מגדל בבל של הרגולציה

אם יש משהו שהמיתון הנוכחי לא שינה הוא נושא הרגולציות. גם במהלכו ארגונים המשיכו לשפוך מיליוני דולרים כדי להתמודד עם מונח הקסם הזה, "רגולציה". ככול שהקריטיות של מערכות המידע בארגונים הופכת גדולה יותר ונוגעת בליבה העסקית של יותר ויותר מגזרים – כך הלחץ על מנהלי ה-IT האחראים על יישום הרגולציות נעשה גדול יותר. במיוחד בא הדבר לידי ביטוי בתחום אבטחת המידע. התקנות הבינלאומיות – תקני ה-ISO למיניהם, סרביינס-אוקסלי, בזל 357 ושאר השמות המפוצצים – גורמות לכל מנהל אבטחה להזיע. יוסי גביש, מנהל סיכונים תפעוליים בחברת הביטוח מגדל, אמר בפורום CISO של אנשים ומחשבים שהתכנס אתמול (ב'), כי חיי מנהל האבטחה השתנו לחלוטין מאז החלו הרגולציות לקבל מעמד של חוקים ותקנות מחייבות.

מהדיון אתמול התברר שרגולציות מפרנסות מנגנונים שלמים של ועדות היגוי ובעלי תפקידים עם לשכות, מזכירות ותקציבים, שמכוונים כולם לאותה מטרה: להיערך לרגולציה. כולם עושים הערכות מצב, סקרי ניהול סיכונים, כתיבת מתודולוגיות ונערכים לתקנים ורגולציות שנראים להם הדחופים ביותר. במרבית הארגונים – הן בישראל והן בשאר העולם – אין יד מכוונת. ההנהלה, לאחר שהתישה את מנהל האבטחה ואנשיו בדיוני תקציב, לא רוצה לשמוע על הנושא יותר. היא רוצה לקבל תוצאות שמראות, כי הכסף שהושקע בהכנה לרגולציה הגיע ליעדו.

יש יותר מדי מנהלים ודירקטורים שמסתובבים בתחושת שאננות לא מציאותית, לפיה ברגע שהם חתמו על הצ'ק עבור הטיפול ברגולציה – העולם שלהם טוב ובטוח יותר. המציאות היא אחרת: חלק גדול מההנהלות עדיין לא מבינות את החשיבות של הרגולציה. הן מעדיפות לכבות שריפות ולפעול לפי מדיניות כסת"ח – כלומר לעמוד בדברים הבסיסים ביותר, כדי לא לסבך את בעלי המניות שלהם עם חוקים שונים – וזהו. לו חברי ההנהלות בארגונים היו בודקים לעומק את הנושא, הם ודאי היו חוטפים הלם ומבצעים שורה של פעולות כדי לייעל את תהליך העמידה ברגולציות.

חשוב להבין שהרגולציות שואבות כוח אדם וכסף מכל ארגון. מדובר בעסק יקר, שחלק גדול מהסכומים שמושקעים בו בלתי נמנע, כי כך רוצה המחוקק. עדיין, קיים חור שחור גדול בהוצאות של הארגון בסעיף רגולציה. ממעט הדוגמאות שהובאו אתמול בפורום האבטחה, ניתן היה ללמוד כמה מיליוני דולרים נשפכו לחינם עקב חוסר תיאום, היעדר מעורבות הנהלה, היעדר שקיפות והיעדר יד מכוונת. מנהלי כספים רבים היו תולשים שיערות מראשם למראה המיליונים שנעלמו מקופתם – מיליונים אותם יכלו לנצל לטובת דברים רבים אחרים.

בישראל, כרגיל, הברדק שובר שיאים. ועדת גושן, שמונתה לפני שלוש שנים כדי לנסח את תקן האבטחה הישראלי הרשמי, עדיין עובדת על הנושא. אז מה צריך לעשות כדי לשנות את המציאות? במידה מסוימת, התשובה מחזירה את הדיון למעמדו של ה-CISO – איך הארגון תופס אותו, איך הוא ממוצב בעיני ההנהלה ועד כמה הוא מצליח לשכנע את בעלי התפקידים לשחרר תקציבים.

גלעד ירון מחברת הייעוץ SECOZ לא חידש הרבה אתמול כשאמר, שבעצם מספיק להיערך פעם אחת לרגולציה בעזרת סט כלים אחד, כי כל הרגולציות דומות מאוד בדרישות שלהן. אולם בלהט הטיפול ברגולציה, נשכח הדבר המהותי: אלו שכותבים את החוקים והתקנות האינסופיות, מכוונים בסופו של דבר למטרה לשמור על הנכס היקר ביותר בארגון, והוא כמובן המידע. לא שקודם לא שמרו עליו, אבל גלי האיומים המתחדשים מדי יום גורמים להגברת הפיקוח והתקנות.

מעבר לחשיבות שבהתייעלות ארגונית ומניעת מסגרות כפולות, נשאלת השאלה הקריטית: האם כל הרגולציות האלו באמת עושות את הארגון לבטוח יותר ושומרות על המידע הרגיש והחשוב בצורה מיטבית? מנהלי האבטחה הבכירים שהגיעו אתמול התקשו מאוד לענות על השאלה הזו.