מדיניות אבטחת מידע או הגנה בסייבר מייצגת “מה אנחנו הולכים לעשות” בתחום האבטחה.
בעוד “האיך” מנוהל ע”י הנהלת הארגון ומבוצע ע”י עובדיו, שאלת “המה” היא בתכולה של דירקטוריון הארגון.
לאחרונה קיבלתי, לשמחתי הרבה, מספר פניות מארגונים המבקשים לעדכן את מדיניות אבטחת המידע שלהן למדיניות הגנה בסייבר ולפתח אסטרטגיה למימושה. הבקשות הגיעו מארגונים השונים אחד מהשני, לא רק במגזרים בהם הם פועלים, אלא לא פחות ואפילו בעיקר במוכנות ובתרבות הארגונית הקיימת בארגון.
אחת הבקשות הגיעה מחברה פרטית, שאינה נדרשת לרגולציות מחייבות ועדיין רואה בצורך לעדכן את המדיניות ולבצע התמרה מאבטחת מידע לאבטחת סייבר. שתים נוספות הגיעו מחברות ממשלתיות, המבקשות “להתקדם” ולהתאים את הפעילות לעולם ההגנה בסייבר. בקשה נוספת הגיעה בכלל מבנק המחויב להוראה 361 ורצה תכנית מעשית למימוש המדיניות שנכתבה לאחרונה.
כפי שציינתי, למרות הצורך הדומה, קיים שוני מהותי בין החברות. אז איך בונים התמרה לאבטחה בסייבר?
הדבר הראשון שמוודאים הוא שמסמכי מדיניות ואסטרטגיה יאושרו בדירקטוריונים השונים.
זהו צעד הכרחי ובעל היגיון עסקי ברור. מסמך מדיניות ארגוני, בכל נושא שהוא, הוא מסמך של דירקטוריון. זהו מסמך המייצג כאמור את שלב “המה”. הוא חייב להציג את החזון הארגוני, שלא רק שנקבע ע”י חברי הדירקטוריון, הוא חייב להיות בתאימות מלאה עם הצורה שבה מקבלי ההחלטות מבקשים לכוון את הארגון אליו.
שלב נוסף בתחילת התהליך הוא לקיים ראיונות מקדימים עם הנהלת הצד העסקי בארגון ובמיוחד מומלץ עם חברי הדירקטוריון האחראיים על טכנולוגיית המידע. וזאת למה? כיוון שהם המקור הראשון שיידע לאן מכוון הארגון.
מצד שני, וזו האמת לצערנו, לא לכל ארגון יש חברי דירקטוריון אחראיים על טכנולוגיית המידע ויתרה מזאת, בהרבה מאוד דירקטוריונים, אין את הידע הנדרש וההבנה הנחוצה להכתיב מדיניות אבטחת סייבר. היעדר גורם מכוון מביא אותנו לסוג של פלונטר. מאין מבוא סתום המצריך חשיבה קצת שונה ובעיקר מתואמת סיטואציה. אין באמת פתרון של חליפה במידה גנרית המתאימה לכולם ( באנגלית זה נשמע טוב יותר One size suit to fit all).
גם הסיטואציה הזו נמצאת מולי במספר מישורים. במסגרת הפעילות העסקית וההתנדבותית שאני משתתף, ישנם מספר גורמים המעוניינים לשנות את המציאות הזו.
הראשונה היא ISACA. לאיגוד מספר פרסומים מקצועיים על הקשר שבין הגנה בסייבר וחברי דירקטוריון. על בסיס פרסומים אלו, בנינו הכשרה המותאמת לחברי דירקטוריון והנהלות בכירות בנושא הגנה בסייבר. מדובר בפעילות קצרה יחסית (מספר שעות) המתמקדת ביישום הגנה בסייבר מבוססת ממשל תאגידי, נושא ליבה בפרסומי ISACA.
מטה הסייבר הלאומי – כחלק מהסדרת תחום ההגנה בסייבר ולצד האסדרה של מקצועות הסייבר, המטה מבקש לקיים הכשרות לגורמים האחראיים על ההגנה בסייבר במשרדי הממשלה ולחברי דירקטוריון של חברות ממשלתיות. שילוב ההכשרה של ISACA לצד התאמות לגופים ממשלתיים יובילו מגמה של הרחבת פעילות האבטחה במשרדים ובגופים המונחים ע”י רשות הסייבר וראם.
כיועץ תוכן ומתודולוגיה בסייברספארק אקדמי (CyberSpark Academy – גוף מוביל של אקו סיסטם סייבר בקריית הסייבר בב”ש), אנו משולבים בפעילות לבניית הכשרה מתאימה לגורמים בכירים בחברות בינלאומיות מהעולם, כחלק מתכנית הכשרה רחבה יותר בתחום ההגנה בסייבר.
ולבסוף, גם כיועץ עצמאי, ניתן לזהות מגמה למודעות הצורך בהקניית תכנים מקצועיים בסיסיים בתחום טכנולוגיית המידע בכלל והסייבר בפרט לחברי דירקטוריון, חברי הנהלה ואפילו ליחידות ביקורת גדולות.
פיתוח מדיניות ובניית תכנית אסטרטגיה למימוש מדיניות מחייבת הבנה וידע (לפחות בסיסי) בהגנה בסייבר של מכווני הארגון, קרי, חברי דירקטוריון וחברי הנהלה בכירה. הקניית ידע זה והכוונה, תוך הצגת שאלות מתאימות לגורמי ניהול האבטחה יעלו את המוכנות הארגונית, הבשלות ביכולת ההגנה ותמיד יעצימו את התרבות הארגונית בנושא.
רוצים לדעת יותר? להבין איך ההכשרות האלה יתרמו לארגון שלכם?
אשמח לעמוד לרשותכם בבניית הכשרה מתאימה …
