שיוך ארגוני וכישורים נדרשים למנהל אבטחת מידע

אחת הסוגיות החשובות בכל הקשור לתפקיד מנהל אבטחת מידע הינה השיוך הארגוני והכישורים הנדרשים לאיוש תפקיד מנהל אבטחת מידע. נשאלתי כאן, ובהרבה מקומות אחרים. אין לכך תשובה אחת נכונה, אך ישנם בהחלט קווים מנחים.

ראשית, נפרט מי לא אמור להיות מנהל אבטחת מידע:

• גורם טכני תפעולי כגון DBA, אדמין, איש תקשורת נתונים וכדומה (גם אם הוא 'מבין' אבטחת מידע). זה כמו לתת לחתול לשמור על השמנת.

• באופן דומה, מנהל של גורם טכני כזה כגון מנהל תשתיות, מנהל סיסטם וכדומה.

• גורם מבקר כגון ביקורת הפנים (בארגונים גדולים).

מי כן מתאים להיות מנהל אבטחת מידע:

• ראשית, מישהו בעל כישורים מתאימים (על זה מיד).

• רצוי שלא יהיה כפוף לגוף תפעולי כגון סיסטם ויהיו כאלה שיטענו שאפילו לא למערכות מידע (אך על כך חלוקות הדעות וישנה מציאות ארגונית שקשה לשנות).

מה זה כישורים מתאימים? שאלת המיליון דולר:הנה מספר כישורים שחשוב שיהיו – לפחות חלקם אם לא כולם. קשה להגדיר את רמת הידע הנדרש. חשוב שיהיה לפחות בסיס מינימלי והכרה של התחום, אם כי אני דוגל בכך שחייבים גם לדעת ברמת Hands On ולא להסתפק ברקע תאורטי. 

הכישורים	הערות
תואר אקדמי	נכון לכל מקצוע ניהולי מסוג זה
הסמכה מקובלת (כגון CISSP)	אני אישית לא חושב שזה חובה, אך יש כאלה שכן
הכרה טובה של עולם המחשוב	תתפלאו, פגשתי כמה מנהלי אבטחת מידע ללא הכרה מספקת
ידע במושגי סיסטם	דרישה שהיא כמעט בגדר חובה
ידע בתקשורת נתונים	דרישה שהיא כמעט בגדר חובה
ידע בתוכנה ותכנות	מאוד רצוי – כיום המיקוד באבטחת מידע עובד מרמת התשתית לרמת האפליקציה
ידע בבסיסי נתונים	רצוי מאוד – ראו הערה של תכנות
הכרת מושגים ב – Hacking	אפשר לרכוש ידע זה במהלך הכניסה לתפקיד
ידע בכתיבת מדיניות ונהלים	לדעתי, דרישה שהיא כמעט חובה

שיוך ארגוני:

ישנם חסרונות ויתרונות לשיוך התפקיד למערכות מידע. לא אפרט אותם, אך אציין כי מידת היכולת להשפיע מתוך מערכות מידע ולהיות מעורב ביישום תקין של מנגנוני אבטחת מידע גבוהה יותר מאשר להיות ביחידה חיצונית למערכות מידע.