במידה שאתם צועדים את צעדיכם הראשונים בעולם אבטחת המידע, סביר להניח שנתקלתם בביטוי ciso. במדריך זה נסביר מה זה ciso ומהי חשיבותו.
אז מה זה ciso?
Ciso (chief information security officer) הוא קצין אבטחת מידע ראשי. המדובר במנהל בדרג בכיר בארגון אשר אחראי על ביסוס ותחזוקת החזון הארגוני, האסטרטגיה והתוכנית, על מנת להבטיח שנכסי מידע וטכנולוגיות יהיו מוגנים כראוי. ה-ciso מנחה את הצוות בזיהוי, פיתוח, יישום ותחזוקה של תהליכים ברחבי הארגון להפחתת סיכוני מידע וטכנולוגיית מידע (IT).
ה-ciso מגיב לאירועים, קובע סטנדרטים ובקרה מתאימים, מנהל טכנולוגיות אבטחה ומכוון את הקביעה ואת היישום של מדיניות ושל נהלים. ה-ciso אחראי גם על התאימות הקשורה למידע, וכן על הגנה על מידע קנייני ונכסים של החברה, לרבות נתוני לקוחות וצרכנים. Ciso עובדת עם מנהלים אחרים כדי לוודא שהחברה צומחת בצורה אחראית ואתית.
השפעותיו של ciso
בדרך כלל, השפעות ה-ciso מגיעה לכל הארגון. האחריות עשויה לכלול, אך לא להיות מוגבלת לתחומים הבאים:
צוות חירום מחשבים/ צוות תגובה לאירועי אבטחת מחשבים;
- אבטחת סייבר;
- התאוששות מאסון וניבול המשכיות עסקית;
- ניהול זהות וגישה;
- פרטיות מידע;
- תאימות לרגולטורי מידע;
- ניהול סיכוני מידע;
- אבטחת מידע;
- מרכז תפעול אבטחת מידע;
- בקרות טכנולוגיות מידע עבור מערכות פיננסיות ואחרות;
- חקירות IT, פורנזיות דיגיטלית, eDiscovery;
קיום ciso או תפקיד מקביל בארגונים הפך לפרקטיקה המקובלת בארגונים עסקיים, ממשלתיים ועמותות. עד 2009, לכ-85% מהארגונים הגדולים היה מנהל אבטחה - עליה מ-56% ב-2008, ו-43% ב-2006. באופן טבעי, התרחב תפקידו של ciso וכיום הוא מקיף סיכונים המצויים בתהליכים עסקיים, אבטחת מידע, פרטיות לקוחות וכן הלאה.
במרבית התאגידים, מועסקים לתפקיד ciso בעלי תפקידים המאזנים בצורה האופטימלית בין חוש עסקי ובין ידע טכנולוגי. Ciso טיפוסי מחזיק בתעודות לא טכניות, אולם ל-ciso שמגיע מרקע טכני יהיה מערך מיומנויות טכני מורחב. הכשרות טיפוסיות אחרות כוללות ניהול פרויקטים לניהול תוכנית אבטחת מידע, ניהול פיננסי (למשל באמצעות תואר מוסמך במנהל עסקים ועוד).