Secoz - מנהל אבטחת מידע - לרוץ מהר כדי להשאר במקום

יצירת קשר

מנהל אבטחת מידע - לרוץ מהר כדי להשאר במקום

מנהלי אבטחת המידע לאן ? – לרוץ מהר כדי להישאר במקום

מאת דניאל מאיר, נשיא האיגוד הישראלי לבקרות מערכות מידע וגלעד ירון, סמנכ"ל בחברת הייעוץ SECOZ

ניהול הסיכונים עובר למרכז הבמה

מועצות המנהלים של התאגידים וההנהלות שלהם נמדדים על פי קריטריון מרכזי אחד - מה תרומתם לכך שבעלי המניות של התאגיד יקבלו את התמורה המיטבית על כספם.

המנהלים נדרשים לנהל את הסיכונים העומדים בפני השגת יעדים אלה. מטבע הדברים, נקודת המבט של המנהלים הינה פיננסית: ניהול סיכוני שוק, סיכוני אשראי וכדומה.

חוקים ותקנות שונים ברחבי אשר נועדו לוודא את יציבותם של התאגידים מתמקדים בהיבטים אלה. כך, למשל, רגולציית Sarbanes Oxley (SOX), אשר חוקק בארה"ב ב-2002 לאחר השערוריות הפיננסיות, מתמקדת בבקרת אמינות הדיווחים הפיננסיים של התאגיד.

עם הופעת האמנה של הוועדה האירופאית לפיקוח על הבנקים,BASEL II , התווסף לתמונה היבט נוסף. מחברי אמנה זו הבינו כי בנוסף על הסיכונים הפיננסיים יש לקחת בחשבון גם סיכונים תפעוליים. חלק נכבד מן הסיכונים התפעוליים מהווים סיכוני מערכות המידע.

אמנה זו אומצה על ידי המפקח על הבנקים בישראל והמלצותיה יחולו על כל ארגון בנקאי בשנת 2009. בטיוטא להתייעצות בנושא באזל II, הנדבך השני – ניהול סיכונים תפעוליים, כותב המפקח על הבנקים כי "ללא בקרה נאותה, השימוש הגובר בטכנולוגיה ממוכנת עלול לשנות את סוג הסיכון, מסיכון לטעויות עיבוד ידניות לסיכונים לכשל במערכות ממוכנות, ככל שההסתמכות על המערכות הגלובליות המשולבות הינה גדולה יותר".

תקנות נוספות ברוח זו באות לידי ביטוי לגבי מגזרים נוספים. כך, למשל, Solvency II עוסקת בניהול סיכונים בעולם הביטוח.

ניהול סיכונים כולל (Enterprise Risk Management) הכולל בתוכו ניהול סיכונים תפעוליים ובפרט ניהול סיכוני מערכות מידע עבר לקדמת הבמה.

על מנת לתת מענה לניהול הסיכונים התאגידי הולכת ומתגבשת פונקציה חדשה. אנו רואים זאת במיוחד בעולם הפיננסי, אך להערכתנו תוך שנה-שנתיים ירווח הדבר גם במגזרים אחרים. פונקציה זו מכונה Chief Risk Officer או בקיצור CRO. ה-CRO מרכז את כלל היבטי הסיכונים בארגון ובכללם הסיכונים הפיננסיים והתפעוליים.

מערכות המידע כיחידה עסקית

בשנים האחרונות ברור יותר ויותר כי מערכות המידע מהוות נדבך חשוב ומרכזי כמעט בכל ארגון. בשל כך מקובל לבחון מערכות אלה כהשקעה עסקית שמטרתה לקדם את יעדי הארגון ולנהל השקעה זו כפי שמנהלים השקעות עסקיות אחרות. אפילו המושגים הנקוטים בעולם זה – ניהול פורטפוליו מערכות המידע – שאול מן העולם הפיננסי.

מנהלי מערכות המידע מקבלים מעמד בכיר בארגון. ברוב רובם של הארגונים הבינוניים והגדולים הם חברים בהנהלת הארגון ולעיתים אף במועצת המנהלים.

כמנהלי יחידות הנתפסות כיחידות עסקיות, נדרשים מנהלי מערכות המידע להצדיק את השקעותיהם במונחים פיננסיים וכן לנהל את הסיכונים העומדים בפני השירותים אותם הם מספקים – סיכוני מערכות המידע.

סיכונים אלה כוללים גם, אך לא רק, סיכוני אבטחת מידע. קיימים סיכונים נוספים הכרוכים ביעילות ואפקטיביות מערכות המידע, באמינות השירות ובעמידה בדרישות רגולטוריות.

מה לכל זה ולמנהל אבטחת המידע?

מקובל להטיף לכל מי שמוכן לשמוע כי מקומו של מנהל אבטחת המידע אינו בתוך ארגון מערכות המידע (IT). שני טיעונים עומדים בבסיס טיעון זה.

השיקול הראשון הוא כי מנהל אבטחת המידע אמור להוות גוף בקרה ולא יישום ועל כן מקומו בתוך מערכות המידע עלול לגרום לניגוד עניינים.

השיקול השני הוא כי אבטחת מידע אינה מתחילה ונגמרת בעולם מערכות המידע וקיימים לא מעט היבטים שאינם נוגעים ישירות במערכות המידע, כמו למשל שיקולים הקשורים לכוח אדם.

לאור שתי התופעות שתיארנו לעיל – הקמת גוף ניהול סיכונים והתחזקות מעמדו של גוף מערכות המידע - נראה כי טיעונים אלה, שנראו עד לא מכבר נכונים, אינם בהכרח מתאימים עוד.

מנהל מערכות המידע אחראי על יחידה עסקית ובתור שכזה הוא אחראי על ניהול הסיכונים ביחידתו. סיכונים אלה, כאמור הם מגוונים וכוללים בין היתר אבטחת מידע.

מאידך, מנהל הסיכונים אחראי על כלל הסיכונים העומדים בפני התאגיד. בין היתר נכללים בתחום אחריותו הסיכונים תפעוליים, הכוללים הן את סיכוני מערכות המידע והן את סיכוני אבטחת המידע.

ההבדל בין שני גורמים אלה הינו בכי גוף אחד מנהל ומבקר את הסיכונים בארגון (CRO) בעוד הגוף השני אחראי לניהול עסקי ואספקת שירותי מערכות מידע תוך שיקולי ניהול סיכונים בעולם זה.

מתגבשת היום תפיסה המציעה הקמת יחידה ארגונית המכונה "לשכתו של מנהל מערכות המידע" או Office of the CIO”" אשר תרכז את היבטי הניהול והבקרה של מערכות המידע, ובכלל זה ניהול הסיכונים שלהם.

מכל אלו מובן כי תפקיד מנהל אבטחת המידע (CISO) כפי שהתגבש עד היום עומד בפני שינוי.

אני ממליצים למנהלי אבטחת המידע להתחיל ללמוד את השפה החדשה של ניהול הסיכונים. אנשים שישכילו ללמוד עולם מושגים זה יוכלו למצוא עצמם באחד משני מסלולים – מסלול מערכות המידע בו יוכלו להשתלב בלשכת מנהל מערכות המידע כאחראים על ניהול סיכוני מערכות המידע או לחילופין בלשכת ה CRO כמנהלי סיכוני אבטחת מידע ו/או סיכונים תפעוליים ואולי אף ממלאים את תפקיד ה CRO עצמו.

שיעורי בית למיטבי לכת

על מנת להתחיל לשחות בתחום החדש אשר תיארנו במאמר זה, אנו ממליצים למנהלי אבטחת המידע לעיין בתקן COBIT.

תקן זה אשר פותח על ידי IT Governance Institute במסגרת ארגון ISACA העולמי עורך סדר בעולם המושגים, התהליכים וכלי המדידה הנדרשים על מנת להקים מסגרת בקרות למערכות המידע.

התקן מחבר בין שני העולמות – הדרישות העסקיות מחד והבקרות הנדרשות על מנת ליישם אותם במערכות המידע מאידך.

על מנת להקל על הציבור הישראלי לאמץ תקן זה שוקל הסניף הישראלי של ISACA לתרגם תקן זה לעברית. אנו מתכוננים לפרסם את התקן המתורגם באמצע חודש מאי.

סובב לו סובב העולם

אנו נוהגים לצטט בהזדמנויות שונות את אמרי השפר של לואיס קרול בספרו עליזה בארץ הפלאות. "על מנת להישאר במקום צריך לרוץ מהר מאוד", לימדה אותנו המלכה בספר מופלא זה.

המלצתנו החמה למנהלי אבטחת המידע הינה להתחיל בריצה עוד היום. כך תבטיחו כי גם עוד שנה שנתיים תישארו במקום ואולי אף תתפסו גבוה יותר.

גרסה להדפסה שליחה לחבר