זכיתי להתארח בפאנל במסגרת וועידת IT שקיימו אנשים ומחשבים. במהלכו נשאלתי, כיצד רותמים את ההנהלה הבכירה להשקיע ולהיות מעורבת בהתמודדות מול איומי הסייבר?
תשובתי הייתה, שיש להפסיק להתייחס לאיומי סייבר כאל מושג מעורפל ומפחיד, שאין דרך להתמודד עמו. במקום זאת, יש לפרק אותו תחילה לרשימת איומים קונקרטיים, בהמשך לבצע ניתוח סיכונים ספציפי שיוביל ליצירת תוכנית עבודה.
בכדי לבצע זאת בצורה הטובה ביותר, חשוב לשקול את הנקודות הבאות:
- ניהול סיכוני סייבר, הוא רק אחד מתוך סיכונים רבים שההנהלה מתמודדת עימם. לפיכך, יש לבחון כל איום בראיה רוחבית של הארגון ולא רק בהיבט של איום סייבר.
- כשמתייחסים להנהלה, אין הכוונה אך ורק למנכ”ל ולסמנכ”לים, זאת מאחר והם לא הבעלים של החברה. לחברה יש בעלים מסוגים שונים, דוגמת משקיעים פרטיים, הציבור דרך מניות של חברה ציבורית, חברת אם ועוד, והם מיוצגים באמצעות דירקטורים. לכן הכרחי להציג בישיבת דירקטוריון את ניהול הסיכונים, על מנת לרתום אותם לתהליך.
- מומלץ לבחור חברת ייעוץ לתחום הסייבר שזהו תחום העיסוק העיקרי שלה. לא חברה שמוכרת מוצרים ופתרונות, לא חברה שעוסקת בחשבונאות או עריכת דין והנושא מהווה חלק זניח בפעילותה, לא עסק של איש יחיד ולא חברה שנפתחה לאחרונה. הפעילו שיקול דעת כמו בכל תחום בחיים, ובחרו חברה שזהו תחום מומחיותה ושהיא אובייקטיבית.
- למרות שאוהבים לקטר על הרגולציה, הרי שבהיבטים רבים היא מהווה ברכה. היא קובעת סטנדרטים שהארגון חייב ליישם. הנחיות הרגולציה מיוצגות על ידי קבוצות של הנחיות (בקרות), ועמידה בהן מספקת רף נדרש של אבטחת מידע במגזר מסוים. לפיכך, חובה עליכם לדעת מהן הרגולציות הרלוונטיות לארגונכם ולהשתמש בהן בעת קביעת התוכנית האסטרטגית. כאשר חברי ההנהלה יבינו שהתוכנית התחשבה בסוג ואופי החברה וכן ברגולציה הנדרשת, יקל עליהם להתחבר אליה ולתמוך בה.
- מבחינה תקציבית, בתחומי IT וסייבר קיימים במרבית הארגונים שני כללי אצבע: הראשון הוא שתקציבIT מהווה 3% עד 5% מהכנסות החברה. השני קובע שמתוך תקציב זה תקציב הסייבר עומד בממוצע על 6%, והוא אף עולה בשנים האחרונות בהדרגה ל 10%. כעת תוכלו לוודא מחלקות IT וסיבר בארגונכם מקבלות תקציב הולם.
אנו ב Madsec מסייעים למנמ”ר ולמנהל אבטחת המידע, לרתום באופן הזה את ההנהלה להשקיע ולהיות מעורבת בהתמודדות מול איומי סייבר. על כך ישמחו להעיד לקוחותינו הרבים.
