המסר העיקרי הוא - לאור החשיבות הגדולה של המחשוב לליבה העסקית, יש צורך חיוני להבטיח את פעולתו התקינה. לפיכך, מעבר לצורך ביצירת נהלים מתאימים והשקעות בפתרונות להגנה, נוצר צורך בתפקיד חדש בארגונים מתקדמים - מנהל אבטחת המידע הארגוני או ה-CISO.
מנהל אבטחת המידע
תפקיד חדש מאוייש כיום ביותר ויותר ארגונים: מנהל אבטחת המידע הארגוני או Chief Information Security Officer. עם עליית חשיבות מערך ה-IT כגורם מרכזי שיוצר הזדמנויות עיסקיות, במקביל לפגיעות הגדלה של ארגונים עקב פגיעה אפשרית במערך המידע שלהם, נוצר צורך באדם טכנולוגי שיאייש את המשרה ויטפל במכלול היבטי האבטחה הארגוניים.
הדבר הוא חלק ממגמה כוללת של יצירת משרד למנמ"ר (ה-OCIO. ראה תחקיר 843), שכולל בעלי תפקידים נוספים דוגמת ה-CTO שאחראי על הטכנולוגיות. מדובר במגמה חדשה, שעדיין עושה את צעדיה הראשוניים ועדיין אינה מגובשת, כך שמעבר להשקעה הכספית, מתחייב גם גיבוש "תורה" תפעולית, על כל המשתמע מכך.
ה-CSO אחראי על פי הגדרתו הרשמית לאבטחה הפיזית בארגון, בעוד ש-CISO אחראי על אבטחת מערכות המידע. לעתים התפקידים מתמזגים באדם אחד, בהתאם לאופי וצרכי הארגון. בתחקיר זה, נתמקד בתפקיד ה-CISO.
תפקידו העיקרי של ה-CISO הוא לנהל את הסיכונים הכלכליים והתדמיתיים שמציבים איומי אבטחה על המחשוב, בצורה שבה לא יגבילו יוזמות והזדמנויות עסקיות, לגבש "תורה" תפעולית בתחום זה ולוודא שתהליכי הליבה העסקיים הקריטיים של הארגון אינם נקטעים. עליו להחליט באיזה כיוון יש להשקיע תקציבי אבטחה ולנהל תקציבים אלה. נדרשות ממנו תכונות מנהיגות, ראייה אסטרטגית, הוצאה לפועל של שגרות טיפול באבטחה, דאגה להיבט המשפטי, התמצאות ברגולציות רלבנטיות, ניהול סיכונים והתאוששות מאסון. ממנהל אבטחת מידע נדרש רקע טכנולוגי רחב, ועליו להיות גם בעל מחשבה עסקית, ובעל כישורי תקשורת בין-אישית טובים.
בין האיומים והאתגרים החדשים שעליו להתמודד איתם כיום, נמצאים איומים מבחוץ (כתקיפות האקרים, נוזקות או spam). וגם איומים מבפנים כגון דליפת מידע רגיש דרך עובדי הארגון עצמם, לצד גניבת ואובדן התקנים ניידים. בנוסף, שלל טכנולוגיות חדשניות כמו טלפונים סלולארים חכמים, מציבות סיכונים חדשים לצד הזדמנויות.
לפי גרטנר, עלויות הטיפול בנזקי פריצות למידע ארגוני רגיש, יגדלו ב-20% כל שנה, עד 2009. כלומר, משנה לשנה, איוש תפקיד זה ילך וייצבור חשיבות.
המגמות והחידושים
אלה התמורות, המגמות והחידושים המרכזיים, שהביאו לצורך בתפקיד ה-CISO: התרחבות תפקיד המנמ"ר, צורך בניהול התהליכים העסקיים בליווי אבטחת מידע, התרחבות האיומים עצמם, אתגרי אבטחה שמציבות טכנולוגיות חדשות, המודעות לנושא הציות לרגולציות ותקנים שונים, התרבות התקנים ניידים עליהם לא פשוט לשלוט במסגרת שימוש ארגוני והאלחוט שמכניס אלמנט נוסף של מורכבות שליטה ולכן גם שכבה נוספת של אתגרי אבטחה.
אלה הפעילויות ותחומי האחריות המרכזיים של ה-CISO: ניתוח ותכנון, הובלה והדגשת מה שחשוב, גם כנגד מגבלות תקציב והתנגדויות שונות, מעקב אחר ניכסי המידע של הארגון והגנה עליהם, הוצאה לפועל של שגרות אבטחה, הבטחת המשכיות עסקית, אחריות על שימוש באמצעים הטכנולוגיים המתאימים לאבטחה ומניעה, הגנה על תדמית הארגון וניהול אבטחה מרחוק במידת הצורך.
פתרונות בולטים
הכשרה מוצעת בתחום זה ממגוון ספקים ובהם אבנת, ג'ון ברייס, דטה סק, הטכניון מדיאטק-הייטק, מיקרוסופט - מכללת היי-טק, מכללת נס, מכללת סלע וסי סקיוריטי. ייעוץ, תכנון והצבת CISO חיצוני בארגון, מציעות סקיור-נט, קומסק, EDS ו-ICT.
הרקע הדרוש
ה-CISO הישראלי חייב לאזן את יתרונו כ"מאלתר" (שמוטב לנצל כשצריך לאלתר, ולא מדי יום כשיטה) וללמוד לעבוד "לפי הספר". לשם כך הוא חייב ללמוד שיטות, מתודולוגיות וטכניקות בדוקות. לסיכום: רצוי שה-CISO יבין את הטכנולוגיות ושישתמש בהן, רצוי שידע כיצד "לשחק שחמט", וקריטי שיעבוד לפי טכניקה בדוקה. האילתור הינו תוסף, ולא ה"דלק" עצמו.
יש צורך בהכשרה מסודרת ממועמד לתפקיד CISO. מעבר לכך, מובן שגם נסיון קודם עם המערכות שמיושמות בארגון והאיומים מולם הוא עומד, משמעותי מאוד לתפקיד זה. בנוסף, רצוי שמנהל אבטחת המידע הארגוני יהיה בעל רקע טכנולוגי רחב, מחשבה עסקית, וכישורי תקשורת בין-אישית מתקדמים. חיוני כי הוא ישקיע לפחות 20% מזמנו ללימוד ומחקר בתחום האבטחה, שבו יש הרבה ספרות מקצועית, מודפסת ומקוונת.
קיים פער בין מנהל אבטחה לבין האקר. על פניו, רקע יעיל עבור CISO יכול היה להיות קריירת האקר, אך הדבר כרוך בסיכון אבטחה קריטי, ובעיות אתיקה ותדמית. מצד שני, הדרכה מקצועית שזמינה למנהלי אבטחה, לא תמיד נגישה לפורצים מקצועיים. כדי להתמודד עם האקר בצורה הטובה ביותר, יש ללמוד האקינג. יש האומרים שלא די ללמוד מה שמכונה Ethical hacking (מונח שמחובר למונח הידוע White hat), מאחר וכיוון זה מתרכז בהגנה על מערכות מידע מפני האקרים ולא בפריצת מערכות.
לפי אבי ויסמן, מנהל בית הספר לאבטחת מידע See-Security, בפרשת ה"סוס הטרויאני" הידועה היה מדובר בלא יותר מסוס טפשי ופרימיטיבי, שהפיל את מיטב הטכנולוגיות של מיטב הארגונים בישראל, ללא כל קושי, מבלי להתגלות, במשך חצי שנה רצופה! הדבר מלמד שהטכנולוגיה אינה מספיקה. אבי משווה את עולם תקיפות ההאקרים לעולם השחמט. רכישת כלי שחמט והכרת כלי האבטחה הבסיסיים דומה ללימוד תנועות כלי השחמט מקריאת ספר - אין זה אומר שאתה יודע לשחק! לשם כך יש ללמוד האקינג. יתר-על-כן, ההרגל הלאומי שלנו גורס אילתור על-חשבון סדר ומדעיות.
סיכום
לסיכום - הבנת חשיבות תפקיד ה-CISO, תקדם את איכות ניהול האבטחה, תצמצם סיכונים ותאפשר מינוף המחשוב לכיוון העסקי, תוך צמצום למינימום של נזקים אפשריים.
אנשים מהתחום, מוזמנים להגיב לתרום ולהוסיף...
התקציר לקוח מתוך תחקיר pCon בשם איך להוזיל את התקשורת.
גילית מידע חדש? מעניין?... רוצה עוד? ראה 100+ תחקירי מפתח: http://www.pcon.co.il/v5/105Debriefs.asp
הרחבות, ראיונות עם מומחים, טיפים מעשיים וקישורים להעמקה ניתן למצוא בקישור הבא. http://www.pcon.co.il/v5/Debrief.asp?debrief=850
למאמרים מקצועיים ואובייקטיביים נוספים של קובי שפיבק, בתחומי מידע מחשבים ואינטרנט, באתר "מאמרים" ראה - http://www.articles.co.il/author/1944
קובי שפיבק Bsc., MBA הוא העורך הראשי של תחקירי pCon ואתר pCon-line. כמי שעוסק במחשבים, על מכלול היבטיהם משנת 1976 וכן כמי שכתב וערך למעלה משמונה מאות תחקירים על כל היבטי המחשוב העיקריים, הוא נמנה על אותם אנשים בודדים בארץ ובעולם, שבאמת ובתמים, מבינים לאן הולך עולם המחשוב ומהן השלכותיו המידיות והעתידיות, על אנשים וארגונים. הוא גם פרסם מספר רב של מאמרים במרבית העיתונים הגדולים והמקצועיים, והופיע פעמים רבות בערוצי הטלוויזיה והרדיו המרכזיים. נכון להיום הוא מייעץ למרבית מנהלי המחשוב בארגונים המובילים בישראל, והוא נחשב בעיני רבים, לגורו של המחשוב העסקי.
