.png){kind=small}
בשנים האחרונות, התופעה של מנהל אבטחת מידע וירטואלי (VCISO) הולכת וגוברת, וחברות ייעוץ רבות מציעות שירותי VCISO מגוונים. לארגונים קטנים/בינוניים (SMB), או ארגונים גדולים בהם מנהל אבטחת המידע עזב לפתע, ונוצר חור, יכולים להנות ממגוון היתרונות של מנהל אבטחת מידע וירטואלי.
להלן כמה מהיתרונות המרכזיים של שימוש בשירותי VCISO:
מומחיות: לא צריך לחפש, ולהשקיע הון בחברות ההשמה, או לבזבז זמן רב ויקר בביצוע ראיונות עבודה למועמדים רק כדי לגלות בסוף שאינם מתאימים לדרישות. חברות הייעוץ מבינות את דרישות הלקוח, ומספקים יועצים מומחים בהתאם לדרישות הלקוח (שנות ניסיון, התמחות במגזר הספציפי, הסמכות בינלאומיות, וכדומה).
הימנעות מכשלים: לרוב, לארגונים רבים אין את הכשירות המקצועית לבחון ולגייס את מנהל אבטחת המידע, ולא מעט ארגונים "נופלים" בגיוס האדם הלא נכון. מעט חברות השמה גם הוכיחו את עצמן בגיוס מנהלי אבטחת מידע בעלי כשירות מתאימה לדרישות הארגון. שימוש בשירותי VCISO יכול למנוע מצב שבו מגייסים את האדם הלא נכון. חברות הייעוץ יכולות להציע מבחר רחב ומגוון של יועצי אבטחת מידע בכירים, שיכולים לשמש כמנהלי אבטחת מידע של הארגון.
הכשרה מקצועית: היות ומדובר בעובד חיצוני, אין צורך להכשרות מקצועית על מנת לשמר או לשפר את הכשירות המקצועית שלו. חברת הייעוץ שאחראית על העובד, הינה גם אחראית לדאוג באופן שוטף להכשרתו המקצועית.
עמידה בדרישות תקינה, רגולציה או לקוחות: לעתים, ישנן תקנות, חוקים ודרישות לקוחות שלארגון מולו הם עובדים, יהיה מנהל אבטחת מידע שעומד בקריטריונים מסויימים (שנות ניסיון, ניסיון במגזר הספציפי, ניסיון בתקינה ורגולציה, הסמכות בינלאומיות, וכדומה). שימוש בשירותי VCISO, יכול לחסוך לארגון בכך שיצרכו שירותי VCISO מומחים שעומדים בכל הדרישות.
גישה מותאמת אישית לארגון: לעתים קרובות, מגיע מנהל אבטחת מידע שבתפקידיו הקודמים היה בחברות שונות (בגודלם, מגזרים שונים, דרישות שונות, וכדומה). הבדלים מהותיים אלו יכולים ליצור וואקום ופערים משמעותיים בין תוכנית אבטחת המידע אותה הוא יתכנן, לבין הדרישות והתקציבים של הארגון. בשירותי VCISO, חברת הייעוץ מכירה היטב את הארגון, ואת דרישותיו, ויכולה להתאים להם יועץ מומחה שמכיר גם הוא את הארגון, את מגבלותיו ואת יתרונותניו, את הפוליטיקה הארגונית, ויכול לאפיין ולגבש תוכנית אבטחת מידע שמותאמת לארגון כמו כפפה ליד.
גמישות: בשירותי VCISO ישנה גמישות רבה. בין אם נדרש להגדיל את כמות השעות בשבוע, או להוריד (בשל חסכון במשאבים), ניתן לעשות זאת בקלות באמצעות שירותי VCISO מנוהלים. כל מה שצריך לעשות זה לדבר עם מנהל הלקוח, ולשנות את כמות השעות (למעלה או למטה). אין כאן מצב של הרעת תנאים, או פגיעה בעובד.
זמינות: אחד היתרונות בשירותי VCISO, זה הזמינות. אין מה לעשות, אנחנו אנשים, ואנשים בעלי צרכים אישיים (חופשה, חופשת מחלה, מילואים ועוד). ולפי חוק מרפי, זה תמיד קורה בזמן שהכי צריך זמינות של מנהל אבטחת מידע בארגון. בשירותי VCISO שלנו, שקורה מצב כזה, ויש צורך במענה בדחיפות ללקוחות החברה, יש לנו VCISO לגיבוי, שיכול לתת שירות ללקוח.
חסכון בזמן ובעלות: יש כאן חיסכון ענק בעלויות של ניסיונות גיוס, ועבודה מול חברות ההשמה, עד למציאתו של המועמד המתאים (אם בכלל). שמשתמשים בשירותי VCISO, אין שום השקעה לפני או דמי שירות לאחר גיוס המועמד, אלא משלמים בפועל רק עבור השעות שה-VCISO ביצע. כמו כן, במרבית המקרים, לוקח זמן למנהל אבטחת מידע חדש (בייחוד גי'וניור) להיכנס לעניינים, ולעתים הארגון נדרש לספק מענה מהיר ללקוחותיו. שירותי ה-VCISO יכולים לתת מענה מהיר, בחיסכון אדיר.
זיהוי והפחת סיכונים: לרוב, מנהלי אבטחת המידע אינם כשירים לבצע תהליכים של הערכת וניהול סיכונים (לעתים זה בשל האובייקטיביות, ולעתים זה בשל מקצועיות ספציפית שנדרשת). בשירותי VCISO, הארגון מקבל שירותי ייעוץ מומחה, שיכול לזהות סיכונים, לבצע הערכת סיכונים, ולקבוע תוכניות הפחתת הסיכונים בהתאם למדיניות ניהול הסיכונים של הארגון. אם אין לארגון מדיניות ניהול סיכונים, אז ה-VCISO יגבש מדיניות כזו, יקבע ביחד עם הנהלת הארגון מהו תאבון הסיכון (סיכון שהנהלת הארגון מוכנה לקבל), ואז לפי זה יקבע את תוכניות הפחתת הסיכונים. וכל זה, בחסכון אדיר ומינימום זמן.
סיוע בהלימה עם דרישות תקנים ורגולציות: לעתים קרובות, כשמגייסים מנהל אבטחת מידע פנימי בארגון, עדיין נדרש לקחת חברת ייעוץ חיצונית לצורך עמידה בדרישות תקינה ורגוצליות ישימות לארגון. בשירותי VCISO מנוהלים, היועצים שלנו באים עם ידע וניסיון, ויכולים לסייע לארגון בהלימה לדרישות תקינה (ISO 27001, ISO 27701, ISO 22301, SOC2 וכדומה) ורגולציה רבות (כגון תקנות הגנת הפרטיות בישראל, GDPR, CCPA, HIPAA וכדומה).
תגובה וניהול אירועי סייבר: בעת אירוע סייבר, נדרש ממנהל אבטחת המידע להגיב ולנהל את האירוע. לעתים קרובות, למרבית מנהלי אבטחת המידע אין את הניסיון הנדרש לנהל אירועי סייבר, ולכן בשירותי VCISO מקבלים יועץ מומחה שכשיר להגיב ולנהל אירוע סייבר. במסגרת השירותי VCISO שלנו, היועצים שלנו מכירים תוכנית תגובה לאירוע (IRP), מתרגלים את ההנהלה, ואת שאר הצוותים הרלוונטיים, מגבשים פלייבוקים לתגובה וניהול אירועי סייבר שונים (כגון פישינג, נוזקת כופר, זליגת מידע, וכדומה), ומסייעים גם בניהול האירוע, תוך תמיכת ההנהלה.
מתי הארגון צריך לגייס מנהל אבטחת מידע במשרה מלאה?
זאת שאלה טובה, וזה תלוי ברמת הבגרות של החברה, ודרישות הלקוחות. ככל שהצורך (בשעות) הולך וגובר, והארגון צורך יותר ויותר שעות VCISO, ומגיעה למכסת שעות של משרה מלאה לאורך זמן (ולא משהו זמני), אז נדרש כאן לגייס מנהל אבטחת מידע במשרה מלאה.
ואפילו כאן, אנחנו עוזרים ללקוחות שלנו, באפיון דרישות, יצירת מבחני קבלה, סיוע בראיונות המקצועיים, והמלצות לבחירת מועמדים שיתאימו ל-DNA והתרבות הארגונית של לקוחותינו.
הכותב הינו יגאל אקרמן, יועץ בכיר בחברת טייטנס סקיוריטי, ומנהל אבטחת מידע (VCISO) במספר ארגונים בארץ.