מנהל אלסטיק ישראל: ״חלק גדול מתקציב אבטחת ה-IT מוקדש לכלים שלעולם לא נעשה בהם שימוש״
עמית קנפר, מנהל אלסטיק ישראל, מציע ארבע אסטרטגיות שיעזרו לארגונים להפוך את כל העובדות והעובדים בארגון למנהלי סייבר סקיוריטי. אמלק: אנשים, מערכות פשוטות וניהול סיכונים
ישראל דיפנס
| 27/06/2022
צלם: רוני ברוורמן
מדי שנה, חברות מוציאות יותר ויותר כסף על תקציבי סייבר סקיוריטי והנתונים מראים כי מדובר בתעשייה עם צמיחה מאסיבית. רק ב-2021 ההיקף הגלובלי של התעשייה עמד על יותר מ-262 מיליארד דולר, לעומת 3.5 מיליארד בלבד לפני 20 שנה.
בישראל לבדה היקף היצוא בתחום עומד על 6.85 מיליארד דולר בשנה, וזאת לפי מערך הסייבר הלאומי. למרות זאת, מספר המתקפות, הפרצות וההפסדים ממשיך לצמוח מדי שנה. וכמו שאיינשטיין אומר, השימוש באותן הטקטיקות בציפייה לתוצאה שונה אינו מהווה גישה רציונלית לניהול סיכוני אבטחת סייבר.
חלק מטקטיקות האבטחה הקיימות, כמו הגדרת רמות סיכון מקובלות ושימוש בביטוח על מנת לבטח חלק הסיכון ולהפחית את הנזק כאשר הוא מתרחש, חשובות תמיד לצמצום השפעתן של המתקפות.
עם זאת, כמנהלים עלינו לחשוב מחדש על האסטרטגיה הארגונית שלנו. אבטחה ארגונית חשובה מדי מכדי שתהיה נחלתו של קומץ מומחים, כפי שהיתה במשך שנים. עליה להיות חלק בלתי נפרד מכל אחד ואחת ומכל דבר בארגון.
במילים פשוטות, אבטחת IT צריכה להיות חלק מהתפקיד של כל עובדת ועובד בארגון.
נרמול סיכוני סייבר סקיוריטי בארגון
אבטחת סייבר היא סיכון עסקי - וזו עובדה שכל העובדות והעובדים צריכים להיות ערים לגביה. קל לחשוב על מתקפות סייבר כעל איום ייחודי ממקור חיצוני, הנפרד מהיבטים אחרים של ניהול הסיכונים הארגוני, גישה זו חייבת להשתנות.
סיכוני סייבר חייבים להפוך לחלק ממסגרת ניהול הסיכונים של כל הארגון ולהיות מנוהלים תוך שימוש במתודולוגיות קפדניות הדומות לאלה בהן נעשה שימוש לצורך יצירת מודלים של סיכונים פיננסיים ותפעוליים. אם מנהלי כספים ומנהלי תפעול יכולים לישון בשקט בלילה, אין סיבה שעמיתיהם באבטחה לא ייהנו מכך.
אבטחת סייבר היא במובנים רבים בעיה ארגונית ולא רק בעיה טכנולוגית. תהליכי אבטחה צריכים להיות מהותיים לא פחות מתהליכים עסקיים אחרים, כמו שילוב עובדים חדשים או הגשה של דו"ח הוצאות.
הם צריכים לקבל מימון וכוח אדם בדיוק כמו כל פונקציה עסקית נדרשת אחרת. אבטחה צריכה להיות גם יותר אקטיבית ופחות תגובתית. חשוב להתכונן לפרצות, למנוע אותן במידת האפשר ולהגיב להן במהירות, במקרים בהם מניעתן אינה אפשרית.
התמקדו באנשים, בתהליכים, בטכנולוגיה - בסדר הזה
אם אבטחת IT היא חלק מן התפקיד של כולם, האם אתם כמנהלים ממקדים את המשאבים שלכם בהתאם? עליכם לקבוע תקציבים לפי סדרי עדיפויות מוגדרים בבירור. הראשונים בסדר העדיפויות הם האנשים: פירושו של דבר השקעה בהדרכה, על מנת שהעובדים יקפידו על "הגיינת" סייבר סקיוריטי ויעבדו במסגרת תרבות סייבר סקיוריטי מובנת וברורה.
במקום השני ניצבים התהליכים: תקשורת פנימית וחיצונית, תוכנית רציפות עסקית וכיצד (או האם) להתעמת עם תוקפים. אלו סוגיות שרצוי ביותר לתכנן לפני שהמשבר מגיע. במקום השלישי בסדר העדיפויות נמצאת הטכנולוגיה: היא מגיעה אחרי האנשים והתהליכים ומתמקדת באיך להעניק למנהלי אבטחה ולצוותים שלהם את הכלים להם הם זקוקים כדי להפחית איומים ולהתמודד עימם ביעילות.
השתמשו בשיטות תגמול עובדים
פרקטיקות אבטחה טובות ראויות לתגמול. לעומת זאת, פרקטיקות גרועות לעולם אינן צריכות להוביל לשיימינג של עובדים. מחקר שנערך לאחרונה ע״י ThoughtLab מראה כי 50% מהפריצות בשנתיים האחרונות נגרמו ע״י טעויות אנוש, ו40% ממקבלי ההחלטות בארגוני ה- IT ענו כי האחוז רק יעלה בעתיד.
רוב הסיכויים שביקורתיות או נזיפות יחזרו לארגון כבומרנג, שכן יגרמו לעובדים לשתוק ולחשוש לדבר, או לנסות לפתור את הבעיה בעצמם ולהפוך אותה לקשה עוד יותר מבלי שהתכוונו לכך. בנוסף, בתעשייה המתאפיינת ברמה גבוהה של רגולציה, הדבר עלול להביא לסנקציות נגד הארגון.
לכן, ארגונים צריכים לטפח תרבות של פתיחות בנושאי אבטחה ולעודד את העובדים לשאול שאלות ולהרים דגלים אדומים. יש ארגונים ששולחים מתקפות פישינג מדומות ומתגמלות עובדים המזהים אותן בהצלחה עם כרטיסי מתנה והטבות אחרות. ארגונים אחרים מעניקים הכרה פומבית לעובדים אשר עברו את ההדרכה הנדרשת בנושאי אבטחה. כמעט כל צורה של חיזוק חיובי היא צעד בכיוון הנכון.
הפכו את כלי האבטחה לקלים יותר לשימוש עבור כולם
אנחנו כבר יודעים שחלק גדול מתקציב אבטחת ה-IT מוקדש לכלים שלעולם לא נעשה בהם שימוש. במקרים רבים הם מסובכים מדי לשימוש עבור כולם בארגון, פרט למומחי אבטחת סייבר, לכן יש צורך נואש בטכנולוגיות אבטחה ידידותיות למשתמש. כלים פשוטים יותר יכולים להפוך את העבודה בתחום אבטחת הסייבר לנגישה יותר למגוון גדול יותר של אנשים בארגון, מרקעים שונים ורמות שונות של מומחיות טכנולוגית.
למשל אפשר להיעזר בדשבורדים קלים להבנה המעניקים לעובדים שליטה ופיקוח על הסיכונים ובאופן זה המומחים האמיתיים לאבטחת סייבר יתפנו לבצע פונקציות חיוניות בארגון. באלסטיק לדוגמא, מציעים סט כלים טכנולוגיים חינמי ופתוח במטרה לעודד ואפשר הקמה של קהילה פעילה ומאמינים שפתיחת המוצרים לקהל הרחב מסייע להפוך אותם לבטוחים יותר לשימוש.
לסיכום, האבטחה הארגונית אינה יכולה להישאר פונקציה נסתרת המבוצעת בידי צוות של מומחים. היא צריכה להיות חלק מתחומי האחריות של כולם בארגון. הפיכתה לכזו יכולה לעזור לארגונים להתקדם אל מעבר לאסטרטגיית תגובתיות למשברים ולאמץ פרדיגמה חדשה, בה הם מנהלים את אבטחת הסייבר ביעילות, בדיוק כפי שהיו עושים זאת עם כל סיכון עסקי אחר.
הכותב: עמית קנפר, מנהל אלסטיק ישראל.
עמית קנפר, מנהל אלסטיק ישראל, מציע ארבע אסטרטגיות שיעזרו לארגונים להפוך את כל העובדות והעובדים בארגון למנהלי סייבר סקיוריטי. אמלק: אנשים, מערכות פשוטות וניהול סיכונים
צלם: רוני ברוורמן
מדי שנה, חברות מוציאות יותר ויותר כסף על תקציבי סייבר סקיוריטי והנתונים מראים כי מדובר בתעשייה עם צמיחה מאסיבית. רק ב-2021 ההיקף הגלובלי של התעשייה עמד על יותר מ-262 מיליארד דולר, לעומת 3.5 מיליארד בלבד לפני 20 שנה.
בישראל לבדה היקף היצוא בתחום עומד על 6.85 מיליארד דולר בשנה, וזאת לפי מערך הסייבר הלאומי. למרות זאת, מספר המתקפות, הפרצות וההפסדים ממשיך לצמוח מדי שנה. וכמו שאיינשטיין אומר, השימוש באותן הטקטיקות בציפייה לתוצאה שונה אינו מהווה גישה רציונלית לניהול סיכוני אבטחת סייבר.
חלק מטקטיקות האבטחה הקיימות, כמו הגדרת רמות סיכון מקובלות ושימוש בביטוח על מנת לבטח חלק הסיכון ולהפחית את הנזק כאשר הוא מתרחש, חשובות תמיד לצמצום השפעתן של המתקפות.
עם זאת, כמנהלים עלינו לחשוב מחדש על האסטרטגיה הארגונית שלנו. אבטחה ארגונית חשובה מדי מכדי שתהיה נחלתו של קומץ מומחים, כפי שהיתה במשך שנים. עליה להיות חלק בלתי נפרד מכל אחד ואחת ומכל דבר בארגון.
במילים פשוטות, אבטחת IT צריכה להיות חלק מהתפקיד של כל עובדת ועובד בארגון.
נרמול סיכוני סייבר סקיוריטי בארגון
אבטחת סייבר היא סיכון עסקי - וזו עובדה שכל העובדות והעובדים צריכים להיות ערים לגביה. קל לחשוב על מתקפות סייבר כעל איום ייחודי ממקור חיצוני, הנפרד מהיבטים אחרים של ניהול הסיכונים הארגוני, גישה זו חייבת להשתנות.
סיכוני סייבר חייבים להפוך לחלק ממסגרת ניהול הסיכונים של כל הארגון ולהיות מנוהלים תוך שימוש במתודולוגיות קפדניות הדומות לאלה בהן נעשה שימוש לצורך יצירת מודלים של סיכונים פיננסיים ותפעוליים. אם מנהלי כספים ומנהלי תפעול יכולים לישון בשקט בלילה, אין סיבה שעמיתיהם באבטחה לא ייהנו מכך.
אבטחת סייבר היא במובנים רבים בעיה ארגונית ולא רק בעיה טכנולוגית. תהליכי אבטחה צריכים להיות מהותיים לא פחות מתהליכים עסקיים אחרים, כמו שילוב עובדים חדשים או הגשה של דו"ח הוצאות.
הם צריכים לקבל מימון וכוח אדם בדיוק כמו כל פונקציה עסקית נדרשת אחרת. אבטחה צריכה להיות גם יותר אקטיבית ופחות תגובתית. חשוב להתכונן לפרצות, למנוע אותן במידת האפשר ולהגיב להן במהירות, במקרים בהם מניעתן אינה אפשרית.
התמקדו באנשים, בתהליכים, בטכנולוגיה - בסדר הזה
אם אבטחת IT היא חלק מן התפקיד של כולם, האם אתם כמנהלים ממקדים את המשאבים שלכם בהתאם? עליכם לקבוע תקציבים לפי סדרי עדיפויות מוגדרים בבירור. הראשונים בסדר העדיפויות הם האנשים: פירושו של דבר השקעה בהדרכה, על מנת שהעובדים יקפידו על "הגיינת" סייבר סקיוריטי ויעבדו במסגרת תרבות סייבר סקיוריטי מובנת וברורה.
במקום השני ניצבים התהליכים: תקשורת פנימית וחיצונית, תוכנית רציפות עסקית וכיצד (או האם) להתעמת עם תוקפים. אלו סוגיות שרצוי ביותר לתכנן לפני שהמשבר מגיע. במקום השלישי בסדר העדיפויות נמצאת הטכנולוגיה: היא מגיעה אחרי האנשים והתהליכים ומתמקדת באיך להעניק למנהלי אבטחה ולצוותים שלהם את הכלים להם הם זקוקים כדי להפחית איומים ולהתמודד עימם ביעילות.
השתמשו בשיטות תגמול עובדים
פרקטיקות אבטחה טובות ראויות לתגמול. לעומת זאת, פרקטיקות גרועות לעולם אינן צריכות להוביל לשיימינג של עובדים. מחקר שנערך לאחרונה ע״י ThoughtLab מראה כי 50% מהפריצות בשנתיים האחרונות נגרמו ע״י טעויות אנוש, ו40% ממקבלי ההחלטות בארגוני ה- IT ענו כי האחוז רק יעלה בעתיד.
רוב הסיכויים שביקורתיות או נזיפות יחזרו לארגון כבומרנג, שכן יגרמו לעובדים לשתוק ולחשוש לדבר, או לנסות לפתור את הבעיה בעצמם ולהפוך אותה לקשה עוד יותר מבלי שהתכוונו לכך. בנוסף, בתעשייה המתאפיינת ברמה גבוהה של רגולציה, הדבר עלול להביא לסנקציות נגד הארגון.
לכן, ארגונים צריכים לטפח תרבות של פתיחות בנושאי אבטחה ולעודד את העובדים לשאול שאלות ולהרים דגלים אדומים. יש ארגונים ששולחים מתקפות פישינג מדומות ומתגמלות עובדים המזהים אותן בהצלחה עם כרטיסי מתנה והטבות אחרות. ארגונים אחרים מעניקים הכרה פומבית לעובדים אשר עברו את ההדרכה הנדרשת בנושאי אבטחה. כמעט כל צורה של חיזוק חיובי היא צעד בכיוון הנכון.
הפכו את כלי האבטחה לקלים יותר לשימוש עבור כולם
אנחנו כבר יודעים שחלק גדול מתקציב אבטחת ה-IT מוקדש לכלים שלעולם לא נעשה בהם שימוש. במקרים רבים הם מסובכים מדי לשימוש עבור כולם בארגון, פרט למומחי אבטחת סייבר, לכן יש צורך נואש בטכנולוגיות אבטחה ידידותיות למשתמש. כלים פשוטים יותר יכולים להפוך את העבודה בתחום אבטחת הסייבר לנגישה יותר למגוון גדול יותר של אנשים בארגון, מרקעים שונים ורמות שונות של מומחיות טכנולוגית.
למשל אפשר להיעזר בדשבורדים קלים להבנה המעניקים לעובדים שליטה ופיקוח על הסיכונים ובאופן זה המומחים האמיתיים לאבטחת סייבר יתפנו לבצע פונקציות חיוניות בארגון. באלסטיק לדוגמא, מציעים סט כלים טכנולוגיים חינמי ופתוח במטרה לעודד ואפשר הקמה של קהילה פעילה ומאמינים שפתיחת המוצרים לקהל הרחב מסייע להפוך אותם לבטוחים יותר לשימוש.
לסיכום, האבטחה הארגונית אינה יכולה להישאר פונקציה נסתרת המבוצעת בידי צוות של מומחים. היא צריכה להיות חלק מתחומי האחריות של כולם בארגון. הפיכתה לכזו יכולה לעזור לארגונים להתקדם אל מעבר לאסטרטגיית תגובתיות למשברים ולאמץ פרדיגמה חדשה, בה הם מנהלים את אבטחת הסייבר ביעילות, בדיוק כפי שהיו עושים זאת עם כל סיכון עסקי אחר.
הכותב: עמית קנפר, מנהל אלסטיק ישראל.
