תכנית תגובה תקשורתית לאירוע סייבר היא הכרח
עינת מירון
| 21/11/2017
bigstockphoto
במשך הרבה מאוד שנים מנהלי אבטחת המידע טבעו בניירת רגולטורית, מסמכי רכישה של עוד פתרונות הגנה ונמנעו מלעסוק בשאלות עסקיות-ארגוניות. בחצי השנה האחרונה, כשמתקפות הסייבר ממחישות כיצד הן מרסקות מוניטין ומנהלים הולכים הביתה בגלל דליפות מידע ופרצות אבטחה, יש למנהלי אבטחת המידע הזדמנות פז לשדרג את מעמדם והשפעתם על ובתוך הארגון. הדרך היעילה והנכונה לעשות את זה היא באמצעות שינוי הטרמינולוגיה ואיתה את המעמד ההיררכי.
כן, אני יכולה להבין למה זה נראה למנהלי אבטחת מידע הדבר הכי פחות מעניין לעסוק בו, אבל מנהל אבטחת מידע שלא יפנים את השינוי הארגוני הנדרש ואת התפקיד הקריטי שלו בהבטחת ההתמודדות העסקית עם המשבר, סבירות גבוהה שימצא את עצמו פחות ופחות רלוונטי. בפועל, בניתוחי פוסט מורטם של כמעט כל האירועים המשמעותיים שקרו בחצי השנה האחרונה, הובהר מעל לכל ספק כי היתה חשיבות קריטית להסברת האיום עצמו וההשלכות שלו. כשסיכוני הסייבר כל כך גבוהים, פשוט אסור להפקיד את השיחה עליהם בידי גורם שאינו קשור ישירות לצוות אבטחת המידע.
וכדי לפשט ולהסביר עולם כמעט חדש ובטח לא מוכר, הנה חמישה דברים שאנשי אבטחת מידע צריכים לדעת על תקשורת ומדוע זה חשוב:
עמידות המותג הכרחית: כולם מכירים את "זו לא שאלה של אם, אלא של מתי", ועדיין החשיבה על "עמידות" במקום "אבטחה" לא הופנמה כלל. האם המוניטין המקצועי שלכם חזק ומגובש מספיק? האם הלקוחות שלכם סומכים עליכם כדי להישאר איתכם אחרי "תקלת אבטחה" או שאולי יתחילו לפקפק ולשאול שאלות לגבי האמינות שלכם? אתם צריכים להבין שלתגובה שלכם בזמן אירוע השפעה מהותית על ההחלטות העסקיות העתידיות של הלקוחות והספקים שלכם.
ההתנהלות התקשורתית היא סוג נוסף של משבר: משבר סייבר אינו דומה לכל משבר תקשורתי מסורתי. בלתי אפשרי לפעול לפי אותם כללים שהיו מנחים אותך בזמן ניהול סקנדל ניהולי או תקלת ייצור. משבר סייבר לא מאפשר את הפריבילגיה של השמטת הבשורות הרעות והתמודדות אתן בשלב מאוחר יותר. המהות של דליפת מידע מחייבת טיפול ארוך ומורכב. מסירת מידע ללא קונטקסט וללא הסברים ענייניים בנושאים שכאלה, אינה דומה למסירת מידע על ריקול של אלפי מכוניות עם תקלה במערכת הבלמים. אם תנהל נכון את המסרים התקשורתיים שלך, במיוחד מול ההנהלה, אתה בעצם מספק להם תשתית טובה להתמודדות וזה יתרון יקר ערך.
התשובה הטובה ביותר היא תוכנית פעולה: ישנם כמה מהלכים בסיסיים שיש לעשות אחרי גילוי הפריצה, אבל כמעט 75% מסך הפעולות שנדרש לעשות בזמן משבר סייבר, ניתן וצריך לעשות מראש. במהלך הכאוס של המשבר, חשוב למזער ככל האפשר את המשימות של צוות אבטחת המידע. כשיש החלטות ברורות כיצד פועלים בזמן משבר, ניתן להיערך גם עם ההחלטות התקשורתיות. למשל, הערכה של אותן פגיעויות פוטנציאליות, מיפוי התרחישים בהתאם להשפעות שלהם, ניתוח קבוצות קריטיות בתוך הארגון שמחייבות דיווח ועדכון שוטף, ניסוח מסרים עקרוניים. כל זה יחסוך בזמן משבר סייבר הרבה מאוד כאבי ראש.
התגובה הכי טובה היא פשוט תגובה טובה: תוכנית טובה לא בהכרח תבטיח תוצאה טובה, אבל בתגובה למשבר סייבר, כל תגובה שלך חייבת להיצמד לכללים בסיסיים. אתה חייב לומר משהו. זה חייב להיות מדויק ועקבי. אסור לך להשמע מנחש ובוודאי שאסור לך למסור חצאי אמיתות. אתה חייב להעביר עדכון אמין לכל אחד מהגורמים בארגון שנמצאים בקשר עם גורמי משל רשמיים\ לקוחות\ספקים\בעלי מניות וליידע אותם במצב. מהלך שכזה מעיד על אחריות ועל בעל בית. אנשים מושפעים ממעשים ואמון מתבסס על מידע ושיתוף. כשאתה משתף אתה משדר שאכפת לך ואם אכפת לך אז אפשר גם לסמוך עליך. וברגע של משבר סייבר אתה הוא הארגון.
בנה אמון: תקשורת טובה בזמן שאחרי משבר סייבר לא פחות חשובה מאשר בזמן המשבר עצמו. זה הזמן לבנות ולבסס שוב את האמון עם לקוחות הארגון. כן, סבירות גבוהה שגם מי שנשאר איתך בזמן המשבר, זוכר לך את זה. תכנן היטב כיצד אתה מחזיר את אמון הלקוחות בך ובארגון.
אנחנו עדיין לא יודעים כיצד תסתיים סאגת אקוויפקס, אבל אין ספק שזהו אחד מאותם מקרים שמספקים שעורים חשובים. אחד מהם הוא ההבנה כי תקשורת סייבר טובה היא באחריות של כל הצוות. אסור למנהל אבטחת המידע להתעלם מצורך זה ומי שלא פעל כך עד היום, זה הזמן להתחיל. מנהל אבטחת מידע שיגבש לעצמו תוכנית פעולה בסיסית, ידע בזמן אמת לשאול את השאלות הנכונות ולהגיב בצורה מושכלת. אסור להנהן ולהניח בצד. כידוע, זו לא שאלה של אם אלא של מתי.
הכותבת היא יועצת מומחית להנהלה בכירה בתחום Cyber resilience
bigstockphoto
במשך הרבה מאוד שנים מנהלי אבטחת המידע טבעו בניירת רגולטורית, מסמכי רכישה של עוד פתרונות הגנה ונמנעו מלעסוק בשאלות עסקיות-ארגוניות. בחצי השנה האחרונה, כשמתקפות הסייבר ממחישות כיצד הן מרסקות מוניטין ומנהלים הולכים הביתה בגלל דליפות מידע ופרצות אבטחה, יש למנהלי אבטחת המידע הזדמנות פז לשדרג את מעמדם והשפעתם על ובתוך הארגון. הדרך היעילה והנכונה לעשות את זה היא באמצעות שינוי הטרמינולוגיה ואיתה את המעמד ההיררכי.
כן, אני יכולה להבין למה זה נראה למנהלי אבטחת מידע הדבר הכי פחות מעניין לעסוק בו, אבל מנהל אבטחת מידע שלא יפנים את השינוי הארגוני הנדרש ואת התפקיד הקריטי שלו בהבטחת ההתמודדות העסקית עם המשבר, סבירות גבוהה שימצא את עצמו פחות ופחות רלוונטי. בפועל, בניתוחי פוסט מורטם של כמעט כל האירועים המשמעותיים שקרו בחצי השנה האחרונה, הובהר מעל לכל ספק כי היתה חשיבות קריטית להסברת האיום עצמו וההשלכות שלו. כשסיכוני הסייבר כל כך גבוהים, פשוט אסור להפקיד את השיחה עליהם בידי גורם שאינו קשור ישירות לצוות אבטחת המידע.
וכדי לפשט ולהסביר עולם כמעט חדש ובטח לא מוכר, הנה חמישה דברים שאנשי אבטחת מידע צריכים לדעת על תקשורת ומדוע זה חשוב:
עמידות המותג הכרחית: כולם מכירים את "זו לא שאלה של אם, אלא של מתי", ועדיין החשיבה על "עמידות" במקום "אבטחה" לא הופנמה כלל. האם המוניטין המקצועי שלכם חזק ומגובש מספיק? האם הלקוחות שלכם סומכים עליכם כדי להישאר איתכם אחרי "תקלת אבטחה" או שאולי יתחילו לפקפק ולשאול שאלות לגבי האמינות שלכם? אתם צריכים להבין שלתגובה שלכם בזמן אירוע השפעה מהותית על ההחלטות העסקיות העתידיות של הלקוחות והספקים שלכם.
ההתנהלות התקשורתית היא סוג נוסף של משבר: משבר סייבר אינו דומה לכל משבר תקשורתי מסורתי. בלתי אפשרי לפעול לפי אותם כללים שהיו מנחים אותך בזמן ניהול סקנדל ניהולי או תקלת ייצור. משבר סייבר לא מאפשר את הפריבילגיה של השמטת הבשורות הרעות והתמודדות אתן בשלב מאוחר יותר. המהות של דליפת מידע מחייבת טיפול ארוך ומורכב. מסירת מידע ללא קונטקסט וללא הסברים ענייניים בנושאים שכאלה, אינה דומה למסירת מידע על ריקול של אלפי מכוניות עם תקלה במערכת הבלמים. אם תנהל נכון את המסרים התקשורתיים שלך, במיוחד מול ההנהלה, אתה בעצם מספק להם תשתית טובה להתמודדות וזה יתרון יקר ערך.
התשובה הטובה ביותר היא תוכנית פעולה: ישנם כמה מהלכים בסיסיים שיש לעשות אחרי גילוי הפריצה, אבל כמעט 75% מסך הפעולות שנדרש לעשות בזמן משבר סייבר, ניתן וצריך לעשות מראש. במהלך הכאוס של המשבר, חשוב למזער ככל האפשר את המשימות של צוות אבטחת המידע. כשיש החלטות ברורות כיצד פועלים בזמן משבר, ניתן להיערך גם עם ההחלטות התקשורתיות. למשל, הערכה של אותן פגיעויות פוטנציאליות, מיפוי התרחישים בהתאם להשפעות שלהם, ניתוח קבוצות קריטיות בתוך הארגון שמחייבות דיווח ועדכון שוטף, ניסוח מסרים עקרוניים. כל זה יחסוך בזמן משבר סייבר הרבה מאוד כאבי ראש.
התגובה הכי טובה היא פשוט תגובה טובה: תוכנית טובה לא בהכרח תבטיח תוצאה טובה, אבל בתגובה למשבר סייבר, כל תגובה שלך חייבת להיצמד לכללים בסיסיים. אתה חייב לומר משהו. זה חייב להיות מדויק ועקבי. אסור לך להשמע מנחש ובוודאי שאסור לך למסור חצאי אמיתות. אתה חייב להעביר עדכון אמין לכל אחד מהגורמים בארגון שנמצאים בקשר עם גורמי משל רשמיים\ לקוחות\ספקים\בעלי מניות וליידע אותם במצב. מהלך שכזה מעיד על אחריות ועל בעל בית. אנשים מושפעים ממעשים ואמון מתבסס על מידע ושיתוף. כשאתה משתף אתה משדר שאכפת לך ואם אכפת לך אז אפשר גם לסמוך עליך. וברגע של משבר סייבר אתה הוא הארגון.
בנה אמון: תקשורת טובה בזמן שאחרי משבר סייבר לא פחות חשובה מאשר בזמן המשבר עצמו. זה הזמן לבנות ולבסס שוב את האמון עם לקוחות הארגון. כן, סבירות גבוהה שגם מי שנשאר איתך בזמן המשבר, זוכר לך את זה. תכנן היטב כיצד אתה מחזיר את אמון הלקוחות בך ובארגון.
אנחנו עדיין לא יודעים כיצד תסתיים סאגת אקוויפקס, אבל אין ספק שזהו אחד מאותם מקרים שמספקים שעורים חשובים. אחד מהם הוא ההבנה כי תקשורת סייבר טובה היא באחריות של כל הצוות. אסור למנהל אבטחת המידע להתעלם מצורך זה ומי שלא פעל כך עד היום, זה הזמן להתחיל. מנהל אבטחת מידע שיגבש לעצמו תוכנית פעולה בסיסית, ידע בזמן אמת לשאול את השאלות הנכונות ולהגיב בצורה מושכלת. אסור להנהן ולהניח בצד. כידוע, זו לא שאלה של אם אלא של מתי.
הכותבת היא יועצת מומחית להנהלה בכירה בתחום Cyber resilience
