
איזון משאבים בעידן בו אתגרי אבטחת המידע גדלים הם בעיה אסטרטגית עבור מנהלי ארגונים. רשימת הארגונים שספגו פגיעה במוניטין, כמו גם פגיעה כלכלית כתוצאה מהתקפת סייבר, גדולה בצורה חסרת תקדים כך שכל פעמוני האזהרה מצלצלים
פורסם: 8.5.18 צילום: יח"צ
למרות מספרם הגדל של מנהלי אבטחת מידע בארגונים, עדיין קיים חשש כי חסרה להם אסטרטגיה ממוקדת בבואם להגן על הארגון. במחקר האחרון ש-F5 ביצעה במשותף עם מכון פונמון ( Ponemon Institute) נמצא כי 60% ממנהלי אבטחת מידע מאמינים כי אבטחת מידע היא בעדיפות גבוהה בארגון. אך בעוד שרמת המודעות בארגונים הולכת וגדלה עדיין יש מקום לשיפור גדול. 41% מהחברות לא שכרו עדיין מומחי אבטחת IoT ו- 32% לא רכשו טכנולוגיות חדשות להתמודד עם הסיכונים הפוטנציאלים החדשים .
מציאת האדם הנכון למשימה היא משוכה גבוהה. על פי המחקר 56% מהארגונים מדווחים כי הם מתקשים בגיוס האדם המתאים, כמעט ממחצית מנהלי אבטחת המידע ( 42%) דיווחו כי הם מעסיקים אנשים שאינם מתאימים לתפקיד.
ברור למדי, על פי תוצאות המחקר, כי רמת המוכנות של ארגונים למתקפות סייבר אינה מספקת.
חזיתות חדשות להאקרים
אחד מהחששות העיקריים שעלו מהמחקר של מכון פונמון, הוא כי מרבית ממנהלי אבטחת המידע מאמינים כי לא ננקטות יוזמות חדשות מצד ההנהלות להתמודדות עם אתגרי האבטחה החדשים. כ- 80% מהם מאמינים כי ה- IoT יגרום לשינויים משמעותיים בנהלי ונורמות האבטחה הקיימים ולמרות זאת כ-42% מהם מצהירים כי הם אינם שוכרים את המומחים המתאימים לאתגרי האבטחה ב-IOT.
ארסנל כלי ההתקפה של ההאקרים מתעדכן באופן תדיר והופך לממוקד, אוטומטי ומתוחכם יותר. ממתקפות DDoS דרך גניבת מידע וזהויות ועד הנדסה חברתית Social Engineering)) ויותר- הגנות צריכות להיות מתוכננות בהתאם. עמידה בקצב האיומים החדשים צריכה לקבל עדיפות בארגונים שאם לא יעשו כך ימצאו עצמם מפסידים בקרב.
מתמודדים עם פער הכישורים
פער הכישורים הוא עוד פצצה מתקתקת שאסור להתעלם ממנה. לרוחב כל המגזרים יש מקום להיות יותר פעילים ויוזמים על מנת לאייש משרות בתחום אבטחת הסייבר. לדוגמא: ניתן לעודד נשים לקחת חלק גדול יותר בתחום הגנת הסייבר. גם לבתי ספר יש אחריות גדולה בהכשרת אנשים מתאימים. רבות דובר אודות קידום תוכנים STEM ( Science, Technology, Engineering & Math) בקרב בתי הספר אך ההתקדמות איטית מאוד.
מנהלי אבטחת מידע צריכים להישמע ולעודד יותר את הכשרת האנשים גם בתעשייה וגם באקדמיה, שכן אין לנו את הפריבילגיה לשקוט על השמרים יותר.
התמוטטות התקשורת
מנהלי אבטחת מידע מקבלים חשיבות גדלה והולכת ולכן עליהם לתקשר בצורה טובה יותר. עליהם להבטיח כי ינצלו את מעמדם המתחזק בהנהלות של ארגונים כדי להשפיע עליהם להשקיע יותר משאבים בתחום האבטחה . עליהם לקחת חלק פעיל יותר בעיצוב התרבות הארגונית.
אחד מהממצאים המדאיגים ביותר של מחקר מכון פונמון היה כי רק 19% ממנהלי אבטחת המידע דיווחו על פריצות להנהלת הארגון. יתרה מכך, 46% הודו כי דיווחו למנכ"ל והנהלת הארגון רק על פריצות או מתקפות סייבר משמעותיות. זוהי תקשורת לוקה בחסר שצריכה תיקון מידי שמעניק עדיפות לתחומים קריטיים כמו אבטחת יישומים וניהול מידע.
למרבה הצער, חוסר התקשורת הזה מאפיין את מערכת היחסים בין אבטחת המידע לבין מחלקות אחרות בארגון. 58% מהארגונים שסוקרו במחקר ציינו כי פונקציית מנהל אבטחת המידע אצלם היא בודדת ואינה קשורה למחלקות אחרות כך שאין אסטרטגיית אבטחת מידע אחידה ברחבי הארגון. רק 22% דיווחו כי אבטחת המידע משולבת במחלקות הפעילות של הארגון ו 45% הודו כי אין להם מדיניות אבטחת מידע ותחומי אחריות ברורים בארגון.
ללא אסטרטגיית אבטחת מידע ארגונית כוללת ארגונים ימצאו את עצמם לא מוכנים ויהיו חשופים למתקפות סייבר לחוסר יעילות שמקורה בהתנהלות לקויה.
האיזון שבכוח
מנהלי אבטחת מידע חייבים לקחת חלק פעיל ומשפיע יותר ברמת ההנהלה של הארגונים, שכן נקודת האיזון שבכוח משתנה עתה. כמו מטולטלת, המשקל עכשיו עובר לרמת הציפיות של ההנהלה וצוות המנהלים ועל סדרי העדיפויות של הארגון. אם נטעה בחלוקת המשאבים, הם יתבזבזו ולא יתרמו לחסינות הארגון מול מתקפות סייבר. אמת המידה של כל ארגון היא איך הוא יגיב לסיכונים, ותפקידו של מנהל אבטחת המידע הוא להוביל את הארגון בדרך הנכונה.
*הכותבת שושי ליבוביץ, מנהלת פעילות ישראל, טורקיה ויוון ב- F5
Tags: אסטרטגיה חדשנות טכנולוגיה מעבר לדיגיטל פיתוח אישי קריירה תרבות ארגונית