תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.
מידת ההצלחה או הכישלון של מנהל אבטחת מידע בתפקידו תלויה בכושר מנהיגותו להוביל את הארגון כולו להבנה שניצול יעיל של תקציב אבטחת המידע וניהול יעיל של מערכות אבטחה וצוות אבטחת מידע יכול להביא להצלחת הארגון בסביבה התחרותית בה הוא מתנהל. מנהל אבטחת מידע אשר רוצה להצליח חייב להפנות את עיקר מרצו להבנת הסביבה העסקית והארגונית אותה הוא משרת, להבנת האסטרטגיה התחרותית של הארגון, ולבניית התוכנית הטובה והמשכנעת ביותר להטמעת טכנולוגיות אבטחת מידע מתקדמות, התואמות את האסטרטגיה העסקית של הארגון.
יחד עם זאת, מנהל אבטחת מידע חייב להבין את כיווני ההתפתחות של הטכנולוגיה, לדעת כיצד
לבחור את טכנולוגית אבטחת המידע המתאימה, בזמן המתאים ובתקציב הנכון, ולהביא להטמעתה
המלאה בארגון. כמו כן, חשוב לציין את ניהול האבטחה וניהול המשאב האנושי ותיעול העובדים להשגת מטרות הארגון כמרכיב חשוב ביותר להצלחת מנהל אבטחת מידע הפועל בסביבה רצופת ניגודים.
התפיסה שמלווה מנהלי אבטחת מידע רבים, הינה שאבטחת המידע היא "Business Disabler" (עוצרת את העסקים). משפט זה הוא לא רק סיסמא שגויה של מנהלי אבטחת מידע מסוימים אלה צורת עבודה שוטפת מול הגורמים העסקיים בארגון, דבר היוצר ניגוד עניינים פנימי בארגון בין מנהל אבטחת מידע למנהלים שונים בארגון והדירקטוריון. כאשר בפועל, המצב הרצוי הוא בהיות מנהל אבטחת מידע ה- "Business Enabler Securely"(מאפשר את העסקים המאובטחים) שהינה אסטרטגיית סיוע לפיתוח העסקי בארגון באמצעות תחזוקה וניהול השוטף של אבטחת המידע.
קיימים ניגודים נוספים בעבודת מנהל אבטחת מידע, בהם העמידה בדרישות העסקיות אל מול השיקולים הכלכליים, ההתייעלות הטכנולוגית-תפעולית אל מול התמודדות עם השינויים, וההשקעה בטכנולוגיות מתקדמות ובחינת ROI (Return on Investment) לארגון מול הצורך להוכיח החזר השקעה. לכן על מנהל אבטחת מידע לרכוש מיומנויות עסקיות לרבות ביצוע הערכת שווי נכס ברגע שזיהה את הנכסים של הארגון ואת האיומים ונקודות התורפה שלהם. וליצור מטריצה ??ומעריך של הנכסים במונחים של ערך גבוה, בינוני ונמוך לארגון המבוסס על ההגדרות אבטחת מידע. בהתאם לכך תיגזר מפת האיומים על הארגון והדרכים בהגנת המידע בשמירת סודיות המידע, באמינות המידע ובבקרה על המידע.
להלן מספר כלים עבור מנהל אבטחת מידע לקבלת תקציב עבור אבטחת המידע בארגון:
- מענהלרגולציה: הרגולציה שאליה כפוף הארגון משפיעה רבות על אבטחת המידע. ישנןרגולציות עולמיות ומקומיות שאי עמידה בהן עלולה להעמיד את הארגון בפני קנסותו/או פקיעת רישיון עסקי. לרוב, ההנהלה מאשרת פרויקטים הקשורים לרגולציה.
- ניהולסיכונים: אבטחת מידע מבוססת בעיקר על מדע איכותי (בניגודלכמותי) של סיכונים. הרי לא ניתן להעריך נזק כספי מדויק מפריצה למערכת נתוניםוגניבת מידע או מפגיעה במוניטין של הארגון. עם זאת, על סמך שווי נכס איכותיאו אירועי אבטחת מידע קודמים ניתן להעריך סיכונים של ליקויים שונים. על בסיסרמת הסיכון, ניתן להצדיק תקציב לאבטחת המידע .
- החזרהשקעה (ROI):למרות שאין תשואה ריאלית על השקעת ביטחוןאלה יש רק ניהול סיכונים, ניתן לכמת עלות של נזק צפוי כגון:
עלות הנכס (Asset Value) X אחוז הפגיעה בנכס (Exposure Factor) = עלות בודדת (Single Loss Expectancy).
עלות בודדת (Single Loss Expectancy) X הסבירות השנתית שיקרה הנזק (Annualized Rate of Occurrence) = עלות הנזק השנתית (Annualized Loss Expectancy).
על עלויות לנזק או נזק שכבר קרה, ניתן להצדיק תקציב לאבטחת המידע .
- תוכניתעבודה לאבטחת מידע: תוכנית אבטחת מידע צריכה להיגזר מהבנת הסביבההעסקית התואמת את האסטרטגיה העסקית של הארגון. חשוב מאוד לתכנן פרויקטים לטווחארוך, להכניס אותם לתוכנית עבודה ולאשרה בהנהלה. אם משלבים בתוכנית העבודה אתשלוש הנקודות הראשונות, הסיכוי שהמשימות השונות והתקציבים הנדרשים, יאושרו.
- שילובאבטחת מידע בפרויקטים: תמחור של פרויקטים באגף מערכות מידע חייביםלכלול גם אספקטים של אבטחת מידע (כגון: סקר אבטחת מידע, מערכות אבטחה, וכד').שילוב ואישור אבטחת מידע בצמתים קריטיים ובקרה של הפרויקטים בוודאות יסייעובקבלת תקציבים לאבטחת מידע.
- הצגתאירועי אבטחת מידע: מנהל אבטחת מידע חייב לקחת חלק פעילבישיבות הנהלה בחברה, ולהציג את תמונת אבטחת המידע בארגון ואירועי אבטחת מידעכחלק מאסטרטגיית סיוע לפיתוח העסקי בארגון הכוללת לו"ז ותקציב.
- שיווקפעילות אבטחה: הצגת אבטחת מידע כ- BusinessEnabler Securely(מאפשר את העסקים המאובטחים) החצנת פעולותאבטחת מידע בארגון והאופן שבו רואים בארגון את מנהל אבטחת מידע קובעת אתההתייחסות שהוא יקבל בכול פורום או דרישת תקציב שהוא יעלה.
המידע שלך חָשוּב לך: חְשוֹב איך להגן עליו.