אחראי לכל כשלון ומתמוטט מהלחץ: השעיר לעזאזל של תעשיית הסייבר

שליש ממנהלי אבטחת מידע חרדים למשרתם וסובלים מלחץ נפשי בשל אופיו התובעני של התפקיד, שסובל ממחסור כרוני בכוח אדם מיומן וכן משחיקה גבוה ופער בין הדרישות הבלתי אפשריות לבין האמצעים המוגבלים

יותם גוטמן
יותם גוטמן
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
הרמת משקולות
הרמת משקולות צילום: אי־אף־פי
יותם גוטמן
יותם גוטמן

איש אבטחת המידע המפורסם ת'ום לנגפורד מספר על מנהל אבטחת מידע (CISO-Chief Information Security Officer) שנכנס לתפקיד ומקבל מה-CISO היוצא שלוש מעטפות ממוספרת בספרות 1,2,3. הוא שואל בהשתוממות את האיש אותו הוא מחליף מה עליו לעשות עם המעטפות. "כשיקרה לך אירוע סייבר רציני תפתח את המעטפה הראשונה". אמר והלך.

ה-CISO נכנס במרץ לתפקיד, עבד ללא לאות ולאחר כחצי שנה סבל הארגון שלו ממתקפת סייבר חמורה. בדרכו לדווח להנהלה נזכר ה-CISO במעטפה ופותח אותה. על הפתק שבפנים כתוב "האשם את קודמך בתפקיד". שמח וטוב לב הוא צולח את האירוע הקשה. עוברים מספר חודשים והנה, עוד תקרית אבטחת מידע חמורה. הפעם הוא ניגש ישר למעטפה השנייה ובה כתוב "האשם את הצוות שלך". זה מצליח, ושכעבור זמן מה מתרחשת תקרית נוספת, ה-CISO, מלא ביטחון, פותח את המעטפה ורואה שכתוב בפנים "תכין שלוש מעטפות".

הסיפור הזה ממחיש בצורה יפה את העומס, חוסר הוודאות וכפיות הטובה האינהרנטיים למקצוע הסייבר, ובמיוחד נוגע הדבר למנהלים בתחום. אנשי הסייבר הם כמו שוער במשחק כדורגל - הם יכולים לשמור על "רשת נקייה" במשך עונה שלמה ולספוג גול שטותי בדקות הסיום של העונה - וזה מה שכולם יזכרו.

מנהל אבטחת מידע הינו תפקיד תפעולי תובעני וטובעני, שסובל ממחסור כרוני בכוח אדם מיומן וכן משחיקה גבוה ותחלופת כוח אדם תכופה - לא בדיוק התפקיד ההירואי והסקסי שהמדיה והתעשייה גורמים לנו להאמין. בעוד שמחסור בעובדים מיומנים, תחלופת עובדים ותקציב לחוץ מקשים על כל מקצוע ניהולי, הרי של-CISO יש מספר אתגרים מיוחדים.

חדר ישיבות מלון שרתון

כן מנהל, לא באמת חלק מהשדרת הניהול

כפי ששמו מרמז, CISO הינו חלק משדרת הניהול של הארגון (כמו CEO,CFO ועוד). בפועל, בארגונים רבים, CISO הינו מנהל זוטר יחסית, שאינו מצוי במעגל קבלת ההחלטות וזוכה "להיות בחדר" (הכוונה במועצת המנהלים) בעיקר כשקורה אירוע אבטחה שצריך לספק לגביו הסברים. אין לארגונים מסלול מובנה להכשרת CISO, יש שנותנים את התפקיד כנע"ת למנהל IT, או לקב"ט, או שנותנים תפקיד ללא תקנים לצוות סייבר שיתמוך בו.

עני בתקציב ביחס למשימות

מחלקת הסייבר בארגון מפעילה את המערכות הקיימות, בוחנת ורוכשת מערכות חדשות, מטפלת באירועים, מכשירה אנשים, מזמינה סקרי אבטחה חיצוניים (שמחויבים על ידי הרגולציה), שומרת על כשירות מבצעית ועוד. ניתן היה לצפות שלאור ריבוי המשימות זוהי תהיה מחלקת מתוקצבת בציוחד אולם המציאות מראה שזו מחלקה "ענייה" יחסית בתקציב, בעיקר משום שהינה נטל תקציבי ולא יחידת רווח/הפסד. "השקעה" באבטחת מידע נתפסת כהוצאה (ובצדק - היא לא תניב הכנסות), והמוטיבציה להשקיע בה בהתאם. אי לכך, התקציב לרוב אינו מספק וחלק מהמערכות היקרות (לדוגמה, ה-Firewall) מתוקצב מתקציב תשתיות ה-IT ולא הסייבר.  

פוליטיקה ארגונית

ה-CISO פועל בסביבה פוליטית רגישה. מצד אחד הוא אחראי לאבטחת הנכסים הדיגיטליים הרגישים ביותר. מצד שני, ככל שנטל האבטחה יגבר הארגון יתקשה לבצע את משימותיו (לא מאמינים? תנסו להמציא ססמה חדשה פעם בשבועיים אחרי שכבר השתמשתם בכל הססמות הישנות שלכם). המתח בין האבטחה לצד העסקי הינו מתמיד וגורם לחיכוכים רבים. בנוסף, ה-CISO צריך לתמרן בין סמנכ"ל הטכנולגיות בארגון לבין הקב"ט, וכל זאת תוך עדכון תמידי של הנהלת הארגון בכל האירועים המתפתחים.

שעיר לעזאזל

וכן, ה-CISO הוא פעמים רבות השעיר לעזאזל של ההנהלה כאשר העניינים משתבשים. זכורים לרעה תקריות האבטחה באובר וב-Equifax שעליהם שילמו מנהלי הסייבר בארגון בכסאם. האם פרצת אבטחה, שפעמים רבות היא בלתי נמנעת, ולא נובעת מרשלנות, הינה עבירה שמצדיקה פיטורים היא שאלה פילוסופית, אבל המציאות מראה שזהו הפתרון הקל שבו נוקטים ארגונים על מנת "להשקיט" את הציבור ובעלי המניות הזועמים לאחר היוודע על תקרית סייבר גדולה.

תרופות

זה עולה להם בבריאות

התפקיד תובעני וכפוי טובה, וככזה, הוא משפיע על אלו שנושאים בו. סקר חדש שראיין 480 CISO מצא כי רבע מה-CISO מצהירים על ליקויים בריאותיים או נפשיים הנובעים מהעבודה וחמישית צורכים אלכוהול או תרופות הרגעה על בסיס קבוע על מנת להתמודד עם הסטרס הקשור בעבודה. שליש מה-CISO חרדים למשרתם, ומצרים על הפער בין הדרישות הבלתי אפשריות לבין האמצעים המוגבלים.

סיכום

CISO הינו המשרה הניהולית היחידה הנושא באחריות מלאה לכשלונות שיקרו. בדומה למשחק שם עם כיסוי ראש - ההפסד מובטח. כך סיכם האנליסט צ'ייס קנינגהם את התפקיד הזה.

הנחמה היחידה שאפשר למצוא אולי בתפקיד זה היא שיש מחסור רב כל כך באנשים, ש-CISO שפוטר בבושת פנים יוכל בוודאות למצוא עבודה בארגון אחר ותוך זמן קצר, כך שהגלולה לא מרה כל כך.

יותם גוטמן

יותם גוטמן | תעשיית הסייבר - מבט מפנים

אני בוגר קורס חובלים של חיל הים, עבדתי בתעשיות הבטחוניות ובחברות Homeland Security ומודיעין עד שהגעתי לעולם הסייבר לפני 6 שנים. עבדתי במספר סטארט-אפים בתחום בתפקידי שיווק ובשלוש שנים האחרונות אני משמש כיועץ. הקמתי ואני מנהל את קהילת אנשי השיווק בסייבר שמונה קרוב ל-250 אנשי ונשות מקצוע.

הבלוג ישמש כמיקרוסקופ למתבונן מבחוץ אל תוך תעשיית הסייבר (שבינינו, סובלת ממיסטיפיקציה מוגזמת). הבלוג יעסוק בנושא התעסוקה וקריירה בעולם הסייבר, ויתמקד בטרנדים עסקיים, גלובליים ומקומיים שמעצבים את התעשייה ומשפיעים על העובדים.

תגובות

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker