אותה משימה, פסרפקטיבה אחרת: מה בין CIO ל-CISO?
עד לפני שנים לא רבות, לרוב העובדים בארגונים לא הייתה גישה לאינטרנט או אפילו למחשבים ● עם התקדמות הטכנולוגיה בארגונים, נולדו בעלי תפקידים שתפקידם לנהל את המידע ואבטחתו ● מה הם תחומי האחריות של ה-CIO לעומת CISO? האם כל ארגון צריך את שניהם? ● עושים סדר במערך המידע
חרף מאמציי הכבירים להסביר באופן רהוט על עבודתי, כמעט תמיד בשיחות עם אנשים חדשים מגיע הרגע שבו גבותיהם מתכווצות בחוסר הבנה. זה הולך בערך כך:
"אז אתה אומר שכיהנת כמנמ"ר?"
"אמת".
"שזה בעצם CIO".
"נכון. ראשי תיבות של Chief Information Officer – מנהל מערכות מידע ראשי".
"בן דוד שלי הוא CISO, זה אותו דבר?"
"קרוב. בן הדוד שלך אחראי על אבטחת מידע".
"אז הוא יכול להיות הבוס שלך?"
"לרוב זה להיפך. איפה הוא עובד? לפעמים הבוס של CISO הוא ה-CRO, קצין סיכונים ראשי…"
…בשלב זה בדרך כלל הם כבר לא איתי. לכן החלטתי לכתוב כתבה זו, כדי שאחת ולתמיד יובהר: מיהו ה-CIO, מיהו ה-CISO ואיך הם עובדים יחד. כולם עדיין איתי? יופי, נתקדם.
ההבדל הגדול שעושה 'S' קטנה: אותו ארגון, אחריות שונה
המקום הנכון לתחילת ההסבר הוא להבין שמדובר במקצועות יחסית חדשים. עד לפני פחות מ-20 שנים לא לכל עובד היה מחשב. גם אם היה, לא תמיד הוא חובר לרשת כלשהי, פנימית או חיצונית. במשך עשורים האחריות על טכנולוגיות בארגונים יכלה להיות תחום קטן בתוך מחלקה אחרת, כמו תפעול. אבל כיום כמעט לכל עובד (אפילו אנשי שטח) יש מחשב משלו ושלל יישומים טכנולוגיים שהוא משתמש בהם לעבודתו. בנוסף, חברות וארגונים רבים מנגישים ללקוחותיהם ממשקים ליישומים או לאתרים שלהם – לרכישה, תקשורת, הגשת בקשות ועוד.
ההתקדמות המהירה דרשה אדם בארגון, שינהל את מערכות המידע והטכנולוגיה. אולם ידע והבנה בטכנולוגיות ו-IT אינם מספיקים כדי באמת לנהל את התחום באופן אפקטיבי. הצמיחה המהירה בכמות ובחשיבות מערכות המידע הפכה את ניהולם לצורך אסטרטגי, שדורש לרוב דיווח ישיר למנכ"ל וניהול עובדים ומחלקות. כך התגבש תפקיד ה-CIO: אדם בעל ידע וניסיון בטכנולוגיות ו-IT, עם הבנה עסקית ויכולת ליזום ולהניע אנשים ותהליכים, אשר משרתים את הצרכים העסקיים של הארגון.
אולי הדרך הכי טובה להגדיר את ה-CIO היא בכלל מנהל תהליכים: עליו מוטלת האחריות ליצור תהליכים באמצעות פיתוח וקליטת טכנולוגיות, אשר יקדמו את החזון והמטרות העסקיות.
עכשיו בואו נדבר על ה-CISO. העלייה בתהליכים הטכנולוגיים, בתעבורת המידע ובגישה למערכות הארגון (של עובדים ולקוחות כאחד) חושפת למעשה את הארגון לשלל איומים דיגיטליים: החל מפריצות של האקרים ועד לאיבוד גישה למערכות המידע (מה שעשוי לגרור שורת עיכובים ובעיות). בארגונים יחסית קטנים ה-CIO נושא באחריות אבטחת המידע. אולם בארגונים גדולים יותר, שבהם האיומים והיקף העבודה גדולים יותר, נדרש אדם ייעודי למשימה. כך נולד תפקיד מנהל אבטחת המידע – Chief Information Security Officer, או בר"ת – CISO. בין תפקידיו: איתור נקודות תורפה במערך המידע, הגנה מווירוסים ופריצות, עדכוני תוכנה, ניהול Firewall, גיבויים, ניהול הרשאות, ניהול גישה ללקוחות, הגנה על נתוני לקוחות, סקרי אבטחת מידע, בחינת מוצרים ועוד.
באופן מסורתי, ה-CISO כפוף ל-CIO, אולם לעיתים פעילותו תשויך למחלקה אחרות. לדוגמה, בארגונים פיננסיים ה-CISO לרוב כפוף דווקא ל-CRO, מנהל הסיכונים הראשי. במקרים אחרים ה-CISO כפוף ישירות למנכ"ל, ויעבוד במקביל ל-CIO – הכל תלוי בארגון, בהיקף התהליכים הטכנולוגיים ובצורכי העסק.
ראוי גם לציין, שקיימות חברות אשר מספקות שירותי CISO במיקור חוץ. עובד מטעמן נכנס לנעלי ה-CISO של ארגון ומנהל את אבטחת המידע בעזרת עובדי הארגון, או בגיבוי צוות החברה שמעסיקה אותו. מדובר בפתרון מצוין עבור ארגונים בסדר גודל בינוני, או ארגונים בצמיחה, שעדיין לא זקוקים ל-CISO במשרה מלאה.
החיים בסייבר: וגר מנמ"ר עם CISO?
כמו שניתן לצפות, לא תמיד הכל עובד חלק בין CIO ל-CISO. השניים חולשים על אותו תחום, אך מזוויות שונות. נהוג לומר, שמטרת ה-CIO היא לפתח ולהרחיב טכנולוגיות, ואילו מטרת ה-CISO היא לצמצם ולהגביל את הגישה אליהן. שתי הגישות המנוגדות עשויות לגרום קונפליקט. גם הכפיפות של ה-CISO ל-CIO עשויה לגרום לחיכוכים במקרים מסוימים. אולם המציאות, כמו תמיד, מורכבת מכך.
ה-CIO וה-CISO המוכשרים והמצליחים ביותר שאני מכיר הם אלו שפיתחו הערכה מקצועית ואישית גבוהה לעמיתיהם. הם הבינו שהם לא עומדים בקצוות מנוגדים – אלא משלימים. הם נוהגים לשתף זה את זה בתוכניות ובשיקולים ולהתייעץ כדי למצוא את הפתרון ההוליסטי והאידיאלי ביותר עבור צורכי הארגון.
בעידן הקורונה, שיתוף פעולה בין השניים קריטי מאי פעם. ארגונים נדרשים למצוא פתרונות לעבודה מרחוק, ולפיכך החלו לשלב מערכות לעבודה מרחוק, כמו זום. מצד אחד, מערכות אלו חיוניות לעבודה תקינה. מצד שני, הן מהוות פתח למגוון פרצות אבטחה. רק הארגונים שבהם ה-CIO וה-CISO יצליחו לייצר מודל התרחבות טכנולוגית בטוחה, יסתגלו לעידן הנוכחי עם מינימום סיכונים ומקסימום צמיחה.
הכותב כיהן כמנמ"ר מימון ישיר וכיום משמש כיועץ טכנולוגי לארגונים, כמנכ"ל חברת הייעוץ New Advice ושופט בתחרות מצטייני המחשוב IT Awards 2020.
זה נושא ממש חשוב. הרבה מקלים בו ראש. אני מכיר אפילו הנהלות שלקחו מומחה לתקשורת ארגונים בכדי לשפר את התקשורת ואת היחסים של המנמ"ר והסיסו
מה דעתכם?