יבמ: רבע ממנהלי האבטחה עוברים מהתמקדות בטכנולוגיה לטיפול נרחב בפעילות עסקית וניהול סיכונים

חל שינוי מהותי בתפקידו של מנהל אבטחת המידע בארגונים – כך על פי מחקר חדש של יבמ (IBM) ממנו עולה, כי 25% ממנהלי האבטחה בארגונים עוברים מהתמקדות בתחום הטכנולוגי להתמקדות בהובלה רחבה יותר של פעילות ניהול הסיכונים והתהליכים העסקיים.

הענק הכחול ערך את המחקר בקרב יותר מ-130 מנהלי אבטחת מערכות בכל העולם. הוא מאפיין שלושה סוגים של מנהלים כאלה, השונים זה מזה בעומק המוכנות שלהם וברמת הבגרות של תשתיות האבטחה המסורות לניהולם. כרבע מהמרואיינים מוגדרים על ידי עורכי המחקר כ-"משפיעים" – משמע, מנהלים בכירים המשפיעים בדרך כלל גם על האסטרטגיות העסקיות של הארגונים בהם הם פועלים. קבוצה זאת של מנהלים מציגה גם רמת מובנות גבוהה יותר בהשוואה לעמיתיהם, הנמנים עם קבוצת ה-"מגנים" או ה-"מגיבים".

עוד עולה מהמחקר, כי כל מנהלי האבטחה עומדים תחת לחץ כבד להגן ולשמור על הנכסים הארגוניים היקרים ביותר: כסף, מידע אודות לקוחות, קניין רוחני וערך המותג.

כשני שלישים ממנהלי האבטחה שהשתתפו בסקר דיווחו שהממונים עליהם מקדישים כיום לאבטחה יותר תשומת לב מאשר זו שניתנה לה לפני שנתיים. זאת, לאחר שסדרה של מתקפות מקוונות ודליפות נתונים שזכו לחשיפה תקשורתית גבוהה שכנעה את ההנהלות בדבר מקומה המרכזי של האבטחה בארגון המודרני.

כמו כן, יותר ממחצית המשיבים הצביעו על אבטחת מכשירי קצה ויישומים ניידים כמוקד מרכזי לתשומת לב ולדאגה בשנתיים הקרובות. כמעט שני שלישים צופים שההוצאה על טכנולוגיות IT תגדל בשנתיים האלה, כאשר כ-87% מהם מעריכים שהצמיחה תהיה בקצב דו-ספרתי.

ראייה כוללת של הסיכונים
עורכי המחקר קבעו, כי במקום להסתפק בתגובה לאירועי אבטחה, הולך תפקיד מנהל האבטחה ומשתנה לכיוון של ראייה הוליסטית של מכלול הסיכונים, תוך חתירה לניהול ולמזעור הסיכונים הללו עוד בטרם התרחש האירוע הבעייתי. מנהלי אבטחה המסווגים בקטגוריה המתקדמת ביותר – "משפיעים" – מביאים עימם מאפיינים ייחודיים, ציינו החוקרים.

עוד דן המחקר בהתייחסות לאבטחה כאל מרכיב עסקי חיוני ולא רק כאל עניין טכנולוגי. "אבטחה אינה יכולה להתנהל במתכונת אד-הוק, אלא כחלק יום-יומי של הדיון העסקי והתרבות הארגונית", נכתב. 60% מהארגונים המתקדמים בתחומם דיווחו ששאלות אבטחה מהוות נושא רגיל לדיוני הנהלה, לעומת 22% בארגונים המתקדמים פחות. הארגונים המתקדמים נוטים יותר להקים ועדת היגוי לנושאי אבטחה ולעודד גישות מערכתיות הכוללות התייחסות להיבטים חוקיים, תפעול עסקי, כספים ומשאבי אנוש. 68% מהארגונים המתקדמים הפעילו ועדה לניהול סיכונים לעומת 26% באלה המתקדמים פחות.

המחקר אף מתייחס לנושא קבלת ההחלטות והניהול על בסיס מידע. עולה ממנו ש-59% מהארגונים המובילים, לעומת 26% בלבד בארגונים האחרים, משתמשים בכלי מדידה ובמדדים מוגדרים לניטור משתנים הנוגעים לתחום האבטחה, בהם מודעות משתמשים, הדרכת עובדים, מוכנות לטיפול באיומים עתידיים ושילוב טכנולוגיות חדשות.

בתחום שיתוף אחריות לתקציב עם דרג המנהלים הבכירים העלה המחקר שברוב הארגונים יש למנהלי IT אחריות-על ושליטה בתקציב האבטחה. עם זאת, בארגונים הזוכים לציונים גבוהים יותר ניתן למצוא מקרים רבים יותר בהם מוטלת האחריות להשקעות האלה על הדרג הניהולי הכללי. בעוד ארגונים המדורגים נמוך יותר בביצועי האבטחה ובביצועים העסקיים שלהם אינם מגדירים כלל לעתים קרובות תקציבי אבטחה ייעודיים, ניתן למצוא ב-71% מהארגונים המתקדמים סעיפי תקציב אבטחה מוגדרים ותחומים.

בסיום המחקר המליצו מחבריו לבנות ארגונים מאובטחים יותר, כאשר המנהלים המובילים את תחום האבטחה יגדירו תוכנית פעולה המבוססת על היכולות הקיימות בארגוניהם וזו תתמקד בצרכים הבוערים ביותר. כך, יוכלו מי שמוגדרים ביבמ "מגיבים", ומצויים ברמה הנמוכה ביותר של איכות האבטחה, להתקדם באמצעות מינוי מנהלי אבטחה, להפעיל ועדת היגוי לתחום האבטחה ולניהול הסיכונים, ולבצע מיכון של שגרות האבטחה באופן שיאפשר הסטת משאבים לקידום התחום.