עם החזרה מחופשות הקיץ רובנו מתחילים (או ממשיכים), לבנות תכניות עבודה לשנה הבאה.
אצל כולנו המילה “סייבר” מופיעה יותר ויותר בתכניות. אם לא בצורה ישירה, היא משפיעה בצורה עקיפה על בניית התכניות. למה?
איך נושא הסייבר השתלט לנו על האופן שבו אנו מנהלים את העסק שלנו? ואיך משלבים עם תכניות העבודה?
התפתחות הטכנולוגיה מאפשרת מגוון הזדמנויות עסקיות חדשות.
יחד עם זאת, עולה גם הצורך לאבטח ולהגן על המערכות והמידע התומכים במימושן הזדמנויות אלו.
היום כבר ברור לכולם, כי היסודות שהוטמעו בדרישות ממשל תאגידי בוועדת גושן (ISOX) לבקרות כלליות במערכות המידע (ITGC), אינם מהווים מענה לאיומים ולסיכונים הקיימים (והם רק מתגברים) במרחב הסייבר – מרחב פעולה עסקי המשמש כל ארגון וארגון במשק המקומי והעולמי כאחד.
אם כך, מה מהווה מענה לנושא? ואיך מגשרים על הפער בין ניצול ההזדמנויות לניהול הסיכונים?
הסייבר נתפס אצל מרביתנו כנושא טכנולוגי, אך הסייבר הוא לא הטכנולוגיה!!
הסייבר הוא האנשים והתהליכים.
אנשים ותהליכים מפעילים טכנולוגיה ולא להיפך. על מנת לשלב ולהשיג את המקסימום בהגנה בסייבר עלינו להבין אילו הזדמנויות אנחנו רוצים לממש? מהו המידע הנדרש למימוש ואת מי הוא מעניין? מי יכול לפגוע בנו? למה שיפגע ומה בעצם מעניין אותו? מהם נכסי המידע שלנו (ה- Crown Jewels) שעליהם עלינו להגן?
הגנה בסייבר אינה מניעת תקיפות. הגנה בסייבר הינה אוסף פעולות (תהליכים ובקרות) שתפקידם להקשות על תוקף פוטנציאלי מלהצליח. תפקיד ההגנה בסייבר הוא לעכב ולהפתיע תוקף ובכך לגרום לו להתעצבן, להתייאש ולבסוף לוותר ולעבור למקום תקיפה אחר. לשם כך עלינו להיות יצירתיים יותר, מורכבים יותר, ובעיקר ממוקדים. כיוון שהמשאבים שיש לנו הם בד”כ מצומצמים, יש חשיבות עליונה למיקוד פעולות השיבוש והקושי באופן שיגנו על הנכסים החשובים בלבד ובמקומות שבהם השפעת תקיפה על הארגון עלולה להיות מקסימלית.
הקושי הגדול מכולם הוא המיקוד. ולכן אנשי הסייבר הטובים ביותר לא יהיו אנשי הטכנולוגיה כי אם אנשי הביזנס. אנשים המכירים את התהליכים העסקיים בצורה המעמיקה ביותר ויודעים לזהות את נקודות התורפה בתהליכים, אותן נקודות שעליהן יש למקד את ההגנה. על זיהוי הנקודות הרגישות יש להוסיף את הטכנולוגיה. באופן מושכל.
אבני היסוד לשילוב מושכל ואפקטיבי של הסייבר בתכנית העבודה הם:
1. וודאו כי קיימת מדיניות, תפיסה ו/או מתודולוגיה להגנה בסייבר המובילה את קו הפעולה בארגון.
2. התאימו את תכנית ההגנה ליעדים העסקיים ולתכנית ניהול הסיכונים הכללית.
3. זהו בבירור מהם הסיכונים שאנחנו לא יכולים לקבל, כאלה שעלולים למוטט את הארגון.
חפשו אינדיקציות לזיהוי התממשות סיכונים שכאלה על מנת למנוע או לפחות להפחית את השפעתם.
4. סמנו את נכסי המידע המהותיים, אלה שיש להגן עליהם באופן קשיח יותר.
5. קשרו את הנהלת הארגון להוביל את תכנית ההגנה בסייבר, המיקוד הוא בתהליכים ואח”כ הטכנולוגיה.
שתהיה לכולנו (עוד) שנת סייבר פוריה – קלה, שקטה וכזו שנרגיש שהתקדמנו בה..
צריכים עזרה בלממש טיפים אלו, צרו קשר ואנחנו בדרך לסייע.
