מדריך הסייבר לעסקים קטנים ובינוניים

לימדו אותנו לפחד מהסייבר, לימדו אותנו לקרוא להם, להאקרים, אנשי הצללים שמתחבאים מאחורי הסייבר, לימדו אותנו בעיקר לא להבין, לא לשאול ורק לפחד. אז במדריך הבא אתן לכם מספר כלים לניהול אפקטיבי של עולם הסייבר בכדי שלא תמצאו את עצמכם משלמים על פחד וחוסר הבנה.

נתחיל ממי שמנהל את אבטחת המידע אצלכם ה-CISO. בארגוני קטנים ובינוניים בדרך כלל אין מקום ו/או תקציב למשרת מנהל אבטחת מידע. כאן בדיוק נכנסים שירותי ה-CISO as a Service. בתקציב הגיוני ומתאים לעסקים קטנים, תקבלו מנהל אבטחת מידע מנוסה ומוסמך שיעשה בדיוק את העבודה הזו עבורכם, מבלי להתחייב מעבר לכך. חשוב מאוד לדרוש ממי שמפקידים בידיו את ניהול אבטחת המידע להציג תעודות הסמכה בינלאומיות שיגבו את הניסיון הנדרש במקום סיפורי קרב כאלה ואחרים. בשנת 2019 קיימת אבטלה שלילית בתחום הסייבר וכדי שתוכלו להחזיק מנהל אבטחת מידע במשרה מלאה, עליכם להיות מאוד מעניינים בתור עסק, ומאוד אטרקטיביים בתנאים כדי שגיוס כזה יחזיק מעמד.

בין אם יש לכם מי שמנהל את אבטחת המידע, או בין אם יש לכם מישהו שאתם חושבים שצריך לנהל את כלי אבטחת המידע שקניתם, חשוב להבין את מפת האיומים הרלוונטית לעסק שלכם. עסקים קטנים אינם שונים מעסקים גדולים, ולעיתים אלו הקטנים אפילו מעניינים יותר את אותם אלה שרוצים להזיק לגדולים. על אף שעולם הסייבר נשמע מפחיד, חשוב שתכירו את מפת האיומים הרלוונטיים אליכם, ואגב כאן אני גם כולל את איומי הרגולציה למיניהם, וכך למעשה תוכלו לנהל את הסיכונים בצורה מחושבת ונכונה. איך עושים את זה? ייעוץ. וכדי שהייעוץ יהיה שווה משהו, שימו לב ממי אתם מקבלים אותו. חשוב שתקבלו מפת איומים ממי שמבין טוב את העסק שלכם, ומכיר את תחום העשייה בו אתם פועלים.

להגיד משהו כמו יש לנו פיירוול ואנטי וירוס, לא מספיק היום

לאחר שהצלחתם להבין את מפת האיומים שלכם, זה הזמן למפות ולבדוק את הבקרות שברשותכם כדי שביום שבו יתממש האיום, תוכלו לדעת מה עומד לרשותכם בכדי להתמודד איתו. מיפוי הבקרות חשוב שייעשה בתוך הבית, אתם מכירים הכי טוב את הארגון שלכם. אם בחרתם לעבוד עם יועץ – מצוין, אבל אל תצפו ממנו להחליף אתכם בתחום הזה. מיפוי הבקרות שלכם חשוב שיקיף את שלושת הקטגוריות: אנשים, תהליכים וטכנולוגיות. כל אחד מאלו תורם חלק שלא יעלה על שליש ממפת הבקרות שלכם. להגיד משהו כמו יש לנו פיירוול ואנטי וירוס, ברור לכולם שלא מספיק היום, אבל לא כולם מכירים בעובדה שטכנולוגיות, טובות ככל שיהיו, לעולם לא יוכלו להחליף תהליך קבלת החלטות עסקי ולעולם לא יוכלו להחליף את האדם שבין המקלדת לכיסא. כל עוד אנחנו, בני האדם מעורבים בניהול עסקי, הטכנולוגיות לא יוכלו להחליף אותנו.

לאחר מיפוי הבקרות, אלה שקיימות, ואלה שהייתם רוצים שיהיו לכם, תשאלו את עצמכם עד כמה הבקרות הקיימות אפקטיביות בעיניכם. יכול להיות שחלק מהבקרות שלכם בתחומים שונים חסרות ואינן אפקטיביות? בתהליכים כמו כניסת עובד חדש לרשת המחשוב, או העברת מידע בנפח מאסיבי מרשת אחת לאחרת, היינו מצפים למצוא בקרות תהליכיות יחד עם בקרות טכנולוגיות שיספקו הגנה אפקטיבית בכדי שאם אחת תכשל, האחרת תוכל לכסות עליה. בשפה המקצועית זה נקרא הגנה בשכבות, ובימינו ידוע שליותר מ-90% מהארגונים כבר יש מספיק טכנולוגיות כדי לקבל הגנה אפקטיבית בשכבות, אלא שרובם המכריע לא עושה בהן שימוש נכון וממשיך לרכוש טכנולוגיות נוספות כדי לטפל באיומים חדשים.

לבסוף, חשוב לתעדף נכון את המאמצים שלכם ושל הארגון. ניהול סיכונים מתרחש בכל הרמות – פיננסים, מכירות, תפעול, פיתוח, וגם באבטחת המידע. המון פעולות פשוטות ומיידיות יכולות להיכלל בתוכנית העבודה שלכם כמו למשל הקשחת קונפיגורציית המדפסות במשרד, הפרדה בין דוא"ל של העבודה לפרטי, מודעות עובדים לכל איום הפישינג והלינקים המסוכנים שמגיעים במיילים, שיתוף מידע בצורה בטוחה, ניהול נכון של הטלפון החכם שלנו ועוד המון פעולות שניתן לבצע בקלות ובעלויות נמוכות יחסית בכדי להקטין את מרחב המחייה של האיום.

עולם הסייבר נשמע מפחיד, אבל הוא בסך הכל פלטפורמה נוספת לתקשורת ועסקים בין אנשים באמצעים טכנולוגיים, בדיוק כמו הטלפון שהומצא לפני כמאתיים שנה. עם קצת ידע ועזרה, ארגוני SMB יכולים לעשות המון עם מה שכבר עומד לרשותם כדי להגן על עצמם ועל קהל הלקוחות שלהם.

הכותב הוא מנכ"ל CyTech Consulting.