"איומי הסייבר הם הסיכון הגדול לארגונים – והמצב דרמטי"
"הם משבשים את הפעילות, כמות האיומים אינסופית והסיכון גדל כשמוסיפים את השיבושים המאפיינים את הטרנספורמציה הדיגיטלית וה-GenAI", אמר רו''ח עו''ד ליאור סגל, המבקר הפנימי הראשי של בזק

"הארגונים, ובתוכם התהליכים והעובדים, תלויים באופן עמוק בטכנולוגיה. בסופו של יום, איומי הסייבר הם הסיכון הכי מהותי לארגונים כיום. הם משבשים את הפעילות העסקית, וכמות האיומים כמעט אינסופית. הסיכון גדל עוד יותר כשמוסיפים את השיבושים המאפיינים את הטרנספורמציה הדיגיטלית והבינה המלאכותית היוצרת. אנחנו מבינים שהמצב דרמטי: הסיכון הדיגיטלי הולך וגדל, ודורש מענה מוכלל, שהוכן בקפידה מראש", כך אמר רו"ח עו"ד ליאור סגל, המבקר הפנימי הראשי של בזק.
סגל הוא אף דירקטור, מזכיר וגזבר בלשכת המבקרים הפנימיים IIA ישראל. הוא דיבר בכנס המקצועי השנתי של הביקורת הפנימית, שערכה הלשכה, בהפקת אנשים ומחשבים, היום (ה') באולם האירועים לאגו ראשון לציון.
לדבריו, "אחרי שקורה אירוע סייבר בארגון, דברים צריכים להתנהל אחרת. על הארגון לחשוב לפני התוקפים, לייצר הגנות סביב השעון, גם בליל שבת וביום כיפור. עליו לחשוב אילו מנגנונים להקים כדי שהדגלים יונפו ברגע האמת. והיה וקרה אירוע – יש לצמצם את השפעתו, לייצר תוכנית תגובה, לזהות את האירוע ואת התוקפים, לתחום ולבודד אותו, להכילו ולבחון שהזיהום לא ממשיך לפגוע בארגון. זה ייעשה, בין השאר, עם בניית צוותים רב תחומיים, שמגיעים ממקומות שונים בארגון".
"התגובה לא יכולה להיות ספונטנית ומגיבה בלבד"", ציין. "יש להעריך מראש את הסיכונים ולהכין מראש תוכניות להתמודד איתם".
"אירוע סייבר – לא המקום לפעול בשיטת ה-'סמוך'"
סגל קבע כי "אירוע סייבר אינו אירוע טכנולוגי. הוא קודם כל אירוע של המשכיות עסקית, שדורש תוכנית אפקטיבית מיטבית לחוסן סייבר. לא זה המקום לפעול בשיטת ה-'סמוך' הישראלית. טכנולוגיות מתקדמות – מיכון, RPA ובוטים – 'מזרזות' את הגעת סיכוני הסייבר מהבחורים הרעים".
"בארגונים רבים", הסביר, "מנהלי האבטחת המידע והגנת הסייבר נמצאים בקו ההגנה הראשון, ומנהלי הסיכונים ממוקמים בקו ההגנה השני. המבקר הפנימי נמצא רק בקו ההגנה השלישי, אך החוזקה שלו היא בידע וביכולת לבחון דברים לעומק".
"מבקר פנימי", הוסיף סגל, "יעזור לארגון בשלושה מוקדים מהותיים, בקשר לסייבר: ממשל תאגידי – ובמקרה זה, מיקוד בממשל IT; ניהול הסיכונים הארגוני; ותהליכי הבקרה. בממשל ה-IT, על המבקר הפנימי לוודא שהוגדרו תהליכים, הוטלה אחריות, קיימות תוכניות מודעות, הדירקטוריון מפקח על הנושא וכל אחד בארגון יודע מה עליו לעשות כשקורה אירוע. בעולם ניהול הסיכונים, על המבקר לבדוק האם הארגון מסוגל לזהות ולהתמודד עם איומי סייבר קיימים ומתפתחים. בעולם הבקרות, על המבקר הפנימי לבחון שהן אפקטיביות ומצמצמות את הסיכוי לכך שיקרה אירוע סייבר, למשל באמצעות עריכת מבדקי חדירה עיתיים וסקירות תקופתיות".
הוא אמר כי "כל מבקר ומבקרת פנימיים, בכל ארגון, חייבים להיות מודעים לסיכוני הסייבר שמאיימים על הארגון שלהם. יש לשלב את בחינת סיכוני הסייבר כחלק מתוכנית הביקורת הפנימית. כך יתקבל ערך מוסף, ולארגון תהיה ביקורת פנימית חוקרת, סקרנית, שואלת שאלות, מאתרת בעיות – ובגישה כוללת. רק כך, הנהלת ודירקטוריון הארגון, וגם המבקר הפנימי, יוכלו לישון טוב יותר בלילות".
סגל ציין לסיום ש-"במלחמה חל גידול בהיקף איומי הסייבר והמתקפות. המבקרים הפנימיים חייבים ללמוד ולהעמיק בנושאי סייבר, לתעדף את האיומים ולהציבם בראש סדר העדיפויות בביקורת שלהם – לטובת הגנה מוכללת על הארגון. ארגון שיעשה זאת בחוכמה יוכל לצלוח את התקופה המאתגרת".
תגובות
(0)