איך רותמים את ההנהלה להיות מעורבת במאבק מול איומי הסייבר?
מאת: דורון סיון.
זכיתי להתארח בפאנל במסגרת ועידת ישראל לקידום ה-IT והעסקים שקיימה קבוצת אנשים ומחשבים. במהלכו נשאלתי, כיצד רותמים את ההנהלה הבכירה להשקיע ולהיות מעורבת בהתמודדות מול איומי הסייבר?
תשובתי הייתה, שיש להפסיק להתייחס לאיומי סייבר כאל מושג מעורפל ומפחיד, שאין דרך להתמודד עימו. במקום זאת, יש לפרק אותו תחילה לרשימת איומים קונקרטיים ובהמשך לבצע ניתוח סיכונים ספציפי, שיוביל ליצירת תוכנית עבודה.
כדי לבצע זאת בצורה הטובה ביותר, חשוב לשקול את הנקודות הבאות:
1. ניהול סיכוני סייבר הוא רק אחד מתוך סיכונים רבים שההנהלה מתמודדת עימם. לפיכך יש לבחון כל איום בראייה רוחבית של הארגון ולא רק בהיבט של איום סייבר.
2. כשמתייחסים להנהלה, אין הכוונה אך ורק למנכ"ל ולסמנכ"לים, זאת מאחר שהם לא הבעלים של החברה. לחברה יש בעלים מסוגים שונים, דוגמת משקיעים פרטיים, הציבור דרך מניות של חברה ציבורית, חברה אם ועוד, והם מיוצגים באמצעות דירקטורים. לכן הכרחי להציג בישיבת דירקטוריון את ניהול הסיכונים, על מנת לרתום אותם לתהליך.
3. מומלץ לבחור חברת ייעוץ לתחום הסייבר שזהו תחום העיסוק העיקרי שלה. לא חברה שמוכרת מוצרים ופתרונות, לא חברה שעוסקת בחשבונאות או עריכת דין והנושא מהווה חלק זניח בפעילותה, לא עסק של איש יחיד ולא חברה שנפתחה לאחרונה. הפעילו שיקול דעת כמו בכל תחום בחיים, ובחרו חברה שזהו תחום מומחיותה ושהיא אובייקטיבית.
4. למרות שאוהבים לקטר על הרגולציה, הרי שבהיבטים רבים היא מהווה ברכה. היא קובעת סטנדרטים שהארגון חייב ליישם. הנחיות הרגולציה מיוצגות על ידי קבוצות של הנחיות (בקרות), ועמידה בהן מספקת רף נדרש של אבטחת מידע במגזר מסוים. לפיכך, חובה עליכם לדעת מהן הרגולציות הרלוונטיות לארגונכם ולהשתמש בהן בעת קביעת התוכנית האסטרטגית. כאשר חברי ההנהלה יבינו שהתוכנית התחשבה בסוג ואופי החברה וכן ברגולציה הנדרשת, יקל עליהם להתחבר אליה ולתמוך בה.
5. מבחינה תקציבית, בתחומי IT וסייבר קיימים במרבית הארגונים שני כללי אצבע: הראשון הוא, שתקציב ה-IT מהווה 5%-3% מהכנסות החברה. השני קובע, שמתוך תקציב זה תקציב הסייבר עומד בממוצע על 6%, והוא אף עולה בשנים האחרונות בהדרגה ל-10%. כעת תוכלו לוודא שמחלקות ה-IT והסייבר בארגונכם מקבלות תקציב הולם.
אנו במדסק (Madsec) מסייעים למנמ"ר ולמנהל אבטחת המידע לרתום באופן הזה את ההנהלה להשקיע ולהיות מעורבת בהתמודדות מול איומי סייבר. על כך ישמחו להעיד לקוחותינו הרבים.
הכותב הוא מנכ"ל מדסק סקיוריטי.