יבמ: ניהול אבטחה זה כבר לא מה שחשבתם

יבמ חשפה תוצאות של מחקר חדש, המצביע על שינוי מהותי בתפקיד מנהלי אבטחת המערכות בארגונים: 25% ממנהלי האבטחה עוברים מהתמקדות בתחום הטכנולוגי להתמקדות בהובלה רחבה יותר של פעילות ניהול הסיכונים והתהליכים העסקיים.

המחקר, הראשון מסוגו של יבמ, נערך בקרב יותר מ-130 מנהלי אבטחת מערכות בכל העולם והוא מאפיין שלושה סוגים של מנהלים כאלה, השונים זה מזה בעומק המוכנות שלהם וברמת הבגרות של תשתיות האבטחה המסורות לניהולם.

כרבע מהמרואיינים מוגדרים על ידי עורכי המחקר כ"משפיעים" – מנהלים בכירים המשפיעים בדרך כלל גם על האסטרטגיות העסקיות של הארגונים בהם הם פועלים. קבוצה זאת של מנהלים מציגה גם רמת מובנות גבוהה יותר בהשוואה לעמיתיהם, הנמנים עם קבוצת ה"מגינים" או עם ה"מגיבים".

כל מנהלי האבטחה עומדים תחת לחץ כבד להגן ולשמור על הנכסים הארגוניים היקרים ביותר: כסף, מידע אודות לקוחות, קניין רוחני וערך המותג.

כשני שלישים מממנהלי האבטחה שהשתתפו בסקר דיווחו כי הממונים עליהם מקדישים כיום לאבטחה יותר תשומת לב מאשר זו שניתנה לה לפני שנתיים: סדרה של מתקפות מקוונות ודליפות נתונים שזכו לחשיפה תקשורתית גבוהה שכנעה את ההנהלות בדבר מקומה המרכזי של האבטחה בארגון המודרני.

יותר ממחצית המשיבים הצביעו על אבטחת מכשירי קצה ויישומים ניידים כמוקד מרכזי לתשומת לב ולדאגה בשנתיים הקרובות. כמעט שני שלישים צופים כי ההוצאה על טכנולוגיות מידע תגדל בשנתיים האלה, 87% מתוך הקבוצה האחרונה הזאת מעריכים כי הצמיחה תהיה בקצב דו-ספרתי.

במקום להסתפק בתגובה לאירועי אבטחה, הולך תפקיד מנהל האבטחה ומשתנה בכיוון של ראייה הוליסטית של מכלול הסיכונים, תוך חתירה לניהול ולמזעור הסיכונים האלה עוד בטרם התרחש האירוע הבעייתי. מנהלי אבטחה המסווגים בקטגוריה המתקדמת ביותר, של "משפיעים", מביאים עימם מאפיינים ייחודיים.

התייחסות לאבטחה כאל מרכיב עסקי חיוני ולא רק כאל עניין טכנולוגי: אבטחה אינה יכולה להתנהל במתכונת אד-הוק, אלא כחלק יום-יומי של הדיון העסקי והתרבות הארגונית.

60% מהארגונים המתקדמים בתחומם דיווחו כי שאלות אבטחה מהוות נושא רגיל לדיוני הנהלה, לעומת 22% בארגונים מתקדמים פחות. ארגונים מתקדמים נוטים יותר להקים ועדת היגוי לנושאי אבטחה ולעודד גישות מערכתיות הכוללות התייחסות להיבטים חוקיים, תפעול עסקי, כספים ומשאבי אנוש. 68% מהארגונים המתקדמים הפעילו ועדה לניהול סיכונים לעומת 26% בארגונים מתקדמים פחות.

בתחום קבלת החלטות וניהול על בסיס מידע: 59% מהארגונים המובילים לעומת 26% בלבד בארגונים אחרים עושים שימוש בכלי מדידה ובמדדים מוגדרים לניטור משתנים הנוגעים לתחום האבטחה, ובכלל זה מודעות משתמשים, הדרכת עובדים, מוכנות לטיפול באיומים עתידיים ושילוב טכנולוגיות חדשות.

שיתוף אחריות לתקציב עם דרג המנהלים הבכירים: ברוב הארגונים יש למנהלי טכנולוגיות המידע אחריות-על ושליטה בתקציב האבטחה. עם זאת, בארגונים הזוכים לציונים גבוהים יותר, ניתן למצוא מקרים רבים יותר בהם מוטלת האחריות להשקעות האלה על הדרג הניהולי הכללי.

בעוד ארגונים המדורגים נמוך יותר בביצועי האבטחה ובביצועים העסקיים שלהם אינם מגדירים כלל לעתים קרובות תקציבי אבטחה ייעודיים – ניתן למצוא ב- 71% מהארגונים המתקדמים סעיפי תקציב אבטחה מוגדרים ותחומים.