גם אם תקציבי אבטחה המידע בשנה הקרובה (2014) יגדלו או לכל הפחות יישארו באותו היקף, לאף ארגון אין משאבים בלתי מוגבלים על מנת להגן על. . .
מומחים לניהול סיכונים טוענים כי אסטרטגיות חכמות בנושא זה יכולות לסייע בניתוב משאבי האבטחה הכספיים להגנה על הנושאים שבאמת חשובים בהיבט העסקי. ארגונים המשתמשים באסטרטגיות כאלה יכולים לבסס את ההחלטות שלהם בהיבט ההשקעה המשאבית על גורמים אשר באמת מסכנים את העסקים שלהם, ולא לרדוף אחרי כל איום שהוא. להלן כמה עצות בנושא זה:
1) הקמת מועצה לניהול סיכונים ואבטחת מידע- אם הארגון מעוניין לקבל תמורה טובה יותר מניהול סיכוני האבטחה שלו, עליו בראש ובראשונה לזכור כי סיכון האבטחה הוא רק היבט אחד של סיכון עסקי. לכן, חשוב כי יהיו צוותים חוצי-ארגון, בהם יטלו חלק סמנכ"ל הכספים, היועץ המשפטי ובכירים נוספים. במסגרת מועצה זו, יהיה ניתן לדון, לתעדף ולהחליט על פעולות והשקעות בהתבסס על רמת הסיכון שפותחה תוך כדי דיון והסכמה חוצת-ארגון. כך ניתן גם לסנכרן גופים שונים בארגון סביב רשימה קצרה יחסית של סיכונים בעלי פוטנציאל לגרימת נזק לעסקים.
2) קבלת דעה שניה- גם באם מועצה לניהול סיכונים אינה פרקטית, קבלת דעה שניה באשר למקומות בהם ניהול הסיכונים צריך להתמקד מהווה דרך חיונית לקביעת סדרי עדיפויות. ניתן לעשות זאת על ידי ראיונות של גורמי הכספים, המחלקה המשפטית וחוק, במקום עם בכירי מערך ה-IT. לעתים, דווקא אלו שאינם באים מתחום ה-IT מזהים את הסיכונים המהותיים.
3) מיפוי הסיכון בשרשרת העסקית- מהי השרשרת העסקית של החברה שלך? במילים אחרות, מהם תחומי העסקים אשר איומי אבטחה יכולים בהם לשבש את האופן בו הארגון פועל? זו קביעה חשובה ביותר שיש לעשות, וכזו שדעה שניה תסייע בגיבושה. ברגע שדבר זה הובן, יש להתחיל ולמפות את הרכיבים הטכניים בכדי להבין אלו אירועים יכולים להזיק במידה הרבה ביותר לארגון. כך, יש ארגונים בהם מסד המידע ובו כרטיסי אשראי של לקוחות מהווה את נכס המידע החשוב ביותר; אצל אחרים, מדובר דווקא במספרי תעודות זהות וכו'.
4) הצג את הסיכון באופן חזותי- חלק ניכר מניהול סיכונים הוא העברת הסיכונים שזוהו הן כלפי מעלה להנהלה הבכירה והן כלפי מטה למנהלי האבטחה אשר עליהם לנקוט בצעדים שונים על מנת למזער אותם. אחת הדרכים היעילות ביותר לבצע זו היא לעשות את התוצאות הללו לחזותיות. מומחים מדגישים כי הבאת ההנהלה הבכירה להבנה בתחום ניהול הסיכונים היא משימה מאתגרת.
מיפוי כלל איומי וסיכוני האבטחה בארגון, לרבות רמת סבירותם, מחייב עריכת סקר סיכונים מקצועי. סקר זה צריך לכלול גם מיפוי של נכסי המידע של הארגון ומיקומם הפיזי, רמת הפגיעות של מערכות המידע בארגון ושל הגורם האנושי. על בסיסו, ניתן לגבש המלצות אופטימליות בדבר פתרונות ממוקדים המתועדפים לפי פוטנציאל הנזק לארגון. מתודולוגיה זו יושמה הלכה למעשה אצל עשרות מלקוחותינו בשנה האחרונה, בין אם במסגרת ביצוע סקר סיכונים ותהליכים מלא או במסגרת פרויקט ניהול סיכונים ייעודי. אם ברצונך לשמוע פרטים נוספים, אנא צור עימנו קשר.
לידיעה המלאה- כאן