מהי האחריות של דרג הניהול הבכיר על אבטחת המידע?

מהי האחריות של דרג הניהול הבכיר על אבטחת המידע?

cybersecurity

This post is also available in: enEnglish (אנגלית)

מאת: אילן סגלמן, Power Communication

התקפות הסייבר המרובות הביאו לעליה במודעות של דרג המנהלים הבכיר בארגונים לפוטנציאל של התקפות הסייבר לשבש מהלך עסקי תקין. ללא ספק, רוב המנהלים מודעים לכך כי קיימת חשיבות לתשתית אבטחת מידע איכותית בארגון, למרות עלותה הגבוהה. בשל המשמעויות הרות האסון של פריצה לארגון, אבטחת המידע התרחבה מעבר לדאגתם הבלעדית של מנהלי אבטחת המידע. למעשה, כיום ברור כי מנהלים אינם יכולים להטיל את האחריות על הצוות הטכני לבדו מבלי לנסות להבין את המשמעויות ואת הבעיה לעומקה, ולהעריך האם ההשקעה בתשתית אכן מספקת את רמת האבטחה הראויה.

על דרג הניהול הבכיר לדאוג כיום כי תתבצע עשייה אמתית למען קידום אבטחת המידע בארגון, איש איש בתחומו ובכמה דרגי מפתח בארגון:

  • המנכ"ל – בסופו של דבר נושא באחריות לאובדן המוניטין של ארגון, במידה שתהיה דליפת מידע אישי של לקוחותיו או דליפת מידע עסקי של החברה לגורמים עוינים ולעיני כל. לכן, עליו לנקוט בגישה פרואקטיבית לנושא אבטחת המידע ולהוביל אותו. הוא חייב להיות קשוב לחוות הדעת המקצועית של אנשי אבטחת המידע, להבין אילו פתרונות מותקנים כעת בארגון ומהן הנקודות החלשות, ולהקצות את התקציבים והמשאבים בהתאם לדרישות. נוף האיומים משתנה ללא הרף, ובהתאם לכך גם פתרונות אבטחת המידע מתפתחים ומתקדמים. לכן, המנכ"ל חייב להפוך את אבטחת המידע לאחד הנושאים בראש סדרי העדיפות בשגרת העבודה שלו, ולהוביל גם את תהליכי השינוי בתחום זה לאורך זמן.
  • סמנכ"ל הכספים של הארגון מודע יותר מכל לנזק הכספי הישיר והעקיף שיכול להיגרם כתוצאה מפריצה לארגון, גניבת מידע או הצפנתו. חלק מהמידע הרגיש ביותר בארגון נמצא תחת אחריותו של סמנכ"ל הכספים – מחזור כספי, רכישות, השקעות ועוד. מסיבה זאת, תפקידו של סמנכ"ל הכספים אינו מסתיים בהקצאת התקציבים הדרושים לרכישת פתרונות אבטחת מידע – עליו ללמוד את הסיכונים ואיומי הסייבר הרלוונטיים לארגון ולהעריך את הסיכון והעלות הכספית של פריצה למידע הארגוני וכן את החזר ההשקעה (ROI) בפתרונות אבטחת המידע. עליו להתייחס לאבטחת המידע כחלק מ"ניהול הסיכונים" של הארגון. הוא חייב להוות חלק בלתי נפרד מצוות התגובה של הארגון, לדווח אודות הפריצה למועצת המנהלים ולהיות מסוגל להסביר את דרך ההתמודדות של הארגון.
  • סמנכ"ל משאבי האנוש: חלק ניכר מהפריצות למידע בארגון נובע מטעויות אנוש או מחוסר מודעות של עובדים לסיכונים. בהתקפות "פישינג", פושעי הסייבר שולחים אימיילים או הודעות אחרות המתחזים ללגיטימיים על מנת לשכנע עובדים בארגון לבצע פעולה לא בטיחותית שיכולה לסכן את המידע הארגוני. במקרים רבים הפנייה של הפושעים אינה לדרג הבכיר, אלא דווקא לדרג זוטר שיש לו גישה למידע. מסיבה זאת נודעת חשיבות עליונה להדרכות של עובדי הארגון בדבר סיכוני הסייבר והנהלים של אבטחת המידע בארגון. מנהל משאבי האנוש בחברה, הממונה על הדרכות והעברת ידע, חייב להתעדכן מול צוות אבטחת המידע ומערכות המידע ולבנות תכנית הדרכה והעשרה שכוללת גם אימון והתנסות בהתקפות דמה. ישנם גם כלים אוטומטיים שניתן להיעזר בהם על מנת להדריך את העובדים ובעולמות הללו.
  • סמנכ"ל מערכות המידע – עליו להעביר לדרג הניהול שאינו טכנולוגי את המשמעויות העמוקות של העבודה בעידן הדיגיטלי וסיכוני הסייבר שכרוכים בה, כמו גם את דרכי ההתמודדות. במילים אחרות, על סמנכ"ל מערכות המידע לשמש כגורם המתווך בין הנהלת אבטחת המידע להנהלה הבכירה ובמקביל לכך, לעבוד בצמידות עם סמנכ"ל משאבי האנוש בתפעול הדרכות עובדים.

לסיכום, ארגונים רבים שמים דגש רב על הצטיידות בפתרונות אבטחת מידע, ובצדק, אולם לא די בפתרונות מצוינים כדי להשיג אבטחת מידע מצוינת. כיום, האחריות לאבטחת המידע אינה נתונה רק בידי מנהלי אבטחת המידע ולא יכולה להתבסס רק על המערכות הטכנולוגיות. הדרג הבכיר בארגון חייב להיות מודע לנקודות התורפה הרבות בארגון, להיות מעורב, להעריך סיכונים ולהוביל את הארגון לרמת אבטחת המידע הטובה ביותר עבורו.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

IoT chip. image by pixabay

Security. image by pixabay

Photo F-16 by Media and Public Affairs Bureau Israel Min. of Defense

cybersecurity

Photo illus. critical infrastructure by Pixabay