מה תפקיד ה-CISO במניעת משבר סייבר?
חברת הסייבר הישראלית Code Blue, העוסקת בניהול משברי סייבר ומוכנות, ערכה וובינר בנושא וסיכמה את התובנות
חברת הסייבר הישראלית Code Blue, העוסקת בניהול משברי סייבר ומוכנות, ערכה וובינר (כנס מקצועי וירטואלי) בנושא התמודדות עם אירועי סייבר בארגון. התובנות מהוובינר סוכמו והן לפניכם.
ה-CISO צריך לצאת מנקודת הנחה שאי אפשר להימנע במאת האחוזים ממשבר סייבר, לכן המטרה היא לצמצם את ההסתברות למשבר. יש ל-CISO תפקיד כפול, מצד אחד הבנת הסיכונים והיכולת למזער אותם. מצד שני, להיות מחובר לליבה העסקית.
ה-CISO אמור לאפשר לארגון להתנהל תחת הסיכון בלי להתפשר. המניעה כוללת ניתוח מרחבי האיום, ניהול הסיכונים, הצבת אמצעי הגנה, בדיקת יעילות הכלים, הפקת לקחים ועוד.
האיומים מאוד דינאמיים וה-CISO אמור להיות מחובר לתהליכים העסקיים. מיפוי תהליכי ליבה עסקיים וכאלו קריטיים.
ה-CISO חייב לכוון את הארגון לתרבות סייבר מודעת ולקיים תכנית מוכנות כי קו ההגנה לעולם יפרץ.
מה תפקיד ה CISO במוכנות למשבר?
הנחת היסוד היא שאם אין תוכנית כנראה שהארגון יכשל ברגע המשבר. ל CISO אחריות רבה בפיתוח התוכנית למוכנות ארגונית להתאוששות ממשבר.
הוא המנהל בארגון שצריך להכין את החברה למשבר סייבר בראייה עסקית. המשימה שלו לחבר את הארגון לחשיבות הנושא וליצור תרבות ארגונית שמכירה באפשרות התרחשות משבר סייבר והצורך במוכנות גבוהה.
הוא אחראי על קבלת המשאבים הרלבנטיים כדי ליצור תוכנית שכזו ולהיות החוט המקשר בין הצד הטכנולוגי לעסקי. להסביר לצד העסקי את המורכבות הטכנולוגית ולתווך לאנשי הטכנולוגיה את התעדוף העסקי.
בין היתר יש לתרגל את ההנהלה למצבי משבר, לתרגל את הצוותים הטכניים, לשפר את שיתוף הפעולה בארגון בין היחידות השונות ולפתח יכולות בין אישיות בכדי להגיע להחלטות מהירות בזמן לחץ.
ה-CISO צריך לזהות את הנכסים הקריטיים, להבין את ההשלכות של פגיעה בהם ולמפות את התהליכים הקריטיים בארגון שיכולים להיפגע תוך כדי שיקוף מלא להנהלה.
משבר סייבר הוא אירוע מורכב, לכן התוכנית חייבת לכלול גורמים רבים במציאות של חוסר ודאות ולערב בעלי עניין רבים.
האם ה CISO אחראי על ניהול המשבר?
התשובה הנכונה היא - לא. אם ה-CISO מנהל את האירוע כנראה שלא הייתה הכנה נכונה. כאמור, הוא החוט המקשר בין הצד הטכנולוגי לעסקי וההנהלה הבכירה חייבת לקחת את המושכות ולנהל את המשבר.
בניגוד לאירוע סייבר שמתחיל ומסתיים בפן טכנולוגי בלבד, משבר סייבר יכול להשבית את החברה או לגרום נזק תדמיתי חמור.
מצב זה הוא מעבר להגדרת התפקיד של ה-CISO וכולל התייחסות למשמעויות הפיננסיות, עלויות, רציפות עסקית, מוניטין, תביעות חיצוניות ועוד.
מה עוד מצופה מה CISO בזמן משבר?
ל-CISO תפקיד מרכזי בניהול המשבר. מצופה ממנו להחזיר את העסק לפעילות בהקדם האפשרי. לתת ודאות לצד העסקי ולדעת מה הצעד הבא בהתאוששות.
לתאם בין הצד הטכנולוגי לעסקי. הבנת המצב, דיווח ואסקלציה. לטפל בכשלים הטכניים ולנהל את ה-IR. להבין את שורש המשבר. להפיק לקחים ולתעד את האירוע. התפקיד הקשה ביותר הוא להחליט מתי אפשר לעלות שוב לאוויר.
בסיום המשבר על ה-CISO להפיק לקחים וליצור תוכניות עבודה חדשות. לנהל סיכונים מחדש, לתעדף תקציבים ופעולות, להבין את המשמעויות העסקיות של המשבר ולצמצם את הפערים שהתגלו בזמן המשבר.
מהן הטעויות הנפוצות של CISO בזמן משבר סייבר?
פאסיביות - אי נקיטת פעולה מיידית. שגיאה בהערכות זמן וקצב התאוששות. העדר תקשורת יעילה בתוך הארגון ומחוצה לו. איבוד קור הרוח וקפאון. לדבר טכנולוגיה עם הצד העסקי.
ככל שההכנה הייתה יותר מקיפה ואפקטיבית ל-CISO יש את היכולת להתמודד עם משבר אמיתי. כאשר הארגון מתורגל ויש לו נהלי עבודה סדורים הבלבול והלחץ קטנים בעת משבר.
חשוב לערב את ההנהלה ולא לאפשר לה להתנער מאחריות לפני המשבר. משבר סייבר הוא אירוע מכונן ודרושים פרוטוקולים למקרי חירום בכדי לשמור על תפקוד רציף.
קביעת KPI מוגדרים ועמידה בהם יתנו ל-CISO אפשרות למדוד ביעילות את אפקטיביות פעולותיו.
מה הכי חשוב לזכור?
קו ההגנה לעולם יפרץ. מה שלא עובד בשגרה לא יעבוד בחירום. ארגונים חייבים למדוד את היכולת שלהם להתאושש ממשבר.
במשבר, כל חלקי הארגון באותה סירה. צריך לתת ל-CISO את המשאבים הרלבנטיים למוכנות ארגונית.
משבר סייבר הוא שאלה של זמן וצריך להכין את הארגון ליום מעונן. מיפוי נכסים, השלכות עסקיות, המשכיות עסקית, IR, מוניטין, תקשורת ארגונית. כל אלו הם רק חלק מהדברים שצריך לקחת בחשבון בעת משבר סייבר.