אבטחת מידע הינו נושא אשר קיימת חשיבות עליונה כי הנהלת הארגון תהיה מעורבת בו ומצויה בו, אולם דיונים אודותיו הינם פעמים רבות בעייתיים עקב חוסר בשפה משותפת...
לעיתים קרובות קיים מתח מובנה בין הדרישות שמעלים אנשי אבטחת המידע לבין חוסר ההבנה לצרכים המועלים על ידם מצד ההנהלה. מקור המתח הזה במרבית המקרים נעוץ בעובדה שתחומי המומחיות של המשתתפים שונים כמובן לחלוטין, ומכאן שהמכנה המשותף אינו ברור לשני הצדדים, גם אם כמובן מאליו עומדת טובת החברה לנגד עיניהם של כולם.
עובדה זו גורמת פעמים רבות למתחים ולתסכול; עם זאת, חובה לזכור כי השורה התחתונה צריכה לשרת תמיד את האינטרנסים העסקיים של החברה, ויש לשאוף ולהבין את דרישות אנשי אבטחת המידע בהקשר זה.
סטיבן בוייר, ה-CTO של חברת BigSight Technologies, שיתף לאחרונה כמה מתובנותיו אשר מבוססות על ניסיונו - תובנות אשר מטרתן הינה להניע את הדיונים קדימה אל כיוון פורה וקונסטרוקטיבי.
להלן מספר טיפים למנהלים הבכירים:
טיפ מספר 1 - הגדר את הציפיות בבירור:
תקשורת הינה דו-כיוונית. הכרחי לוודא שצוות אבטחת המידע יבין היטב איזו אינפורמציה נדרשת ממנו, מהו תחום הדיון, ורמת הפירוט הנדרשת מהם בכדי לקבל החלטה. אחרת, הדיון יסטה לכיוונים שאינם ממוקדים בהקשרים העסקיים הרלוונטיים.
חברי הנהלה אמנם לא אמורים ולא צריכים להיות מומחי אבטחת מידע, אולם במציאות של ימינו - סיכוני הסייבר מהווים חלק ניכר מכלל הסיכונים המאיימים על הביזנס של החברה. על כן, על חברי הנהלה לדעת ולהבהיר מה הם רואים כסיכונים קריטיים, ומה נדרש לבצע בכדי להתמודד עם סיכונים אלו ובכך להקטין את הסיכון לפעילויות העסקיות של החברה.
טיפ מספר 2 - האם מדובר על אבטחה או על סיכון?
פתרונות טכנולוגיים, מדיניות ונהלים - כולם חשובים מאוד. אולם עוד לפני כן, כדאי מאוד לבדוק ולוודא מה מתבצע בארגון באופן פרו-אקטיבי בכדי להקטין את סיכוני הסייבר, ומהן רמות הסיכון שהוגדרו (ואם הוגדרו בכלל). מומלץ לבדוק האם הוגדר מלכתחילה על מה בכלל שומרים; מה מסכן את הארגון; מהן נכסי המידע הקריטיים של הארגון; ועוד.
למשל, האם רשימת הלקוחות של החברה מאובטחת כראוי? האם מופה תהליך הרכש של החברה והאם הוא מאובטח? המכרזים? הנתונים הפיננסיים? משאבי אנוש? ועוד.
יש לזכור כי מטבע הדברים המיקוד של בעלי תפקידים שונים בהגדרות "על מה חשוב לשמור" יהיו שונות בתכלית. על כן, ניהול הסיכונים בהקשר של אבטחת מידע תוך התמקדות בפעילות העסקית של החברה הינו קריטי. הנהלת החברה צריכה להיות מודעת למקורות הסיכונים, לתרחישי הסיכון ולפוטנציאל הנזק, ולהעביר לאנשי אבטחת המידע את רמות הסיכון המקובלות עליה, "איתן ניתן לחיות". על אנשי אבטחת המידע לתרגם מסר זה לסדרת פעולות - טכנולוגיות ותהליכיות אשר צריכות להתבצע בכדי להעלות את רמת האבטחה הארגונית כך שתשקף את רמות הסיכון - כפי שהוגדרו ע"י ההנהלה.
טיפ מספר 3 - החלטה על מספר מדדים אותם מעוניינים לנטר באופן קבוע
מומלץ לעבוד עם צוות האבטחה בכדי לקבוע מספר מדדים אותם ניתן לנטר בקלות יחסית, ואשר יספקו תמונה אמינה אודות המתרחש בהיבטי אבטחת מידע. לדוגמה: מספר התקיפות המבוצעות על הארגון אינו חשוב לכשעצמו - הנקודה החשובה היא באם מצליח צוות האבטחה להתמודד עם תקיפות אלו ולנטרלן בשלב מוקדם, עוד לפני שיש להן השפעה כלשהי על הפעילות העסקית של החברה.
המטרה הינה לקבל תמונה כוללת ובהירה אודות אירועי ומצב אבטחת המידע לאורך זמן, ולוודא כי הפעילות העסקית אינה נפגעת כתוצאה מאירועי אבטחת מידע כאלו ואחרים.
בהמשך, ולאחר שנצבר בסיס ידע - מומלץ לבצע קורלציות בין אירועי אבטחת המידע שאירעו, השינויים הטכנולוגיים בפתרונות אבטחת מידע שהוטמעו, שינויים בכוח אדם (אם היו) ונהלים ספציפיים שנכתבו והוטמעו עם השפעות/אי-השפעות התקיפות על הפעילות העסקית של החברה; כך ניתן יהיה לבדוק האם הפעולות שבוצעו אכן היו בכיוון הנכון, והאם אכן הפחיתו את רמות הסיכון על פעילויות החברה.
בקצרה, השאיפה היא להסיט את הדיון מ"משחק מספרים" לניטור ביצועים, ממש כמו בכל תחום אחר בביזנס.
חברתנו מספקת ללקוחותינו את שירות CISO-as-a-Service - בו אחד ממומחי אבטחת המידע הבכירים והמנוסים של החברה משמש בפועל כמנהל אבטחת המידע (CISO) של הארגון, ואחראי בפועל על כל נושאי אבטחת המידע בארגון, כאשר הוא כפוף להנהלה ולהנחיותיה; מתודולוגיית איי פי וי סקיוריטי, המשלבת היבטים עסקיים, תהליכיים וטכנולוגיים - מאפשרת לנו לתקשר מול ההנהלות בדיוק במינוחים אלו. אנו בוחנים תמיד את הסיכונים בהיבטים נרחבים יותר מאשר היבטים טכנולוגיים גרידא - ובכך מספקים ניתוח ופתרונות הוליסטיים אשר לוקחים בחשבון את כלל הפעילויות העסקיות של החברה.
לידיעה המלאה - כאן