להיות בעל יכולות ניהול לפחות ברמה של כל מנהל אחר בארגון. אם
יהיה רק בעל יכולת טכנולוגית, יבצר ממנו להפוך את תחום אבטחת
המידע (ואפילו זה "רק" מרכיב הסודיות), לנושא המוטמע בתהליכי
העבודה הארגוניים, כדוגמת תהליכי רכש, שיווק, פעילויות ליבה
עסקיות (בהתאם למגזר שאליו משתייך הארגון) וכדומה. אבטחת
מידע בארגון משמעותה הינה אחת, אבטחת מידע המוטמעת כדבר
שבשיגרת העבודה בתהליכי העבודה הארגוניים. כבר מזה זמן לא
מדובר בתהליך טכנולוגי צר.
אבטחת מידע:
הנחייה, ביצוע ובקרה - הפרדת תפקידים וסמכויות
שלושה תהליכי עבודה מרכיבים את מקצוע אבטחת המידע: הנחייה
- הצבת דרישות, ביצוע ההנחייה וביצוע בקרה, כיצד ההנחייה מבוצעת
בפועל.
בדרך כלל נעדיף, שמנהל אבטחת המידע יעסוק בהנחייה ובבקרת
יישום הנחיותיו. ביצוע ההנחיות יימסר בידי גוף תפעולי בתחום
טכנולוגיית המידע אשר חייב להכשיר עצמו לביצוע המשימה, זאת
למעט מספר נושאים מצומצם, שגם ביצועם יישאר בידי מנהל אבטחת
המידע (נושאי הניהול עצמם). רזולוציית ההנחיה הינה עניין לשיקול
דעת מקצועי ולהתאמה ארגונית. בקרה על ביצוע ניהול אבטחת המידע
עצמה תימסר לידי יחידת ביקורת הפנים בארגון אשר נדרשת לידע
מקצועי בנושא זה.
מיקום ארגוני
של מנהל אבטחת המידע ותפקוד אבטחת מידע
שתי אסכולות קיימות:
1. מנהל אבטחת המידע אסור שיהיה חלק ממערך מערכות המידע בארגון.
2. מנהל אבטחת המידע יכול להיות חלק ממערך טכנולוגיית המידע
בארגון.
לטעמי, השאלה שיש לספק עליה מענה הינה שונה:
בהינתן כל מה שידוע לנו עד לנקודה זו, מה הם התנאים הנדרשים על־
מנת שמנהל אבטחת המידע יוכל לבצע את תפקידו כהלכה? התשובה
מורכבת משתי אבני בניין.
הראשונה, הירארכיה ארגונית, סמכות ואחריות:
1. על מנהל אבטחת המידע להיות חבר בהנהלת הארגון, או כפוף
למנהל, שהוא חבר הנהלת הארגון. אותו חבר הנהלה יכול להיות מנהל
מערכות המידע, או כל מנהל אחר שהינו חבר הנהלה.
2. נדרשת וועדת היגוי לאבטחת מידע, שמנהל אבטחת המידע משמש
מזכיר הוועדה ויו"ר הוועדה הינו מנהל בכיר מבין חברי הנהלת הארגון.
וועדת ההיגוי תשקף פריסת סמכויות ואחריות הנהלת הארגון בתחום
אבטחת מידע.
השנייה, ההיבטים הפורמאליים של תיעוד תהליכי עבודה:
1. מדיניות אבטחת מידע שבה נכללת מחוייבות לאבטחת מידע
ולתקצובה הנאות
2. תהליך מובנה, סדור, מנוהל ומבוקר של כתיבת מסמכים המתארים
תהליכי עבודה (נוהלים, הוראות עבודה, הוראות תפעוליות וכיו"ב)
לאבטחת מידע ולשילוב אבטחת מידע בכל תהליכי העבודה הארגוניים
הרלוונטיים.
אבטחת מידע ואבטחה פיזית
אבטחה פיזית מספקת מעטפת אבטחה המהווה תשתית להגנה על
אנשים, נכסים ומידע. על־כן קיימת חשיבות רבה לשיתוף פעולה בין
שתי הפונקציות.
יחד עם זאת, אין הכרח שתהיינה תחת אותה קורת גג ניהולית, אם
<
טכנולוגיות אבטחתיות
אפריל-מאי 3102
הביטחון
| 14
60...,15,16,17,18,19,20,21,22,23,24 4,5,6,7,8,9,10,11,12,13,...1