העסק מצליח? אתם חשופים לאיומי סייבר
עולם אבטחת המידע הוא עולם אשר משתנה ומתעדכן בכל עת, דבר המחייב את הדרגים הניהוליים לוודא כי הארגון בראשו הם עומדים מוכן לכל תרחיש
ככל שדריסת הרגל של העולם הדיגיטלי בארגונים גדלה, כך גובר אתגר אבטחת המידע.
עולם אבטחת המידע הוא עולם אשר משתנה ומתעדכן בכל עת, עובדה המחייבת את הדרגים הניהוליים ואת מקבלי ההחלטות לוודא כי הארגון בראשו הם עומדים מעודכן בכל עת. אבטחת סייבר צפויה להישאר במרכז הבמה כסיכון משמעותי בעוד חברות הולכות ומגבירות את השימוש בטכנולוגיות חדשות ביישום האסטרטגיה שלהן.
מחקרים שנערכו בנושא מצביעים על כך כי בקרב ארגונים, מעורבות הדרג הניהולי באבטחת המידע הולכת וגוברת.
להלן מספר שיקולי מפתח אשר על מנהלים לשים לב אליהם בכל הנוגע לסיכון אבטחת המידע:
היו מוכנים להצלחה
ניהול אבטחת המידע אינו נוגע רק להשפעות שליליות, אלא גם ליכולת להתמודד עם ההשפעות החיוביות של חדשנות דיגיטלית. ככל שהארגון מייצר ערך עסקי כתוצאה מחדשנות דיגיטלית, כך עליו להיות ערוך לניהול אבטחת המידע והפרטיות הנלוות אליה.
ייתכן כי החברה כבר פרוצה ואינה יודעת מכך
במרבית הארגונים, אירוע אבטחת מידע כבר קרה וייתכן אף כי הוא בעיצומו, ולמרות זאת ארגונים רבים טרם גיבשו את יכולות האיתור והתגובה הנדרשות מהם.
הדרג הניהולי צריך לתת דגש לפרק הזמן שנדרש לארגון כדי לאתר אירועי אבטחת מידע. התחכום הגובר של מבצעי פעולות אבטחת מידע גורם לפרצות להיות משמעותיות יותר ויותר. לפיכך, על הדרג הניהולי לגבש תכנית לתגובה, התאוששות וחידוש הפעילות העסקית בפרק זמן קצר ככל הניתן לאחר קרות האירוע. כמו כן, על החברה לגבש תגובה כלפי לקוחות ועובדים וצדדים נוספים, זאת על מנת למזער את הפגיעה במוניטין הארגון.
ניהול הסיכונים
מרבית הארגונים יודעים לזהות מהו המידע המהותי והמערכות העיקריות שבידם אולם לא מתמקדים בתוצאות העסקיות בעת הערכת סיכוני אבטחת מידע. זיהוי סיכונים בהתחשב בתוצאות הסיכון ובתרחישים אפשריים מוביל לפתרונות אבטחה ארגוניים מקיפים יותר מצעדים הננקטים על בסיס מיקוד בנכסים או מערכות ספציפיים. על הדרג הניהולי להנחות את מנהלי ה-IT בארגון לנהל את סיכוני אבטחת המידע בארגון באופן הוליסטי, תוך התמקדות אסטרטגית בתוצאות עסקיות, ולא בדרך של התמודדות עם כל חולשה טכנית.
איומי הסייבר מתפתחים כל הזמן
אמצעי ההגנה חייבים להתפתח בהתאם להתפתחות האיומים ולהישאר תמיד צעד אחד מלפנים. על הדרג הניהולי לוודא כי ניהול הסיכונים בארגון מאפשר זיהוי סיכונים חדשים לצד קיימים תוך התחשבות במידע הקריטי המצוי בידיהם ההופך אותם ליעד פוטנציאלי, ובתוצאות העסקיות מהן הם רוצים להמנע. זיהוי סיכונים מוקדם חשוב, שכן מענה לסיכונים בשלב אפיון ועיצוב מערכות המידע תמיד זול יותר מאשר עדכון המערכת לאחר גילוי הסיכון.
תמיד תהיו מהלך אחד לפני היריב
אבטחת המידע בארגון חייבת להיות צעד אחד לפני הגורמים שעשויים לנסות לפגוע בו. על הארגון להיות ערוך ומוכן עם הכלים הטכנולוגים, האנשים והתהליכים המתאימים על מנת להתמודד עם הסיכונים העיקריים של הארגון.
על הדרג הניהולי לצפות:
• ריכוז סיכוני הסייבר לגבי כל האספקטים של החברה (לא רק IT);
• סיכום אירועי הסייבר שאירעו לאחרונה, כיצד טופלו ואילו לקחים הופקו כתוצאה מהם;
• מפת דרכים המתארת את דרכי ההתמודדות של הארגון עם סיכוני סייבר חדשים בטווח הקצר והארוך;
• מדדים משמעותיים המספקים תמונת מצב אודות ביצועים הנוגעים לסיכוני אבטחת מידע בעלי עדיפות עליונה.
- אבטחת המידע מעבר לגבולות הארגון
- שיתופי פעולה עם ספקים, שותפים ולקוחות יכול למקסם את יכולות אבטחת המידע של הארגון.
שיקולי סייבר לא אמורים להכתיב את תקציב ה- IT
הדרג הניהולי מחויב לדאוג לכך שהארגון ערוך ומוכן לכל תרחיש סייבר, אך הדבר לא אמור לבוא על חשבון חדשנות. ייעוד תקציב על חשבון החדשנות עשוי למנוע את ההתקפה הבאה אך מנגד עלול לפגוע ביכולת הארגון להוביל מבחינה טכנולוגית. לפיכך על הארגון להתמקד בסיכונים העיקריים ובזיהוי התרחישים העלולים לקרות.
העריכו את היועצים שלכם
על הדרג הניהולי להעריך באופן מתמיד את רמת יועצי הסייבר עליהם הוא מסתמך. על ההנהלה לשקול להעסיק יותר אנשים בעלי ניסיון בתחום הטכנולוגי כיועצים ואף כחברי הנהלה.
רו"ח גיא מונרוב מחברת הייעוץ אלקלעי מונרוב AlMo העוסקת בבקרה, ניהול סיכונים ובביקורת חקירתית