איך להפוך את מנהל האבטחה ממעכב למאפשר עסקית?
על השינוי המתבקש הסביר חן רון - מנהל תשתיות גלובלי ומנהל אבטחת מידע ב-סודה סטרים - בפאנל מנהלי אבטחת מידע בשם "משברי סייבר - כרוניקה של מקריות? מהתנהלות לניהול אירוע סייבר", שנערך במפגש בכירים של נס
"כיום, ארגונים מבינים כי מנהל אבטחת המידע פועל לאפשר תהליכים תפעוליים ועסקיים – כדי שאלה ייעשו באופן מאובטח. הארגון מבין, אט אט, שמנהל האבטחה איננו מעכב – אלא עושה את הבדיקות הנדרשות, לטובת תכנון נכון, כדי שהכל יבוצע בצורה מאובטחת", כך אמר חן רון, מנהל תשתיות גלובלי ומנהל אבטחת מידע בסודה סטרים.
רון השתתף בפאנל מנהלי אבטחת מידע, שהתקיים במסגרת מפגש בכירים אותו ערכה נס (Ness) בשבוע שעבר בתל אביב. המפגש התקיים תחת הכותרת "משברי סייבר – כרוניקה של מקריות? מהתנהלות לניהול אירוע סייבר", והנחה את הפאנל אלעזר בירו, מנהל מערך סייבר קונטרול, נס.
לדבריו, "על מנהל האבטחה לדווח ישירות להנהלה. זאת, כי שיקוליו שונים מאלה של המנמ"ר. אם הוא ידווח למנמ"ר, עלולה להיווצר בעיה. באם הארגון לא יכול להרשות לעצמו מינוי של תפקיד מנהל אבטחה ייעודי, מודל CISO as A Service עשוי להתאים לחלק מהארגונים".
הדרכות, הדרכות ועוד הדרכות
לדבריו, "המענה לאיום הפנימי הוא הדרכות, הדרכות ועוד הדרכות. כשזה קורה, עובדים באים אלינו ואומרים 'ניסיתם לעבוד עליי – ולא הצלחתם'. העבודה במרחב הפנים-ארגוני בהיבט אבטחה מסבה לעובדים סוג של גאווה ומביאה להעלאת המודעות לתחום".
על פי רון, "עובדי ארגונים בכלל ואנשי IT בפרט, מקבלים יותר מדי הרשאות-יתר. לכן, הם עלולים לעשות נזק, במודע או בשוגג. בשל כך, נדרש להדק את הבקרה עליהם ולהנפיק להם הרשאות באופן מדויק".
בהתייחסו למחסור בשוק של מקצועני אבטחה, אמר רון כי "אין כל דרך לנצח חברות הזנק וענקיות טכנולוגיה גלובליות בשדה השכר. הדרך היחידה להיאבק בתחום היא בהחדרת עניין, השפעה ומשמעות לתפקיד. ככל שניתן, יש לתת לעובד את היכולת להטמיע את מוצר האבטחה בעצמו, וללוות אותו – כדי שהוא ייקח עליו 'בעלות' לכאורה".
"בשוק יש מאות ואלפי מוצרי אבטחת מידע", סיכם רון, "ולכן, נדרש לבנות איזון בין צרכי האבטחה ובין ריבוי הפתרונות. יש לוודא שהצוות המקצועי יודע להפעיל את מוצרי האבטחה, כדי שמאחורי המוצר יהיו אנשים, אשר יידעו להגיב נכון ולהתפתח עם המוצר".
זהו רעיון מצויין לספק CISO as a Service!! תואם את הגישה שתפקידו של ה-IT הוא לספק *שירותים* שעוזרים לארגון לעשות עסקים. לא רק את ה-CISO יש לספק כשירות, אלא לבנות את כל ה-IT כגוף נותן שירות. (זהו בדיוק המסר ש-ITIL מביא לעולם מזה 30 שנה, וגם מציע *שיטה* לממש את חזון השירות)