האח הגדול שלכם: מנהל האבטחה בעבודה

בוקר חדש מפציע. אתם מגיעים למקום העבודה שלכם, מכינים לעצמכם כוס קפה, ומתחילים עוד יום מול המחשב. עם מי הכי סביר שתריבו היום? מי הכי מעצבן אתכם במקום העבודה? יש אנשים שהבוס שלהם הוא שמבזבז את זמנם ומצר את צעדיהם. אצל אחרים זהו חבר לעבודה, שמציק או רודה בהם. יש כאלו שמסוכסכים עם מנהל כוח-האדם או מנהלת המשרד - כולם אנשים שיושבים בצמתי אינפורמציה ויש להם סמכויות ביצוע.

אבל אצל מ' בת ה-27, עובדת לא-זוטרה בארגון גדול, האויב העיקרי הם אנשי מחלקת המחשב שנחושים להגן על הרשת הארגונית בכל מחיר. "בהתחלה חסמו לנו את המסנג'ר, אחרי זה את תיבות הדואר ב'יאהו!' ובשאר האתרים", מתלוננת מ'. "גזירה רודפת גזירה ולא משנה כמה אני ועובדים אחרים מתלוננים. זה מרגיז, מעליב ומפריע לעבוד, אבל מעבר לזה - בשבילי התקשורת עם אנשים אחרים מתחלקת לשניים: בבית אני מרגישה מחוברת ובעבודה אני מרגישה מנותקת לגמרי, והאמת? זה פשוט מוציא את החשק לעבוד".

אם הסיפור הזה נשמע לכם מוכר זה לא במקרה. בארגונים רבים, שמקפידים על מדיניות אבטחה נוקשה, "האיש הרע" הוא מנהל הרשת או מנהל אבטחה שאחראים על אכיפת המדיניות הזו ומתפקדים בעצם כשוטרים לכל דבר. מוטל עליהם להבטיח את הסדר באמצעות שליטה בתעבורה, ביצוע חקירות ומתן דו"חות.

לפעמים הם אפילו נאלצים לבצע מעקבים והאזנות, ועושים זאת, גם אם לא בשמחה גדולה. יש כאלה שאומרים שהם משרתים את "האח הגדול" - וחלקם אכן מנצלים את כוחם ומעמדם יתר על המידה - אבל לעיתים קרובות מדובר באנשים רציניים, הגונים ואיכותיים. אנשי מקצוע בעלי ידע רב, השכלה שנרכשה בעמל וניסיון שלא יסולא בפז. ומעל לכל: אלו אנשים שעובדים קשה, לפעמים תוך סיכון בריאותם.

ד"ר מירה חניק, יועצת ארגונית, חושבת שכדאי לקחת ברצינות את המחיר הבריאותי שמשלמים מנהלי האבטחה: "כשפוגשים בעל תפקיד כזה, לעיתים ניכר בו שהוא על סף התמוטטות. שהוא לא בריא, סובל מאד מעודף המתח.

"אלה אנשים שחשים שהעולם מונח על כתפיהם, שנמצאים במרדף מתמיד אחרי בעיות ואחרי אנשים שלא נענים להוראות שלהם, מה גם שלעיתים קרובות הם נושאים בנטל לבדם".

אלי בקר, מנהל אבטחת המידע בחברת קומברס, חושף עד כמה המקצוע שלו מלחיץ. "לפעמים אני לא נרדם בלילה, הוא מודה. מצד אחד ההנהלה דורשת להשאיר את כל הערוצים פתוחים, ומצד שני דרישות האבטחה עולות ועולות. הניסיון לרצות את כולם גוזל המון אנרגיה".

קומברס, חשוב לומר, היא חברה שמעניקה לעובדים שלה חופש יחסי. "אצלנו", בקר מסביר, "יש מדיניות של שימוש נאות, ובתור חברה בינלאומית אנחנו גם מנסים ליישר קו עם הסטנדרטים האמריקניים. למשל, למנוע קיום של 'סביבת עבודה עוינת' כתוצאה מכך שעובד גולש לאתר פורנוגרפי ופוגע בעובדת שיושבת לידו.

אנחנו גם זהירים מאד בכל מה שקשור לתכנים שיש עליהם זכויות יוצרים". "מצד שני", הוא מוסיף, "זו חברה שיש בה אנשים טובים שעובדים קשה ולא רוצים להקשות עליהם.

לא רק שלא 'מחפשים אותם', אלא מקבלים את זה שמותר לתת להם גם קצת זמן איכות מול המחשב. מה גם שיש דרישות ייחודיות שנובעות מכך שלעיתים הפיתוחים של החברה קשורים לערוצי תקשורת שבחברות אחרות נשארים סגורים, כמו רשתות מסרים מיידיים. ברור שאי אפשר לחסום אותם, אבל לאבטח אותם זה לא פשוט".

לבני כלילי, מנהל המחשוב והמידע בארגון בן 300 עובדים, יש פחות משאבים אבל הוא מפצה עליהם בהרבה תושייה: "הבעיות הקשורות לאבטחה בסך-הכל פחות קשות מאשר בעבר. נכון שיש היום יותר איומים, אבל גם יש יותר כלים מתוחכמים ואם משתמשים בהם בחוכמה הם מקלים עליך".

עם זאת, כלילי מודה שאם היה צריך לפתוח את הרשת שלו לתוכנות מסרים מיידיים זו הייתה בעיה קשה. אף שבינתיים "העניינים בשליטה", הוא תמיד חרד מהיום שאחרי. מה שהכי מלחיץ זה גיבויים. כבר קרה שחזרתי לעבודה בערב כדי לוודא שגיבוי כלשהו רץ, הוא אומר ומוחה אגל זעה ממצחו.

יש מצבים שבהם הדילמות של מנהל האבטחה נובעות מניגודים מהותיים בין האינטרסים של הארגון לבין רצונותיהם של העובדים. עובד שמריץ תוכנת שיתוף קבצים, למשל, עלול לא רק לגזול רוחב-פס יקר אלא ליצור פרצת אבטחה חמורה. אבל לפעמים זו דווקא השאיפה של הארגון להעניק יחס טוב לעובד, שמטילה אחריות נוספת על מנהל האבטחה.

"כשפוטרו עובדים ותיקים בחברה, השאיפה הייתה שזה ייעשה בצורה לא פוגעת. הם קיבלו את האפשרות להיערך ולהיפרד מהחברים לעבודה", נזכר בקר. "זה נכון מבחינה אנושית, אבל מנקודת המבט של מנהל האבטחה זה ממש מלחיץ. מבחינתו, הדבר הכי טוב הוא שברגע שהעובד קיבל את הודעת הפיטורים, שם המשתמש שלו ייחסם ולא תינתן לו גישה לרשת".

ויש גם סיכונים מקצועיים. מנהל האבטחה, שהוא זה שכולם באים אליו בטענות במהלך העבודה השוטפת, הוא גם האיש שיצטרך לספק הסברים כשמערך האבטחה ייכשל - וזה תמיד רק עניין של זמן. "האפשרות שייגרם נזק למידע היא לא הדבר היחיד שמדאיג את מנהל האבטחה", מסביר גדעון פלאי, סמנכ"ל בחברת האבטחה סייבר-ארק. "בתור בעל תפקיד בעמדה בכירה, במציאות שבה יש תקינה שקשורה לאבטחה ומגוון חוקים רלוונטיים, מנהל האבטחה גם חשוף אישית לתביעות".

פלאי, שפוגש מאות מנהלי אבטחה בכל שנה, מאמין שיש להתמקד בבחירת אנשים מתאימים מבחינת הכישורים והאישיות: "בשנים האחרונות יש מגמה לקחת לתפקידים האלה פחות קציני-ביטחון לשעבר ויוצאי מערכת הביטחון, ויותר אנשים שיש להם הבנה טובה של התהליך העסקי. מנהלי האבטחה נדרשים להיות אנשים יצירתיים, בעלי חשיבה רב-מימדית. והכי חשוב: עצמאיים לגמרי. אסור שיופעל עליהם לחץ, ואסור שיהיו כפופים לגורמים שעלולים לעשות את זה".

באילו גורמים מדובר? "בהרבה ארגונים מנהל אבטחת המידע הוא עובד של צוות ה-IT (מחלקת מחשב) וכפוף למנהל מערכות המידע של החברה", מסביר אילן שעיה, מנכל חברת האבטחה PineApp. "זה בעייתי כי יש כאן ניגוד אינטרסים; אין דבר גרוע יותר מאשר לתת לאדם לבקר את העבודה של עצמו".

הפתרון, גם לשיטת גדעון פלאי, הוא הפרדת רשויות: "האינטרס של הארגון הוא מצד אחד להיפתח, לנצל טכנולוגיות ולהתעדכן. אבל המשימות הכי בנליות, שכרוכות בדרישות מאד לגיטימיות, נראות אחרת לגמרי מנקודת המבט של מנהל האבטחה. למשל, עדכון של תוכנת המרכזייה; מבחינת מנהל המשרד זה תהליך פשוט, אבל מהצד של מנהל האבטחה זה אומר לתת גישה לטכנאי שבא מבחוץ למקומות הרגישים ביותר".

ארגונים גדולים יודעים למדר את מנהל האבטחה כך שיעסוק בניהול המידע אבל לא ייחשף לתוכן שלו. אבל בהרבה ארגונים קטנים ובינוניים המצב שונה לגמרי. כתוצאה מכך, לעיתים העובדים חוששים יותר למידע האישי שלהם מאשר למידע של מקום העבודה.

"במקומות בהם למחלקת ה-IT יש למעשה גישה לכל המידע, זו בעיה גדולה", אומר אילן שעיה, "במיוחד כאשר גם העובדים מודעים אליה, כי אז התוצאה הרסנית: העובדים מסתירים מידע אישי, מאחסנים אותו על מדיה ניידת או לוקחים הביתה. בדרך-כלל זה מתגלה כשהמידע נגנב, ואז כבר אין מה לעשות. בכלל, בהרבה חברות מכובדות רק מתחילים להבין היום איזה פרצות יש אצלם. אנחנו נתקלים בסיפורים מדהימים. למשל, לקוח שלנו שעמד להציע ללקוח הצעה בכתב, וגילה שהלקוח קיבל אותה עוד לפני שנשלחה.

"בעיות כאלו נגרמות בעיקר בגלל הניגוד המהותי בין התפקידים של צוות ה-IT לפונקציה שאחראית על האבטחה. איש IT נמדד ביכולת שלו לתת שירות, וכאשר הוא מונע מעובד גישה למידע הוא לכאורה לא נותן שירות טוב. על איש אבטחה מוטלת חובה הפוכה - להערים קשיים, גם על מי שמגיע מבחוץ אבל לא פחות על גורמים מתוך המערכת שמנסים להגיע למידע באופן לא מורשה. לכן חשוב שתהיה הפרדה בין אנשי IT לאנשי אבטחה".

ד"נ, 32, סמנכ"ל הטכנולוגיות בחברת תקשורת ידועה, לא מסכים: "זו בדיוק הסיבה שאני חושב שחשוב לרכז את התפקידים האלה בצל גורם אחד. רק מי שרואה את שני צדי המטבע יכול לשקלל את כל הגורמים כדי להבטיח רמה גבוהה של אבטחה, בלי לפגוע בפונקציונליות של מערכות המידע".

גדעון פלאי מסכים חלקית: "עקרונית זה נכון, אבל רק יחידי סגולה מסוגלים לזה. גם מבחינת הידע הנדרש וגם מבחינת מורכבות השיקולים". "בכל אופן", הוא מוסיף, "כדאי ללמוד מהאבטחה בעולם הפיזי - אי אפשר לשמור את כל הבנק בכספת, אבל גם לא צריך. ההגנה על מידע צריכה להתמקד במה שחשוב באמת".

אילן שעיה: "חסרה עדיין המודעות לכך שאבטחת מידע לא קשורה רק להגנה על מערכת המחשב. כבר קרה שגילינו אצל לקוחות שלנו שמערכת המחשב מאובטחת היטב אבל המידע הכי רגיש מונח בקלסרים שכל אחד יכול לגשת ולקחת אותם. מה שמזכיר את המחשבה שמתחת לפנס, הוא עדיין המקום הטוב ביותר לחפש בו את המטבע.