לניב ולי היה לי דיון לפני מספר ימים. כהרגלנו היינו משני צדי המתרס. אני טענתי כי תפקיד מנהל אבטחת המידע בארגונים הוא תפקיד מאוד פוליטי בהשוואה לתפקידים אחרים וניב טען שלא. הוא טען כי על מנהל אבטחת מידע להיות מקצועי מאוד, אחרת אין לו מה לחפש בתפקיד.
ברור שלמנהל אבטחת מידע אין מה לעשות בתפקיד אם הוא לא מקצועי, העניין הוא שממנהלי אבטחת מידע דורשים לא אחת להיות יותר מקצועיים (בתחומם) מאחרים (בתחומם).
פוליטיקה ארגונית הנה למעשה היכולת להשפיע על אחרים בצורה לא פורמלית, שלא מתוקף סמכות רשמית. ברוב המקרים מנהל אבטחת מידע ממוקם למטה בשרשרת המזון (גם אם הוא נגיש להנהלה) ומשפיע על דרגים בכירים הרבה יותר. הוא עשוי להכתיב למנהל המחשוב כיצד לנהוג, להתערב בתהליכים עסקיים וכדומה וכל זאת מעמדתו הנחותה יחסית. מבחינות מסוימות דומה מנהל אבטחת המידע למבקר, אלא שלמבקר שני יתרונות. ראשית, תפקידו מבוסס מזה שנים ושנית הוא מבקר בדיעבד, ומשפיע לקראת הפעם הבאה, בעוד שמנהל אבטחת המידע נדרש להשפיע בזמן אמת.
כפועל יוצא של תנאים אלה, מנהל אבטחת המידע נדרש לרוב לייצר ערוצים לא פורמליים להשפעה על הארגון, כמו כן הוא נדרש ליחסי אנוש טובים וליכולת לקרוא את המפה. הדבר שונה מבעלי תפקידים אחרים באותו הדרג (בדרך, לא תמיד).
אני חושב שמנהלי אבטחת מידע ודרגי הנהלה בארגונים מפספסים היבט חשוב זה של ניהול אבטחת המידע ושמים דגש יתר על היכולות הטכנולוגיות של מנהל האבטחה. היכולות הטכנולוגיות חשובות, אך הן לא מספקות.
בבלוג זה
בכל הבלוגים
