שורת הרווח של ניהול מלחמת הסייבר
לאחר אינספור התראות והזהרות, דרגי ההנהלה בארגונים מסביב לעולם מתחילים להבין שניהול סיכוני הסייבר הוא כלי שיווקי ותדמיתי, בעל משמעות בשורת הרווח
- כל אחד יכול להשבית מרחוק את מכשיר הנקסוס שלכם
- F5 חושפת את סכום רכישת ורסייף הישראלית - 95 מיליון דולר
- פינג'אן תשקיע עשרות מיליוני דולרים בקרן סייבר ישראלית חדשה של JVP
במחקר גלובלי שביצעה ארנסט&יאנג (EY) ושפורסם בעיתונות, מתברר כי הנושא הופך יותר ויותר למושא דאגתם של דרגי הניהול הבכירים ביותר בארגונים ברחבי העולם. נמצא כי ב-70% מהארגונים מדיניות אבטחת המידע נשלטת על ידי הדרגים הבכירים ביותר, וכי כ-76% מהארגונים בעולם מבצעים בדיקות ומדידות לגבי רמת האבטחה ויעילותה. המחקר, אגב, בוצע בקרב 1,900 משיבים מהדרג הבכיר ביותר בקרב 64 מדינות בחתך של תעשיות שונות.
במהלך השנים, ולאחר אינספור התראות והזהרות, דרגי ההנהלה בארגונים מסביב לעולם מתחילים להבין שניהול סיכוני הסייבר הינו צורך קיומי של הארגון, אך יותר מכך - ישנה הבנה כי הוא כלי שיווקי ותדמיתי, וכי יש לו משמעות גם בשורת הרווח. יותר ויותר ארגונים חושפים בפני לקוחותיהם ובפני צרכני הקצה את המאמצים האדירים שהם עושים והמשאבים שהם משקיעים על מנת לשמור על המידע שלהם בטוח. ארגונים אפילו משתמשים בהגנה על מידע לצורך התבלטות ובידול כ"ארגונים אחראיים", שהאינטרס של הלקוח שלהם ופרטיותו עומדים בראש סדר העדיפויות.
בדוח מפורסם של מקינזי מהשנים האחרונות הומלץ כי "אבטחת סייבר חייבת להיות נושא קבוע באג'נדה של מנכ"לים וחברי דירקטוריון. מנהלים חייבים ליזום דיאלוג שיבטיח שהאסטרטגיה שלהם מתפתחת ושיאפשר את האיזון העדין בין הזדמנויות עסקיות לסיכונים". הדוח של מקינזי אם-כן ניבא מגמה שהולכת ומתחזקת בכל העולם, כפי שמראה הסטטיסטיקה הנוכחית.
בישראל, אבטחת המידע יוצאת בהדרגה מהתחום הבלעדי של אנשי IT ומגיעה לכיוון ההנהלה. למעשה, לא מעט סקרי סיכון שמבוצעים כיום בארגונים בארץ, הינם תולדה של דרישה של חברי דירקטוריון וחברי הנהלה. דרגי הניהול מבינים כי אי עמידה בדרישות אבטחת מידע עלולה להוביל לפגיעה פיננסית עמוקה, לנזק תדמיתי ולנטילת אחריות ישירה של ההנהלה הבכירה, ולפיכך מוכנים כיום להקצות יותר משאבים לנושא.
בארגונים מסוימים, יש לציין, מחייבים בפועל את ההנהלה ליטול חלק פעיל בניהול אבטחת המידע בארגון. לדוגמה, ארגונים שמונפקים בבורסה, כדוגמת בנקים וחברות ביטוח, מחויבים לבצע "סקר פיננסי" מידי 18 בכל חודש. במסגרת הסקר קיימת חובה לביצוע בדיקות אבטחת מידע. ארגונים מסוימים כפופים לרגולציות (דוגמת: 357 - מפקח על הבנקים). חלקם מחויבים לעמידה בתקינה בתחום (דוגמת 27001), וחלקם מעוניינים לעמוד בהנחיות, דוגמת אלו של המכס, כדי לזכות בהקלות מסוימות. המשותף לכל אלו הוא שמדובר בנושאים שאינם על שולחנו של מנהל ה-IT ואנשי הטכנולוגיה, אלא של מנכ"ל, סמנכ"ל הכספים וחברי הדירקטוריון.
ישנה דרך רבה לעבור עד שרוב המנהלים בישראל ייטלו חלק פעיל באסטרטגית אבטחת המידע בארגון. יחד עם זאת, על מנת לשנות את המצב, גם חברות אבטחת המידע, אשר מציעות שרותיהן לארגונים השונים, חייבות לשנות את דפוסי החשיבה שלהן ולפנות אליהם "בגובה העיניים" של הדרג הניהולי הבכיר. עליהן לספק למנהלים את הכלים וליצור דיאלוג אמיתי ביניהם לבין אנשי הטכנולוגיה. עליהם לדבר אסטרטגית, ולא רק טכנית, ולמסור ניתוח והמלצות מתוך הבנה עמוקה של הארגון והעולם העסקי בו הוא פעיל.
הכותב הינו מומחה להתגוננות בפני התקפות האקרים ומנכ"ל חברת MADSEC