מלכודת הגודל בסייבר
אילן סגלמן
| 14/05/2018
אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication
ארגונים רבים בישראל מגדירים את עצמם כארגון אנטרפרייז, למרות שבפועל, מרביתם עונים על ההגדרה הגלובלית של ארגון קטן או בינוני. חוסר ההתאמה בין תפיסת הארגונים את עצמם, לבין המציאות הארגונית שלהם בפועל יוצרת אתגרים מיותרים בגזרת אבטחת המידע וחושפת אותם להתקפות סייבר. הדבר בא לידי ביטוי בחוסר התאמה בפתרונות אבטחת המידע המוטמעים, בהשקעות כספיות ובמשאבי כוח אדם שאינם תואמים את המציאות.
גרטנר מגדיר ארגונים קטנים ובינוניים (SMB) על פי מספר העובדים והמחזור השנתי. ארגונים קטנים מוגדרים כארגונים בעלי פחות מ- 100 עובדים ומחזור שנתי של פחות מ- 50 מיליון דולר, ארגונים בינוניים כוללים 100 עד 999 עובדים והם בעלי מחזור שנתי של 50 מיליון עד מיליארד דולר. עוד מדגיש גרטנר, ובצדק, כי לארגונים קטנים ובינוניים ישנן דרישות שונות בתחום מערכות המידע, משאבים בקנה מידה שונה וכך גם אתגרים שונים להתמודד עימם.
העובדה שארגונים קטנים ובינוניים בישראל רואים עצמם כארגוני אנטרפרייז אולי מהווה יתרון בגזרת הניהול. ארגון שתופס עצמו כארגון גדול מקפיד יותר על התנהלות ארגונית תקינה, נהלים מסודרים, חזון ותכנית צמיחה שתאפשר לו פריון גבוה בעתיד. יחד עם זאת, כאשר מדובר בתחום אבטחת המידע תפיסה עצמית שגויה כזאת עולה לארגון משאבים מיותרים ולא דווקא מספקת לו אבטחת מידע ברמה גבוהה.
הארגון הישראלי שמגדיר את עצמו שלא בצדק כארגון אנטרפרייז מתפתה לקנות פתרונות אבטחת מידע שמיועדים לארגונים גדולים על פי ההגדרה הגלובלית, משמע פתרונות שמיועדים לארגונים בעלי יותר מ- 1,000 עובדים ומחזור שנתי של יותר ממיליארד דולר. מנהליו אולי חושבים שפתרונות אבטחת מידע אלו מקיפים ומתקדמים יותר וכי הם מעניקים הגנה טובה יותר. בפועל נוצר מצב הפוך, שכן פתרונות אלו יקרים יותר ודורשים יותר כוח אדם על מנת לתפעל אותם בשוטף.
מורכבות הניהול והתפעול עולה פלאים ברגע שמוטמעים פתרונות בסקאלה הגלובלית של ארגוני אנטרפרייז. וכך, ארגון שאינו גדול באמת, חסר את המשאבים לתפעל אותם כיאות. בפועל הארגון הבינוני או הקטן מעמיס על עצמו הוצאות ומעמיס על מעט אנשי אבטחת המידע שלו פתרונות רובסטיים שהם פשוט לא יכולים להתמודד איתם. התוצאה הבלתי נמנעת היא קריסה של צוות אבטחת המידע תחת העומס, שדרוגים שלא מתבצעים בזמן, פתרונות לא ממצים את הפוטנציאל האמיתי שלהם – וארגון שבסופו של דבר נשאר חשוף להתקפות.
לסיכום, כאשר ארגון בא לבחון ולבחור פתרון אבטחת מידע, עליו להסתכל על עצמו בצורה אובייקטיבית. פתרונות אבטחת מידע, המוצעים על ידי ספקים גלובליים ומוגדרים כמתאימים לארגונים קטנים ובינוניים, יציעו רמת הגנה שאינה נופלת מההגנה המוצעת לארגוני אנטרפרייז. בניגוד לפתרונות אנטרפרייז, אלו מוצעים עם יכולות ניהול ותפעול שמתאימים לגודל הארגון. פתרונות אלו מאפשרים ניהול ותפעול פשוט, חסכון בכוח אדם וכלי אוטומציה. ארגונים קטנים ובינוניים בישראל, הכוללים מאות ואף אלפי עובדים, יכולים גם בהחלט לבחון פתרונות Security as a Service שחוסכים בעלויות ומגדילים את הגמישות התפעולית.
הכותב הוא סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל
אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication
ארגונים רבים בישראל מגדירים את עצמם כארגון אנטרפרייז, למרות שבפועל, מרביתם עונים על ההגדרה הגלובלית של ארגון קטן או בינוני. חוסר ההתאמה בין תפיסת הארגונים את עצמם, לבין המציאות הארגונית שלהם בפועל יוצרת אתגרים מיותרים בגזרת אבטחת המידע וחושפת אותם להתקפות סייבר. הדבר בא לידי ביטוי בחוסר התאמה בפתרונות אבטחת המידע המוטמעים, בהשקעות כספיות ובמשאבי כוח אדם שאינם תואמים את המציאות.
גרטנר מגדיר ארגונים קטנים ובינוניים (SMB) על פי מספר העובדים והמחזור השנתי. ארגונים קטנים מוגדרים כארגונים בעלי פחות מ- 100 עובדים ומחזור שנתי של פחות מ- 50 מיליון דולר, ארגונים בינוניים כוללים 100 עד 999 עובדים והם בעלי מחזור שנתי של 50 מיליון עד מיליארד דולר. עוד מדגיש גרטנר, ובצדק, כי לארגונים קטנים ובינוניים ישנן דרישות שונות בתחום מערכות המידע, משאבים בקנה מידה שונה וכך גם אתגרים שונים להתמודד עימם.
העובדה שארגונים קטנים ובינוניים בישראל רואים עצמם כארגוני אנטרפרייז אולי מהווה יתרון בגזרת הניהול. ארגון שתופס עצמו כארגון גדול מקפיד יותר על התנהלות ארגונית תקינה, נהלים מסודרים, חזון ותכנית צמיחה שתאפשר לו פריון גבוה בעתיד. יחד עם זאת, כאשר מדובר בתחום אבטחת המידע תפיסה עצמית שגויה כזאת עולה לארגון משאבים מיותרים ולא דווקא מספקת לו אבטחת מידע ברמה גבוהה.
הארגון הישראלי שמגדיר את עצמו שלא בצדק כארגון אנטרפרייז מתפתה לקנות פתרונות אבטחת מידע שמיועדים לארגונים גדולים על פי ההגדרה הגלובלית, משמע פתרונות שמיועדים לארגונים בעלי יותר מ- 1,000 עובדים ומחזור שנתי של יותר ממיליארד דולר. מנהליו אולי חושבים שפתרונות אבטחת מידע אלו מקיפים ומתקדמים יותר וכי הם מעניקים הגנה טובה יותר. בפועל נוצר מצב הפוך, שכן פתרונות אלו יקרים יותר ודורשים יותר כוח אדם על מנת לתפעל אותם בשוטף.
מורכבות הניהול והתפעול עולה פלאים ברגע שמוטמעים פתרונות בסקאלה הגלובלית של ארגוני אנטרפרייז. וכך, ארגון שאינו גדול באמת, חסר את המשאבים לתפעל אותם כיאות. בפועל הארגון הבינוני או הקטן מעמיס על עצמו הוצאות ומעמיס על מעט אנשי אבטחת המידע שלו פתרונות רובסטיים שהם פשוט לא יכולים להתמודד איתם. התוצאה הבלתי נמנעת היא קריסה של צוות אבטחת המידע תחת העומס, שדרוגים שלא מתבצעים בזמן, פתרונות לא ממצים את הפוטנציאל האמיתי שלהם – וארגון שבסופו של דבר נשאר חשוף להתקפות.
לסיכום, כאשר ארגון בא לבחון ולבחור פתרון אבטחת מידע, עליו להסתכל על עצמו בצורה אובייקטיבית. פתרונות אבטחת מידע, המוצעים על ידי ספקים גלובליים ומוגדרים כמתאימים לארגונים קטנים ובינוניים, יציעו רמת הגנה שאינה נופלת מההגנה המוצעת לארגוני אנטרפרייז. בניגוד לפתרונות אנטרפרייז, אלו מוצעים עם יכולות ניהול ותפעול שמתאימים לגודל הארגון. פתרונות אלו מאפשרים ניהול ותפעול פשוט, חסכון בכוח אדם וכלי אוטומציה. ארגונים קטנים ובינוניים בישראל, הכוללים מאות ואף אלפי עובדים, יכולים גם בהחלט לבחון פתרונות Security as a Service שחוסכים בעלויות ומגדילים את הגמישות התפעולית.
הכותב הוא סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication, המפיצה את פתרונות Sophos בישראל
