"הארגון נדמה לקרחון – לא יוכל לצוף בלא תשתית אבטחה"

"ארגון נדמה לקרחון, שרק הקצה שלו בולט מעל המים. כדי שהארגון יוכל לפעול עסקית ולתפקד, הוא חייב שתהיה לו תשתית אבטחת מידע, למטה, כזו אשר תאפשר לקרחון לצוף", כך אמר שוקי פלג, מנהל אבטחת מידע והגנת הסייבר, קבוצת הבנק הבינלאומי.

פלג, חבר הנהלת ISACA ישראל, השתתף ברב-שיח בנושא אבטחת מידע והגנת הסייבר, שנערך בבית אנשים ומחשבים לפני ימים אחדים. רב השיח התקיים לקראת כנס InfoSec 2017. הכנס ייערך ביום ג' ,ה-23 במאי, באולם האירועים אווניו, קריית שדה התעופה. את רב השיח הנחה יהודה קונפורטס, עורך ראשי אנשים ומחשבים.

לדברי פלג, "יותר ויותר ארגונים נסמכים בפעילותם על שירותים – חלקם דיגיטליים – אותם הם מספקים למשתמשים הפנימיים וחשוב יותר – ללקוחות החיצוניים. כל ארגון נדרש לחשוב מה יקרה לו ולפעילותו בעת אירוע סייבר. עליו להיות מוכן להמשיך לתת את השירות ללקוחות, גם כאשר הוא בתוך אירוע הסייבר"

זו משמעות חוסן הסייבר, הסביר פלג. "ועל מנת שהיא תיווצר, יש לבנות לכך תשתית המורכבת

מ-3P: People, Process, Product – אנשים, תהליכים ומוצר, כלומר טכנולוגיה. אלה הן אבני הבניין המרכיבות את חוסן הארגון מפני מתקפות סייבר".

להבין לבד את בעיות האבטחה ואת איומי הסייבר

על מנת להיערך להמשך הפעילות של הארגון בעת אירוע סייבר, אמר פלג, "יש לבנות תכניות המטפלות בכמה מימדים: איך לזהות אירוע סייבר, מה עושים כשהוא קרה. יש להתארגן לכך ולתרגל אירועי קיצון, הן ברמה המתודית והן בזו המעשית. נדרש ללמד את האנשים מה לעשות כשקורה משהו. התרגול והלמידה חשובים ביותר לאחר בניית תשתית אבטחת המידע".

לדברי פלג, יש להבחין בין ארגונים מונחי פיקוח ורגולציה ובין ארגונים שאינם כאלה. "ארגון אשר חלים עליו כללי רגולציה, מצבו טוב יחסית. אולם ארגונים שאינם כאלה, נדרשים לזהות ולהבין בעצמם את בעיות האבטחה ואת איומי הסייבר שבפניהם הם ניצבים. מדובר מלכתחילה בארגונים שפחות משקיעים בתחום האבטחה, בארגונים שמשקיעים יותר בפונקציונליות של השירותים אותם הם מספקים".

לכן, סיכם פלג, "בארגונים אשר אינם מונחי פיקוח ורגולציה, ישנה חשיבות רבה לכך שמנהל אבטחת המידע ייצור את המודעות לנושא ויסביר את חשיבותו – אף שמדובר בנושא שאינו נראה לעין".