הציפיה לעבור מעולם ישן לעולם חדש היא אתגר יומיומי, הן של צוות ה-IT והן של הצוות העסקי: מעבר לענן כתנאי קיומי של הארגון, הטמעת טכנולוגיה חדשה אשר עדיין לא הותאמו לה מערכות ובקרות הגנה ועוד.
אנשי הטכנולוגיה רוצים (וצריכים) להדביק את הטכנולוגיה, להביא את העתיד להיום. כך גם אנשי הביזנס אשר רוצים להביא את הדבר הבא בעולם העסקי, המוצר הכי חדשני ומגניב. המשותף לשניהם, הוא שהם חסרים בהבנה לגבי אבטחת המידע והגנת הסייבר. לעיתים הם חסרים ידע והבנה ולעיתים מדובר בסוג של "בת יענה". מדוע? כי לפעמים הבנת סיכוני הסייבר, משמעותה עצירת הריצה אל עבר הקידמה ואת זה הם לא רוצים.ות (ואגב בצדק מבחינתם.ן), מנגד, מולם יושב.ת מנהל.ת הגנת הסייבר בארגון, הרוצה גם הוא כמובן, שהארגון יצליח ויביא עמו חדשנות אבל, מבין.ה באבטחת מידע וסייבר.
כאן קוראים.ות יקרים.ות, נוצר השילוש הקדוש: הטכנולוגיה, הביזנס והסייבר, כאשר רוח הקודש בדמות הדירקטוריון וההנהלה מרחפת בין שלושתם ומנסה לסנכרן.
כיצד הולכים יד ביד בשביל הזהב? מצד אחד מאפשרים לביזנס לשעוט קדימה ומהצד השני דואגים לכך שהארגון לא יותקף? או אם יותקף (וזו ההנחה שצריך להניח 24/7/365), כיצד מוודאים שהארגון ימשיך לתפקד?
נקודת המוצא: אף אחד.ת לא מגיע לעבודה כדי לעשות עבודה גרועה. כולם רוצים לעשות עבודה טובה, העניין הוא שחסרה הבנה, וניהול סיכונים הוא הגשר הזה.
It's not about the phishing it's all about the business
יש להפוך את נקודת המבט. לא עוד ניהול סיכון כדי שלא יתקפו אותי/רגולציה וכו', אלא ניהול הביזנס! כי אם השרת לא יעבוד או תהליך עדכון התוכנה ייכשל והמערכות לא יעבדו, לא יהיה ביזנס(!). ה"וייב" הארגוני שצריך להנחיל הוא, שהאבטחה כאן בשביל הביזנס ולא להיפך. אבטחת מידע שלא מאפשרת לעובדים לעבוד, היא אבטחת מידע לא טובה. אבטחת מידע טובה צריכה לייצר את הפתרונות להגנה על הארגון תוך שהיא מאפשרת לעובדים להתנהל כרגיל. לדוגמא, להעסיק עובד במשרה מלאה בביצוע PT (מבחני חדירה), וכך ולשחרר את "הרסן" מהצד העסקי או הטכנולוגי.
לא להמציא את הגלגל
ניהול סיכונים, על שלל נגזרותיו, הינו תחום ידוע ומנוהל כבר שנים רבות. ההנהלה והדירקטוריון יודעים לדבר אותו, ורגילים לאופן ההצגה וההנגשה. הבעיה התחילה כשהגיע הילד החדש לשכונה, עם תכונות אופי קצת שונות (מבין בטכנולוגיה, פחות בביזנס): סיכון הסייבר. והוא מנסה להסביר לאנשים לא טכנולוגים על טכנולוגיה. זה פשוט לא עובד.
אנשי הביזנס ממאדים, אנשי הטכנולוגיה מנוגה
על מנת להצליח לתקשר היטב את הסיכון החדש, יש לדבר את סיכון הסייבר בשפה של תהליכים עסקיים: מפות חום, טרמינולוגיה ומתודולוגיה זהה לזו של הסיכונים התפעוליים. להציג את סיכון הסייבר כחלק מתמונה אחת הוליסטית של כלל הסיכונים. רק תחשבו על דירקטור שפעם אחת מגיע להציג בפניו איש אבטחת מידע ומציג איך סגרו את כל הפערים בסקר הסייבר, ובפעם אחרת מגיעה מנהלת הסיכונים ומציגה פערים גבוהים. זה מבלבל, זה מתסכל, והכי משמעותי: זה פוגע בניהול הסיכונים של הארגון.
הצגת פרופיל הסיכון של הארגון, באמצעות מפת חום על פני רבעונים לדוגמא, יכולה קודם כל להסביר את התמונה הכללית ומשם לצלול ולעשות "זום אין". כך ניתן לשקף את השינוי בסיכון הסייבר כפונקציה של השינויים העסקיים (חיצוניים ופנימיים). לדוגמא, מלחמה באוקראינה החלה ברבעון 2 ויש לנו ספקים/עובדים באוקראינה? הסיכון עלה: ההסתברות לתקיפה עלתה, ההסתברות להתממשות האיום הפנימי עלה וכו' (ראה סיכון 1 בתרשים מס' 1). קיבלנו החלטה שאנחנו עוברים לענן ברבעון 4? הסיכון כבר לא נמוך. הסיכון גבוה לזמן המעבר עד שנתייצב: ניהול ההרשאות עדיין לא יציב, אין עדיין ניטור אחר הרשאות וכו'. (ראה סיכון 2 בתרשים מס' 1).
פשטות היא המלכה של הצגת סיכונים. היכולת לדעת איזה מידע להציג באיזה בפורום היא אומנות חשובה. חלק מהאומנות הזו היא לשמור על כמות ורמת מידע במידה המתאימה ליכולת והמסוגלות של הצד השני להכיל.
ניהול סיכוני הסייבר
אסטרטגית ניהול סיכוני הסייבר צריכה להיות ניתנת למדידה ולכימות, עם KRI's ברורים. כך נוכל להציג על פני זמן את התפתחות והתקדמות ההגנה על הארגון. תחשבו לרגע שלרמת ההגנה של הארגון יהיה מספר אשר ימדד כל פעם מחדש, ויוצג באמצעות תרשים ברור של רמת ההגנה: לדוגמא, הארגון היה ברמת הגנה 7 ועלה לרמת הגנה 7.5 או שחלילה ירד לרמת הגנה 5. החידוש הוא שההסבר לירידה או עלייה של רמת ההגנה יהיה הסבר עסקי ולא טכנולוגי. באמצעות הגדרת מתודולוגיה של ניקוד לכל סיכון ושיוך הסיכון ליחידה ארגונית, היחידות הארגוניות ימדדו בסיכון הסייבר שלהן וכך ניתן יהיה להציג להנהלה ולדירקטוריון דשבורד ניהולי עם מפת סיכוני הסייבר של הארגון, לפי יחידות ארגוניות.
כמו כן, איחוד כוחות בין כל אנשי ניהול סיכונים/בקרה/אבטחת סייבר והצגת תמונה הוליסטית אחת של כלל הסיכונים באותה סקלה, ואותו תיאבון לסיכון, יתרום גם הוא להבנת הסיכון.
כך נתרגם את החולשות ואת סיכוני הסייבר במימד הטכנולוגי למונחים עסקיים, ונשייך אותם לתהליכים העסקיים. וכמו כן, נראה האם הסיכון עלול להפריע לתוכנית האסטרטגית של החברה לחדור לשוק מסוים, או להפריע/למנוע מהחברה להתרחב במוצר קיים וכו'.
מאת: ליאה צור, מנכ"לית חברת ייעוץ הבוטיק LT RISKMGMT, המספקת שירותי ייעוץ והכשרה בעולם ניהול הסיכונים, בנישות הסיכונים התפעוליים, מעילות והונאות, תוכנית להמשכיות עסקית (BCP), וסיכוני סייבר בתהליכים העסקיים.