אם מחלקות אבטחת מידע מעוניינות להתמודד עם איומי האבטחה המתקדמים של היום, עליהן לנקוט בגישה מדעית יותר בכל הנוגע לפיתוח האסטרטגיה שלהן. הסתמכות על. . .
מומחי אבטחת מידע מציינים כי על מנת ליצור שינוי משמעותי, יש לאמץ עקרונות לניהול סיכונים בתהליך קבלת ההחלטות בנוגע לאבטחה. להבנתם, הדבר נחוץ בשל ארבעת ההיבטים הבאים:
1) הוא מסייע לתעדף בין שטף האיומים- נוכח מערכות המידע ההולכות וגדלות עליהן מופקדים מספר מצומצם של מומחים, ניתוח וניהול סיכונים מאפשר לעשות יותר עם פחות. על ידי ניתוח המשאבים המוקצים לטובתם, בשילוב עם מדידת התוצאות השונות של כשל אבטחתי, ניתן להבין באופן טוב יותר מה מתבצע ומדוע בהיבטי אבטחת מידע.
2) מתרגם את שפת האבטחה לשפת העסקים- חלק מהמומחים מציינים כי ניהול סיכונים מהווה את הקשר שבין אבטחת מידע לבין יתר הארגון. לראייתם "אבטחת מידע ללא ניהול סיכונים התומך בה משולה לתרגיל אינטלקטואלי המתבצע על חשבון החברה". במקום לרדוף אחר איומים שונים ולהתכונן לתרחישים המאיימים ביותר, ניהול סיכונים מחזיר את הדברים למציאות במסגרתה אנו פועלים- להגן על ההשקעה של הארגון במערכות מידע.
3) מפחית מהקיבוע של אבטחה על טכנולוגיה- על ידי מיקוד מחדש של הדיון בנכסים העסקיים, ניהול סיכונים מרחיב באופן טבעי את אופקי אבטחת המידע מעבר לטכנולוגיה, השפעה שיכולה להביא עימה גם שיפור ברמת ההצלחה של הארגון בהיבט המגננתי. טכנולוגיית האבטחה לבדה אינה מספקת, בטוח כאשר היא אינה מוגדרת ומיושמת באופן המיטבי. ניהול סיכונים מעריך את היעילות של הטכנולוגיה כמו גם של האנשים והתהליכים שמנהלים את הטכנולוגיה.
4) להכניס את אבטחת המידע בתוך התמונה הכוללת של החברה- ייתכן והדבר החשוב ביותר הוא להכניס חוקי ניהול סיכונים לתמונה הכוללת של החברה, תוך תשומת לב לפעולות הקשורות לאופן בו הן משפיעות על היכולת של עסקים להמשיך ולשמור על חדשנות ושגשוג.
לידיעה המלאה- כאן