מאמינים באבטחה, אבל לא משקיעים בה

אחת מהנחות היסוד שליוו את המיתון מאז תחילתו היא, שלמרות הקיצוצים הכואבים ולמרות ההאטה בפרויקטים – תחום אבטחת המידע לא ייפגע. המנהלים הסכימו כולם שכדי לשמר את הקיים בארגון, לא פוגעים באבטחת המידע – על כל הרבדים שלה – וכך היה. או לפחות כך חשבנו.

תוצאות סקר אבטחת המידע השנתי שעורכת קבוצת אנשים ומחשבים, שיפורסמו במלואן מחר (ה') בכנס Infosec 09, מראות תמונה קצת שונה: 40.19% ממנהלי האבטחה בארץ השיבו כי תקציבם השנה צומצם, בהיבט המשאבים הכספיים וכוח האדם המוקצה לנושא. מספר משיבים זהה של מנהלי אבטחת מידע אמר כי תקציבו וכמות כוח האדם שבמחלקתו לא השתנה.

עובדה זו מלמדת על מצב מדאיג בתחום האבטחה בלא מעט ארגונים. מצד אחד, ההנהלות לא פגעו בתקציב השוטף – עובדה שאינה מפתיעה לכשעצמה. הרי אף ארגון לא יעלה על דעתו להפסיק את השימוש באנטי וירוס, למשל, בגלל שיש מיתון. תקציבים אחרים קשורים להסכמי שירות ותחזוקה שוטפת, שנעשים בדרך כלל על ידי גופים חיצוניים, ובסופו של דבר חוסכים כסף לארגונים.

מצד שני, למרות שכל הארגונים משדרים שאבטחה היא אחד הדברים שעומדים בראש סדר העדיפויות שלהם – הם לא מיהרו לשחרר תקציבים לביצוע פרויקטי אבטחה לצורך פיתוח והרחבה. הנתון מזה מוביל שוב לעיסוק בנושא ניהול הסיכונים. כאשר מועצת מנהלים אומרת למנהל אבטחת המידע שלה: "אדוני היקר, אנחנו מודעים היטב לאיומים שרובצים עלינו, אנחנו מאוד מעריכים את העובדה שאתה מנהל אחראי ומתריע בפנינו, אבל החלטנו לקחת סיכון ולא להשקיע השנה בכלים ופרויקטים חדשים, למרות שאנו מבינים את תשובתם". אם תנסו ליצוק את התובנה הזו לתבניות של ארגונים שונים שאתם מכירים, הרי שאתם עלולים להגיע למסקנות די מדאיגות.

בניגוד למקובל, אין אנו מציעים להטיל אל האשמה רק על המנהלים. כותב שורות אלו לא משוכנע כלל שאותם מקבלי החלטות שבחרו לא להשקיע באבטחה, מבינים היטב את המשמעות של החלטתם. לא בטוח שבכל ארגון ישבו מנהלי האבטחה עם המנהלים והסבירו להם את הסיכון הגבוה שבאי-ההשקעה. לא צריך להיות מומחה גדול לפיננסים או לאבטחה, כדי להבין שבמקרים רבים הערך העסקי שנובע מהשקעה בכלי אבטחה, עולה בהרבה על הערך הכספי של ההשקעה.

נקודה זו מובילה אותנו לעיסוק בשאלה אחרת שעלתה מהסקר, שנערך גם השנה בשיתוף חברת SECOZ: מהו מעמדו ומיצובו של מנהל האבטחה בארגון? כ-60% מהנשאלים דירגו את עצמם ב"מקום טוב באמצע". 28% ממנהלי האבטחה מיצבו עצמם בראש הסולם, ומעט יותר מ-6% אמרו שמעמדו של מנהל האבטחה ירד.

הסוגיה הזו נדונה כבר לא מעט בפורומים שונים של CISO. ביותר מדי ארגונים, תפקידו של מנהל האבטחה לא ממש ממוצב, או מוגדר כיאות. בוודאי שלא ביחס למיצוב המנמ"ר. בארגונים גדולים מנהל האבטחה אינו איש IT כלל, ולעיתים הוא ממונה גם על האבטחה הפיסית. בארגונים אחרים הוא נחשב כסגן המנמ"ר.

מיצוב תפקיד מנהל האבטחה אינו חשוב רק ברמה האישית של מי שממלא אותו. הוא משקף במידה רבה את התייחסותה של ההנהלה לנושא. אמנם מהסקר עולה כי בכמחצית מהארגונים, 49.5%, עלתה החשיבות של האבטחה, אולם יותר ויותר מתקבל הרושם שבמקרים רבים זהו מס שפתיים. מנהלים ברמות שונות בארגונים למדו לשנן ולהצהיר כי נושא האבטחה הוא קריטי. אלא שהלכה למעשה, כשמגיע השלב שבו צריך להוציא כסף מהכיס, האבטחה מוזזת הצידה. המתוחכמים שבהם יקראו לכך ניהול סיכונים. אנו טוענים כי בארגונים לא מעטים במשק הישראלי, הנהלות אינן מבצעות תהליך של ניהול סיכונים. הן פשוט מסתכנות ומסכנות את הליבה העסקית שלהם. זו, שבמקרים רבים נוגעת לכל אחד ואחד מאיתנו. אז בפעם הבאה כשתשמעו מנכ"ל או בכיר שמדבר על אבטחה, תשאלו אותו: "כמה כסף הוצאת השנה על פיתוח והרחבת מערך ההגנה שלך בארגון". לא בטוח כלל שתקבלו תשובות אמיתיות.