גם ל-CISO יש אחריות על תפקידו העסקי של הארגון

כולם חייבים להיות מעורבים באתגר של מניעת מתקפת סייבר על הארגון, שעלול לפגוע בתוצאות העסקיות שיושפעו עקב השבתה או עקב גניבת מידע מהארגון

דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות. צילום: ניב קנטור

כידוע אנשי הכספים לא תמיד מקשיבים ואינם מבינים את הסיכונים כתוצאה מתקיפות סייבר על הארגון. הם מתעוררים רק לאחר סוף רבעון כאשר מתברר כי הארגון מסיבה כלשהי לא הצליח לספק תשואה שהמשקיעים מצפים לה. באירועים מסוג זה, אם אתה האחראי על אבטחת סייבר, CISO (ר"ת Certified Information Security Officer), גם אתה עלול להיות מוזמן למנכ"ל ותתבקש להסביר את התרומה שלך לכשל הארגון בהשגת היעדים.

בין אם אחריות ה-CISO לגבי הגנת סייבר על הארגון היא מוחלטת או רק חלקית, אלה שממלאים את התפקיד של CISO, אנשי אבטחת מידע (Chief Information Officer-CIO) ואלה שמנהלים את המרכז לאבטחה על הארגון (Security Operation Center-SOC), חייבים לשאת באחריות. הפחתת הסיכון (Cyber risk mitigation) הוא נושא קריטי המקשר בין יחידות האבטחה של החברה לבין המנכ"ל (CEO), סמנכ"ל כספים (CFO) מנהלי תפעול (COO), ואחרים וגם עם בעלי השליטה בחברה.

כולם חייבים להיות מעורבים באתגר של מניעת מתקפת סייבר על הארגון, שעלול לפגוע בתוצאות העסקיות שיושפעו עקב השבתה או עקב גניבת מידע מהארגון. בשיחות אלה חייבת להיות התייחסות לסיכונים עקב תקיפה, פגיע בהכנסות של הארגון, פגיעה ביעילות תפקוד של העובדים, עלות הרכש והטמעה של אמצעי מגון, והאחרון אך החשוב ביותר: השפעה על שביעות רצון של הלקוחות.

סיכון לתקיפת סייבר

השיח המתמיד והמתמשך לגבי הסיכונים הוא קריטי כאשר CISO מדבר ההנהלה הבכירה. ללא ספק כולם קשורים לאתגר זה, אך כמובן רק האדם בתפקיד CISO יכול לבצע משימה זו. המעורבים חייבים  להימנע משיח לגבי פרטים טכניים וגם משיח לגבי החזר ההשקעה (Return on Investment-ROI) באמצעי הגנה למניעת תקיפות סייבר.

המנכ"ל והדירקטוריון של ארגון לא צריכים להכיר את מבנה השרתים ותפקידם, אבל הם צריכים לדעת האם החברה יכולה להמשיך לתפקד במקרה של תקיפת סייבר (Distributed Denial of Service-DDoS), תקיפות מסוג שהובילו לדרשה לתשלום כופר (WannaCry Ransomware), ועוד.

פגיע בהכנסות של הארגון

העיסוק בתהליכי אבטחת סייבר יכול לעזור לארגון לעמוד ביעדים העסקיים. בעוד שזה עשוי להיראות ברור, בארגונים רבים עדיין הדרישות להשקעה במיגון נגד תקיפות סייבר נתפסים כמו הוצאה לא חיונית.

גרוע מכך, אנשי אבטחת סייבר ואלה הממלאים תפקיד CISO נתפסים כאנשים שדוחפים להשקעה לחדשנות ללא הצדקה. כמו כלל המנהלים הבכירים בארגון CISO צריך ללמוד על הפרויקטים החדשים, והם יכולים גם  להציע דרכים לשלב אבטחת סייבר. תהליכים אלה מובילים מוצרים מאובטחים יותר ומוגנים בפני סוגים של תקיפות שיופיעו בעתיד (דוגמה: מצלמות אבטחה).

פגיעה ביעילות תפקוד של העובדים

אבטחה נתפסת לעתים קרובות כפוגעת ביעילות של פיתוח מוצרים חדשים וחדשניים. עובדים רבים יספרו לכם כיצד הדרישה לאבטחת סייבר פגעה בביצועים של המוצר או הגדילה את ההשקעות בפיתוח מוצרים.

לפעמים מפתחים משקעים חודשים רבים בהוספת תכונות חדשניות, ובסופו של התהליך המחלקת לאבטחת סייבר סוקרת את המוצר וקובעת כי חלק מהתכונות עשויות לפגוע בפרטיות של המשתמש או לסכן את השרידות בפני תקיפת סייבר. המפתחים מרגישים שבזבזו את הזמן, וחייבים לפתח את מוצר מחדש כדי לעמוד בדרישות אבטחת סייבר.

עלות הרכש והטמעה של אמצעי מגון

כאשר מטמיעים אמצעים לאבטחת סייבר או דנים לגבי שכירת צוות מומחים, השקעה בהוצאות אלה היא יותר למטרה של הקטנת סיכון מאשר השקעה במניעת חולשות אבטחה קיימות. זה נכון במיוחד כאשר דנים תקציבים עם אנשי כספים, כיוון שאלה מתייחסים לנושא מנקודת מבט של החזר על השקעה (RoI).

גישה זו כמובן לא נכונה וכדי להתגבר על המחסום שיוצרים מנהלי הכספים, מומלץ לאנשי אבטחת סייבר להסביר להם את הנושאים באופן "ידידותי וברור" וכך להשיג את הסכמתם להשקעות נדרשות.

השפעה על שביעות רצון של הלקוחות

צוותי פיתוח מוצרים הם האחראים ליצירת השירותים והמוצרים בהם משתמשים לקוחות, במקביל לכך צוותי אבטחת סייבר חייבים להבטיח כי מוצרים ושירותים אלה יהיו מוגנים ככל האפשר.

האתגר של צוותי אבטחת סייבר הוא לספק מוצר ייחודי, חדשני וגם בעלות סבירה מבלי לפגוע בחוויית המשתמש. להשגת מטרה זו אנשי אבטחת סייבר חייבים להיות מעורבים עיצוב והגדרה של המוצר מלכתחילה. כאשר הם שותפים מהתחלה, השילוב הוא קל יותר מאשר להתמודד עם הבעיה לאחר שווק של המערכת או הפריט.

כדי להשיג מטרות אלה חשוב להימנע משיח על נושאים טכניים שרק אנשים בעלי רקע טכני. מנהל בכיר עם רמת ידע ממוצע אומנם לא יבין את הפרטים הטכניים. אבל חשוב לו לשווק מוצרים שיש ביכולתם להגן על מידע פרטי של הלקוחות, לצמצם את הסיכונים לתקיפת סייבר כך  לשדרג את התוצאות העסקיות.

נפגש בכנס.

כנס 2017 ICS-Cybersec יערך בישראל בתאריך 13 בנובמבר ב-LAGO ראשון לציון. הכנס יכלול הרצאות של ספקים ומשתמשים ויתמקד בסיכונים ובפתרונות לאיומי הסייבר על מערכות שו"ב, מערכות אינטרנט של הדברים, מפעלי ייצור, רשות המים, רשת החשמל ותשתיות חיוניות נוספות. כנס זה יהווה מקום מפגש לבעלי תפקידים, להחלפת דעות וחשיפה לפתרונות חדשים שיגנו על המערכות שו"ב במדינה.

להרשמה לאירוע לחצו כאן.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים