תורת האיזונים בניהול סיכונים ואבטחת מידע

מאת סיימון צ'ולסקי

ההאצה הדיגיטלית בארגונים מגבירה את הצורך בניהול סיכוני הסייבר ואבטחת סייבר. כיצד מזהים את התקופות שבהן יש צורך בדגש חזק יותר על איומים מסוימים? איך נערכים לתקופות שבהן איום הסייבר גובר? כיצד מייצרים מנגנון של איזונים והגנות בהתאם לשינויים באקלים ובסביבה העסקית? ומה הן הפעולות שיש לנקוט כדי לשפר את האבטחה בתקופות אלה?

איזון סיכון-סייבר-הגנה

מיפוי ברור של מפת הסיכונים מאפשר איזון מיטבי של התגובות של מנהל אבטחת המידע לסיכון. דגימת הסיכונים באופן תדיר נדרשת היום יותר מתמיד, היות שהאיום שעומד בפני הארגון עשוי להשתנות לאורך זמן. בכל שלב, יש צורך באיזון בין האיום הנוכחי, האמצעים הדרושים כדי להתגונן מפניו, ההשלכות והעלות של אותן הגנות והסיכון הכולל שהדבר מהווה לארגון.

במקרים שבהם איום הסייבר על ארגון גדול מהרגיל, יש לעבור להתראה מוגברת, הכוללת תיעדופים על הגנות הארגון על פי מפת הסיכונים העדכניים, ודחיפה זמנית להגנות מסוימות על פני אחרות.

גורמים המשפיעים על סיכון הסייבר של ארגון

השקפתו של ארגון לגבי סיכוני הסייבר שלו עשויה להשתנות אם יופיע מידע חדש שהאיום התגבר. זה עשוי להיות בגלל עלייה זמנית ביכולת היריב, אם, למשל, יש פגיעות של יום אפס בשירות בשימוש נרחב, שגורמי איומים בעלי יכולת מנצלים אותו באופן פעיל. או שזה יכול להיות ספציפי יותר לארגון, מגזר או אפילו מדינה, כתוצאה מהאקטיביות או מתחים גיאופוליטיים.

מסיבות אלה, ארגונים בכל הגדלים חייבים לנקוט צעדים כדי להבטיח שהם יכולים להגיב לאירועים אלה. נדיר שארגון יוכל להשפיע על רמת האיום, ולכן פעולות מתמקדות בדרך כלל בהפחתת הפגיעות להתקפה מלכתחילה ובהפחתת ההשפעה של מתקפה מוצלחת. אפילו התוקף המתוחכם והנחוש ביותר ישתמש בפגיעויות ידועות, בתצורות שגויות או בהתקפות של אישורים (כגון password spraying, ניסיון שימוש בסיסמאות שנפרצו או שימוש חוזר ב-authentication token) אם הם יכולים. הסרת היכולת שלהם להשתמש בטכניקות אלו יכולה להפחית את סכנת הסייבר לארגון שלך.

פעולות שיש לנקוט

הדבר החשוב ביותר עבור ארגונים בכל הגדלים הוא לוודא, שהיסודות של אבטחת סייבר קיימים כדי להגן על הנכסים, ובהם ההתקנים (Devices), הרשתות והמערכות שלהם. הפעולות שלהלן עוסקות בהבטחה שבקרות היגיינת סייבר בסיסיות קיימות ומתפקדות כהלכה. זה חשוב בכל הנסיבות, אבל קריטי בתקופות של איום סייבר מוגבר.

סביר להניח שארגון לא יוכל לבצע שינויים נרחבים במהירות בתגובה לשינוי באיום, אך ארגונים צריכים לעשות כל מאמץ ליישם פעולות אלו בראש סדר העדיפויות.

פעולות מתקדמות

ארגונים גדולים צריכים לבצע את כל הפעולות המפורטות לעיל כדי להבטיח שאמצעי האבטחה הבסיסיים ביותר יופעלו. רשות הסייבר הלאומית, ארגונים ורגולטורים במגזרים מפרסמים סיכוני סייבר ותבניות לסקר סיכונים כדי לעזור לחברות להבין את סיכוני הסייבר, לצד הנחיות לגבי כל התחומים הכלולים בפעולות שלעיל. אם הארגון שלך שם את ביצוע ההנחיות האלה בעדיפות נמוכה ומיישם רק באופן חלקי, מומלץ לך לחזור על ההחלטות האלה מיד כשהאיום מתגבר.

בנוסף, ארגונים שיש להם יותר משאבים זמינים צריכים לשקול גם את הפעולות הבאות:

1. אם לארגון יש תוכניות לביצוע שיפורים באבטחת הסייבר לאורך זמן, עליך לבדוק אם להאיץ את היישום של אמצעים מקלים עיקריים, מתוך הבנה שסביר להניח שהדבר ידרוש סדר עדיפויות חדש של משאבים או השקעה.
2. שום שירות או מערכת טכנולוגיים אינם נטולי סיכונים לחלוטין, וארגונים בוגרים מקבלים החלטות מאוזנות ומושכלות מבוססות סיכונים. כאשר האיום מתגבר, ארגונים צריכים לבחון מחדש החלטות מפתח מבוססות סיכונים ולאמת האם הארגון מוכן להמשיך "לסבול" את הסיכונים הללו או שעדיף להשקיע בתיקון או לקבל הפחתה ביכולת.
3. פונקציות מערכת מסוימות, כגון חילופי נתונים עשירים מרשתות לא מהימנות, עשויות מטבען להביא לרמה גבוהה יותר של סיכון סייבר. ארגונים גדולים צריכים להעריך האם ראוי לקבל הפחתה זמנית בפונקציונליות כדי להפחית את החשיפה לאיום.
4. לארגונים גדולים יותר יהיו מנגנונים להערכה, בדיקה ויישום של תיקוני תוכנה בקנה מידה. כאשר האיום מתגבר, ייתכן שהארגונים ירצו לנקוט גישה אגרסיבית יותר לתיקון פרצות אבטחה, תוך קבלת העובדה שיש לכך השפעה על השירות עצמו.
5. במהלך תקופה זו, ארגונים גדולים צריכים לשקול לעכב שינויים משמעותיים במערכת שאינם קשורים לאבטחה.
6. אם יש לך צוות אבטחה תפעולי או SOC, זה עשוי להיות מועיל לשקול סידורים להרחבה תפעולית.

הכותב הוא מנכ"ל TOP GRC.