11
מאי
09

שיוך ארגוני וכישורים נדרשים למנהל אבטחת מידע

אחת הסוגיות החשובות בכל הקשור לתפקיד מנהל אבטחת מידע הינה השיוך הארגוני והכישורים הנדרשים לאיוש תפקיד מנהל אבטחת מידע. נשאלתי כאן, ובהרבה מקומות אחרים. אין לכך תשובה אחת נכונה, אך ישנם בהחלט קווים מנחים.

ראשית, נפרט מי לא אמור להיות מנהל אבטחת מידע:

  • גורם טכני תפעולי כגון DBA, אדמין, איש תקשורת נתונים וכדומה (גם אם הוא 'מבין' אבטחת מידע). זה כמו לתת לחתול לשמור על השמנת.

  • באופן דומה, מנהל של גורם טכני כזה כגון מנהל תשתיות, מנהל סיסטם וכדומה.

  • גורם מבקר כגון ביקורת הפנים (בארגונים גדולים).

מי כן מתאים להיות מנהל אבטחת מידע:

  • ראשית, מישהו בעל כישורים מתאימים (על זה מיד).

  • רצוי שלא יהיה כפוף לגוף תפעולי כגון סיסטם ויהיו כאלה שיטענו שאפילו לא למערכות מידע (אך על כך חלוקות הדעות וישנה מציאות ארגונית שקשה לשנות).

מה זה כישורים מתאימים? שאלת המיליון דולר:הנה מספר כישורים שחשוב שיהיו – לפחות חלקם אם לא כולם. קשה להגדיר את רמת הידע הנדרש. חשוב שיהיה לפחות בסיס מינימלי והכרה של התחום, אם כי אני דוגל בכך שחייבים גם לדעת ברמת Hands On ולא להסתפק ברקע תאורטי. 

הכישורים

הערות

תואר אקדמי נכון לכל מקצוע ניהולי מסוג זה
הסמכה מקובלת (כגון CISSP) אני אישית לא חושב שזה חובה, אך יש כאלה שכן
הכרה טובה של עולם המחשוב תתפלאו, פגשתי כמה מנהלי אבטחת מידע ללא הכרה מספקת
ידע במושגי סיסטם דרישה שהיא כמעט בגדר חובה
ידע בתקשורת נתונים דרישה שהיא כמעט בגדר חובה
ידע בתוכנה ותכנות מאוד רצוי – כיום המיקוד באבטחת מידע עובד מרמת התשתית לרמת האפליקציה
ידע בבסיסי נתונים רצוי מאוד – ראו הערה של תכנות
הכרת מושגים ב – Hacking אפשר לרכוש ידע זה במהלך הכניסה לתפקיד
ידע בכתיבת מדיניות ונהלים לדעתי, דרישה שהיא כמעט חובה

שיוך ארגוני:

ישנם חסרונות ויתרונות לשיוך התפקיד למערכות מידע. לא אפרט אותם, אך אציין כי מידת היכולת להשפיע מתוך מערכות מידע ולהיות מעורב ביישום תקין של מנגנוני אבטחת מידע גבוהה יותר מאשר להיות ביחידה חיצונית למערכות מידע. 


3 Responses to “שיוך ארגוני וכישורים נדרשים למנהל אבטחת מידע”


  1. 13/05/2009 ב- 22:31

    יש לציין שדווקא כמה ממנהלי אבטחת המידע של ארגונים גדולים, מונו לתפקידם בשל המעמד הארגוני, ואינם אנשי מקצוע בנושא.

    אהמ אהמ.

  2. 14/05/2009 ב- 19:59

    היי ישי אני דיי מסכים איתך אחת הבעיות המרכזיות היא שקיימים מעט אנשים העונים על הקרטריונים שהוגדרו למעלה בטבלה ונמצאים בתפקיד מנהל אבטחת מידע.
    עם זאת נתקלתי בלא מעט אנשים שתיק אבטחת המידע נפל עליהם והתמודדו איתו בצורה יפה אל אף חוסר הקישורים הנדרשים.
    ולכן לפי דעתי זה מאוד תלוי באופי של האדם בניסיון שרכש וברצון האמיתי שלו לקדם את הנושא או לחילופין לבצע רק את מה שהוא חייב ולהירדם על המשמר.
    ואז יגיע איזה וירוס נחמד שיעיר אותו 🙂

  3. 3 ניב
    09/06/2009 ב- 5:22

    אני תמיד אוהב להזכיר בהקשר זה שמפקד פרוייקט מנהטן, גנרל לסלי גרייבס, היה בכלל קצין בינוי ולוגיסטיקה…
    מסכים עם רוני, זה מאד תלוי בבנאדם. הבעיה המרכזית היא, כמו ברוב הדברים האחרים, בעיית אגו. גם אם למנהל אבטחת המידע אין את כל הכישורים דנן, אבל הוא יודע מה הוא לא יודע ויודע להתייעץ, ללמוד ולשאול, הוא יעשה את העבודה היטב. אגב נקודה שפספסת, מעבר לרמת ידע וההבנה המקצועית של התחום, בעיני מנהל אבטחת מידע חייב להיות אדם שמבין את התהליכים העסקיים של הארגון והוא בעל כישורים בינאישיים ויכול לתקשר הן מול גורמים שאינם טכניים והן מול ההנהלה הבכירה בארגון כאשר הדבר נדרש.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


מאי 2009
א ב ג ד ה ו ש
« אפר   יונ »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: