כותרות TheMarker >
    ';

    Professional

    הגיגים של יועץ אבטחת מידע, האקר, יועץ, איש עולם ה-corporate בעבר ועצמאי בהווה.

    טוב, אולי גם כמה דברים אישיים...

    ארכיון

    "גורם מאשר"

    0 תגובות   יום שישי , 23/1/09, 10:20

    על אחריות אישית, קבלת החלטות בארגונים ועל המקצוע המוזר הזה - מנהל אבטחת מידע

     

    "אני צריכה להוציא קבצים מהרשת, נמאס לי לחכות כל פעם לאישור שלכם - תאשר לי  להוציא את הקבצים בעצמי", ביקשה ממני השבוע מנהלת בארגון שלי. היא רוצה שאחרוג בשבילה מהנוהל המקובל, יש לה סיבה, והיא נראית לי רצינית ואחראית. צריך לקבל החלטה.

     

    במהלך החודשיים האחרונים, מאז מוניתי למנהל אבטחת מידע, קיבלתי עשרות החלטות מהירות. בדרך כלל התרחיש הוא כזה: מתכנסת פגישה קטנה אצלי בחדר, מרבית המשתתפים עסוקים בלבחור את הסוכריה המתאימה מהקופסה שעל השולחן שלי, ובתוך כך מסבירים לי שיש להם צורך עסקי דחוף במשהו, וצריך אישור שלי לעניין.

    אני יכול לקבל החלטה במקום או להודיע להם שאבדוק את העניין, אחליט ואחזור אליהם. הבעיה היא שיש שמונה פגישות ביום, ואם לא אקבל החלטה במקום, הם עלולים לקבל את התשובה שלהם עוד חודש, ולכן אני מנסה ככל הניתן לסגור עניינים במקום.

     

    בחברות כמו זו שלי, אוהבים להגדיר שמנהל אבטחת המידע הוא "גורם מנחה" ו"גורם מאשר". זו דרך של אנשי הטכנולוגיה לנסות להסביר לך שלא תתערב להם בטכנולוגיה שלהם (תקפצו לי... אני אוהב את זה) ומצד שני דרך להסביר לך שהאחריות להחלטות השגויות, לארכיטקטורות המצו'קמקות ולפשרות היא עליך...

     

    כך או אחרת, החלטתי כבר בתחילת דרכי, שלא אומר לאף אחד "לא" מבלי שתהיה לי יכולת לנמק את החלטתי. זו החלטה בכלל לא טריוויאלית, במיוחד לאור זה שלא תמיד כל אחד מבין את השיקולים שלך.

    הקושי העיקרי בהחלטה הזו, הוא בזה שאתה צריך להגן על ההחלטה בפני טיעונים עניניים, ולהיות מסוגל גם לומר שאתה טועה ולשנות את ההחלטה.

     

    אחד המלכודות של מנהלי אבטחת מידע הוא המקרים בהם מנסים כל מיני גורמים בארגון לגלגל לפתחם אחריות להחלטות מסוימות, שגם אם קשורות לפרקטיקה שלהם, ישנם גורמים אחרים שצריכים לקחת אחריות עליהן.

    דוגמה אחת לעניין היא נושא סינון אתרים, שעליו כבר כתב מנהל אבטחת מידע אחד, שסינון אתרים זה לא אבטחת מידע.

     

    מנהלי אבטחת מידע רבים מנסים להעביר את האחריות להחלטות העקרוניות להנהלת הארגון שלהם. בעיקר מתוך כוונה לקבלת החלטות שיהיה ניתן מאוחר יותר לאכוף, וכדי לא לשאת באחריות להחלטות שיש להן משמעות עסקית גדולה מבלי לערב בהן את ההנהלה. אולם מנהלים רבים מעדיפים שלא להתעסק עם החלטות שקשורות בניהול סיכונים, למנהלים רבים אין אפילו את הידע והניסיון הדרושים לניהול סיכונים נכון, ולעתים מעריכים סיכונים באופן שגוי.

     

    נ.ב. "וירוס תולעת" רציני מסתובב שם בחוץ וכבר הפיל רשתות ארגונים רבים ואף הזיק לרשת צה"ל, רשת אחת מחברות הסליקה הגדולות בארה"ב נפרצה (ובמשך חודשים רבים היתה חשופה). להחזיק חזק ולהתפלל...

     

     

     

    דרג את התוכן:

      תגובות (0)

      נא להתחבר כדי להגיב

      התחברות או הרשמה   

      סדר התגובות :
      ארעה שגיאה בזמן פרסום תגובתך. אנא בדקו את חיבור האינטרנט, או נסו לפרסם את התגובה בזמן מאוחר יותר. אם הבעיה נמשכת, נא צרו קשר עם מנהל באתר.
      /null/cdate#

      /null/text_64k_1#

      אין רשומות לתצוגה

      פרופיל

      י ש י
      1. שלח הודעה
      2. אוף ליין
      3. אוף ליין

      תגיות

      Unprofessional

      My Google Reader Shared

      Securityfocus News