(מאמר ייעודי לגופים ציבוריים ולמנהלים בכירים)
(מאמר ייעודי לגופים ציבוריים ולמנהלים בכירים)
מנהלים רבים נוטים לראות באבטחה תחום תפעולי שמטופל “איפשהו למטה”.
בפועל, האחריות על אבטחה — ובמיוחד בגופים ציבוריים — מגיעה עד הדרג הניהולי הבכיר ביותר.
כאשר מתרחש אירוע אבטחתי חמור, השאלה הראשונה אינה היכן היה השומר, אלא מי קיבל את ההחלטות, כיצד הן התקבלו, והאם הופעל שיקול דעת ניהולי סביר.
במערכות ציבוריות, אבטחה אינה נבחנת רק דרך תוצאה, אלא דרך תהליך.
הבחינה מתמקדת בחובת הזהירות, חובת הפיקוח, סבירות קבלת ההחלטות והיכולת להוכיח שהתקיים תהליך מחשבתי וניהולי מסודר.
החוק אינו מצפה לשלמות. הוא מצפה לאחריות
גם בלי להיכנס לסעיפי חוק ספציפיים, העקרונות ברורים. מצופה ממנהל לזהות סיכונים סבירים, לנקוט אמצעים בהתאם לרמת הסיכון, למנות גורם מקצועי אחראי, לקיים נהלים והדרכות, ולהפעיל בקרה ופיקוח שוטפים.
במבחן המשפטי, הטענה “לא ידעתי” אינה מהווה הגנה.
בפועל, הכשלים חוזרים על עצמם. לעיתים קיימת הסתמכות עיוורת על ספק האבטחה, תוך העברת האחריות ללא פיקוח אמיתי. במקרים אחרים אין תיעוד — אין מסמכים, אין החלטות כתובות ואין עקבות ניהוליות.
ישנם גם מצבים שבהם אבטחה מתעדכנת רק לאחר אירוע, ולא כחלק מתהליך מניעתי. בנוסף, חוסר הפרדה בין סמכות לאחריות יוצר פער מסוכן: מי שאחראי — חייב גם את הסמכות לפעול.
בכל חקירה של אירוע אבטחתי, נבדקות שאלות דומות: האם בוצעה הערכת סיכונים, האם התקבלו החלטות מושכלות, האם הופקו לקחים, והאם התקיים פיקוח בפועל.
במובן זה, תיעוד אינו בירוקרטיה — הוא שכבת ההגנה של המנהל.
בגופים ציבוריים, אבטחה היא מרכיב בלתי נפרד מניהול תקין. היא משולבת בביקורות, נבחנת על ידי רגולטורים ומשפיעה ישירות על אמון הציבור.
אבטחה חלשה אינה רק סיכון פיזי. היא סיכון ניהולי, משפטי ותדמיתי.
בחקירות של אירועים מורכבים מתגלה כמעט תמיד אותו דפוס: לא הייתה בעיית משאבים — הייתה בעיית החלטות. מנהלים שלא ראו באבטחה חלק מתפקידם, מצאו את עצמם במרכז הביקורת.
האחריות אינה נעצרת בדרג השטח. החוק מצפה לשיקול דעת סביר ומתועד, וספק אבטחה אינו תחליף לניהול. תיעוד, בקרה ומעורבות ניהולית מגנים לא רק על המערכת — אלא גם על המנהל עצמו.
השאירו פרטים אישיים ונציג שלנו יחזור
אליכם עם כל התשובות והמידע