"סיכון קוד חייב להיות מנוהל בליבת הארגון, לא בשוליים"

"בעידן של דיגיטציה מואצת ושימוש נרחב בקוד פתוח, תהליך הפיתוח הפך לאחד ממוקדי הסיכון המרכזיים בארגון פיננסי כמו שלנו. לא מדובר עוד בשאלה טכנולוגית נקודתית, אלא בסוגיה של חוסן ארגוני. שם, האתגר האמיתי הוא לא גילוי חולשות – אלא ניהול שלהן כחלק ממודל ניהול הסיכונים הכולל של הארגון. השאלה היא לא האם קיימות חולשות בקוד, אלא האם אנחנו יודעים למדוד, לתעדף ולנהל את סיכוני הקוד כחלק מהשיח הניהולי. בארגון פיננסי, כל סיכון מנוהל באופן שיטתי, וגם סיכון קוד, שהוא סיכון עסקי מדיד, חייב להיות מנוהל בליבת הארגון – לא בשוליים", כך אמרה זוהר כהן, ה-CISO של חברת הביטוח מגדל.

כהן זכתה לפני ימים אחדים באות הוקרה ב-IT Awards – תחרות מצטייני המחשוב של אנשים ומחשבים, על פרויקט שערכו אנשיה, בשיתוף אנשי נס, שמחבר בין פיתוח, סייבר והנהלה. "יש לעבור מהטיפול בממצאים – לשליטה מערכתית", ציינה. "בשנה האחרונה, מגדל הובילה מהלך לחיזוק השליטה בסיכוני הפיתוח. במסגרתו, יחד עם אנשי נספרו (NessPRO) הטמענו ושילבנו את פלטפורמת Mend, כחלק אינטגרלי ממחזור חיי הפיתוח".

"המטרה לא הייתה להוסיף עוד שכבת סריקה", הסבירה כהן, "אלא לייצר רצף של שליטה ושקיפות מלאה על רכיבי קוד פתוח, תלויות, חולשות ידועות ואכיפת מדיניות. כל אלה, כחלק טבעי מה-SDLC (ר"ת Software Development Life Cycle – מחזור חיי פיתוח תוכנה)".

"מעבר מניהול תגובתי של דו"חות לניהול מתמשך של חשיפה"

כהן הוסיפה כי "אבטחת המידע משולבת ישירות בצנרת הפיתוח, כך שממצאים מזוהים ומטופלים בשלב מוקדם. המשמעות היא מעבר מניהול תגובתי של דו"חות לניהול מתמשך של חשיפה. באופן זה, הסיכון מטופל עוד בטרם הוא מגיע לייצור".

היא אמרה ש-"אנחנו מממשים את תפיסת האבטחה לפי עיצוב – Security by Design. כלומר, אנחנו משלבים את האבטחה כבר מההתחלה – כסטנדרט תפעולי, שמיושם באופן אופרטיבי ולא הצהרתי. אבטחת מידע אינה שלב ביקורת בסוף התהליך – היא חלק מהפיתוח עצמו. אנחנו אוכפים את המדיניות באופן עקבי והמפתחים מקבלים משוב מיידי, כחלק מהעבודה השוטפת".

כהן דיברה גם על אבטחת שרשרת האספקה של התוכנה ואמרה שהיא "לא עוד סיסמה. זהו לא ניהול ספקים עסקיים, אלא שליטה בשרשרת האספקה התוכנתית, ברכיבי צד שלישי המשולבים בקוד שלנו".

"שליטה בתלויות – תנאי יסוד לחוסן"

"בעולם שבו חלק משמעותי מהמערכות נשען על ספריות קוד פתוח, הרי שהשליטה בתלויות היא תנאי יסוד לחוסן", אמרה כהן. "כאשר יש שקיפות מלאה – איזה רכיב, באיזו גרסה ובאילו מערכות קריטיות – ניתן להבין את רמת החשיפה האמיתית. זה ההבדל בין רשימת חולשות לניהול סיכון".

לדבריה, השינוי הוא לא רק טכנולוגי, אלא גם תרבותי: "החיבור בין פיתוח, תשתיות וסייבר יצר שפה מקצועית משותפת. במקום עימותים, הגענו למצב של תיעדוף מבוסס נתונים וסיכונים".

מדדי סיכון בשפת ההנהלה

כהן ציינה שאחד המהלכים המשמעותיים בפרויקט היה "תרגום העומק הטכנולוגי לשיח הנהלתי". "אנחנו מציגים כיום מדדי חשיפה מצטברים, מגמות, זמני טיפול והשפעה על מערכות ליבה. השיח השתנה: הוא אינו טכני בלבד – כי אם עסקי", אמרה.

"במגזר הפיננסי", הדגישה, "שבו רגולציה וניהול סיכונים הם ליבת הפעילות, אין מקום להפרדה בין טכנולוגיה לניהול. סיכון קוד וסייבר אינו שונה מסיכון תפעולי או פיננסי. ברגע שמודדים אותו, מחברים אותו למנגנוני הבקרה ומנהלים אותו בשקיפות, הוא הופך מנקודת חולשה לרכיב מנוהל".

עומק אנליטי ואוטומציה חכמה

לדברי כהן, האתגר הבא שלהם, במגדל, הוא לא גילוי חולשות, אלא תעדוף חכם בעידן של עומס מידע. "אנחנו מעמיקים אוטומציה ויכולות אנליטיות, לרבות שימוש בכלי AI – כדי להבחין בין סיכון תיאורטי לבין חשיפה ממשית למערכות ליבה. זהו המעבר מאבטחה טקטית לניהול סיכון אסטרטגי".

לסיכום היא אמרה ש-"סייבר מודרני אינו רק קו הגנה – זהו מנגנון בקרה שמאפשר לארגון לחדש בביטחון. כאשר ניהול סיכוני קוד וסייבר משולב בליבת האסטרטגיה העסקית, החוסן האבטחתי הופך ליתרון תחרותי".