ארכיון עבור דצמבר, 2013

20
דצמ
13

שיוך ארגוני של מנהל אבטחת מידע

בלא מעט ארגונים גדולים בחו"ל, מנהל אבטחת מידע ממוקם מבחינה ארגונית בתפקיד בכיר בהנהלה. הוא יכול לשמש כסמנכ"ל או דירקטור, או שהוא עשוי לדווח ישירות למנכ"ל או לסמנכ"ל בכיר שאינו IT.

בארץ, ישנם מעט ארגונים גדולים שהם מאוד גדולים, ולכן, במקרה הטוב (במוסדות פיננסיים), ה – CISO ידווח לסמנכ"ל. במקרים אחרים, הוא יהיה חלק ממחלקת תשתיות. כל זה נובע מהתפיסה הישראלית שאבטחת מידע מאוד חשובה, אך אצלנו זה לא יקרה ואין לנו משאבים לכך. גם באותם מקרים בהם ה – CISO מדווח לסמנכ"ל, ברוב  המקרים זה יהיה סמנכ"ל IT.

נשאלתי לא מעט פעמים מהו המיקום הנכון של ה – CISO. האם הוא צריך להיות חלק מגוף IT/מערכות מידע, או שהוא צריך לשבת ביחידה ארגונית אחרת? האם הוא צריך להתוות מדיניות ולספק הנחיות בלבד, או שהוא צריך להיות פעיל ביישום אבטחת מידע? אני חושב שאין תשובה אחת נכונה. במקום לענות מה השיוך הנכון, אפרט כאן יתרונות וחסרונות של כל גישה, בהתייחס לגודל השוק הישראלי ולסיכונים השונים.

#

השיקול 

כפוף לסמנכ"ל IT 

כפוף לסמנכ"ל אחר 

קביעת מדיניות אבטחת מידע

למנמ"ר יכולת להשפיע (ולרכך) על המדיניות.

למנמ"ר קשה להשפיע על המדיניות 'ונאלץ' לקיימה באופן מחייב יותר.

יכולת לבקר פעילות IT

בקרה תלויה חלקית.
יכולת של המנמ"ר לרכך ממצאים. הרבה פעמים הממצאים נשארים בתוך ה – IT ללא יכולת להציף כלפי מעלה.

בקרה בלתי תלויה.
אין בעיה להצביע על ליקויים קשים ולא לעגל פינות. יכולת הצפת והצגת ליקויים להנהלה בכירה.

תקציבים

אין ספק שהתקציבים הגדולים (לפחות בארץ) שוכבים ב – IT. זה המקום להשיג משאבים לצרכי אבטחת מידע.

קשה להשיג תקציבים ביחידות חיצוניות.
לפעמים יעבירו את  מנהל אבטחת המידע במסע ייסורים להוצאה מסכנה של 30K ₪. לעומת זאת ב – IT, לא מדברים איתך על סכומים מתחת לשש ספרות.

שליטה בלוחות זמנים

מצד אחד, מנהל אבטחת מידע שותף לקביעת הלו"ז וקשה לסבן אותו, מצד שני הרבה פעמים רואים את הלו"זים נדחים.

מצד אחד, יסבנו אותו בלו"ז רחוק (הוא לא חי את הפעילות של מערכות מידע). מצד שני, התחייבות של מערכות מידע ללו"ז, מסנדלת אותם והם לא יכולים להזיז, שכן קשה לשנות התחייבות (תוכניות במסמך רשמי) לגוף חיצוני.

יכולת לבחור פתרונות בהתאם לצרכי אבטחה

יכולות טובה.
תלוי בכח שלו ב – IT, הוא יהיה בין המחליטים, אם לא הקובע הראשי, בבחירת הפתרון.

הרבה פעמים לא סופרים את מנהל אבטחת המידע בבחירת פתרונות כאשר הוא מחוץ ל – IT. הרבה פעמים פתרונות ייבחרו על סמך שיקולים תפעוליים (נוחות ניהול) ולא אבטחתיים.

יכולת להטמיע פתרונות בהתאם לדרישות

בדומה לסעיף בחירת הפתרון, גם כאן ההטמעה יכולה להיעשות בהתאם לצרכי מנהל אבטחת המידע, ולעיתים אף על-ידו.

בהרבה מקרים 'מדווחים' לו על ההטמעה והוא לא משפיע על איכות ההטמעה. במקרה הטוב, הוא יבצע סקר הטמעה וימתין חודשים לתיקון חלק מהליקויים.

רמת אבטחה טכנולוגית

כנראה טובה יותר.

כנראה פחות טובה.

רמת אבטחה נהלית/תהליכית

קשה לומר.

קשה לומר.

רמת ביצוע בקרה

תלוי בגורמים רבים.

טובה.

הבקרה נראית יותר כמו ביקורת חיצונית.

מודעות פרסומת



דצמבר 2013
א ב ג ד ה ו ש
« אוק   יונ »
1234567
891011121314
15161718192021
22232425262728
293031  
מודעות פרסומת