על הקשר בין מנהל אבטחה לעסקים

הצורך של המנמ"ר לסייע לארגון במימוש יעדיו העסקיים עולה לעתים תכופות בפורומים המקצועיים. עתה, מתפתחת תיאוריה חדשה, המחזיקה באותה דעה גם לגבי מנהלי האבטחה בארגונים. על פניו, נדמה כי מנהלי האבטחה מרוחקים מהנושא יותר מהמנמ"ר, שכן תפקידם מסתכם בטכנולוגיה, באבטחה ובאכיפת נהלים. אבל הזמנים משתנים, והתלות של ארגונים רבים בטכנולוגיה הולכת ומתהדקת. גם האיומים שמרחפים על מערכות המידע הם בחלקם לא קונבנציונליים, ועל אנשי ה-IT להיערך בצורה טובה יותר כדי לתת מענה לנושא.

בכנס אנליסטים של גרטנר (Gartner) בנושא אבטחה שנערך באחרונה בסידני, אוסטרליה, טענו חלק מהמשתתפים, כי כיום כבר לא מספיקה הלימה בין מנהל האבטחה לצרכים העסקיים של הארגון. כלומר, לא עוד איש חיצוני שנותן שירותים בלבד, אלא חלק בלתי נפרד מהקו העסקי של החברה שהוא עובד בה. זוהי ללא ספק מגמה חדשה שמעמידה בפני מנהלי האבטחה אתגרים לא פשוטים. המקרה משול לכלי רכב, שכדי לנוע בבטחה זקוק לפעולה נכונה ומתואמת של ארבעת גלגליו. כך, לשיטתה של גרטנר, מנהלי האבטחה הופכים להיות חלק בלתי נפרד מהפעילות העסקית של הארגון.

הממשק העיקרי בין מנהל האבטחה לעולם העסקי הוא בתחום של ניהול סיכונים. אם בעבר היתה הפרדה וירטואלית בין ניהול סיכונים ב-IT לניהול סיכונים במובן העסקי, הרי שהיום היא לא קיימת. אולם, כיום מנהל האבטחה הוא עדיין פאסיבי, לא יוזם ולא נתפש כמוביל. לדעת האנליסטים של גרטנר, המציאות הזו היא מסוכנת, ויכולה אף להוביל לקריסת הארגון. הסיבה לכך היא לא בהכרח עקב היעדר ניהול סיכונים, אלא דווקא בגלל עודף נהלים והחמרות, שמנעו מהארגון לנצל הזדמנויות עסקיות. נכון, אין זה מתפקידו של מנהל האבטחה או המנמ"ר לקבוע את רמת ניהול הסיכונים, אולם הם חייבים להיות חלק בלתי נפרד משכבת המנהלים שעוסקת בביזנס. כך, מנהלי האבטחה יוכלו לייעץ להנהלה בצורה מושכלת יותר, ולמנוע סיכונים מיותרים, וכן למנוע מקרים של עודף סיכונים שעוצרים את התפתחות הארגון.

החיבור לעסקים אינו דבר מובן מאליו. שכן, כיצד מנהל טכנולוגי, דוגמת מנהל אבטחה, יכול להשתלב בעסקים של ארגון שמנהליו מגיעים מדיסציפלינות שונות לחלוטין? על פי גרטנר, נראה כי התשובה ברורה: "אינך חייב לסיים בית ספר למנהל עסקים כדי להיות חלק מהצד העסקי של הארגון, אבל באותה מידה אינך יכול להישאר בבורות מוחלטת לגבי הביזנס של הארגון".

אחת העצות הניתנות למנהל האבטחה היא לגשר בין העולמות הטכנולוגיים לעסקיים. במילים אחרות, להעמיד את מתודולוגיות ניהול סיכונים שמנהל האבטחה מומחה בהן מול הפעילות העסקית של הארגון, ולבחון איזה ערך עסקי ירוויח הארגון במידה שיישם את אחת האופציות. מדובר בגישה פרו-אקטיבית, יזומה, שרואה את טובת הארגון, ומאפשרת לו לקחת סיכונים מחושבים המבוססים על הבנת העסקים.

השילוב של מנהלי אבטחה בעסקים הופך להיות קריטי דווקא בשל איומי הסייבר, שכן הארגון צריך לקבל החלטות חשובות שיש בהן סיכונים. לכן, דרוש מנהל אבטחה מקצועי שמכיר את המשמעות של התקפות סייבר, ובו בזמן מבין שאי אפשר לעצור את הארגון.

השורה התחתונה: ארגון שלא ישכיל לשלב מנהל אבטחה כאחד מארבעת הגלגלים שמניעים את פעילותו, עלול לשלם בעתיד מחיר יקר מאד.