כיצד לבחור מנהל אבטחת מידע שיבטיח הגנה אופטימלית והובלה אסטרטגית.
מאמר זה נועד לשקף עקרונות חשובים שיעזרו לכם בתהליך בחירת CISO בכלל ובפרט כשמדובר בשירותי CISO As A service.
ארגונים מתמודדים עם אתגרי סייבר חסרי תקדים ובמקביל באתגרי תאימות לסטנדרטים רגולטוריים. בהתמודדויות אלו תפקיד ה־CISO קריטי. מאמר זה נועד לשקף עקרונות חשובים שיעזרו לכם בתהליך בחירת CISO בכלל ובפרט כשמדובר בשירותי CISO As A service.
מהן הציפיות מ־CISO כשירות, ובכלל?
חשוב להבין, CISO אינו עוסק בטכנולוגיה בלבד. להפך – CISO בעיקרו אינו תפקיד טכנולוגי. CISO צריך להיות Business enabler עם יכולות ניהול שמסוגל להבין את התהליכים העסקיים בחברה, לבנות ולהוביל תהליכי אבטחת מידע, וכמובן בעל כישורים נאותים לתקשר עם מנהלים ודירקטוריון בשפה שלהם.
הנה כמה דגשים לבחירת CISO:
- הבנה עסקית: על CISO להיות מסוגל להבין את התהליכים העסקיים – זה אומר ללכת מעבר לטרמינולוגיה הטכנית ולראות את התמונה הגדולה של איך יוזמות אבטחה תומכות ומפעילות את מטרות העסק מתוך משקפי ההנהלה.
- כישורי הצגה להנהלה ולדירקטוריון: אחד התפקידים של CISO הוא להציג להנהלה ולדירקטוריון. עליהם להיות מסוגלים ליצור מצגות ברורות, תמציתיות ומשפיעות שמתקשרות את מצב הסיכון במונחים עסקיים.
- ניהול סיכונים: לא כל דבר הוא חירום. CISO מיומן ידרג סיכונים ויטפל בהתרעות וחולשות בלי לגרום לפאניקה מיותרת ומתוך שמירה על פרספקטיבה מאוזנת על מה שבאמת דורש תשומת לב ומתי.
- הובלה: CISO חייב להיות מוביל ולא מובל, על CISO לשמש דוגמה ולגרום לאחרים לבצע את עבודתם.
- הבנת שורש הבעיה: על CISO לדעת שהפתרון לכל חשיפה ולכל סיכון איננו באופן אוטומטי "נטמיע עוד טכנולוגיה". שורש הבעיה באבטחת מידע הוא אי־קיום תהליכים. הטכנולוגיה נועדה לתמוך בתהליך – אבל לא לבוא כתחליף, והראיה שחברות קונות עוד ועוד טכנולוגיות, ממש חגיגה שלמה לשוק הסייבר, אבל הסיכון רק ממשיך להתגבר.
בעיית הכישורים
השוק הוצף בבתי ספר ותוכניות הסמכה ל־ CISO שמקבלים כמעט כל דורש. זה יצר בעיה באיכות המועמדים, אנשים רבים מחזיקים בתואר CISO בלי שיש להם את הניסיון הנדרש או היכולת הניהולית הדרושה לתפקיד.
מאיש תשתיות לתפקיד CISO – הקפיצה פשוט גדולה מדיי
חשוב ככל שיהיה, עבר מפואר בתפקידי תשתיות, תקשורת או אנליסט, אינו מכשיר לתפקיד CISO. המעבר מתפקידים טכניים אלו לתפקיד ניהולי אסטרטגי דורש שיפור מיומנויות משמעותי ושינוי תפיסה מהותי, ולא יכול להסתכם בקורס CISO.
בניגוד לתפקידים שציינו, CISO חייב לחשוב מעבר לבעיות הטכניות ולהוביל ולפתח את תהליכי אבטחת המידע, להיות בעל מיומנויות ניהוליות והבנה עסקית. על ה־CISO להתאים יוזמות הגנה למטרות העסקיות.
תפקיד CISO דורש מיומנויות רב־תחומיות
השילוב של יכולות ניהול, ידע טכני, הבנה ברגולציה, יכולות הובלה ושפה משותפת עם ההנהלה הוא נדיר וכמעט שאי אפשר למצוא אצל אדם אחד. זו הסיבה שהקונספט של קבוצת CISO בראשות Executive שמנהל צוות מומחים תופסת תאוצה, וזאת כדי שהלקוח יקבל כיסוי מקיף. חברי צוות שונים ייתנו מענה בתחומים שונים כמו רגולציות, תגובה לאירועים, ארכיטקטורת אבטחה, פיתוח מאובטח ועוד – כדי להבטיח שכל ההיבטים של אבטחת סייבר מכוסים.
התוצר שלכם הוא ניהול משופר: ה־CISO הניהולי יתמקד במנהיגות אסטרטגית, תקשורת עם הדירקטוריון והתאמת מאמצי ההגנה למטרות העסקיות, בעוד שהצוות יתמודד עם משימות טכניות, תהליכיות ותפעוליות.
אתה מקבל מה שאתה משלם עבורו.
בכמה שאלות פשוטות תגלו האם ה־CISO שהציעו לכם הוא מנהל תשתיות או CISO:
- שאלה: מהו נכס בעיני ההנהלה – תשובה: נכס הוא מידע כגון רשימת לקוחות (נכס בעיני ההנהלה איננו שרת).
- שאלה: האם כופרה זהו סיכון – תשובה: ממש לא, מדובר באיום (הסיכון הוא העלות הכספית כתוצאה מהאירוע).
- שאלה: האם עבור כל חולשה שפורסמה חייבים מיידית להשבית ולטפל – תשובה: לא, רק אם יש לה יכולת להתממש.
עוד שאלות ניסיון: כמה פעמים עשית מיפוי נכסים או תהליכים, בכמה אירועי סייבר טיפלת או ניהלת, האם הצגת להנהלה או לדירקטוריון, האם בנית תוכנית עבודה שנתית, אילו משימות בקרה היית מצפה למצוא בנוהל משאבי אנוש.
האפשרות הזולה ביותר לעיתים קרובות פירושה פשרה על האיכות.
ספק זול כנראה יציע מישהו עם ניסיון מוגבל וכישורים בלתי מספקים שלעיתים קרובות מזכיר מנהל תשתיות יותר מאשר CISO.
בחירת ספק שירותי ה־CISO היא החלטה אסטרטגית שיכולה להשפיע באופן משמעותי על מצב ההגנה ועל רמת המוכנות לאירוע סייבר. חשוב להסתכל מעבר למיומנויות הטכניות ולמחיר ולבחון האם ספק השירות נותן איש תשתיות בתחפושת CISO או שיש צוות שלם התומך ב־CISO מיומן שעובד על פי מתודולוגיה מוכחת לניהול אבטחת מידע תוך הובלת תהליכי אבטחת מידע.
מעוניינים לשמוע עוד על שירותי CISO-as-a-Service? פנו למומחי איי פי וי סקיוריטי!
לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.
