כאשר התואר לא מספיק: מדוע CISO נשארים רק 18 חודשים?

CISO אחראי להקמת ותחזוקת תהליכים בארגון, אשר מבטיחים כי נכסי מידע וטכנולוגיות נותרים מוגנים וכי סיכוני ה- IT ממוזערים. במהלך העשור האחרון, הנוכחות של ה- CISO הפכה לסטנדרט בעסקים, ממשלות ובמגזר השלישי. המספר המתרחב של איומי סייבר וקיומן של מתקפות ממוקדות, הובילו לצורך הגובר ב- CISO בארגונים ברחבי העולם. במקביל, ישנה תשומת לב גוברת מהמדיה לפריצות בארגונים בינלאומיים, אשר גורמת לא רק לפגיעה פיננסית, אלא למשהו אף חשוב מכך – פגיעה במוניטין.

אופק איומי הסייבר מחזק את חשיבות ה- CISO, ומעלה את התפקיד לרמה חדשה. ארגונים רבים כוללים כיום את ה- CISO בחבר המנהלים ומעניקים להם סמכות לקבל החלטות חשובות.

אתגרי ה- CISO

כאשר ה- CISO הוא חלק מההנהלה, האתגר שלו מתחלק בגדול לשתי קטגוריות: הראשונה – אותה אנו יכולים לכנות "lost in translation" – היא תוצר של הבדלי שפה בין ה- CISO ויתר חברי ההנהלה. אנשים טכניים הם בדרך כלל בעלי חשיבה טכנולוגית: הם ממוקדים במשימות ובתהליכים המקצועיים שלהם. לפני שהם מגיעים לרמת הנהלה, בדרך כלל חסרה להם ההזדמנות למעורבות אמיתית בעסקים, אפילו אם יש להם ניסיון ב- IT כללי. עם זאת, התפקיד של ה- CISO דורש איזון רב בין הבנה ארגוני, תובנות עסקיות וידע טכנולוגי.

האתגר השני של ה- CISO מתמקד בבחירת הספקים המתאימים עבור פתרונות שיסייעו לנהל את התחומים האלה. השוק מוצף בספקי אבטחה, פתרונות ומומחים, ולא קל עבור ארגון לבחור את אלה אשר עונים בדיוק על הצרכים העסקיים. חיוני לשים לב לאינטגרציה של פתרונות האבטחה וליכולת שלהם להגן על תשתית ארגונית מורכבת. אסטרטגית "אנטי וירוס בלבד" אינה מספיקה. יש צורך להפעיל הגנה רב שכבתית עם שליטה מרכזית וגמישה. ההגנה אמורה להיות ערוכה לספק אמצעי אבטחה נוספים מעבר לאנטי וירוס, כגון שליטה באפליקציות והצפנת נתונים. בהינתן הגיוון בתשתיות IT, יש צורך להגן גם על ניידים ונקודות קצה וירטואליות. יותר מכך, יש צורך להתקין משהו שהוא מעבר לפתרון ייעודי. שירותים מקצועיים ותמיכה גם הם חלק חשוב באבטחה הארגונית. בהינתן מורכבות המשימה, וככל שיותר ספקים ופתרונות מעורבים בה, על ה- CISO לפתח אסטרטגיית IT אמינה ועמידה באמת.

מחקר עדכני מראה כי אנשים מחזיקים בתפקיד CISO במהלך 18 חודשים בממוצע בלבד, וישנה סיבה שכך הם הדברים. תקופה זו מכילה מחזור שלם של הפעלת פתרון IT והטמעה, והתוצאות שלו יכולות להראות האם ה- CISO קיבל החלטה אסטרטגית נכונה, אם לאו. כך שבחירה בשותפים הנכונים יכולה להיות חיוניות לשרידותו של CISO.

מספר עצות ל- CISO

אם היעד של הקריירה שלך היא להפוך ל- CISO, הצעדים הבאים יכולים לסייע לך:

- זכור להתמקח על תקציב האבטחה. קבלת החלטות לגבי הפעלת פתרון אבטחה לא אמורות להתבסס על עלות בלבד, אלא על ניתוח איכותני של צרכי החברה, חובות רגולטוריות ואופקי איומי הסייבר וסיכוני IT.

- הפוך ליועץ אמין בחברה שלך. היזהר לגבי סיכוני אבטחה עבור נתוני החברה, ופתח יכולת לזהות ולעקוב אחר מגמות בתעשייה. קבל החלטות אסטרטגיות: אתה לא יכול להתמקד רק בפתרון של מספר בעיות, אתה צריך נקודת מבט ממעוף הציפור לגבי כל הבעיות, במקביל. הדבר גם נכון לגבי בחירה של ספקי IT מתאימים, אשר יספקו פתרונות, ולא רק מוצרים.

- זכור כי הארגון שלך הוא מטרה. סביר להניח, לא רק אפשרי, כי הארגון יותקף. אתה צריך אסטרטגית הגנה כוללת. זו צריכה לכסות את כל התשתית הארגונית, להתחשב בשינויים הכרחיים בתשתית לאורך זמן, ולמנף מודיעין אבטחה מקצועי כדי לספק הגנה יעילה.

- היה ערוך למצוא מכנה משותף עם חברי הנהלה. תצטרך לתקשר איתם בצורה יעילה בנושא סיכוני IT וכיצד הם יכולים להשפיע על העסקים, מתוך ראיית התמונה הגדולה והכיוון האסטרטגי של החברה. שמור על ראש פתוח ואסוף ידע רוחבי. הפסק לדבר עם ההנהלה בשפה טכנית והתחל להשתמש בשפה עסקית.

- היה אנושי. בנה יחסים בתוך הארגון וצבור אמינות. אתה צריך להוביל את כוח העבודה שלך בדרך לעתיד מאובטח. זכור כי טכנולוגיות לא יכולות לעבוד ללא התנהגות אנושית מתאימה, כך שחשוב שהצוות יהיה לצידך כאשר אתה מבצע שינויים או מטמיע תהליכים חדשים. אם עובדים מתנגדים, היה בטוח להדריך אותם לגבי המדיניות שלך, כדי לצרף אותם לתהליך. חשוב שתהליך חיזוק האבטחה לא ישפיע בצורה שלילית על העובדים או ימנע מהם מלעבוד ביעילות. לכן, הקשב לדאגות שלהם והטמע תהליכים שיסייעו להם.