ממונים על אבטחת מידע ותפקידם בארגון
This post is also available in: 
English (אנגלית)
כשהממונים על אבטחת המידע בארגון (CISO) מדברים, אחרים מקשיבים. ב-17 ביוני צוות IBM Security אירח צ'אט אבטחת מידע בטוויטר, בו נשאלו בכירי עולם העסקים לגבי תפקידם של קציני אבטחת המידע והאם הם במהותם גורמים משפיעים, שומרים או מגיבים. כרגיל בטוויטר השאלות זרמו במהירות והתשובות גם כן – והכל בפחות מ-140 תווים. המפגש הדיגיטלי מוכר כ infosecChat#.
מהו הדבר החשוב ביותר שעל ה CISO להתמקד בו כיום?
השאלה הזו הצמיחה שלושה דיונים נפרדים. ביל ריפון, ה CISO של IBM Research, טען כי הממונה על אבטחת המידע צריך להתייחס בראש ובראשונה לנושא המודעות. מתכנן המערכות דיוויד סייגן אמר כי התחום החשוב ביותר הוא הוותק והניסיון של צוות האבטחה והתשתיות. הדיון השלישי עסק בצורך לתקשר גם ברמת הצוות וגם ברמת ההנהלה הבכירה, ומשם עלה הצורך של ה CISO להיות במהותו גם איש אבטחה וגם איש שיווק. השיחה הזו הניבה יותר מ-20 ציוצים ממגוון משתתפים, כולם מעלים נקודת מבט שונה. “הדבר החשוב ביותר", לפי השיחה הזו, תלוי מאוד בנקודת המבט האישית של כל משתתף ובמעמד שלו באותה נקודה בזמן.
מהו האתגר העיקרי שעומד בפני ה CISO כיום?
ג'רי גמבלין, איש ממשל ממדינת מיזורי שבארה"ב, טוען כי האתגר העיקרי הוא "גורמים לא ידועים". רוב ביינברידג' מחברת Investec אמר כי ה CISO אחראי על הצגת פרופיל הסיכונים לבעלי העניין העיקריים בארגון. אלן ר. טייט, מהנדס ב IBM, חזר על הדברים ואמר שה-CISO צריך להציג את הערך העסקי של האבטחה בארגון ולהבטיח שהיא לא תשאר מאחורי הקלעים. אלייה ארגולן, בכיר ב IBM העולמית, הדגיש את הקושי הרב להתמודד בהצלחה עם מגוון הכוחות הפועלים: ניידים, רשתות חברתיות, מיחשוב ענן, ביג דאטה ואנליטיקה. זובייר אשרף, חוקר בכיר ב IBM X-Force, הדגיש את הצורך בתוכנית סדורה לתגובה בחירום, וציטט דווקא את המתאגרף מייק טייסון: “לכולם יש תוכנית מסודרת עד שהם חוטפים אגרוף לפרצוף".
מהן הדרישות מ CISO מבחינת ניסיון וכישורים?
לפי התגובות יש צורך בכישורי תקשורת בין אישית ברמה גבוהה מאוד, גם רוחביים וגם עם הנהלת החברה. כישורים אלה צריכים לבוא לצד ניסיון של ממש, יכולת לנתח את התמונה הכוללת וידע מעמיק בזירת האבטחה. ה CISO של Yahoo, אלקס סטאמוס, הוסיף כי CISO בארגון שמציע מוצר מסויים חייב להכיר לעומק את המוצר. אנדי אליס, CSO ב Akamai, הדגיש כי ה CISO צריך להיות מוכן ללמוד מיומנויות, שיטות פעולה וטכנולוגיות חדשות.
iHLS – Israel Homeland Security
מה ההבדל בין CISO ו CRO?
מספר משתתפים התייחסו להבדלים שבין CISO ובין CRO (ממונה על ניהול סיכונים). מרין איווזיץ', בכיר ב IBM Security Services, הסביר כי ה CRO עוסק בניהול וניתוח סיכונים, בעוד ה CISO עוסק בניתוח רוב הפן המבצעי והמנהלי בארגון. גם ה CISO וגם ה CRO עוסקים בזיהוי וצמצום סיכונים, ונכון לעכשיו אין תקנים מוסדרים בתעשייה שיוצרים הפרדה ברורה בין התפקידים.
מהו הערך הכלכלי של ה-CISO? האם מדובר בתפקיד שחייב להופיע בכל ארגון?
עושה רושם שהמשפט "עד שלא תנסה לא תדע" תופס במקרה הזה. ריק רובינסון, בכיר ב IBM, אמר כי תחום אבטחת המידע יתקיים גם ללא ממונה ראשי, ומישהו בסופו של דבר יצטרך לעשות את העבודה. הממונה על האבטחה (CSO), קצין מידע ראשי (CIO), או המנכ"ל הם כולם מועמדים טובים לטיפול בתחומי האחריות שבמצב רגיל משתייכים ל-CISO.
האם אבטחת מידע בפני עצמה היא מנוע לצמיחה עסקית?
הרוב המוחלט של המגיבים בצ'אט הסכימו שאבטחת מידע היא אכן מנוע לצמיחה עסקית. חלק השוו בין אבטחת מידע לבין בלמים ברכב – הם לא עוזרים לך להאיץ, אבל הם בהחלט עשויים למנוע התרסקות.
האם תפקידם של ממוני אבטחת מידע בארגון הוא להשפיע, להגן או להגיב?
אחד המומחים שהגיב, איילי פיירצ'ילד, הסביר כי ה-CISO צריך להיות גם גורם משפיע וגם גורם מגן, ולדעתו עדיף שהתגובה בחירום תופקד בידי חברי צוות האבטחה שעובדים תחתיו. חלק קטן אבל קולני מהמגיבים, עם זאת, טען כי ה-CISO צריך להיות מוכן גם לשבת על כסא המגיבים בחירום, בהתאם לנסיבות.
מקור: securityintelligence.com
