חליפת הגנה ארגונית אופטימלית – מבחן 100 הארגונים – חלק ב'

בחלקו הראשון של מאמר זה, הצגנו לכם את סיפורם של ג'יימס ואלכסנדרה, בו הצליחה אלכסנדרה בקלות יחסית לחדור לארגונו של ג'יימס באמצעות מתקפת סייבר ולייצר לארגון נזק משמעותי. בחלק זה, נתאר כיצד ארגונים בונים בפועל את חליפת ההגנה שלהם בסייבר, ונמליץ על מספר צעדים קריטיים שמומלץ לבצע.

מחקרם של דור ואלוביץ' (2016) מתאר כיצד כ-100 ארגונים ברחבי-העולם מקבלים החלטות לגבי בניית חליפת ההגנה הארגונית שלהם. כצפוי, המחקר העלה כי כל ארגון וארגון מנהל את תהליך קבלת ההחלטות שלו בצורה שונה, הייחודית לו. לעתים זו פונקציה של המבנה הארגוני, או של הפוליטיקה הארגונית. לעתים זה נובע מהמשאבים בארגון או ממערכות היחסים שלו עם ספקי הטכנולוגיה השונים. לעתים זה בהתאם לנהלים המתקיימים בו, או בהתאם למבנה הטופולוגי של התשתיות הארגוניות, או אפילו האישיות של מנהלי האבטחה, ועוד כיוצא באלו.

המחקר הציג למעשה את הדומה ואת השונה בתהליכי קבלת ההחלטות המיוחדים לארגונים השונים, תוך הגדרת החוזקות והחולשות בתהליכי קבלת החלטות אלו. למחקר זה אף בוצע כעבור שנים אחדות מחקר-המשך, שהעלה במפתיע מציאות עגומה ביותר. הסתבר כי רוב הארגונים כלל אינם מתנהלים לפי ה-Best Practices אשר פותחו בתעשייה ובאקדמיה.

כידוע, בהתקיים Best Practices אלה, מתאפשר לארגון להחליט כיצד הוא משקיע את המשאבים שלו בחליפת הגנה אפקטיבית ובתהליכי Incident Response איכותיים. Best Practices אלה מציגים טכניקות המאפשרות לכמת את הסיכונים אליהם הארגון חשוף. ניתן לבחון כיצד להשקיע משאבים כדי לצמצם למינימום את הסיכון הקיים. למרבה הצער במציאות הקיימת, רוב הארגונים אינם משתמשים ב-Best Practices השונים גם כאשר מסתייעים ביועצים, ואי-לכך הארגון נותר חשוף לסיכונים ואיומים שונים באופן מהותי עמוק ומשמעותי.

נשאלת אם כן השאלה המכרעת: איך ג'יימס ובעצם כלל מנהלי אבטחת המידע יכולים להתמודד עם האתגר ההתקפי? איך מייצרים מצב בו הארגון ומקבלי ההחלטות בונים תוכנית עבודה אפקטיבית ובה בשעה הם בעלי יכולת לנהל אירוע סייבר בזמן אמיתי ובצורה אפקטיבית?

התשובה לכך מורכבת, ולא ניתן להקיפה במאמר קצר זה. עם זאת, ניתן בהחלט להמליץ על מספר צעדים קריטיים אותם נדרש וראוי לבצע:

• יש להביא יועץ-מומחה אשר מכיר מספר מסגרות עבודה (Frameworks) של Information Security Management Systems ,Risk Management ו-Incident Response, ולא עובד אך ורק לפי מסגרת אחת.
• יש להחליט באילו מסגרות משתמשים ולאיזה צורך.
• יש ללמוד כיצד עובדים בארגונים דומים אחרים.
• יש לייצר תוכנית עבודה רב-שנתית המבוססת על אחת המסגרות שנבחרו (לדוגמה, "מסמך תורת ההגנה בסייבר"), כולל יצירת תעדופים שכן לא ניתן לממש הכל כאן ועכשיו.
• יש לתקף את תוכנית העבודה הרב-שנתית מול יועץ אחר שלא היה מעורב בבניית התוכנית הראשונית.
• יש לתקף את תוכנית העבודה מול ספקיות הטכנולוגיה השונות והאינטגרטורים השונים.
• יש לוודא כי תוכנית העבודה השנתית מתואמת אל מול תוכנית ה-Risk Management הארגוני וכן אל מול תוכנית ה-Incident Response הארגונית.
• יש להשתמש באסטרטגיה כדוגמת Pre-Mortem Analysis עם ההנהלה, כדי לבחון מה קורה במצב בו הטמעת תוכנית העבודה השנתית נכשלה ו\או במקרה בו מתרחש אירוע.

לסיכום, האתגר שתואר לעיל הינו משמעותי וכבד-משקל בחיי כל ארגון ואין להקל בו ראש. אחת התובנות המרכזיות שמפיקים מהמקרה המתואר היא לסלק מהמחשבה כל בדל רעיון בסגנון "אני רב-ניסיון ואני יודע הכל".

גם אם הניסיון שלכם אכן רב עד מאוד, עליכם לקום ולאתגר אותו באמצעים שונים ומגוונים, תוך היעזרות במומחים חיצוניים בעלי ניסיון. היה זה הלך רוח מוטעה שהכשיל את ג'יימס, משהו בנוסח "הכל אני יודע", ו-"אני ואפסי עוד". הלך-רוח כזה מכשיל ועוד יפיל ברשתו בעלי תפקידים רבים בארץ וברחבי-העולם.

אנחנו מוכנים "להיקרע לגזרים" על הגנת הארגון. במלחמה הזאת בין התוקף למותקף, יש בהחלט מה לעשות ולשפר והרבה. כל בעל תפקיד רלוונטי, הער לענני הסערה הקיברנטים והמבחין בהם, חייב להערך לקראתם; צריך לתכנן ולהכין תוכנית עבודה רב-שנתית יעילה ואפקטיבית וכן תוכנית Incident Response מתאימה שתתאים לארגון ולסיכונים שלו. תוכניות אלה אמורות להיות חלק אינטגרלי מתהליך הכרחי של ניהול סיכונים אופטימלי וכמית (Quantitative), ובהחלט אמורות לערב את הגורמים הבכירים ביותר בארגון.

הכותב הינו דוקטורנט להנדסת מערכות תוכנה ומידע באונ' בן-גוריון, וחוקר בחמש השנים האחרונות תהליכי קבלת החלטות בארגונים לגבי בניית חליפת הגנה אופטימלית של יכולות אבטחת מידע. במקביל למחקריו, מסייע לארגונים ברחבי העולם בבחינה, בחירה והטמעה של מספר מוצרים מתקדמים בפורטפוליו של צ'ק פוינט (Check Point).

לחלק א' לחצו כאן.