תפקידו של מנהל אבטחת המידע (CISO) מעולם לא היה כל כך מאתגר וקרדינלי כמו בימינו. עם העלייה האקספוננציאלית של האיומים הסייבריים, שיכולים לגרום נזקים בלתי הפיכים למוניטין, לביטחון ולרכוש של הארגונים, ה-CISOs צריכים להיות מוכנים להתמודד עם תרחיש הולך ומסתבך ודינמי יותר ויותר
ב-2024, ברזיל רשמה עלייה משמעותית בהתקפות סייבר. בטרימסטר הראשון, היה גידול של 38% ביחס לאותו פרק זמן ב-2023, עם ארגונים ברזילאיים סובלים, בממוצע, 1.770 התקפות שבועיות. בטרימסטר השני, העלייה הייתה אף יותר בולטת, הגעה ל-67% בהשוואה לשנה הקודמת, עם ממוצע של 2.754 התקפות שבועיות לכל ארגון. בטרימסטר השלישי, המספר הממוצע השבועי של התקפות לפי ארגון בברזיל הגיע ל-2.766, מייצג גידול של 95% ביחס לאותו פרק זמן של 2023. התחומים שהיו במוקד היו הפיננסים, בריאות, ממשלה ואנרגיה, כאשר הסוגים העיקריים של התקפות היו רנסומוור, פישינג, DDoS ואיומים מתמשכים מתקדמים
ה-CISOs צריכים להסתגל לעידן החדש הזה של התקפות סייבר חסרות תקדים – לעיתים קרובות מבצע מספר תפקידים בו זמנית ו, במקרה של ברזיל, ניהול תרחיש של צמצום עלויות והשקעות בסייבר אבטחה
תפקידו של ה-CISO המודרני
המשרה של CISO היא יחסית חדשה. בניגוד למנהלי כספים או למנכ"לים, תפקיד מנהל אבטחת המידע לא קיים באופן רשמי עד אמצע שנות ה-90
בנוסף לכך, תפקיד ה-CISO משתנה באופן מתמיד בארגונים. על פי דוח ה-CISO של ספלאנק לשנת 2023, 90% מהנשאלים האמינו שהתפקיד הפך ל"עבודה שונה לחלוטין" ממה שהיה כשהם התחילו
אם בתחילה ה-CISO היה אחראי על ניסוח מדיניות, ממשלת אבטחה ויישום של בקרות אבטחה בסיסיות יותר, מה שהוביל את המקצוען הזה להיות בעל ראייה טכנית הרבה יותר מאשר ניהולית, היום רשימת המשימות התרחבה, וזה מאוד. אחת מהן, למשל, זו הפונקציה הפוליטית של התפקיד: CISOים צריכים להיות להם קשרי עבודה הדוקים עם המנכ"ל, המנכ"ל והתחום המשפטי של הארגון. התקציב בתחום הביטחון הוא תנאי חיוני להתמודד עם המגוון הרחב של איומים הקיימים היום
וזה, עדיין, זו בעיה עבור חברות בכל העולם, במיוחד בברזיל. המורכבות של התרחיש מביאה, מצד אחד, מדינה עם אחד מהשיעורים הגבוהים ביותר של התקפות בעולם. מצד שני, האי ודאויות הכלכליות וה fluctuacão של הדולר (מאחר שרוב הפתרונות נמכרים במטבע זר) גורמות ל-CISOs להיות חייבים לאזן את המשאבים הזמינים כדי להבטיח את הגנת החברה
תקשורת טובה
בניגוד לדימוי מאוד מושרש בסטריאוטיפ של הטכנאי בעבר, היום ה-CISO צריך להיות בעל תפקיד מנהיגותי ולהיות תקשורתי טוב כדי להוביל את יצירת תרבות חזקה של אבטחת סייבר בתוך החברה
נקודה נוספת חשובה היא שה-CISOs לא יכולים לפעול לבד בניהול אבטחת המידע. הם צריכים לסמוך על התמיכה ושיתוף הפעולה של המערכת האקולוגית החיצונית, שכולל ספקים, לקוחות, שותפים, גופים רגולטוריים, ישויות כיתה וקהילות אבטחה. שחקנים אלה יכולים לתרום עם מידע, משאבים, פתרונות ופרקטיקות טובות שעוזרות למנהל לשפר ולחזק את הביטחון של הארגון שלו. לכן, התקשורת והקשר עם השוק גם הם בסיסיים
הביטחון צריך לנבוע מתפיסה הוליסטית
לא מספיק שיהיו כלים ותהליכי אבטחה מבודדים ותגובותיים. CISOs צריכים להיות בעלי ראייה הוליסטית ומאוחדת של אבטחת מידע, שיכלול את התרבות והמודעות של העובדים, עד הממשלתיות וההתאמה עם מטרות העסק
הביטחון צריך להיחשב כאלמנט חוצה ומרכזי להמשך ולצמיחה של הארגון, ולא כעלות או כמכשול. בשביל זה, ה-CISOs צריכים לערב את שאר התחומים וההנהלות של החברה, מראה את הערך ואת התשואה של הביטחון, וקובעים מדיניות ואינדיקטורים ברורים ומדודים
תחושת דחיפות היא חיונית כדי להקדים את האיומים
האיומים הסייבריים נמצאים בהתפתחות מתמדת ובסיבוכיות, ויכולים להשפיע על כל ארגון, בין אם מדובר בגודל או במגזר. לכן, חשוב להיות תמיד ערני ומעודכן לגבי המגמות והפגיעויות בשוק, ולהשקיע בפתרונות ובמתודולוגיות המאפשרות להקדים את האיומים והסיכונים
אחת הדרכים לעשות זאת היא לאמץ גישה של אבטחה בעיצוב, שכולל את הביטחון מהתכנון ועד למסירה של המוצרים והשירותים של הארגון. דרך נוספת היא לבצע בדיקות ודימויים תקופתיים שמעריכים את היעילות והעמידות של המערכות ושל תהליכי הביטחון, וזה מזהה הזדמנויות לשיפור ולהפחתה
גם אם תפקיד ה-CISO עדיין נמצא בשינוי, המקצוען הזה הוא חלק מרכזי בהגנה ובחדשנות של הארגונים בעידן הדיגיטלי. CISOs צריכים להיות מוכנים להתמודד עם רמה חסרת תקדים של איומים, שדורשים ניהול פרואקטיבי של אבטחת מידע, אסטרטגית ושיתופית
לבסוף, ה-CISOs צריכים לזכור שהביטחון של המידע אינו רק שאלה טכנית, אבל גם גורם לתחרותיות ולערך עבור הלקוחות. אלה שיצליחו ליישר את הביטחון עם מטרות העסק וציפיות בעלי העניין, ושידעו לתקשר את היתרונות ואת האתגרים של הביטחון בצורה ברורה ומשכנעת, יהיו מסוגלים לבנות תרבות ביטחון חזקה ובר קיימא בארגון, ולתרום להצלחתך ולצמיחתך בזירה הדיגיטלית
