מדוע מנכ"לים צריכים לשנות את החשיבה שלהם על אבטחת מידע?
למה מנכ"לים מסתמכים לעתים על יועצים חיצוניים יותר מאשר על האנשים שלהם? ומדוע כדאי להם לבדוק את תהליכי קבלת ההחלטות שלהם?
הפריצה לטוויטר, שנחשפה באחרונה, עוררה הדים רבים בכל העולם. בין היתר, היא הטרידה לא מעט מנכ"לים, ששאלו את עצמם, בפעם המי יודע כמה, כיצד הם יכולים להיות בטוחים שהארגון שלהם לא יהיה חשוף לסוג כזה של פריצה כל כך משמעותית. מאמר שכותב שורות אלה קרא באחרונה באחד האתרים העוסקים בסייבר מעלה כמה תובנות שמתאימות גם למנהלים ישראליים. כותבו טוען כי לפני שהמנכ"לים ישאלו את מי שצריך האם הארגונים שלהם מוכנים ומוגנים, מוטב שיבדקו את עצמם ואת תהליכי קבלת ההחלטות שלהם בכל מה שקשור למוכנות של הארגון.
המנכ"לים מודאגים כעת מפני שלאורך תקופה ארוכה הם לא מקשיבים לאנשים שלהם, ולפעמים נאחזים ביועצים חיצוניים, שמפתים אותם בפרסומים על דירוגים שונים בטבלאות שמדברות על מוכנות ארגונים לסייבר. כאשר הנושאים מגיעים לחדרי הדיונים, אנשי המקצוע בארגון תמיד צריכים להתגונן או לתת תשובות על כל מיני סיפורים שיועצים למיניהם לחשו על אוזניהם של המנכ"לים, ולמעשה פוגעים באמינות שלהם. מנהלי אבטחה מתארים את הדיונים האלו כקרבות פוליטיים ביחסי כוחות לא שווים.
הטענה השכיחה היא שמנכ"לים סבורים שאבטחה של מערכות הארגון שלהם היא מטרה בפני עצמה. זוהי כמובן טעות, כי בסופו של דבר, כל מנכ"ל מקבל החלטות על פי ניהול סיכונים, ההשקעה, החזרה והתמורה. אבטחת הסייבר נתפסת אצלם כעוד רכיב שחשוב לבניית העסק, ולא פעם הם רואים בזה השקעה. הם מסתכלים על הסביבה העסקית שלהם ורוצים להיות ממוצעים. זה שהמנהלים של המתחרים שלהם לוקים באותו חוסר מודעות כמו שלהם לא משפיע עליהם
מרבית המנכ"לים לא מתוגמלים על כך שהם הצטיינו בהגנת סייבר. הם יכולים אמנם לאבד את משרתם בגלל פריצת סייבר משמעותית, אבל זה לא נמצא מספיק על סדר היום שלהם ולא של מועצות המנהלים, הבוסים שלהם. הדבר נכון לחברות במגזרים עסקיים שונים ולא בחברות טק, שם נושא הסייבר תופס חלק אינהרנטי וחשוב.
הגנה על ארגון היא תהליך; מנכ"לים לא אוהבים תהליכים
במקרים שבהם נשקפת סכנה מוחשית לארגון, המנכ"לים מתפתים להשקיע במוצר, ולא משנה כמה זה יעלה. הם חושבים שהם ישקיעו במוצר שמביא "פתרון קסם" להגנת סייבר, כאן ועכשיו, והכול יהיה בסדר. אלא שמומחי אבטחה יודעים להסביר שהגנה על ארגון היא תהליך ולא מוצר. אבל, מרבית המנכ"לים לא אוהבים לנהל תהליך. הם יודעים שבדרך כלל, כשהם יכניסו לסעיף ההוצאות בדיווח למועצת המנהלים שהם השקיעו במוצר אבטחה, לרוב הם יקבלו מחיאות כפיים, כי גם שם יושבים אנשים עם מעט מאוד ידע בנושא.
התופעות האלה אינן חדשות, הן חלק ממגמה שקיימת כבר שנים, שבה מנהלים מצדיקים פעולות והחלטות שלהם על סמך מחקרים או עצות מיועצים חיצוניים, נציגי פירמות של ראיית חשבון וחברות מחקר. מעולם לא פוטר מנכ"ל שהסביר ירידה ברווחיות או תקלה בכך שאמר: "הסתמכתי על חברת מחקר". הוא כן יכול לאבד את משרתו אם יגיד שמנהלי האבטחה ואנשי המקצוע בארגונו אמרו לו לעשות כך. כלומר, הסימטריה של החיים בכלל ובאבטחה בפרט היא קבלת החלטות על סמך רייטינג ויוקרה, וגם למען הכסת"ח, ולא רק על פי שיקולים מקצועיים.
כמובן שאסור לעשות הכללות ואפשר למצוא מנהלים שפועלים אחרת באותה מידה שאפשר למצוא מנהלים שתואמים למה שמוצג כאן. השורה התחתונה היא עצה טובה למנהלים: שנו את דרך החשיבה שלכם, לא כל מי שמציג עצמו כיועץ או אנליסט הוא בהכרח טוב יותר מאנשי המקצוע שלכם בארגון שאתם בחרתם, ואם אתם חושבים שזה המצב, תחליפו אותם ותמנו את האנשים שאתם בטוחים שימנעו מכם לקום בבוקר ולהזיע אחרי שקראתם על פריצות כמו זו שהייתה בטוויטר.
תגובות
(0)