משולש המפתח לטרנספורמציה מוצלחת של אבטחת מידע בארגון
מאת: עידן בן נאים, מנהל פעילות נטסקופ (Netskope) בישראל
עסקים פועלים כיום בעולם דיגיטלי מקושר, בו הם מספקים שירות ומאפשרים עבודה מכל מקום ובכל זמן. סביבת מערכות המידע השתנתה מהותית מסביבה מסורתית לסביבה מבוססת ענן גמישה, אך ארגונים רבים עדיין פועלים במערכי אבטחת מידע שתוכננו עבור סביבות מסורתיות. ללא ספק, אבטחת המידע חייבת להתקדם גם היא ולהתמקד ביעדים עסקיים ואסטרטגיים, כמו גם בסיכוני האבטחה החדשים המיוחסים לעולם הדיגיטלי.
כדי להצליח בטרנספורמציית אבטחת המידע, עלינו לבחון ולפעול כדי לשנות שלושה גורמי מפתח: אנשים, תהליכים וטכנולוגיה.
אנשים
בהיבט של האנשים בארגון ישנן שתי נקודות עיקריות: תרבות, ומערך כישורים.
ראשית, ארגונים נדרשים לבחון את התרבות הארגונית שלהם, ואת חשיבות אבטחת המידע בתוכה. עליהם לבדוק כיצד הם מטמיעים את אבטחת המידע ולחלק את האחריות לנושא לכל הארגון (לא רק לצוותי אבטחת המידע), על מנת שניתן יהיה לאמץ את כל היתרונות של הטרנספורמציה הדיגיטלית, בקצב הנכון.
כדי שאבטחת המידע תתמוך כראוי בסדר היום החדש, המוכתב על ידי טרנספורמציה דיגיטלית, תרבות אבטחת המידע חייבת להיות גמישה, אחרת ייווצרו כוחות מנוגדים בארגון, שיעכבו את ההתקדמות.
מחקר זה מראה שצוותי טכנולוגיה שעברו לעולם ה-DevOps מראים רמה גבוהה יותר של גמישות, חווים פי שבעה פחות כשלים ומסוגלים להתאושש מתקריות מהר יותר מאלה שלא עברו בהצלחה לגישת ה-DevOps. צוותי האבטחה נדרשים להיות יצירתיים לגבי האופן שבו הם מסייעים לארגון לנהל סיכוני אבטחה בסביבה גמישה ומבוססת SaaS, המשתנה ללא הרף, שכן הם משוחררים ממגבלות טכנולוגיות ה-Legacy וממורכבות התשתיות הישנות.
שנית, מערכי המיומנויות של כוח העבודה בארגון כולו נדרשים להשתנות. בדיוק כפי שנדרש לאמן מחדש את הצוותים הטכניים בטכנולוגיות ענן ותמיכה בהן, כך כוח העבודה הרחב יותר בארגון יידרש להתאמן, להשכיל להבין סיכונים, ולהשיג מיומנויות חדשות התואמות את סיכוני הסייבר, שיאפשרו להם לאמץ את הענן והשירותים הדיגיטליים במלואם.
תהליכים
בהיבט של התהליכים, ארגונים נדרשים לבצע לא רק דיגיטליזציה ואוטומציה של התהליכים העסקיים הקיימים, אלא חייבים גם לשנות את תהליך האימוץ של טכנולוגיות חדשניות. דוגמה לכך היא תהליכי ניהול סיכונים וציות למדיניות. יש צורך לתכנן מחדש תהליכים שיתאימו לסביבה החדשה.
צוותים לא יכולים לעמוד בקצב השינוי של נוף הסיכונים הדינמי, ותהליכי הערכה ידניים פשוט לא עובדים. ארגונים נדרשים לבנות מערכות ותהליכים שמעריכים באופן רציף את האיום, הסיכון ורמת הציות למדיניות, כמעט בזמן אמת, ולהשתמש בטלמטריה ככלי ליצירת ערך. כפי שהארגון משתמש בנתונים כדי ליצור ערך עבור העסק, כך גם צוותי אבטחת מידע חייבים להשתמש בנתונים כדי ליצור ערך עבור הפעילות שלהם וכדי לקבל החלטות מושכלות.
טכנולוגיה
כדי לתמוך בשינוי זה במלואו – הכולל תהליכים ואנשים – הטכנולוגיות הבסיסיות של אבטחת המידע יידרשו להשתנות ולספק יותר אוטומציה, נראות והקשר, וכן אמינות גבוהה יותר ותובנות עשירות מבוססות נתונים, אותן ניתן למנף כדי להגיע להחלטות ולפעולות מושכלות.
יש לקדם מספר יוזמות, שניתן בדרך להתאים לפי תהליך וטכנולוגיות נלוות:
- עקרונות וארכיטקטורות – למשל גישה מבוססת ענן ופרטי זיהוי דיגיטליים.
- שיפור תהליך קבלת החלטות מבוסס נתונים – למשל ניתוח מתקדם, בינה מלאכותית ולמידת מכונה.
- נוהלי תפעול – למשל Shift-Left, SecDevOps.
- אוטומצית אבטחה – למשל SOAR, רובוטיקה.
- סיכון שרשרת אספקת תוכנה – למשל זיהוי הסיכון upstream של קוד פתוח בשימוש הצוותים שלכם ובשימוש הספקים.
- אבטחת ענן – למשל SASE (ר"ת Secure Access Service Edge), אפליקציות מבוססות ענן, פלטפורמת הגנה (CNAPP).
- ניטור בקרות רציף – למשל האפשרות להערכה רציפה של בקרות, עם יכולת גידול בסביבה הדינמית, הערכת האפקטיביות והשלמות של הבקרה עם הסביבה.
לסיכום, שינוי שלושת הגורמים – אנשים, תהליכים וטכנולוגיות – יאפשר אבטחת מידע שיכולה לעמוד בקצב, לתמוך, ובאופן אידיאלי לצפות את דרישות הארגון, המונעות על ידי טרנספורמציה דיגיטלית. אם היא יעילה, אבטחת מידע לא רק מחזקת את אמון הלקוחות, אלא הופכת לגורם אסטרטגי, היוצר ערך עבור הארגון.
