כיצד מנהל אבטחת המידע משנה את כללי המשחק?

"ככל שמספר הפריצות עולה, ארגונים חייבים בשינוי תודעתי. זאת, לנוכח האתגר שמעמידים בפניהם פושעי הסייבר, וללא קשר לגודלם של הארגונים – או לענף אליו הם משתייכים". כך קובע טום קלרמן, סמנכ"ל אבטחת המידע בטרנד מיקרו (Trend Micro).

במאמר שפרסם בעיתונות המקצועית, קובע קלרמן כי "ה-FBI אמנם טוען שהדאגה הגדולה ביותר שלו היא פשעי הסייבר, אולם הנתונים של מחלקת המשפטים של ארצות הברית וה-FBI מראים כי פחות מ-5% מהפריצות עומדים בפני תביעות". לדבריו, "כל עוד זמן המאסר והעונשים המוקצבים לפושעי הסייבר הם קטנים ומעטים, הרי שמקבלי ההחלטות בארגונים נותרים לבדם, כאשר הם מגיעים לנקודה בה צריך להגן על מוניטין, קניין רוחני, כספים ולקוחות".

על כל דולר IT – רק שמונה סנט לאבטחה

"ההתמודדות עם אתגר הסייבר כרוכה בניהול סיכונים ובהשקעה כספית", מציין קלרמן. "אבל כאשר מתוך כל דולר בתקציב מערכות המידע, מושקעים רק שמונה סנט באבטחת מידע, התמונה כרגע לא נראית מעודדת, במיוחד בשל העוינות השוררת במרחב הקיברנטי. גרוע מכך, ההשקעה החסרה באבטחת מידע כיום, מסכנת מותגים ומגדילה את הסיכון לנזק תדמיתי משמעותי".

לדבריו, ארגונים בדרך כלל רציניים מאוד בכל הקשור לאבטחת מידע ואף ממנים מנהל אבטחת מידע (CISO) שיוביל את התחום. באופן היסטורי, מנהל אבטחת המידע דיווח למנמ"ר. "הבעיה עם המודל הזה", קובע קלרמן, "היא שתפקידו של המנמ"ר דומה לזה של מאמן ההתקפה בפוטבול, שעיקר דאגתו היא להגדיל יעילות ולשפר גישה וגמישות במערכות ה-IT".

למרות שמימדים אלה חשובים, טוען קלרמן, "אף אחד מהם לא מסייע למנהל אבטחת המידע, שעבודתו היא שיפור האבטחה וניהול הסיכונים בארגון. ניהולית, מנהל האבטחה צריך מנדט רחב יותר מזה הניתן לו על ידי המנמ"ר – מעמד ההולם מנהל בכיר, עם יותר אחריות וכזה המדווח למנכ"ל או לסמנכ"ל התפעול".

"בארגון המודרני, ההנהגה הבכירה חייבת לקחת אחריות על מצב אבטחת המידע שלה, גם אם במעמדה היא רחוקה מניהול הדטה סנטר", קובע קלרמן. "לדוגמה, סמנכ"לי השיווק עושים שימוש רב ברשת ובכלים שהיא מעמידה לרשותם. למרות שאחריותם נוגעת בעיקר למאמצי קידום, הם יכולים להשאיר בטעות דלת פתוחה לנוזקה או להתקפת סייבר נגד לקוחות".

טארגט כמשל

"זיהומים של נוזקות נודדים לעיתים קרובות ממקום אחד בארגון לאחר, אפילו באמצעות שותף צד ג'", מזכיר קלרמן. "ברגע שהרשת נפגעה, תקיפה יכולה להתרחב לכל שרשרת האספקה של תשתית ה-IT – בשיטה המכונה 'קפיצות בין איים' (Island Hopping). כך היה בפריצה הידועה לשמצה בטארגט (Target), שהביאה להתפטרות המנכ"ל והמנמ"ר. גישה הוליסטית לאבטחת מידע תתמודד עם הסיכון המערכתי של התפשטות האיומים לאורך תשתית ה-IT. בטארגט, הגנבים הסתננו דרך ספק צד ג', כדי לגנוב מענקית הקמעונאות מסמכים. התוצאה? פושעי סייבר הצליחו להשיג גישה לפרטי כרטיסי אשראי של קרוב ל-40 מיליון לקוחות (!), דבר שמשפיע על יותר מ-100 מיליון אנשים. את ההשלכות מרגישים עדיין בכל ענף הקמעונאות".

צד ג'

"מעורבות של צד שלישי היא עוד היבט שמתעלמים ממנו באסטרטגיות אבטחת מידע רבות – אסטרטגיות שדורשות תשומת לב ותמיכה מהנהגת הארגון על מנת להיות יעילות", קובע מנהל האבטחה. "ארגונים חייבים לבחון את המדיניות של השותפים שלהם, כי לאלה יש גישה למידע רגיש שמהווה מטרה אטרקטיבית ביותר לפושעי הסייבר".

רמה חדשה של אבטחה בעולם הדיגיטלי

במשך שני עשורים, ארגונים התמקדו בעיקר בקיצוץ בהוצאות, שיפור גישה והעלאת היעילות, מאזכר קלרמן. "יש להחיל את אותה מחויבות גם למדיניות שמעניקה תחושת בטחון ללקוחות, לשותפים ולמשקיעים בעולם הדיגיטלי". לדבריו, "כשם שלקוח מצפה לרמת בטיחות מסוימת במרכז קניות, כך הוא גם מצפה לאבטחה בסביבה דיגיטלית מקוונת".

על מנת להשיג זאת, מסכם קלרמן, "יש לרכז מאמץ בחיזוק מעמדה של אבטחת המידע לדרגה של ניהול מוניטין וסיכונים. על מועצת המנהלים בארגון לשפר את ההשגחה והפיקוח על אבטחת המידע. יש לנתח את אסטרטגיות ההשקעה ב-IT ובאבטחת המידע ולשפר דרסטית את ההכשרה, במטרה להדביק את הקצב עם פושעי הסייבר המתוחכמים".

"האינטרנט אינו סביבה מעודדת", קובע קלרמן. "נחישות בתחום אבטחת המידע היא לא רק פונקציה של ניהול סיכונים – אלא גם מציאות יומיומית של הגנה על מותג בעולם המודרני".