המנכ"לים כחסמים להגנה מפני נזקי סייבר

מנהלי הארגונים אמנם מבינים את חשיבות ההגנה מפני מתקפות אבטחה וסייבר, אבל לא מתרגמים אותה להפניית תקציבים ● יום אחד הם עלולים לגלות שזה עלה להם ביוקר

מנהלי ארגונים מבינים את הסכנות שבסייבר. אבל מה עם התקציבים? צילום: BigStock

הסקר השנתי בנושא אבטחת מידע וסייבר, שנערך לקראת כנס InfoSec של אנשים ומחשבים בקרב יותר מ-200 אנשי אבטחת מידע ומנהלי סייבר, העלה ממצאים מדאיגים בכל מה שקשור ליחס של הנהלות הארגונים לנושאים אלה.

אמנם, יותר מ-40% מהמשיבים מעידים שהארגונים שלהם חוו מתקפות אבטחה וסייבר שונות, ומציינים שהמודעות בקרב ההנהלות גוברת. אבל מניתוח תוצאות סקר עולה תמונה עגומה ובמידה רבה בלתי מובנת: מנהלי האבטחה ואנשי הסייבר אומרים כי אותה מודעות שההנהלות מצהירות עליה לא באה לידי ביטוי בתקציבים שהן מקצות לטובת האבטחה. כלומר, המודעות הגוברת באה לידי ביטוי רק במילים או בהצהרות יפות של המנכ"ל, אבל לא מובילה את הארגונים להכניס יד לכיס.

אם להשתמש במילים ברורות יותר, הנהלות הארגונים, שאמורות להיות המעורבות ביותר וללחוץ על מנהלי האבטחה לעשות הכול כדי להגן על הנכס היקר להן מכל, מהוות את החסם העיקרי, בכך שהן לא מתרגמות את הדאגה לכסף, שינותב לפעולות שונות שיגבירו את האבטחה.

זאת ועוד, מהסקר עולה שלמרות ההצלחות של מתקפות הסייבר ואבטחת המידע, עדיין יש בארגונים ליקוי אחד חמור ומתמשך: העדר תרגולים, שבהם מוודאים שכל אחד בחברה יודע בדיוק מה עליו לעשות במקרה של מתקפה. כל מנהל מתחיל מבין שטיפול באירוע סייבר לא מסתכם בעבודה של מנהל האבטחה, אלא מדובר בפעילות של כל מטה החברה, בראשות המנכ"ל. חלק מהארגונים כבר קשורים עם חברות חיצוניות שזה תחום ההתמחות שלהן. הם נכנסים לפעולה מרגע שהארגון מזהה התקפת סייבר, כאשר גם תהליך זיהוי זה הוא מורכב ותלוי מאוד במדיניות ברורה שהארגון קובע מראש, עם כללים של עשה ואל תעשה.

מה עושים כשמתקבלת ההודעה המטרידה?

מנמ"ר ותיק סיפר לי לא מכבר שאחד הדברים שמטרידים אותו כמעט מדי לילה הוא הודעה שיקבל על מתקפת סייבר בארגונו. הדילמה היא מתי להכריז על הודעה שכזו כעל משבר, עם כל המשמעות שכרוכה בכך, ובאילו מקרים להמשיך להתנהג כרגיל. ההחלטה בנושא מורכבת וצריכה להיות מידית. בארגונים מסוימים, כמו במגזר הפיננסי, המשמעות שלה יכולת להיות דרמטית: הורדת האתר והכרזה על מתקפה עלולות לגרום להיסטריה מוחלטת – וזו רק דוגמה אחת.

ההכנות למצבים כאלה מתחילות ונגמרות בתרגולים, שארגונים צריכים לעשות לפחות פעם בשנה. הם צריכים לתרגל בהם תרחישים שונים, בדיוק כמו בחמ"ל מלחמה. הנזקים שיכולים להיגרם לארגון כתוצאה מאי היערכות נכונה עלולים להיות לא פחות חמורים מנזקי מלחמה, חס וחלילה.

נתוני הסקר משתלבים עם אלה שעולים מסקרים בינלאומיים שנערכו באחרונה, שמראים כי נושא האבטחה יורד בדחיפותו מסדרי העדיפויות של ארגונים טכנולוגיים ואחרים. סקר אחרון של גרטנר (Gartner), למשל, מראה שהתחום מדורג במקום השביעי בסדר העדיפות של מנהלי ארגונים, ושב-2015, רק 5.6% בממוצע מסך התקציב של הארגון הופנו לאבטחה, לעומת 6.1% ב-2014.

ההנהלות מצפות ממנהלי האבטחה והסייבר לעשות יותר בפחות, אלא שאי גידול בתקציבי האבטחה, שלא לדבר על ירידה בהם, פוגע ישירות בארגון כי הוא מוריד את רמת האבטחה.

מאות מקצועני האבטחה שיגיעו ביום ג' הקרוב לכנס InfoSec ידונו בין היתר בסוגיה כואבת זו. צפויה לעלות משם קריאת השכמה למנכ"לים, לדירקטורים ולשאר מקבלי ההחלטות בארגונים: המציאות בתחום האבטחה הולכת ונעשית מורכבת. מניעי המתקפות והסוגים שלהן הולכים ומשתכללים, וארגונים שלא ישנו את הגישה שלהם, לא יחשבו מחוץ לקופסה, עלולים לראות בוקר אחד שהנורא מכל קרה בארגון שלהם, ולהפנים שהם איחרו את הרכבת. מנהלי האבטחה יוכלו לפחות לומר: שלא תגידו שלא הזהרנו.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים