אחד התפקידים החשובים כיום בעסקים הוא מנהל אבטחת מידע. Chief Information Security Officer, או בקיצור ciso, עובדים לצד מנהלי התחומים האחרים בחרה, לרבות צוות מערך סייבר ואנשי IT, על מנת לנטר ולתחזק ביעילות את האבטחה של היישומים, של מסדי הנתונים, המחשבים ואתרי האינטרנט של הארגון. מנהלי אבטחת מידע גם מופקדים על הקמת מדיניות אבטחה כלל ארגונית, פיתוח הגנות לפריצות נתונים, פיקוח על תקשורת פנים וחוץ ארגונית ואספקטים נוספים של אבטחת מידע.
מהם תחומי האחריות של מנהלי אבטחת מידע?
האחריות העיקרית במסגרת התפקיד היא להבין את האתגרים במצב הנוכחי והעתידי של פעילות העסק, ולדעת להתמודד איתם. בנוסף, על CISO להכין את העובדים בארגון ולספק להם את הכלים, הכישורים והמשאבים להתגונן מפני סיכוני אבטחת מידע.
מלבד הבנה טכנית וידע נרחב בתחום הסייבר, והסייבר העסקי בפרט, מנהלי אבטחת מידע זקוקים לחוש עסקי מפותח. מכיוון שהם עובדים עם מנהלים אחרים בחברה, עליהם להבין בנושאים שונים כגון פיננסים, משאבי אנוש וכו', כדי שיוכלו לקבל החלטות עסקיות אפקטיביות.
תחומי האחריות עשויים להשתנות בהתאם לגודל הארגון, המבנה, התעשייה בה הוא פועל ומשתנים נוספים. בין השאר, הם עשויים לכלול את המרכיבים הבאים:
- פעולות אבטחה – הערכת איומים, תכנון מדיניות אבטחת סייבר ובקרות להפחתת סיכונים, הובלת יוזמות ביקורת ותאימות, ועוד.
- התאוששות מאסון – פיתוח חוסן סייבר, כך שהארגון יוכל להתאושש במהירות מפריצות, אירועי אבטחה או תרחישים לא נעימים אחרים.
- ניהול כספי אבטחה – החלטות תקציביות על אבטחת נתונים.
- תיעוד – ניהול פרטים אודות אירועים, תקריות, פיתוחים ומקרים נוספים.
- ניהול משאבי אנוש – הקמת מערכת שמפחיתה טעויות אנוש, ומצמצת את השפעתה על מצב האבטחה של הארגון.
אילו כישורים נדרשים לתפקיד?
כמו בהרבה תפקידים אחרים היום, לא רק הכישורים המקצועיים חשובים, אלא גם מה שמכונה "כישורים רכים". הכוונה היא לכישורים שיכולים לסייע בכל תפקיד. אלה הכישורים הרכים שהופכים CISO למוצלחים במיוחד:
- תקשורת טובה – מנהלי אבטחת מידע צריכים לדעת לתקשר עם כל מיני אנשים בתחומים שונים.
- עמידה בלחצים – בשעות משבר, וגם כאשר מעריכים סיכונים וצריכים לקבל החלטות תקציביות, חשוב לשמור על רוגע ושיקול דעת.
- אמינות – זהו תפקיד שמגיע עם אחריות גדולה, ולכן חשוב במיוחד שעסקים יסמכו בעיניים עצומות על מנהלי אבטחת המידע שלהם.
למה כל חברה צריכה את זה?
אבטחת מידע עסקי, ואבטחת מידע בכלל, מעולם לא היו חשובים יותר. אנו חיים כיום בעידן בו דיווחים חדשים על תקריות סייבר צצים באופן יום יומי, וחדשות בתחום הפכו לעניין שבשגרה. הגל הגובר של מתקפות הסייבר הפך את אבטחת המידע לאתגר בולט של כל עסק, ארגון ואפילו מדינה, ולבעיה קבועה שצריך לפתור.
מכיוון שתוקפי סייבר עשויים לפגוע בכל ארגון, כל חברה מוכרחת לתת כעת העדיפות לשיפורים באבטחת המידע שלה, וזה אומר בין השאר להשתמש במנהל אבטחת מידע. מעבר לזה, על העסקים להעניק לעובדים מסוימים הסמכות לניהול סיכונים, להשקיע בטכנולוגיה משופרת, להטמיע מדיניות ולפעול בצורה מודעת לנושא, אם ברצונה להפחית את הסיכוי שתיפגע בעתיד הקרוב או הרחוק.
למעשה, אבטחת מידע עסקית היא היבט בסיסי בכל פעולה עסקית. אז נכון, גם ה-CISO המיומנים ביותר לא יכולים להבטיח באופן מוחלט שהעסק לעולם לא יסבול מהתקפות סייבר, אשר יפגעו ברשת או בחומרה ויגרמו לנזקים כלכליים כבדים, אך הם בהחלט מורידים את הסיכויים לכך. גם אם הנורא מכל מתרחש, עם מנהלי אבטחה מידע עסקים יודעים שהם נמצאים בידיים טובות, של מומחים שיכולים לנהל את האירוע.
אהבתם את הכתבה? לעוד בנושא כנסו >> katcho.co.il
