע על ידי הפיכתו למרכיב אינטגרלי, אוטומטי ושובר "איים" (Silos) ישנים, כך שהוא הופך לחלק ממערך ה-DevOps. מנהלי אבטחת מידע מצליחים יהיו אלו שישכילו "לחבק" את השינוי, לבטוח בעמיתים שלהם לפיתוח ויספקו תהליכי בדיקת אבטחה כחלק מתהליכי ה-DevOps האוטומטיים. ארגונים שיעשו זאת יוכלו לנוע ללא חשש בעידן הדיגיטלי.
* מנהל אבטחת המידע מוזכר במאמר זה בלשון זכר, אך הוא תקף באותה מידע למנהלת אבטחת מידע.
הכותב הוא סמנכ"ל אסטרטגיה, אקווה סקיוריטי.
מאמר מעולה, עברית קולחת בתוך עולם מושגים מאד לועזי.