אבטחת מידע וסייבר: התפקידים החדשים ב-2020 והיכולות החדשות הנדרשות

אבטחת מידע וסייבר: הכירו את התפקידים החדשים ב-2020 והיכולות החדשות הנדרשות
מאת: שלומי אדר, 30.11.19, 17:18
 
צרכים משתנים, פערי יכולת, שינויים טכנולוגיים המתרחשים בקצב מסחרר ודרישות רגולציה, כל אלה יצרו תפקידים חדשים בעולמות אבטחת המידע והסייבר המותאמים לעידן החדש. התפקידים החדשים מצריכים פיתוח יכולות חדשות כדי לעבוד בסביבות הטכנולוגיות המתקדמות ויכולות ניהול כדי לעמוד בקצב השינויים המהיר. בכל מקרה, המנמ"ר לא יכול להיות DPO.

מנהל אבטחת מידע / הגנת סייבר (CISO) - התפקיד של מנהל אבטחת מידע התפתח מתפקיד ארכיטקט אבטחת המידע, מאיש בעל יכולת מקצועית גבוהה הנדרש לשמור על המידע בארגון למנהל סיכונים הנדרש להבנה טכנולוגית עם ראיה עסקית ואף משפטית.

כיום ה-CISO חייב להיות מעורב באופן אקטיבי ולקחת חלק פעיל בהנעת הארגון לעמידה בדרישות הרגולציה השונות הכוללות חלקים משמעותיים ברמה המשפטית, תהליכית וטכנולוגית, כאשר בכל אחד מתחומים אלה מצופה, שה-CISO ישכיל להבין מהן מחוייביות הארגון ולהדגיש את האחריות של כל אחד מבעלי העניין ויכולות ההחלטה הרלוונטיים בארגון.

מנהל ה-CISO נדרש להיות המנהל עסקי והוא חלק ממקבלי ההחלטות הניהוליות בארגון הפועל למימוש הצרכים והפעילות העסקית תוך התמודדות וצמצום הסיכונים העסקיים ולאפשר קיום פעילות במרחב הסייבר באמצעות הנחיה ובקרה.

על ה-CISO להגן על המידע והנכסים בארגון, תוך כדי הבנת הראיה וקיום דו-שיח עם עמיתיו, ה-DPO/CPO (קצין/מנהל הגנת הפרטיות) וה-CRO (מנהל הסיכונים), תוך הימנעות ממאבקי כוח והתנגשויות לצורך יצירת ״שפה משותפת״ וחזית אחידה מול הארגון ובפרט מול ההנהלה.

ה-CISO ישאף לשלב מודיעין סייבר כחלק אינטגרלי בתהליך קבלת ההחלטות לניהול נכון של סיכוני סייבר, כדי לשפר את הבנת הנראות החיצונית והאיומים (הגלויים והחבויים) בעיני התוקף, ואף לצורך הקניית הכרות מקדימה של הארגון מבעוד מועד ע"י ספקי תגובה והתערבות חיצוניים כדוגמת צוותי CIRT וצוותי משא ומתן וניהול משברים. שיקוף המידע להנהלת הארגון בצורה נהירה וברורה יעזור לֹ-CISO להעביר ולהסביר את מטרותיו.

ה-CISO יניע לבניית ארגז כלים, שיאפשר לארגון יכולת התמודדות עם אירועים שונים (חרום, סייבר, רציפות תפקודית, אובדן נתונים ואחרים). עליו לדאוג לקידום תהליכי Cyber Resilience ארגוני, באמצעות הבנה ומיפוי האיומים אליהם חשוף הארגון באופן המתעדכן בהתאם לשינויים הדינמיים ,שחווה הארגון.

כך, שבסוף התהליך לארגון ול-CISO יש בנמצא ״הכלי המתאים״ - לדוגמא Playbook / סד״פ / תו״ל בו ניתן להשתמש במידה והתממש אחד האיומים ביום פקודה. ה-CISO יעבור שינוי ל-״דור 3״ - לתפקיד של מפקד חדר מצב המנהל ומתמודד עם אירועי סייבר כבדרך שגרה.

קצין הגנת המידע (DPO) - תפקידו המרכזי לוודא ציות לרגולציה והוראות חוק GDPR מי חייב במינוי DPO?
ה-GDPR חל על כל חברה המשווקת לאירופה ועושה לצורך כך שימוש במידע של אזרחים אירופאים. עם זאת, החובה למנות DPO חלה רק על ארגונים, שהם רשויות ציבוריות, או ארגונים העומדים בתנאים מסוימים, למשל כשליבת העיסוק שלהם קשורה בעיבוד מידע אישי או כאשר הם מבצעים פעולות של עיבוד מידע בהיקפים גדולים ומשמעותיים.

כמו כן ה-GDPR קובע, שחברה, שאינה חייבת במינוי קצין אבטחת מידע, אך החליטהבכל זאת למנות, חייבת לוודא, שהמינוי עומד בכל דרישות ה-GDPR לנושא.

מהן החובות לגבי משרת ה-DPO?
ה- GDPR קובע שורה של תנאים בהם חייב לעמוד ה-Data Protection Officer הממונה ע"י החברה:

• על ה-DPO להיות כפוף ולדווח בצורה ישירה לדרג המנהל הבכיר ביותר של החברה.
• יש לתת ל-DPO את החופש לפעול בצורה המשרתת את תפקידו.
• ה-DPO חייב להיות מעורב בכל הנושאים הקשורים לאבטחת מידע והגנת הפרטיות בחברה.
• יש לספק ל-DPO משאבים וסמכויות הנדרשים לו לצורך ביצוע תפקידו בצורה נאותה.
• אין לפגוע בזכויותיו של ה-DPO  או להטיל עליו סנקציות בשל העובדה, שהוא מבצע תפקיד בקרה וביקורת.
• יש לוודא, של-DPO אין כל ניגוד עניינים בין תפקידו כ-DPO ובין תפקידיו האחרים בחברה.