פוסט אורח נוסף שכתב ליאור מזור, הפעם בנושא ניהול אבטחת מידע.
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.
מידת ההצלחה או הכישלון של מנהל אבטחת מידע בתפקידו תלויה בכושר מנהיגותו להוביל את הארגון כולו להבנה שניצול יעיל של תקציב אבטחת המידע וניהול יעיל של מערכות אבטחה וצוות אבטחת מידע יכול להביא להצלחת הארגון בסביבה התחרותית בה הוא מתנהל. מנהל אבטחת מידע אשר רוצה להצליח חייב להפנות את עיקר מרצו להבנת הסביבה העסקית והארגונית אותה הוא משרת, להבנת האסטרטגיה התחרותית של הארגון, ולבניית התוכנית הטובה והמשכנעת ביותר להטמעת טכנולוגיות אבטחת מידע מתקדמות, התואמות את האסטרטגיה העסקית של הארגון.
יחד עם זאת, מנהל אבטחת מידע חייב להבין את כיווני ההתפתחות של הטכנולוגיה, לדעת כיצד לבחור את טכנולוגית אבטחת המידע המתאימה, בזמן המתאים ובתקציב הנכון, ולהביא להטמעתה המלאה בארגון. כמו כן, חשוב לציין את ניהול האבטחה וניהול המשאב האנושי ותיעול העובדים להשגת מטרות הארגון כמרכיב חשוב ביותר להצלחת מנהל אבטחת מידע הפועל בסביבה רצופת ניגודים.
התפיסה שמלווה מנהלי אבטחת מידע רבים, הינה שאבטחת המידע היא "Business Disabler" (עוצרת את העסקים). משפט זה הוא לא רק סיסמא שגויה של מנהלי אבטחת מידע מסוימים אלה צורת עבודה שוטפת מול הגורמים העסקיים בארגון, דבר היוצר ניגוד עניינים פנימי בארגון בין מנהל אבטחת מידע למנהלים שונים בארגון והדירקטוריון. כאשר בפועל, המצב הרצוי הוא בהיות מנהל אבטחת מידע ה- "Business Enabler Securely" (מאפשר את העסקים המאובטחים) שהינה אסטרטגיית סיוע לפיתוח העסקי בארגון באמצעות תחזוקה וניהול השוטף של אבטחת המידע.
קיימים ניגודים נוספים בעבודת מנהל אבטחת מידע, בהם העמידה בדרישות העסקיות אל מול השיקולים הכלכליים, ההתייעלות הטכנולוגית-תפעולית אל מול התמודדות עם השינויים, וההשקעה בטכנולוגיות מתקדמות ובחינת ROI (Return on Investment) לארגון מול הצורך להוכיח החזר השקעה. לכן על מנהל אבטחת מידע לרכוש מיומנויות עסקיות לרבות ביצוע הערכת שווי נכס ברגע שזיהה את הנכסים של הארגון ואת האיומים ונקודות התורפה שלהם. וליצור מטריצה ומעריך של הנכסים במונחים של ערך גבוה, בינוני ונמוך לארגון המבוסס על ההגדרות אבטחת מידע. בהתאם לכך תיגזר מפת האיומים על הארגון והדרכים בהגנת המידע בשמירת סודיות המידע, באמינות המידע ובבקרה על המידע.
להלן מספר כלים עבור מנהל אבטחת מידע לקבלת תקציב עבור אבטחת המידע בארגון:
1. מענה לרגולציה: הרגולציה שאליה כפוף הארגון משפיעה רבות על אבטחת המידע. ישנן רגולציות עולמיות ומקומיות שאי עמידה בהן עלולה להעמיד את הארגון בפני קנסות ו/או פקיעת רישיון עסקי. לרוב, ההנהלה מאשרת פרויקטים הקשורים לרגולציה.
2. ניהול סיכונים: אבטחת מידע מבוססת בעיקר על מדע איכותי (בניגוד לכמותי) של סיכונים. הרי לא ניתן להעריך נזק כספי מדויק מפריצה למערכת נתונים וגניבת מידע או מפגיעה במוניטין של הארגון. עם זאת, על סמך שווי נכס איכותי או אירועי אבטחת מידע קודמים ניתן להעריך סיכונים של ליקויים שונים. על בסיס רמת הסיכון, ניתן להצדיק תקציב לאבטחת המידע .
3. החזר השקעה (ROI): למרות שאין תשואה ריאלית על השקעת ביטחון אלה יש רק ניהול סיכונים, ניתן לכמת עלות של נזק צפוי כגון:
עלות הנכס (Asset Value) X אחוז הפגיעה בנכס (Exposure Factor) = עלות בודדת (Single Loss Expectancy).
עלות בודדת (Single Loss Expectancy) X הסבירות השנתית שיקרה הנזק (Annualized Rate of Occurrence) = עלות הנזק השנתית (Annualized Loss Expectancy).
על עלויות לנזק או נזק שכבר קרה, ניתן להצדיק תקציב לאבטחת המידע .
4. תוכנית עבודה לאבטחת מידע: תוכנית אבטחת מידע צריכה להיגזר מהבנת הסביבה העסקית התואמת את האסטרטגיה העסקית של הארגון. חשוב מאוד לתכנן פרויקטים לטווח ארוך, להכניס אותם לתוכנית עבודה ולאשרה בהנהלה. אם משלבים בתוכנית העבודה את שלוש הנקודות הראשונות, הסיכוי שהמשימות השונות והתקציבים הנדרשים, יאושרו.
5. שילוב אבטחת מידע בפרויקטים: תמחור של פרויקטים באגף מערכות מידע חייבים לכלול גם אספקטים של אבטחת מידע (כגון: סקר אבטחת מידע, מערכות אבטחה, וכד'). שילוב ואישור אבטחת מידע בצמתים קריטיים ובקרה של הפרויקטים בוודאות יסייעו בקבלת תקציבים לאבטחת מידע.
6. הצגת אירועי אבטחת מידע: מנהל אבטחת מידע חייב לקחת חלק פעיל בישיבות הנהלה בחברה, ולהציג את תמונת אבטחת המידע בארגון ואירועי אבטחת מידע כחלק מאסטרטגיית סיוע לפיתוח העסקי בארגון הכוללת לו"ז ותקציב.
7. שיווק פעילות אבטחה: הצגת אבטחת מידע כ- Business Enabler Securely (מאפשר את העסקים המאובטחים) החצנת פעולות אבטחת מידע בארגון והאופן שבו רואים בארגון את מנהל אבטחת מידע קובעת את ההתייחסות שהוא יקבל בכול פורום או דרישת תקציב שהוא יעלה.
המידע שלך חָשוּב לך: חְשוֹב איך להגן עליו.
על כותב המאמר:
ליאור מזור, מהנדס תוכנה. בעל תואר ראשון B.sc למדעי המחשב ומתמטיקה, ניסיון של למעלה מ- 9 שנים באבטחת מידע ביישום והטמעה של מערכות אבטחת מידע וניסיון בניהול פרויקטים בארץ ובחו"ל. מוסמך מת"י כ Leading Auditor לתקן ISO 270001, מוסמך CISSP. וכן בעל ניסיון מקצועי בפיתוח, ביצוע מבדקי חדירה אפליקטיביים, בדיקות קוד, תקיפות והגנת סייבר.
זו הזדמנות טובה לעקוב אחרי הפוסטים השונים בבלוג בתחום ניהול אבטחת מידע בלינק.
CISO בלוג אבטחת מידע 
0 תגובות to “דרוש תקציב לאבטחת המידע”