אחראי לכל כשלון ומתמוטט מהלחץ: השעיר לעזאזל של תעשיית הסייבר - תעשיית הסייבר - מבט מפנים - הבלוג של יותם גוטמן - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

אחראי לכל כשלון ומתמוטט מהלחץ: השעיר לעזאזל של תעשיית הסייבר

שליש ממנהלי אבטחת מידע חרדים למשרתם וסובלים מלחץ נפשי בשל אופיו התובעני של התפקיד, שסובל ממחסור כרוני בכוח אדם מיומן וכן משחיקה גבוה ופער בין הדרישות הבלתי אפשריות לבין האמצעים המוגבלים

הרמת משקולות
אי־אף־פי

איש אבטחת המידע המפורסם ת'ום לנגפורד מספר על מנהל אבטחת מידע (CISO-Chief Information Security Officer) שנכנס לתפקיד ומקבל מה-CISO היוצא שלוש מעטפות ממוספרת בספרות 1,2,3. הוא שואל בהשתוממות את האיש אותו הוא מחליף מה עליו לעשות עם המעטפות. "כשיקרה לך אירוע סייבר רציני תפתח את המעטפה הראשונה". אמר והלך.

ה-CISO נכנס במרץ לתפקיד, עבד ללא לאות ולאחר כחצי שנה סבל הארגון שלו ממתקפת סייבר חמורה. בדרכו לדווח להנהלה נזכר ה-CISO במעטפה ופותח אותה. על הפתק שבפנים כתוב "האשם את קודמך בתפקיד". שמח וטוב לב הוא צולח את האירוע הקשה. עוברים מספר חודשים והנה, עוד תקרית אבטחת מידע חמורה. הפעם הוא ניגש ישר למעטפה השנייה ובה כתוב "האשם את הצוות שלך". זה מצליח, ושכעבור זמן מה מתרחשת תקרית נוספת, ה-CISO, מלא ביטחון, פותח את המעטפה ורואה שכתוב בפנים "תכין שלוש מעטפות".

הסיפור הזה ממחיש בצורה יפה את העומס, חוסר הוודאות וכפיות הטובה האינהרנטיים למקצוע הסייבר, ובמיוחד נוגע הדבר למנהלים בתחום. אנשי הסייבר הם כמו שוער במשחק כדורגל - הם יכולים לשמור על "רשת נקייה" במשך עונה שלמה ולספוג גול שטותי בדקות הסיום של העונה - וזה מה שכולם יזכרו.

מנהל אבטחת מידע הינו תפקיד תפעולי תובעני וטובעני, שסובל ממחסור כרוני בכוח אדם מיומן וכן משחיקה גבוה ותחלופת כוח אדם תכופה - לא בדיוק התפקיד ההירואי והסקסי שהמדיה והתעשייה גורמים לנו להאמין. בעוד שמחסור בעובדים מיומנים, תחלופת עובדים ותקציב לחוץ מקשים על כל מקצוע ניהולי, הרי של-CISO יש מספר אתגרים מיוחדים.

חדר ישיבות מלון שרתון
Marriott International- matteobarro.com

כן מנהל, לא באמת חלק מהשדרת הניהול

כפי ששמו מרמז, CISO הינו חלק משדרת הניהול של הארגון (כמו CEO,CFO ועוד). בפועל, בארגונים רבים, CISO הינו מנהל זוטר יחסית, שאינו מצוי במעגל קבלת ההחלטות וזוכה "להיות בחדר" (הכוונה במועצת המנהלים) בעיקר כשקורה אירוע אבטחה שצריך לספק לגביו הסברים. אין לארגונים מסלול מובנה להכשרת CISO, יש שנותנים את התפקיד כנע"ת למנהל IT, או לקב"ט, או שנותנים תפקיד ללא תקנים לצוות סייבר שיתמוך בו.

עני בתקציב ביחס למשימות

מחלקת הסייבר בארגון מפעילה את המערכות הקיימות, בוחנת ורוכשת מערכות חדשות, מטפלת באירועים, מכשירה אנשים, מזמינה סקרי אבטחה חיצוניים (שמחויבים על ידי הרגולציה), שומרת על כשירות מבצעית ועוד. ניתן היה לצפות שלאור ריבוי המשימות זוהי תהיה מחלקת מתוקצבת בציוחד אולם המציאות מראה שזו מחלקה "ענייה" יחסית בתקציב, בעיקר משום שהינה נטל תקציבי ולא יחידת רווח/הפסד. "השקעה" באבטחת מידע נתפסת כהוצאה (ובצדק - היא לא תניב הכנסות), והמוטיבציה להשקיע בה בהתאם. אי לכך, התקציב לרוב אינו מספק וחלק מהמערכות היקרות (לדוגמה, ה-Firewall) מתוקצב מתקציב תשתיות ה-IT ולא הסייבר.  

פוליטיקה ארגונית

ה-CISO פועל בסביבה פוליטית רגישה. מצד אחד הוא אחראי לאבטחת הנכסים הדיגיטליים הרגישים ביותר. מצד שני, ככל שנטל האבטחה יגבר הארגון יתקשה לבצע את משימותיו (לא מאמינים? תנסו להמציא ססמה חדשה פעם בשבועיים אחרי שכבר השתמשתם בכל הססמות הישנות שלכם). המתח בין האבטחה לצד העסקי הינו מתמיד וגורם לחיכוכים רבים. בנוסף, ה-CISO צריך לתמרן בין סמנכ"ל הטכנולגיות בארגון לבין הקב"ט, וכל זאת תוך עדכון תמידי של הנהלת הארגון בכל האירועים המתפתחים.

שעיר לעזאזל

וכן, ה-CISO הוא פעמים רבות השעיר לעזאזל של ההנהלה כאשר העניינים משתבשים. זכורים לרעה תקריות האבטחה באובר וב-Equifax שעליהם שילמו מנהלי הסייבר בארגון בכסאם. האם פרצת אבטחה, שפעמים רבות היא בלתי נמנעת, ולא נובעת מרשלנות, הינה עבירה שמצדיקה פיטורים היא שאלה פילוסופית, אבל המציאות מראה שזהו הפתרון הקל שבו נוקטים ארגונים על מנת "להשקיט" את הציבור ובעלי המניות הזועמים לאחר היוודע על תקרית סייבר גדולה.

תרופות
© Karin59 | Dreamstime

זה עולה להם בבריאות

התפקיד תובעני וכפוי טובה, וככזה, הוא משפיע על אלו שנושאים בו. סקר חדש שראיין 480 CISO מצא כי רבע מה-CISO מצהירים על ליקויים בריאותיים או נפשיים הנובעים מהעבודה וחמישית צורכים אלכוהול או תרופות הרגעה על בסיס קבוע על מנת להתמודד עם הסטרס הקשור בעבודה. שליש מה-CISO חרדים למשרתם, ומצרים על הפער בין הדרישות הבלתי אפשריות לבין האמצעים המוגבלים.

סיכום

CISO הינו המשרה הניהולית היחידה הנושא באחריות מלאה לכשלונות שיקרו. בדומה למשחק שם עם כיסוי ראש - ההפסד מובטח. כך סיכם האנליסט צ'ייס קנינגהם את התפקיד הזה.

הנחמה היחידה שאפשר למצוא אולי בתפקיד זה היא שיש מחסור רב כל כך באנשים, ש-CISO שפוטר בבושת פנים יוכל בוודאות למצוא עבודה בארגון אחר ותוך זמן קצר, כך שהגלולה לא מרה כל כך.

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#